问鼎OSPF(8)-千古一帝终大成,路由天下群雄颂_

文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 1 页 共 19 页 问鼎问鼎OSPF 8 千古一帝终大成 路由天下群雄颂千古一帝终大成 路由天下群雄颂 新帝立 群雄服 新帝立 群雄服 IGPIGP 进入新时代 进入新时代 与兄弟 入园区 各领风骚数百年 与兄弟 入园区 各领风骚数百年 结佳人 闯私网 再续结佳人 闯私网 再续 VPNVPN 不了缘 不了缘 至此时 终大成 徒留余香与君勉 至此时 终大成 徒留余香与君勉 前面 7 篇问鼎 OSPF 系列技术贴已经跟大家介绍了 OSPF 的基础知识 例如 OSPF 的基本 运行机制 OSPF 邻居建立过程 OSPF 的 LSA 详解 OSPF 特殊区域 OSPF 防环机制等 等 看过这些 OSPF 基础知识以后您是否想尝试实际规划部署一个 OSPF 网络呢 在 OSPF 典型网络是如何规划部署的呢 OSPF 在典型网络中是如何应用的呢 本篇问鼎 OSPF 我们 以一个典型 OSPF 网络规划部署案例来给您介绍 OSPF 网络规划设计原则及部署注意事项 1 OSPF 网络规划设计原则网络规划设计原则 OSPF 路由协议在所有内部网关协议中是比较复杂的一种 这种复杂性和 OSPF 协议的原理 密切相关 那么在设计典型 OSPF 网络的时候我们具体需要考虑哪几方面的问题呢 在本 节中将会为您一一介绍 1 1保持保持 OSPF 网络的稳定性 网络的稳定性 Router ID 的规划的规划 在典型OSPF网络设计和实施中我们需要考虑的第一点 就是Router ID的选择 这是因为 OSPF 作为一种链路状态路由协议其计算路由的依据是 LSA 链路状态通告 每个运行 OSPF 的路由器都会发送并泛洪 LSA 报文到整个网络 这样网络中每个运行 OSPF 的路由器都会收集到其他设备发送过来的 LSA 并且放入 LSBD 链路状态数据库 然后开始进行 SPF 最短路径算法 运算 计算出一棵以自己为根到其他网络的无环树 由此可以看出保持每个路由器 LSDB 的稳定性是保证 OSPF 网络稳定的前提 那么在 LSDB 中对于不同 OSPF 设备发送来的 LSA 是如何进行区分的呢 答案就是使用 Router ID 如果一个路由器的 Router ID 发生变化 那么此路由器会重新进行 LSA 泛洪 从而导 致全网 OSPF 路由器都会更新其 LSDB 并且重新进行 SPF 计算 使得 OSPF 网络发生振荡 因此选择一个稳定的 Router ID 是 OSPF 网络设计的首要工作 了解了Router ID的重要性后 我们来看看一个OSPF路由器是如何选择Router ID的 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 2 页 共 19 页 路由器的 Router ID 可以手工配置 如果没有通过命令指定 Router ID 系统会从当前接口 的 IP 地址中自动选取一个作为路由器的 Router ID 其选择顺序是 优先从 Loopback 地址 中选择最大的 IP 地址作为路由器的 Router ID 如果没有配置 Loopback 接口 则在接口地 址中选取最大的 IP 地址作为路由器的 Router ID 只有当被选举为 Router ID 的接口 IP 地 址被删除或修改后 才会进行 Router ID 的重新选举 在实际工程中 推荐手工指定 OSPF 路由设备的 Router ID 具体做法是首先规划出一个私 有网段用于 OSPF 的 Router ID 选择 例如 192 168 1 0 24 在启用 OSPF 进程前就在每个 OSPF 路由器上建立一个 Loopback 接口 使用一个 32 位掩码的私有地址作为其 IP 地址 这个 32 位的私有地址即作为该路由设备的 Router ID 如果没有特殊要求 这个 Loopback 接口地址可以不发布在 OSPF 网络中 1 2层次化的网络设计 层次化的网络设计 OSPF 区域的规划区域的规划 OSPF是一个需要层次化设计的网络协议 在OSPF网络中使用了一个区域的概念 从层次 