云计算运维

Windows Server 2003 - Windows Server 2019 系统工具,Linux系统脚本,Mysql、Nginx、PHP、Redis、K8S、Seafile、Weblogic 、Jenkins、DNS、DHCP、FTP、IIS、Zookeeper、Rabbitmq、Oracle、Tomcat、Mavrn等服务搭建维护,请关注我.

几个简单的 OSPF 实验


这次也来几个简单 OSPF 实验,之所以简单,是因为只要几条命令,即可完成功能配置。这次,让我们看看 Cost 值、OSPF 特殊区域、Virtual Link 、报文认证、多进程是如何实现的。

OSPF Cost 值

R1 和 R2 连接到相同的一个网段:192.168.100.0/24 ,同时下连 R3 。R1 、R2 、R3 都激活 OSPF ,在相同的 Area 中,接口的 Cost 又是默认值,这时 R3 的路由表中,到达 192.168.100.0/24 会有两条等价路由:

如果两条链路以主备方式工作,该如何实现呢?一个最简单的方法就是调整接口 Cost 值。比如把 R3 的 G0/0/2 接口 Cost 值调大,到达 192.168.100.0/24 的报文会转发给 R1 ,当 R1 故障时,R3 自动把流量切到 R2 。

R3 的配置:

查看接口参数:

在查看 R3 的路由表:

配置生效。

OSPF 特殊区域

R1 、R2 、R3 运行 OSPF ,R3 把自己的静态路由引入 OSPF ,让域内的路由器学习到外部路由。

1、基本配置

R1 配置:

R2 配置:

R3 配置:

观察 R1 的路由表:

R1 学习到了区域间路由和外部路由,外部路由标记位 O_ASE( OSPF AS External )。再看看 R1 的 LSDB :

R1 的 LSDB ,有 Type-1 、Type-2 、Type-3 、Type-4 、Type-5 LSA 。Type-3 LSA 描述到达 10.1.23.0/24 的区域间路由。Type-4 LSA 描述到达 ASBR ,也就是 R3 的路由,是由 ABR R2 产生。Type-5 LSA 描述外部路由 10.3.1.0/24 和 10.3.2.0/24 ,并在整个 OSPF 域内泛洪,这时 R1 有到达各个网段的路由。

2、Area1 配置为 Stub 区域

先把 Area1 配置为 Stub 区域,R1 和 R2 的配置如下:

某个区域为 Stub 区域,区域内的路由器都要配置成 Stub 区域,否则无法正确建立邻居关系。Stub 区域的 ABR ,即 R2 ,会阻挡 Type-4 、Type-5 LSA 进入区域内,减少 LSA 泛洪的数量,从而减小路由表规模,降低设备负担。

现在 R1 无法学到 OSPF 外部路由,同时 R2 会下发一条用 Type-3 LSA 描述的外部路由,让 Area1 内的路由器访问域外的网络。观察 R1 的路由表和 LSDB :

R1 的路由表减少,不再有 Type-4 和 Type-5 LSA ,只有 Type-1 、Type-2 、Type-3 LSA 。

3、Area1 配置为 Totally-Stub 区域

如果要进一步减少 LSA 泛洪,可以把区域间的路由也阻挡。在上个实验的基础上,R2 配置如下:

这时,R2 阻挡 Type-3 、Type-4 、Type-5 LSA 进入 Area1 ,同时自动下发一条默认路由,使用 Type-3 LSA 描述。这样当 R1 访问区域外的网络时,就使用默认路由转发数据。

查看 R1 路由表和 LSDB :

R1 路由表只有一条 0.0.0.0/0 的默认路由,极大简化了路由表。同时,R1 的 LSDB 也非常简洁。

4、Area1 配置为 NSSA

网络发生变化,Area1 的 R1 连着一个外部路由,需要引入 OSPF ,让域内路由器获得外部路由,但又希望保持 Stub 区域特性,那么可以把 Area1 配置为 NSSA 。在上个实验的基础上,R1 配置如下:

在 R1 创建静态路由,模拟成外部路由,先取消 Stub 配置,然后配置 NSSA ,再把外部路由引入 OSPF 。

R2 配置如下:

