大型企業(yè)OSPF組網(wǎng)建設(shè)方案_第1頁(yè)
大型企業(yè)OSPF組網(wǎng)建設(shè)方案_第2頁(yè)
大型企業(yè)OSPF組網(wǎng)建設(shè)方案_第3頁(yè)
大型企業(yè)OSPF組網(wǎng)建設(shè)方案_第4頁(yè)
大型企業(yè)OSPF組網(wǎng)建設(shè)方案_第5頁(yè)
已閱讀5頁(yè),還剩24頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、第一章 OSPF 協(xié)議簡(jiǎn)單介紹 OSPF 是由IETF 的IGP 工作組為IP 網(wǎng)絡(luò)開(kāi)發(fā)的路由協(xié)議。OSPF 作為一種內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,IGP),用于典型網(wǎng)絡(luò)中的路由器之間發(fā)布路由信息。它是一種鏈路狀態(tài)協(xié)議,區(qū)別于距離矢量協(xié)議(RIP),OSPF 具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn),在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。 第二章 OSPF 協(xié)議應(yīng)用場(chǎng)合 在當(dāng)前典型網(wǎng)絡(luò)絡(luò)中,OSPF的應(yīng)用場(chǎng)合基本上有以下三種: (1) 典型網(wǎng)絡(luò)中核心和匯聚都是支持 OSPFv2 的三層交換機(jī) (2) 典型網(wǎng)絡(luò)核心或者匯聚層設(shè)備上建立了過(guò)多的靜態(tài)

2、路由,人工維護(hù)量過(guò)大 (3) 典型網(wǎng)絡(luò)中的三層設(shè)備支持 OSPFv2 但是仍然在使用 RIP 協(xié)議的可以考慮做協(xié)議遷移。 在日常工作中常見(jiàn)的情況只有(1)和(2)兩種。 第三章 OSPF 協(xié)議基本規(guī)劃 OSPF網(wǎng)絡(luò)協(xié)議在所有內(nèi)部網(wǎng)關(guān)協(xié)議中是比較復(fù)雜的一種,這種復(fù)雜性和 OSPF的協(xié)議原理密切相關(guān),那么在設(shè)計(jì)典型網(wǎng)絡(luò)中的 OSPF我們具體需要考慮哪幾方面的問(wèn)題呢?在本節(jié)中將會(huì)為您一一介紹。 3.1 保持 OSPF 數(shù)據(jù)庫(kù)的穩(wěn)定性: Router-id的選擇 對(duì)于大型典型網(wǎng)絡(luò)絡(luò)OSPF設(shè)計(jì)和實(shí)施中我們需要考慮的第一點(diǎn), 就是 Router-id的選擇。 這是因?yàn)?OSPF作為一種鏈路狀態(tài)路由協(xié)議其

3、計(jì)算路由的依據(jù)是LSA(鏈路狀態(tài)宣告報(bào)文)數(shù)據(jù)庫(kù),每個(gè)運(yùn)行OSPF的路由器都會(huì)發(fā)送并泛洪 LSA報(bào)文到整個(gè)網(wǎng)絡(luò),這樣網(wǎng)絡(luò)中每個(gè)運(yùn)行 OSPF的路由器都會(huì)收集到其他設(shè)備發(fā)送過(guò)來(lái)的 LSA 并且放入 LSA 數(shù)據(jù)庫(kù)中,然后開(kāi)始進(jìn)行 SPF(最短路徑轉(zhuǎn)發(fā))運(yùn)算,計(jì)算出一棵以自 己為根到其他網(wǎng)絡(luò)的無(wú)環(huán)樹(shù)。由此可以看出保持每個(gè)路由器 LSA 數(shù)據(jù)庫(kù)的穩(wěn)定性是保證 OSPF 網(wǎng)絡(luò)穩(wěn)定的前提。那么在 LSA 數(shù)據(jù)庫(kù)中對(duì)于不同 OSPF 設(shè)備發(fā)送來(lái)的 LSA 是如何進(jìn)行區(qū)分的呢,答案就是使用 Router-id。如果一個(gè)路由器的 Router-id 發(fā)生變化,那么此路由器的會(huì)重新進(jìn)行 LSA 泛洪,從而導(dǎo)致全

4、網(wǎng) OSPF路由器都會(huì)更新其LSA數(shù)據(jù)庫(kù)并且重新進(jìn)行SPF計(jì)算,使得OSPF網(wǎng)絡(luò)發(fā)生振蕩。因此選擇一個(gè)穩(wěn)定的Router-id是OSPF網(wǎng)絡(luò)設(shè)計(jì)的首要工作。 了解了 Router-id 的重要性后,我們來(lái)看看一個(gè) OSPF 路由器是如何選擇 Router-id 的, 其選舉原則基本上可以歸納為以下兩點(diǎn): (1) 首先選擇具有最高 IP 地址的環(huán)回接口 (2) 如果沒(méi)有環(huán)回接口的話則選擇具有最高 IP 地址的激活物理接口。 在一個(gè) OSPF路由器選舉出 Router-id 后,重啟路由器或者重新配置 OSPF 進(jìn)程都會(huì)導(dǎo)致 Router-id 的重新選舉,如果 OSPF路由器選擇了一個(gè)激活物理接

5、口的 IP 地址作為 Router-id的話, 那么一旦其 down掉,就有可能引起 OSPF路由器的Router-id發(fā)生變更,因此選擇物理接口是一種危險(xiǎn)的做法。 在實(shí)際工程中, 的推薦做法是首先規(guī)劃出一個(gè)私有網(wǎng)段用于 OSPF 的 Router-id 選擇。例如: 192.168.1.0/24. 在啟用 OSPF 進(jìn)程前就在每個(gè) OSPF 路由器上建立一個(gè)環(huán)回口, 使用一個(gè) 32 位掩碼的私有地址作為其 IP,這個(gè) 32位的私有地址不要發(fā)布在 OSPF網(wǎng)絡(luò)中. 3.2 層次化的網(wǎng)絡(luò)設(shè)計(jì): OSPF 區(qū)域的規(guī)劃 OSPF是一個(gè)需要層次化設(shè)計(jì)的網(wǎng)絡(luò)協(xié)議,在 OSPF網(wǎng)絡(luò)中使用了一個(gè)區(qū)域的概念,