化的角度来看区域被分为两种 骨干区域和非骨干区域 骨干区域的编号为0 非骨干区域 的编号从1到4294967295 处于骨干区域和非骨干区域边界的OSPF路由器被称为ABR 区 域边界路由器 实际上OSPF区域的规划也就是把网络中的OSPF路由器做归类的过程 在设计OSPF区域时 我们首先需要考虑的第一点是网络的规模 对于小型的典型网络 例如只有几台路由设备 作为核心和汇聚的网络可以考虑仅规划一个骨干区域Area 0 但是在大型的OSPF网络中 网络的层次化设计是必须要考虑的 对于大型的OSPF网络 一般在规划上都会遵循核心 汇聚 接入的分层原则 而OSPF骨 干路由器的选择必然包含两种设备 一种是位于整网核心位置的核心设备 另一种是位于 区域核心的汇聚设备 通常都是高端路由设备 例如华为NE系列高端路由器 或者华为 S77 97系列高端路由交换机 非骨干区域的设计则是根据地理位置和设备性能而定 如果 在单个非骨干区域中使用了较多的低端三层交换产品 由于其产品定位和性能的限制 应 该尽量减少其路由条目数量 把区域规划得更小一些或者使用特殊区域 实际工程中对于非骨干区域的 Area 编号的规划也是有讲究的 尽量不要使用类似 Area1 2 3 这种连续的编号 推荐使用 Area 10 20 30 这种递增方式 这样 主要是考虑提供 Area 编号上的冗余 在后期网络扩容的时候便于用户增加区域编号 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 3 页 共 19 页 1 3非骨干区域的路由表项优化 特殊区域的使用非骨干区域的路由表项优化 特殊区域的使用 在问鼎OSPF 6 中我们曾经讲过 特殊区域的使用可以达到优化非骨干区域的路由表项 的目的 实际上对于非骨干区域 一般可能存在如下两种诉求需要减少路由表项的规模 1 非骨干区域仅有一个ABR做出口 任何访问区域外的流量都要经过这个出口设备 此 时其实这个区域内的路由器没必要了解外部网络的细节 仅需要有个出口能够出去即 可 2 有些时候非骨干区域的设备可能使用了一些较为低端的三层交换机 其产品定位使得 其不可能承受过多的路由条目 为了精简其路由条目数量可以采用配置特殊区域的方 法进行路由表项的优化 华为路由器和交换机产品支持OSPF协议中定义四种特殊区域类型 Stub区域 Totally Stub 区域 NSSA区域 Totally NSSA区域 各种特殊区域的LSA及路由管理规则在问鼎 OSPF 6 中已经有详细的介绍 这里就不再赘述 在绝大部分的情况下 典型OSPF网络的非骨干区域中都仅仅需要知道缺省路由出口在哪里 因此建议把非骨干区域统一规划成Totally NSSA区域 这样将极大的精简非骨干区域内部 路由器的路由条目数量 并且减少区域内部OSPF交互的信息量 对于少数存在特殊需求的 网络 请根据实际情况灵活使用几种区域类型 1 4骨干区域的路由表项优化 非骨干区域骨干区域的路由表项优化 非骨干区域 IP 子网规划和路由汇聚子网规划和路由汇聚 由于OSPF骨干区域需要负责区域之间的路由交互 所以骨干区域设备的路由表规模往往会 比较大 因此骨干区域的路由表规模同样需要考虑精简和优化的问题 对于OSPF的非骨干区域来说 使用特殊区域能够精简其内部路由器的路由表 那么对于 OSPF骨干区域的路由器来说又是如何优化其路由表的呢 答案就是对非骨干区域使用的IP 网段作出合理规划以便于区域边界的路由汇聚 建议新建OSPF网络能够在前期就作出利于路由汇总的IP网络设计 对于扩建的网络尽量进 行IP地址的重新规划 通过区域汇总能精简骨干区域路由器的路由表 减少骨干区域内 OSPF交互的信息量 同时 路由汇总以后 单点的链路故障或者网络震荡不至于影响整个 网络的路由更新 因此路由汇聚还可以提高网络的稳定性 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 4 页 共 19 页 1 5上行流量的引导 上行流量的引导 OSPF 缺省路由的引入和选路优化缺省路由的引入和选路优化 对于一个大型OSPF网络来说 很大一部分的业务流量并不在网络内部 而是通往Internet出 口 因此缺省路由的设计也是典型OSPF网络的一大设计要点 