某个区域配置为 NSSA ,则区域内的所有路由器都要进行相应配置,否则建立邻居关系会出现问题。Area1 区域成为 NSSA 后,会阻挡 Type-4 、Type-5 LSA 进入区域。但是 ABR R2 会下发一条 Type-7 LSA 的默认路由,让区域内的路由器,通过默认路由到达域外网络。同时,会向 Area0 通告 Type-5 LSA 描述 10.1.1.0/24 路由,让 OSPF 其它区域的路由器都学习到这条路由。

查看 R1 的 LSDB :

R1 的 LSDB 中,有 Type-1 、Type-2 、Type-3 、Type-7 LSA ,其中两条 Type-7 LSA ,一条是 R1 生成的,描述引入的外部路由 10.1.1.0/24 ,另一条是 R2 生成的,是一条默认路由。再看看 R1 的路由表:

再看看 R3 的 LSDB :

R3 有三条 Type-5 LSA ,其中两条是自己生成的,描述外部路由 10.3.1.0/24 和 10.3.2.0/24 ,另一条是 R2 生成的,描述外部路由 10.1.1.0/24 。R2 把从 Area1 收到的 Type-7 LSA 转换成 Type-5 LSA ,并通告到 Area0 中。查看 R3 路由表:

5、Area1 配置为 Totally NSSA

为了进一步减少 Area1 的 LSA ,把 Area1 配置成 Totally NSSA 实现。在上个实验的基础上,R2 配置如下:

这样 Area1 内不会有 Type-3 LSA 泛洪,R1 也学不到区域间路由。

看下 R1 的 LSDB :

R1 的 LSDB 中,只有 Type-1 、Type-2 、Type-7 LSA 和一条描述的默认路由 Type-3 LSA 。当 NSSA 内同时存在 Type-3 LSA 和 Type-7 LSA 描述的默认路由时,路由器优先使用 Type-3 LSA 的默认路由,忽略 Type-7 LSA 的默认路由。

Virtual Link

R1 、R2 、R3 运行 OSPF ,规划两个区域 Area0 和 Area23 。R3 有两条路由到达 192.168.2.0/24 网段,因为 R3 不能使用非 0 区域的 Type-3 LSA 来计算区域间路由,因此无论路径的 Cost 如何,R3 都会选择 R1 到达目的网段。查看 R3 的 OSPF 路由表:

如果向让 R3 从 R2 到达 192.168.2.0/24 ,即使用高带宽链路转发,一个简单的方法是,在 R2 和 R3 之间跨越 Area23 建立一条 Virtual Link ,通过这条 Virtual Link ,R2 直接把 Type-1 LSA 发送给 R3 。

R2 配置如下:

R3 配置如下:

配置完成后,R2 和 R3 建立一条 Virtual Link ,Virtual Link 穿过 Area23 ,在 R3 查看 Virtual Link 信息:

Virtual Link 建立完成后,状态为 Full ,Cost 为 1 ,再看下 R3 的 OSPF 路由表:

192.168.2.0/24 路由的下一跳变成了 192.168.23.2 ,说明到达这个网段的下一跳切换到了 R2 ,达到预期目标。

OSPF 报文认证

OSPF 支持两种报文认证方式:区域认证和接口认证。R1 、R2 、R3 、R4 运行 OSPF ,Area0 开启区域认证,MD5 的验证方式,密码为 fox@123 。R3 和 R4 之间开启 OSPF 接口认证,使用明文的认证方式,密码为 FOXarea1 。

R1 、R2 、R3 的区域认证配置如下:

R3 、R4 激活接口认证配置:

接口认证优先级高于区域认证方式,如果同时配置两种认证方式,只有接口认证方式生效。命令中的 simple 关键字表示明文,即认证口令是明文保存在 OSPF 报文中,这样是不安全的,推荐使用 MD5 的方式。

OSPF 多进程

1、OSPF 进程和 Process-ID

华为设备,OSPF 支持多进程,ospf 命令加上 Process-ID 可在设备上创建一个 OSPF 进程。多个 OSPF 进程,使用不同 Process-ID 区分不同进程。Process-ID 只在设备本地有意义,换句话说,两台设备使用 OSPF 对接时,Process-ID 可以是不一样的。虽然两台设备的 Process-ID 可以不同,但是接口的区域 ID 必须相同。

在实际使用中,如果网络中只有一个 OSPF 域,建议使用相同的 Process-ID ,方便网络管理和维护。

2、运行 OSPF 多进程

当设备运行多个 OSPF 进程时,这些进程相互独立,每个进程独立维护自己的 LSDB ,而不同进程的 LSDB 相互隔离,设备从 OSPF 进程学到的 LSA ,只会保存在这个进程的 LSDB 中。