6、從層次化的角度來(lái)看區(qū)域被分為兩種: 骨干區(qū)域和非骨干區(qū)域。骨干區(qū)域的編號(hào)為 0,非骨干區(qū)域的編號(hào)從 1 到 4294967295。處于骨干區(qū)域和非骨干區(qū)域邊界的 OSPF路由器被稱為 ABR(區(qū)域邊界路由器),處于非骨干區(qū)域的路由器被稱為區(qū)域內(nèi)部路由器。由于 OSPF的區(qū)域邊界處于路由器上, 因此對(duì)于每個(gè)非骨干區(qū)域中都會(huì)存在至少一個(gè)ABR。 實(shí)際上 OSPF區(qū)域的規(guī)劃也就是把網(wǎng)絡(luò)中的 OSPF路由器做歸類的過(guò)程。 在設(shè)計(jì) OSPF 區(qū)域時(shí),我們首先需要考慮第一點(diǎn)的是網(wǎng)絡(luò)的規(guī)模,對(duì)于小型的典型網(wǎng)絡(luò)絡(luò),例如只有幾臺(tái)S3550作為核心和匯聚的網(wǎng)絡(luò)可以考慮只使用一個(gè)AREA 0來(lái)完成 OSPF規(guī)劃。這

7、在本文中不予討論。但是在大型典型網(wǎng)絡(luò)的 OSPF網(wǎng)絡(luò)中,網(wǎng)絡(luò)的層次化設(shè)計(jì)是必須的。 對(duì)于大型的典型網(wǎng)絡(luò)絡(luò),一般在規(guī)劃上都會(huì)遵循核心,匯聚,接入的分層原則,而 OSPF 骨干路由器的選擇必然包含兩種設(shè)備, 一種是位于核心位置的設(shè)備, 另一種是位于區(qū)域核心的匯聚設(shè)備,通常都是的高端產(chǎn)品如 S6810E和S6806E. 非骨干區(qū)域的范圍選擇則是根據(jù)地理位置和設(shè)備性能而定,如果在單個(gè)非骨干區(qū)域中使用了較多的低端三層交換產(chǎn)品,由于其產(chǎn)品定位和性能的限制,應(yīng)該盡量減少其路由條目數(shù)量,把區(qū)域規(guī)劃得更小一些。 值得注意的是在施工中對(duì)于非骨干區(qū)域的 AREA號(hào)定義,推薦使用 AREA 10 ,20 ,30來(lái)遞增

8、,這樣可以提供AREA號(hào)上的冗余,便于客戶增加區(qū)域。 3.3 非骨干區(qū)域內(nèi)部路由器的路由表項(xiàng)優(yōu)化: 特殊區(qū)域的使用 前一節(jié)講到在 OSPF 的非骨干區(qū)域中使用的一般都是較為低端的三層交換機(jī),其產(chǎn)品定位使得其不可能承受過(guò)多的路由條目,為了精簡(jiǎn)其路由條目數(shù)量可以采用一些特殊區(qū)域模式來(lái)進(jìn)行路由表項(xiàng)的優(yōu)化。產(chǎn)品支持OSPF協(xié)議中定義的全部三種特殊區(qū)域模型:末梢區(qū)域(Stub Area),完全末梢區(qū)域(Totally Stub Area)和非完全末梢區(qū)域(NSSA Area)。 由于 NSSA區(qū)域應(yīng)用非常少,下面簡(jiǎn)單介紹一下前兩種特殊區(qū)域的區(qū)別和應(yīng)用場(chǎng)合: (1) 末梢區(qū)域 Stub Area 處于末梢

9、區(qū)域的內(nèi)部路由器將不會(huì)出現(xiàn)重分布進(jìn)入 OSPF 網(wǎng)絡(luò)的外部路由條目,并且擁有一條指向區(qū)域外部的默認(rèn)路由。 (2) 完全末梢區(qū)域 Totally Stub Area 處于完全末梢區(qū)域的內(nèi)部路由器只有區(qū)域內(nèi)部明細(xì)路由和指向區(qū)域外部的一條默認(rèn)路由。 在絕大部分的情況下,典型網(wǎng)絡(luò)中的非骨干區(qū)域中都僅僅需要知道默認(rèn)路由出口在哪里,因此推薦把非骨干區(qū)域統(tǒng)一設(shè)置成完全末梢區(qū)域,這樣將極大的精簡(jiǎn)非骨干區(qū)域內(nèi)部路由器的路由條目數(shù)量,并且減少區(qū)域內(nèi)部OSPF交互的信息量。對(duì)于極少數(shù)存在特殊需求的網(wǎng)絡(luò),請(qǐng)根據(jù)實(shí)際情況靈活使用幾種區(qū)域類型。 3.4 骨干區(qū)域路由器的路由表項(xiàng)優(yōu)化:非骨干區(qū)域 IP子網(wǎng)規(guī)劃和路由匯總 對(duì)