在实际的大多数工程案例中 典型网络的出口往往不止一个 如何有效的将出口流量分担 到多条链路上就成为了OSPF设计中的一个难点 虽然有很多种手段能够达到分担流量的目 的 但是最简单也是最安全的方法是使用OSPF内在的选路机制 因为OSPF路由器对一条 路由的优劣衡量是通过计算其cost值来实现的 cost值小的路由会被路由器优先放入路由表 通过调整OSPF接口的cost值可以使得路由器选择不同的链路出口来达到负载分担的目的 不过在调整cost值之前还有一项必须要做的工作 因为OSPFv2出现的时间较早 没有考虑 到带宽的飞速发展 因此缺省情况下 OSPF计算cost值使用的参考带宽为100M 也就是说 缺省情况下 OSPF把100M带宽以上的端口统统认为其cost是1 很明显 在网络骨干带宽 迈向10T的今天已经显得非常的不合时宜 幸运的是设备提供了更改参考带宽的功能 使 用bandwidth reference value命令选择一个合适的参考带宽成为OSPF网络建设中必须要做的 一项工作 对于OSPF网络的选路优化 推荐首先选择合适的参考带宽 然后通过调整 OSPF接口cost值来实现 1 6路由汇总场景下的防环设计 黑洞路由的使用路由汇总场景下的防环设计 黑洞路由的使用 图1 路由汇总场景下的防环设计 黑洞路由的使用 宇宙中的黑洞被科学家定义为一个连光线都吸食的魔鬼 而在路由器中黑洞路由类似于宇 宙中的黑洞 凡是命中黑洞路由的报文都统统被丢弃 而且不向发送者反馈任何差错信息 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 5 页 共 19 页 黑洞路由的这种巨大魔力使得它在防止路由环路方面有着广泛的应用 在很多场景下路由 聚合确实能够做到精简路由 提高网络稳定性的作用 但是任何事物都具有两面性 路由 聚合也不例外 路由聚合带来的缺陷就是容易产生路由环路 而黑洞路由可以用来弥补这 种缺陷 所以典型OSPF网络设计中 路由聚合和黑洞路由往往是配合使用的 这个我们会 在下面的OSPF网络规划部署案例中给出详细的设计方法 请读者继续往下看 1 7OSPF 网络基本安全 网络基本安全 OSPF 静默接口的使用静默接口的使用 对于一个大型OSPF网络来说 安全性是必须要考虑到的问题 在OSPF网络设计中 通常 会禁止将OSPF报文发往用户端 这是为什么呢 这主要是为了防止终端用户窥探OSPF报 文信息 因为如果用户能截获OSPF报文 那就意味着他可能知道如何加入此OSPF网络 此时要破坏这个OSPF网络已经是轻而易举的事 例如接入一台路由器到OSPF网络中 并 且使得该路由器的OSPF进程处于不稳定的状态中 就会导致OSPF网络发生振荡甚至瘫痪 在实际工程中 为了保证OSPF网络的安全与稳定 推荐在OSPF网络的边缘设备上使用静 默接口的的方式来阻止通往用户侧的OSPF报文 具体做法是在OSPF网络的边缘设备上配 置silent interface命令 用来禁止该接口接收和发送OSPF报文 禁止接口收发OSPF报文后 该接口的直连路由仍可以发布出去 但接口的Hello报文将被阻塞 接口上无法建立邻居关 系 这样用户侧就无法窥探到网络中的OSPF报文 2 OSPF 网络设计部署案例网络设计部署案例 俗话说 纸上得来终觉浅 绝知此事要躬行 上一节中我们对典型OSPF网络设计的七个 基本原则作出了详细说明 下面我们通过一个案例来看看在实际工程中是如何运用这七个 基本原则对OSPF网络进行设计和部署的 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 6 页 共 19 页 图 2 典型园区网络的拓扑图 图2是一个典型园区网的拓扑图 可以看到这是一个大型园区网络 核心 汇聚 接入三层 分明 有多出口到Internet 网络内部存在双链路冗余 核心 汇聚交换机部署集群保护等 这种大型园区网络 园区出口设备一般选用华为NE系列高端路由器 核心交换机选用华为 S9700交换机集群 汇聚交换机选用S7700交换机集群 用户网关部署在汇聚层上 汇聚层 作为二层和三层的分界点 对于这种比较典型的大型园区网络 OSPF的设计与部署工作是怎样一步一步进行的呢 