R1 、R2 、R3 运行 OSPF ,R2 运行两个 OSPF 进程,对应 Process-ID 分别是 100 和 200 。OSPF 进程 100 与 R1 对接,OSPF 进程 200 与 R3 对接。网络中的两个域是互相隔离、互相独立的,因此每个 OSPF 域都由自己的骨干区域和非骨干区域。

R1 、R2 、R3 配置如下:

先看 R2 的邻居表:

R1 和 R3 分别属于进程 100 和 200 。

再看下 R2 的 LSDB :

R2 的两个进程分别维护一个 LSDB 。

虽然 R2 的两个进程互相隔离,但都是为 R2 提供路由。也就是说,R2 的进程 100 得到 10.1.1.0/24 的路由,进程 200 得到 10.2.2.0/24 的路由,再把 OSPF 路由加载到自己的路由表中。

查看 R2 的 OSPF 路由表:

果然,两个 OSPF 路由表都为 R2 提供了路由表项。R2 学习到了 10.1.1.0/24 和 10.2.2.0/24 的路由,但是 10.1.1.0/24 和 10.2.2.0/24 是无法互相访问的。因为 R1 依然没有到达 10.2.2.0/24 的路由,R3 也没有到达 10.1.1.0/24 的路由。如果要实现两个网段的互访,就要在 R2 的两个 OSPF 进程中,互相进行路由重分发。也就是把进程 100 的路由引入到进程 200 ,进程 200 的路由引入到进程 100 。

先把 OSPF 进程 200 的路由引入进程 100 :

OSPF 进程 200 的路由 10.1.23.0/24 和 10.2.2.0/24 路由都引入到进程 100 中。实际上,R2 是向进程 100 中通告了两条外部路由的 Type-5 LSA 。查看 R1 的 LSDB 和路由表:

已经有 Type-5 和 Type-4 LSA ,并计算出到达 10.1.23.0/24 和 10.2.2.0/24 的路由。

再在 R2 上把 OSPF 进程 100 引入进程 200 :

这样,R3 就可以学习到 10.1.1.0/24 和 10.1.12.0/24 的路由,进而实现 10.1.1.0/24 和 10.2.2.0/24 的数据互通。

3、什么时候使用 OSPF 多进程

通常,一个网络中,只有一个 OSPF 进程,即整个网络都属于同一个 OSPF 域。但在一些场景中,单 OSPF 进程无法满足业务需求,就需要在网络中规划多个 OSPF 域、特定设备部署多 OSPF 进程。

这是一个大型企业的网络拓扑,SW1 、SW2 、RT1 、RT2 是省公司核心网的设备,SW3 、SW4 是市公司的设备,RT1 、RT2 下面还有多个区县站点。为了实现区县站点、市公司的网络互通,需要部署 OSPF 并且规划多区域。省公司核心网内的网络互通、多个核心业务对接,都需要路由互通。

由于网络规模大,打通全网路由,一个 OSPF 域已经无法满足需求。一来是 OSPF 域太大,路由数量太多,二来多区域设计并不适用于大规模、多业务的需求场景,三来骨干网和省公司核心网不需要市公司、区县站点的路由明细,因此要考虑路由汇总和路由策略。因此,为省公司网络规划另一个 OSPF 域,R1 和 R2 创建两个 OSPF 进程,进程 100 面向省公司,进程 1 面向下面的市公司和区县站点。两个 OSPF 域可以独立规划,互不干扰。

同时,为了实现省公司、市公司、区县站点的网络互通,可以在 OSPF 进程上进行路由引入。路由引入时,可以执行路由策略、路由过滤和路由汇总等操作。

大型网络中使用 OSPF 时,采用多进程也是常见的部署方式。

结尾

OSPF 多进程虽然是隔离的,但是执行路由引入的 ASBR 拥有全部的路由,显然还是不够安全的。这里可以使用 VRF( Virtual Routing Forwarding ,虚拟路由转发),也叫做 VPN 实例( VPN Instance ),把进程关联到 VRF 实例中,可以彻底隔离路由,可以想象成两台物理隔离的设备,有兴趣的同学,可以了解下。

  • 分享:
评论
还没有评论
    发表评论 说点什么