10、于 OSPF 的非骨干區(qū)域來(lái)說(shuō)使用特殊區(qū)域能夠精簡(jiǎn)其內(nèi)部路由器的路由表, 那么對(duì)于 OSPF 的骨干區(qū)域的路由器來(lái)說(shuō)又是如何優(yōu)化其路由表的呢?答案就是對(duì)非骨干區(qū)域使用的 IP 網(wǎng)段作出合理規(guī)劃以便于區(qū)域邊界的匯總。 對(duì)于 IP 網(wǎng)段的合理規(guī)劃在本書中第三章典型網(wǎng)絡(luò) IP 地址規(guī)劃設(shè)計(jì)中已經(jīng)有非常詳細(xì)的說(shuō)明,本章節(jié)就不再做過(guò)多的闡述。 推薦新建 OSPF網(wǎng)絡(luò)能夠在前期就作出利于路由匯總的 IP網(wǎng)絡(luò)設(shè)計(jì),對(duì)于擴(kuò)建的網(wǎng)絡(luò)盡量進(jìn)行 IP地址的重新規(guī)劃,通過(guò)區(qū)域匯總能精簡(jiǎn)骨干區(qū)域路由器的路由表,減少骨干區(qū)域內(nèi) OSPF交互的信息量,并且提高了路由表項(xiàng)的穩(wěn)定性。 3.5 OSPF默認(rèn)路由的引入和選路優(yōu)化:

11、重分布靜態(tài)和 cost調(diào)整 當(dāng)前對(duì)于一個(gè)大型典型網(wǎng)絡(luò)絡(luò)來(lái)說(shuō),很大一部分的業(yè)務(wù)流量并不在典型網(wǎng)絡(luò)內(nèi)部,而是通往 INTERNET出口,因此默認(rèn)路由的引入也是典型網(wǎng)絡(luò)絡(luò) OSPF設(shè)計(jì)的一大要點(diǎn)。 對(duì)于 OSPF網(wǎng)絡(luò)的默認(rèn)路由引入方式,推薦使用靜態(tài)默認(rèn)路由重分布到 OSPF網(wǎng)絡(luò)的方式進(jìn)行。 在實(shí)際的大多數(shù)工程案例中,典型網(wǎng)絡(luò)的出口往往不止一個(gè),如何有效的將出口流量分擔(dān)到多條鏈路上就成為了 OSPF 設(shè)計(jì)中的一個(gè)難點(diǎn)。雖然有很多種手段能夠達(dá)到分擔(dān)流量的目的,但是最簡(jiǎn)單也是最安全的方法是使用 OSPF 內(nèi)建的選路機(jī)制。因?yàn)?OSPF 路由器對(duì)一條路由的優(yōu)劣衡量是通過(guò)計(jì)算其 cost 值來(lái)實(shí)現(xiàn)的, cos

12、t 值小的路由會(huì)被路由器優(yōu)先放入路由表。通過(guò)調(diào)整 OSPF 接口的 cost 值可以使得路由器選擇不同的鏈路出口來(lái)達(dá)到負(fù)載分擔(dān)的目的。 不過(guò)在調(diào)整 cost 值之前還有一項(xiàng)必須要做的工作。因?yàn)?OSPFv2 出現(xiàn)的時(shí)間較早,沒(méi)有考慮到帶寬的飛速發(fā)展,因此缺省情況下,OSPF計(jì)算cost值使用的參考帶寬為 100M,也就是說(shuō)缺省情況下,OSPF把100M 帶寬以上的端口統(tǒng)統(tǒng)認(rèn)為其cost 是 1。很明顯,在網(wǎng)絡(luò)骨干帶寬邁向 10T的今天已經(jīng)顯得非常的不合時(shí)宜。幸運(yùn)的是設(shè)備提供了更改參考帶寬的功能,使用 auto-cost reference-bandwidth 命令選擇一個(gè)合適的參考帶寬成為OS

13、PF網(wǎng)絡(luò)建設(shè)中必須要做的一項(xiàng)工作。 對(duì)于 OSPF網(wǎng)絡(luò)的選路優(yōu)化, 推薦首先選擇合適的參考帶寬,然后通過(guò)調(diào)整 OSPF 接口 cost值來(lái)實(shí)現(xiàn)。 3.6 OSPF 網(wǎng)絡(luò)基本安全:阻止發(fā)往用戶的 OSPF 報(bào)文 對(duì)于一個(gè)大型典型網(wǎng)絡(luò)絡(luò)來(lái)說(shuō),安全性是必須要考慮到的問(wèn)題 。 首先談?wù)劄槭裁葱枰苊饨K端用戶窺探 OSPF報(bào)文信息,這是因?yàn)槿绻脩裟芙孬@ OSPF報(bào)文,那就意味著他已經(jīng)知道如何加入此 OSPF 網(wǎng)絡(luò)。此時(shí)要破壞這個(gè) OSPF 網(wǎng)絡(luò)已經(jīng)是輕而易舉的事, 接入一臺(tái)路由器到OSPF 網(wǎng)絡(luò)中,并且使得該路由器的 OSPF 進(jìn)程處于不穩(wěn)定的狀態(tài)中,會(huì)導(dǎo)致整個(gè) OSPF 網(wǎng)絡(luò)發(fā)生振蕩甚至癱瘓。 為了

14、保證 OSPF網(wǎng)絡(luò)的安全與穩(wěn)定,推薦在實(shí)際工程中使用閉塞接口(Passive-interface)的方式來(lái)阻止通往用戶側(cè)的 OSPF報(bào)文。 第四章 OSPF 案例分析和部署 本章上一節(jié)對(duì)整個(gè) OSPF 典型網(wǎng)絡(luò)絡(luò)設(shè)計(jì)的六個(gè)基本原則作出了詳細(xì)說(shuō)明,下面我們來(lái)看看在實(shí)際工程中我們是如何運(yùn)用這六個(gè)基本原則對(duì) OSPF進(jìn)行設(shè)計(jì)和部署的。 圖 1 某典型網(wǎng)絡(luò)絡(luò)拓?fù)鋱D 圖 1 是某典型網(wǎng)絡(luò)絡(luò)的物理拓?fù)鋱D,可以看到這是一個(gè)大型典型網(wǎng)絡(luò)絡(luò),核心,匯聚,接入三層分明, 擁有多出口到 Internet,典型網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)存在雙鏈路冗余。對(duì)于這種比較典型的網(wǎng)絡(luò)結(jié)構(gòu),我們將如何進(jìn)行OSPF的規(guī)劃部署工作呢?下面將根據(jù)上