下面将根据上一节提出的七条基本原则逐步进行此网络的设计和部署 由于上述典型园区网络中核心交换机和汇聚交换机都属于集群系统 因此他们在逻辑上相 当于一台设备 多链路捆绑在逻辑上也属于一条链路 由于集群和链路聚合的内容不在本 帖的讨论范围内 因此为了简化问题的描述我们把上述网络拓扑经过抽象形成图3所示的逻 辑拓扑图 园区网中可能存在很多幢楼 这里我们以3幢为例进行描述 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 7 页 共 19 页 图 3 典型园区网络的逻辑扑图 2 1保持 OSPF 网络的稳定性 Router ID 的规划 部署OSPF的首要工作就是设计和部署Router ID 一般情况下 使用一个合适的私有IP地址 段即可 在此案例中我们选用的Router ID地址段为10 0 0 0 24 选取完Router ID地址段后 接下来需要做的工作是在每个OSPF设备上创建相应的Loopback 接口并配置接口IP为10 0 0 X 32 具体配置以核心交换机S9700集群为例 命令命令含义含义 S9700 interface LoopBack 0创建环回接口0 S9700 LoopBack0 ip address 10 0 0 3 32为环回接口0配置32位掩码的IP地址 S9700 LoopBack0 quit退出当前视图 S9700 ospf 1 router id 10 0 0 3创建OSPF进程1并设置Router ID为10 0 0 3 注意 如无特殊要求 建议不要在OSPF进程中发布loopback0的接口地址 以减少无用的 OSPF信息交互报文 规划 Router ID 以后的网络拓扑如图 4 所示 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 8 页 共 19 页 图 4 规划 Router ID 以后的网络拓扑 2 2层次化的网络设计 层次化的网络设计 OSPF 区域的规划区域的规划 在分配完 Router ID 后 接下来的工作就是对于整个 OSPF 网络进行区域划分 对于这种层 次分明的网络 OSPF 的区域划分是非常容易的 直接把核心和汇聚交换机包含到 Area 0 再按照地理位置来区分非骨干区域 唯一需要注意的是非骨干区域 Area 编号的冗余性 在实际工作中经常被忽视 本案例中我们按照地理位置 把出口路由器和汇聚交换机划分 到骨干区域 把每栋楼的汇聚交换机划分为一个非骨干区域 图 5 是做了 Area 划分后的 OSPF 网络拓扑图 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 9 页 共 19 页 图 5 规划区域以后的网络拓扑 具体配置以核心交换机 S9700 集群的 Area 0 和 Area 10 的配置为例 命令命令含义含义 S9700 ospf 1进入OSPF进程视图 S9700 ospf 1 area 0进入area 0区域视图 S9700 ospf 1 area 0 0 0 0 network 10 200 10 0 0 0 0 3将上行口的网段发布进Area 0 S9700 ospf 1 area 0 0 0 0 network 10 200 20 0 0 0 0 3将上行口的网段发布进Area 0 S9700 ospf 1 area 0 0 0 0 quit退出当前视图 S9700 ospf 1 area 10进入area 10区域视图 S9700 ospf 1 area 0 0 0 10 network 10 100 10 0 0 0 0 3将下行口的网段发布进Area 10 从配置命令中可以清楚的看到OSPF区域是以路由器为边界的 例如此拓扑中核心交换机 S9700集群上行接口属于Area 0 下行接口属于Area 10 也就是说 此路由器跨越了两个 区域 是一个区域边界路由器ABR 注意 在单个区域包含过多的低端路由器或者三层交换机是一种不好的设计 如果出现这 种情况应该考虑缩小区域范围 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 10 页 共 19 页 2 