15、一節(jié)提出的六條基本原則逐步進(jìn)行此網(wǎng)絡(luò)的設(shè)計(jì)和部署。 4.1 保持 OSPF 數(shù)據(jù)庫(kù)的穩(wěn)定性:規(guī)劃和部署 Router-id. 部署 OSPF的首要工作就是規(guī)劃和部署 Router-id, 在Router-id僅僅是一個(gè) OSPF設(shè)備的標(biāo)識(shí),因此不需要占用公共 IP,使用一個(gè)合適的私有 IP 地址段即可。在此案例中我們選用的 Router-id地址段為 10.0.0.0/24. 選取完 Router-id 地址段后, 接下來(lái)需要做的工作是在每個(gè) OSPF 設(shè)備上建立相應(yīng)的 Loopback 接口并設(shè)置相應(yīng)的接口 IP 為 10.0.0.X/32。具體配置以一號(hào)樓的 S3550-24交換機(jī)為例:

16、命 令含 義switch(config)# interface loopback 0創(chuàng)建環(huán)回接口switch(config-if)# ip add 10.0.0.5 255.255.255.255使用 32位掩碼的私有地址注意: 不要在 OSPF 進(jìn)程中發(fā)布 loopback0 的接口地址,以減少無(wú)用的 OSPF信息交互報(bào)文。 圖 2 Router-id規(guī)劃后的 OSPF拓?fù)鋱D 4.2 層次化的網(wǎng)絡(luò)設(shè)計(jì): OSPF 的區(qū)域規(guī)劃 在分配完 Router-id后,接下來(lái)的工作就是對(duì)于整個(gè) OSPF網(wǎng)絡(luò)進(jìn)行區(qū)域劃分。對(duì)于這種層次分明的網(wǎng)絡(luò),OSPF的區(qū)域劃分是非常容易的,直接把核心和區(qū)域匯聚交換機(jī)包

17、含到區(qū)域 0,再按照地理位置來(lái)區(qū)分非骨干區(qū)域。唯一需要注意的是非骨干區(qū)域 AREA號(hào)的冗余性,在實(shí)際工作中經(jīng)常被忽視。下圖是做了 AREA劃分后的OSPF網(wǎng)絡(luò)拓?fù)鋱D: 圖 3 AREA 劃分后的 OSPF拓?fù)鋱D 具體的設(shè)備配置以一號(hào)樓的 S6806E交換機(jī)為例: 命 令含 義S6806E(config)# router ospf建立 OSPF進(jìn)程S6806E(config-router)# network 10.0.1.0 0.0.0.3 area 0將上聯(lián)S6810E的接口放到骨干區(qū)域S6806E (config-router)# network 10.0.1.4 0.0.0.3 area

18、10將下行到 S3550 的接口放到非骨干區(qū)域 10 從配置命令中可以清楚的看到 OSPF區(qū)域是以路由器為邊界的,例如此拓?fù)渲幸惶?hào)樓的 S6806E上聯(lián)接口屬于Area 0 , 下行接口屬于 Area 10,也就是說(shuō),此路由器跨越了兩個(gè)區(qū)域,是一個(gè)區(qū)域邊界路由器。 注意:在單個(gè)區(qū)域包含過(guò)多的低端路由器或者三層交換機(jī)是一種不好的設(shè)計(jì),如果出現(xiàn)這種情況應(yīng)該考慮縮小區(qū)域范圍。 4.3 非骨干區(qū)域內(nèi)部路由器的路由表項(xiàng)優(yōu)化: 特殊區(qū)域的使用 劃分完 OSPF網(wǎng)絡(luò)區(qū)域, 就應(yīng)該開(kāi)始考慮特殊區(qū)域的運(yùn)用了。本案例具有很強(qiáng)的代表性,象此類型的典型網(wǎng)絡(luò)絡(luò),推薦非骨干區(qū)域一律采用完全末梢區(qū)域. (Totally S

19、tub Area). 具體拓?fù)鋱D如下: 圖 4 采用特殊區(qū)域后的 OSPF網(wǎng)絡(luò) 具體設(shè)備配置以 AREA 10 的S6806E和S3550為例 S3550 配置如下表: 命 令含 義S3550(config)#router ospf 進(jìn)入 OSPF進(jìn)程 S3550(config-router)#Area 10 stub將AREA 10設(shè)置成為 stub區(qū)域 S6806E 配置如下表: 命 令含 義S6806E(config)#router ospf進(jìn)入 OSPF進(jìn)程S6806E(config-router)#Area 10 stub no-summary將AREA 10設(shè)置成為stub區(qū)域,N

20、o-summary參數(shù)用在區(qū)域邊界路由器上,設(shè)置此區(qū)域?yàn)橥耆┥覅^(qū)域4.4 骨干區(qū)域路由器的路由表項(xiàng)優(yōu)化:非骨干區(qū)域 IP子網(wǎng)規(guī)劃和路由匯總 使用特殊區(qū)域后,非骨干區(qū)域內(nèi)部路由器的路由表得到極大的精簡(jiǎn)并且減少了區(qū)域內(nèi)部 OSPF 路由器之間的信息交互量。在骨干區(qū)域我們也需要作出適當(dāng)?shù)牟僮鱽?lái)達(dá)到同樣的目的,這就要對(duì)非骨干區(qū)域使用的IP子網(wǎng)作出合理規(guī)劃并在區(qū)域邊界路由器進(jìn)行匯總操作。 在下圖中顯示了區(qū)域 10作出合理的 IP 規(guī)劃后往區(qū)域0通告的路由匯總表項(xiàng): 圖 5 區(qū)域邊界路由匯總 區(qū)域路由匯總會(huì)抑制明細(xì)路由條目的通告,這樣區(qū)域 10 的 ABR 就只會(huì)向區(qū)域 0 內(nèi)注入一條匯總路由 10.0

21、.4.0/22,這樣可以精簡(jiǎn)骨干路由器路由表項(xiàng),減少 AREA 0 的 OSPF報(bào)文交互量和保證其路由表的穩(wěn)定。 推薦在設(shè)計(jì) OSPF網(wǎng)絡(luò)時(shí)就合理規(guī)劃 IP地址,在實(shí)施 OSPF時(shí)進(jìn)行區(qū)域匯總。 具體配置以 Area 10 的S6806E為例 命 令含 義S6806E(config)#router ospf進(jìn)入 OSPF進(jìn)程S6806E(config-router)#area 10 range 10.0.4.0 255.255.252.0對(duì) Area 10 的路由進(jìn)行匯總發(fā)布注意: Area x range 命令只能用在區(qū)域邊界路由上,區(qū)域內(nèi)部路由器上不要使用此條命令,否則會(huì)造成路由表項(xiàng)的錯(cuò)誤

22、。 4.5 OSPF 默認(rèn)路由的引入和選路優(yōu)化:重分布靜態(tài)和 cost調(diào)整 對(duì)于這種多出口的網(wǎng)絡(luò)拓?fù)?,引入默認(rèn)路由和多出口流量分擔(dān)是必須要考慮的問(wèn)題。 引入默認(rèn)路由的方式有多種,推薦的做法是在邊界路由器上建立靜態(tài)默認(rèn)路由,并且重分布到 OSPF 進(jìn)程中。 在本案例中兩條默認(rèn)路由被引入到 OSPF網(wǎng)絡(luò)后,對(duì)于匯聚層的 S6806E設(shè)備來(lái)講需要選擇其中的一條鏈路投遞IP報(bào)文,或者是在兩條鏈路上實(shí)現(xiàn)負(fù)載均衡。 因?yàn)榈湫途W(wǎng)絡(luò)內(nèi)部使用的是私有地址,出口處必須做NAT轉(zhuǎn)換,因此使用兩條鏈路負(fù)載均衡的方式是不可行的。只能通過(guò)調(diào)整 cost 值來(lái)使得 S6806E 把其中的一條上行鏈路作為主鏈路,另外一條作為

23、備份鏈路。具體項(xiàng)目中如何分配流量,請(qǐng)根據(jù)實(shí)際的網(wǎng)絡(luò)情況靈活配置。不過(guò)在做這項(xiàng)工作前,請(qǐng)記得首先更改 OSPF網(wǎng)絡(luò)的參考帶寬。 圖6 中區(qū)域 10的OSPF路由器在進(jìn)行了選路調(diào)整后,對(duì)上行鏈路,核心交換機(jī)和出口都作出了合理的流量分擔(dān)。 圖 6 OSPF選路優(yōu)化 圖中各區(qū)域 S6806E的上聯(lián)鏈路實(shí)線部分表示為主鏈路,虛線部分表示此鏈路為備用鏈路。 默認(rèn)路由引入的具體配置如下: 命 令含 義Router(config)#ip route 0.0.0.0 0.0.0.0 202.103.131.1在出口路由器上建立一條指向電信路由器的靜態(tài)默認(rèn)路由 命 令含 義Router(configr)# rou

24、ter ospf進(jìn)入 OSPF進(jìn)程 Router(config-router)# redistribute static將靜態(tài)路由引入 OSPF選路優(yōu)化具體配置以 Area 10 的 S6806E,S6810E-1,S6810E-2為例 AREA10 匯聚交換機(jī) S6806E的配置:命 令含 義S6806E(config)#router ospf進(jìn)入 OSPF進(jìn)程 S6806E(config-router)#auto-cost reference-bandwidth 10000將網(wǎng)絡(luò)參考帶寬改為 10GS6806E(config)#interface T 1/1進(jìn)入S6806E到S6810E-

25、1的上聯(lián)接口S6806E(config-if)#ip ospf cost 10調(diào)整此接口的 cost 值為10S6806E(config)#interface T 1/2進(jìn)入S6806E到S6810E-2的上聯(lián)接口S6806E(config-if)#ip ospf cost 20調(diào)整此接口的 cost 值為20 S6810E-1的配置: 命 令含 義S6810E-1(config)#router ospf進(jìn)入 OSPF進(jìn)程 S6810E-1(config-router)#auto-cost reference-bandwidth 10000將網(wǎng)絡(luò)參考帶寬改為 10G S6810E-1(conf

26、ig)#interface T 1/1進(jìn)入?yún)^(qū)域 10 S6806E 的下行接口S6810E-1(config-if)#ip ospf cost 10調(diào)整此接口的 cost 值為10S6810E-2的配置: 命 令含 義S6810E-2(config)#router ospf進(jìn)入 OSPF進(jìn)程S6810E-2(config-router)#auto-cost reference-bandwidth 10000將網(wǎng)絡(luò)參考帶寬改為 10GS6810E-2(config)#interface T 1/1進(jìn)入?yún)^(qū)域 10 S6806E 的下行接口 S6810E-2(config-if)#ip ospf c

27、ost 20調(diào)整此接口的 cost 值為20注意:在做OSPF選路調(diào)整時(shí)注意兩點(diǎn):一是更改OSPF參考帶寬時(shí)必須保證全網(wǎng)設(shè)備一致,二是在鏈路兩側(cè)的設(shè)備上需要作出同樣的 cost調(diào)整,否則會(huì)形成不對(duì)稱路由,引起網(wǎng)絡(luò)故障。 4.6 OSPF網(wǎng)絡(luò)的基本安全:阻止發(fā)往用戶的OSPF 報(bào)文 對(duì)于本案例來(lái)說(shuō),做完上面五步,實(shí)際上整個(gè) OSPF 網(wǎng)絡(luò)已經(jīng)能夠正常的運(yùn)行,但是這個(gè)網(wǎng)絡(luò)存在一個(gè)較大的安全漏洞。即用戶側(cè)能夠接收到 OSPF的 hello報(bào)文,使用 Sniffer工具可以很輕易的獲得基本的網(wǎng)絡(luò)信 息,并作出下一步的攻擊行為。 為了實(shí)現(xiàn) OSPF網(wǎng)絡(luò)的基本安全,在實(shí)際工程中推薦使用 Passive接口

28、的方式來(lái)阻止發(fā)往用戶的 OSPF報(bào)文。如圖 7所示: 圖 7 阻止發(fā)往用戶的OSPF報(bào)文 具體配置以 Area 10中的一臺(tái) S3550為例: 命 令含 義S3550(config)# router ospf進(jìn)入 OSPF進(jìn)程S3550(config-router)#passive-interface vlan 10阻塞發(fā)往用戶 vlan的 OSPF報(bào)文注意:passive-interface 命令會(huì)阻塞所有 OSPF 報(bào)文的發(fā)送,一般只會(huì)用于用戶 vlan 的 SVI接口上,千萬(wàn)不要阻塞 OSPF路由器之間的鏈路,這將導(dǎo)致 OSPF鄰居無(wú)法建立。 第五章 OSPF 可選配置 本章節(jié)介紹了不太

29、常見(jiàn)的 OSPF配置, 在實(shí)際工程中可以選擇性使用。 5.1 OSPF 接口參數(shù)調(diào)整 OSPF接口參數(shù)是 OSPF協(xié)議的一個(gè)組成部分,將直接影響協(xié)議的運(yùn)行。在絕大多數(shù)情況下,推薦不要去更改這些參數(shù)的默認(rèn)值。只有在某些特定應(yīng)用環(huán)境中,比如運(yùn)營(yíng)商的網(wǎng)絡(luò),可能會(huì)需要調(diào)整 OSPF 的接口參數(shù)。 常見(jiàn)的 OSPF接口參數(shù)有下面幾種: (1) OSPF網(wǎng)絡(luò)類型 銳捷交換機(jī)支持兩種 OSPF網(wǎng)絡(luò)類型: point-to-point(點(diǎn)到點(diǎn))和 Broadcast(廣播)。這兩種OSPF網(wǎng)絡(luò)類型的主要區(qū)別在于Broadcast 需要選舉 DR (指定路由器)和 BDR (備用指定路由器), point-to

30、-point 不需要。因此Broadcast 類型的接口建立 OSPF鄰居關(guān)系花費(fèi)的時(shí)間會(huì)更長(zhǎng)一些。缺省情況下,銳捷交換機(jī)的所有 OSPF接口都是 Broadcast類型。 (2) OSPF 接口 hello間隔和鄰居死亡間隔 OSPF接口使用 hello報(bào)文來(lái)發(fā)現(xiàn)鄰居和維持鄰居關(guān)系, 在鄰居死亡間隔內(nèi)沒(méi)有收到對(duì)端回復(fù)的 OSPF報(bào)文, 將會(huì)宣告鄰居關(guān)系解除。缺省情況下,銳捷交換的 hello間隔為 10秒,鄰居死亡間隔 4倍于 hello間隔,也就是40秒。 (3) OSPF接口優(yōu)先級(jí) OSPF 接口優(yōu)先級(jí)用于 Broadcast 鏈路上的 DR 和 BDR 選擇,在某些情況下,是需要通過(guò)調(diào)

31、整接口優(yōu)先級(jí)來(lái)保證DR和BDR 位置的。 這里簡(jiǎn)單介紹一下 DR 和 BDR 在 OSPF 的廣播網(wǎng)絡(luò)鏈路上的作用和選舉機(jī)制,大家知道在點(diǎn)對(duì)點(diǎn)鏈路上OSPF的鄰居只會(huì)有一個(gè),也就是說(shuō)只需要建立一個(gè)鄰居關(guān)系即可。但是在廣播鏈路上,由于可以同時(shí)存在多個(gè)OSPF路由器, 那么會(huì)需要維護(hù)大量的鄰居關(guān)系。例如在一個(gè)擁有 3臺(tái)路由器的廣播鏈路上需要建立 3個(gè)鄰居關(guān)系, 但是在一個(gè)擁有 4 臺(tái)路由器的廣播鏈路上就會(huì)需要建立 6 個(gè)鄰居關(guān)系,對(duì)于一個(gè)擁有 N 臺(tái)路由器的廣播鏈路來(lái)說(shuō),其鄰居關(guān)系的數(shù)量為 N×(N-1)/ 2。 維護(hù)過(guò)多的鄰居關(guān)系會(huì)消耗大量的路由器資源和鏈路帶寬。為了減少這種消耗, 就

32、出現(xiàn)了 DR 和BDR 的概念。 DR 和BDR 類似于廣播鏈路的領(lǐng)導(dǎo)者和中轉(zhuǎn)站,用于建立和維護(hù)普通路由器的鄰居關(guān)系,這樣就大大減少了鄰居關(guān)系的維護(hù)量。 由此可以看出 DR 和 BDR 在廣播鏈路中的作用,對(duì)于一個(gè)路由器數(shù)量較多的 OSPF 廣播網(wǎng)絡(luò)來(lái)說(shuō),保持DR 和BDR的穩(wěn)定性是非常重要的。同時(shí)由于 DR 和 BDR 維護(hù)著這個(gè)網(wǎng)絡(luò)的鄰居關(guān)系,因此其性能要求也會(huì)高于普通路由器, 一般 DR 和BDR 都會(huì)選擇相對(duì)高端的設(shè)備。此時(shí)如果使用自動(dòng)選舉的方式,可能最終選舉出的DR和BDR不是我們希望獲得的結(jié)果,因此使用端口優(yōu)先級(jí)進(jìn)行調(diào)整來(lái)進(jìn)行人工指定是工程中必要的手段。 更改接口參數(shù)具體配置如下:

33、 (1)更改 OSPF網(wǎng)絡(luò)類型: 命 令含 義Switch(config)# interface vlan 10進(jìn)入 OSPF接口Vlan10Switch(config-if)#ip ospf network point-to-point將此接口的OSPF網(wǎng)絡(luò)類型更改為 point-to-point (2)修改 OSPF接口 hello間隔和鄰居死亡間隔 命 令含 義Switch(config)# interface vlan 10進(jìn)入 OSPF接口Vlan10Switch(config-if)#ip ospf hello-interval 5將此接口的 OSPF 的 hello 間隔修改為

34、5秒一次Switch(config-if)#ip ospf dead-interval 30將此接口的OSPF的鄰居死亡間隔修改為 30秒超時(shí)。注意:修改接口網(wǎng)絡(luò)類型和 hello 間隔都有可能造成 OSPF 鄰居關(guān)系無(wú)法建立,請(qǐng)謹(jǐn)慎使用。如有特殊需求,請(qǐng)聯(lián)系工程師。 (3) 通過(guò)調(diào)整接口優(yōu)先級(jí)來(lái)控制 DR 和 BDR的選舉 圖 8 控制 DR 和BDR的選舉 如上圖, 兩臺(tái) S6806E 和三臺(tái) S3550-24 在一個(gè)廣播型網(wǎng)絡(luò)中,這種情況下如果不作調(diào)整的話, 性能較差的S3550有可能被選舉成 DR 和BDR,但是我們希望 S6806E-1成為 DR,S6806E-2成為 BDR。因此需

35、要使用端口優(yōu)先級(jí)來(lái)控制選舉過(guò)程。具體配置如下: S6806E-1的配置: 命 令含 義S6806E-1(config)# Int G1/1進(jìn)入 6806E-1的以太口S6806E-1 (config-if)# ip ospf priority 255設(shè)置此接口的 OSPF 優(yōu)先級(jí)為255 ,保證其成為DR S6806E-2的配置: 命 令含 義S6806E-2(config)# Int G1/1進(jìn)入 6806E-2的以太口S6806E-2 (config-if)# ip ospf priority 254設(shè)置此接口的 OSPF 優(yōu)先級(jí)為254,保證其成為 BDR 其它 S3550使用缺省的 I

36、p ospf priority 值 (缺省為 1). 通過(guò)以上設(shè)置, 6806E-1最終會(huì)成為 DR,而 6806E-2成為 BDR,實(shí)現(xiàn)原有的設(shè)計(jì)。 5.2 OSPF的認(rèn)證:區(qū)域認(rèn)證和鏈路認(rèn)證 在前面章節(jié)講述OSPF基本安全時(shí),介紹了一種針對(duì)OSPF的攻擊方法, 那就是接入一臺(tái)路由器進(jìn)入OSPF典型網(wǎng)絡(luò)絡(luò),并使其 OSPF 進(jìn)程處于不穩(wěn)定的狀態(tài)當(dāng)中,從而影響 OSPF 全網(wǎng)的穩(wěn)定性。 那么如何防范未授權(quán)的OSPF路由器進(jìn)入網(wǎng)絡(luò)呢,答案就是開(kāi)啟 OSPF的認(rèn)證機(jī)制。 OSPFv2 有兩種認(rèn)證機(jī)制:一種是區(qū)域認(rèn)證, 另外一種是鏈路認(rèn)證。設(shè)備對(duì)于這兩種認(rèn)證方式都支持,下面將以圖 9和圖 10中的兩

37、臺(tái) S3550為例介紹這兩種認(rèn)證方式的區(qū)別和配置。 圖 9 開(kāi)啟區(qū)域認(rèn)證后 (1) 區(qū)域認(rèn)證: OSPF的區(qū)域認(rèn)證一旦開(kāi)啟,那么在此路由器上屬于此區(qū)域的所有 OSPF接口都會(huì)進(jìn)行認(rèn)證操作,一旦鄰居發(fā)送的 OSPF報(bào)文無(wú)法通過(guò)認(rèn)證,將導(dǎo)致鄰居關(guān)系被解除。 圖9中,在 S3550-1和S3550-2上開(kāi)啟 Area 0的認(rèn)證,那么包含在 Area 0中的兩條鏈路的認(rèn)證開(kāi)關(guān)都被打開(kāi)。 圖 10 開(kāi)啟鏈路認(rèn)證后 (2) 鏈路認(rèn)證: OSPF的鏈路認(rèn)證開(kāi)啟后,只會(huì)影響當(dāng)前開(kāi)啟認(rèn)證的接口。從此 OSPF接口接收到的所有 OSPF報(bào)文都需要認(rèn)證。 圖10中,在 S3550-1和S3550-2上開(kāi)啟了F0/1

38、接口的認(rèn)證,那么認(rèn)證僅僅會(huì)發(fā)生在 F0/1接口, 但是在F0/2接口上認(rèn)證開(kāi)關(guān)并沒(méi)有打開(kāi),因此不需要認(rèn)證。 (3) 認(rèn)證報(bào)文方式: 在區(qū)域認(rèn)證和鏈路認(rèn)證配置過(guò)程中可以選擇兩種認(rèn)證報(bào)文的發(fā)送方式,第一種是明文方 式,第二種是 MD5的加密報(bào)文方式。 在實(shí)際工程中,推薦 OSPF認(rèn)證全部采用 MD5加密報(bào)文的方式。 區(qū)域認(rèn)證的具體配置以 S3550-1為例: 命 令含 義S3550-1(config)#router ospf進(jìn)入 OSPF進(jìn)程S3550-1(config-router)#area 0 authentication message-digest開(kāi)啟 OSPF Area 0 的MD5認(rèn)

39、證S3550-1(config-if)# interface fastEthernet 0/1進(jìn)入接口 F0/1S3550-1(config-if)# ip ospf message-digest-key 1 md5 rg在接口 F0/1 上設(shè)置認(rèn)在接口 F0/1 上設(shè)置認(rèn)證密碼 rg S3550-1(config-if)# interface fastEthernet 0/2進(jìn)入接口 F0/2S3550-1(config-if)# ip ospf message-digest-key 1 md5 rg在接口 F0/2 上設(shè)置認(rèn)證密碼 rg注意:區(qū)域認(rèn)證一旦開(kāi)啟,就要在所有包含到此區(qū)域的接口上

40、設(shè)置認(rèn)證密碼。 鏈路認(rèn)證的具體配置仍然以 S3550-1為例: 命 令含 義S3550-1(config-if)# interface fastEthernet 0/1進(jìn)入接口 F0/1S3550-1(config-if)# ip ospf authentication message-digest在接口 F0/1 上開(kāi)啟鏈路認(rèn)證S3550-1(config-if)# ip ospf message-digest-key 1 md5 rg在接口 F0/1 上設(shè)置認(rèn)證密碼 rg第六章 OSPF 的驗(yàn)證與排錯(cuò) 在工程中配置完一個(gè) OSPF網(wǎng)絡(luò)之后,需要對(duì) OSPF的運(yùn)行狀態(tài)和參數(shù)進(jìn)行驗(yàn)證和排錯(cuò),設(shè)

41、備為大家提供了多種工具來(lái)達(dá)到這一目標(biāo),本章節(jié)將為大家提供 OSPF驗(yàn)證和排錯(cuò)的基本流程。 6.1 OSPF常用的驗(yàn)證方法: 靈活使用三條show 命令 (1) Show ip ospf neighbor: 這是最常用也是最容易被忽視的一條命令。 在實(shí)際工作中,OSPF出現(xiàn)問(wèn)題時(shí)應(yīng)該使用到的第一條命令就是它。因?yàn)槿f(wàn)變不離其宗,不管 OSPF出什么問(wèn)題,都應(yīng)該從最基礎(chǔ)的鄰居關(guān)系開(kāi)始考慮起。 這條命令中為我們驗(yàn)證和排錯(cuò)提供的最有用的三個(gè)信息是: Neighbor ID (鄰居的 Router-id) State (當(dāng)前鄰居關(guān)系的狀態(tài),共有五種,正常狀態(tài)應(yīng)該是full,但是在廣播型鏈路上, DROTH

42、ER路由器之間的狀態(tài)會(huì)停留在 Two-way。) Interface (通往鄰居的接口信息) (2) Show ip ospf interface 此命令用于檢查加入 OSPF進(jìn)程的接口配置,在進(jìn)行OSPF鄰居關(guān)系排錯(cuò)時(shí)非常有用 下面將對(duì)輸出信息的重點(diǎn)部分進(jìn)行講解: Switch#show ip ospf interface FastEthernet 0/1 State : Up 接口狀態(tài): 是否 UP Internet address : 1.1.1.1/24 Area : 0.0.0.0 Router ID : 5.5.5.5 Network Type : PointToPoint 網(wǎng)絡(luò)類

43、型: 兩種 broadcast和 PointToPoint Cost : 1 cost : 此鏈路在 OSPF中的 cost值 Transmit Delay : 1 State : PointToPoint Priority : 1 優(yōu)先級(jí): 接口競(jìng)選DR使用的優(yōu)先級(jí) Designated Router(ID) : No DR on this network 當(dāng)前網(wǎng)絡(luò)的 DR是誰(shuí) DR's Interface address : none Backup designated router(ID): No BDR on this network 當(dāng)前網(wǎng)絡(luò)的 BDR是誰(shuí) BDR's

44、 Interface address : none Authentication : none 是否打開(kāi)鏈路認(rèn)證 Hello : 5 接口的 hello間隔 Dead : 20 接口的鄰居死亡間隔 Retransmit : 5 Hello Due in : 00:00:01 Passive status : Disabled 接口是否被 passive Database-filter all out : Disabled (3) Show ip ospf 這條命令用于查看本路由器的 OSPF 進(jìn)程信息和配置參數(shù), 對(duì)于 OSPF 的驗(yàn)證和排錯(cuò)非常有意義,其提供的信息非常豐富,下面將選擇其中較為

45、重要的部分做講解: Switch# show ip ospf Router ID : 5.5.5.5 路由器的 Router-id Router Type : ABR 路由器的類型:ABR,ASBR或 normal Support Tos : Single Tos(Tos0) Number of external LSA : 0 External LSA Checksum Sum : 0x0 Number of areas in this router: 2 Number of normal area : 2 Number of stub area : 0 Number of nssa are

46、a : 0 Minimum LSA Interval : 5 Minimum LSA Arrival : 1 SPF Delay : 5 SPF-holdtime : 10 LsaGroupPacing : 240 Administrative distance : 110 當(dāng)前 OSPF協(xié)議的管理距離 Inter-area Distance : 110 Intra-area Distance : 110 External Distance : 110 RFC1583Compatibility flag : Enabled Default-information originate : Disabled Neighbor Changes Log : Enabled Auto-Cost Status : Enabled Auto-Cost reference-bandwidth : 100 Mbps Redistribute Default Metric : 20 Area information: Area : 0.0.0.0 Ar

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論