3非骨干区域的路由表项优化 特殊区域的使用非骨干区域的路由表项优化 特殊区域的使用 划分完 OSPF 网络区域 我们可以看到非骨干区域的路由表项的规模相对较大 而如果非 骨干区域的设备性能较低的情况下 用户不希望路由表项规模过大 此时可以考虑特殊区 域的运用了 本案例具有很强的代表性 像此类典型网络 推荐非骨干区域一律采用完全 NSSA 区域 Totally NSSA 区域 具体拓扑如图 6 所示 图 6 非骨干区域划分特殊区域以后的网络拓扑 Totally NSSA 区域具体设备配置以 Area 10 的 S9700 集群和 S7700 1 为例 S9700 集群的关键配置如下 命令命令含义含义 S9700 ospf 1进入OSPF进程视图 S9700 ospf 1 area 10进入area 10区域视图 S9700 ospf 1 area 0 0 0 10 nssa no summaryABR设备需要配置nssa no summary S7700 1 的关键配置如下 命令命令含义含义 S7700 1 ospf 1进入OSPF进程视图 S7700 1 ospf 1 area 10进入area 10区域视图 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 11 页 共 19 页 S7700 1 ospf 1 area 0 0 0 10 nssa 非ABR设备配置nssa即可 下面我们看一下配置 Totally NSSA 区域前后 非骨干区域路由表项的优化效果 图 7 非骨干区域优化前 S7700 1 的路由表 图 8 非骨干区域优化后 S7700 1 的路由表 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 12 页 共 19 页 通过图 7 与图 8 的对比可以明显看出 配置了 Totally NSSA 区域以后 Area 10 的路由表 的规模得到了明显的降低 说明在非骨区域通过配置 Totally NSSA 区域可以达到降低路由 表项规模的作用 2 4骨干区域的路由表项优化 非骨干区域骨干区域的路由表项优化 非骨干区域 IP 子网规划和路由汇聚子网规划和路由汇聚 在非骨区域通过配置 Totally NSSA 区域后 非骨干区域内部路由器的路由表得到极大的精 简并且减少了区域内部 OSPF 路由器之间的信息交互量 在骨干区域我们也需要作出适当 的操作来达到同样的目的 这就要对非骨干区域使用的 IP 子网作出合理规划并在 ABR 区域边界路由器 进行汇总操作 在下图中显示了区域 10 作出合理的 IP 规划后往区域 0 通告的路由汇总表项 图 9 通过路由汇总实现骨干区域的路由表项优化 区域路由汇总会抑制明细路由条目的通告 这样区域 10 的 ABR 就只会向区域 0 内注入 一条汇总路由 10 10 0 0 16 这样可以精简骨干路由器路由表项 减少 Area 0 的 OSPF 报 文交互量和保证其路由表的稳定 建议在设计 OSPF 网络时就合理规划 IP 地址 已方便进 行路由汇总 路由汇总的配置以 Area 10 的 ABR 设备 S9700 集群为例如下 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 13 页 共 19 页 命令命令含义含义 S9700 ospf 1进入OSPF进程视图 S9700 ospf 1 area 10进入area 10区域视图 S9700 ospf 1 area 0 0 0 10 abr summary 10 10 0 0 255 255 0 0ABR设备进行路由汇总 注意 注意 abr summary命令只能用在ABR 区域边界路由器 上 区域内部路由器上不要使 用此条命令 否则会造成路由表项的错误 下面我们通过查看路由表项来对比一下路由汇总前后的效果 图 10 路由汇总前骨干区域有用户网段的明细路由 图 11 路由汇总后骨干区域仅有用户网段的汇总路由 通过图 10 和图 11 的对比可以看出路由汇总之前骨干区域内有用户网段的明细路由 在 ABR 上做路由汇总以后骨干区域的 NE40E 1 设备上只有一个 16 位掩码的汇总的用户网段 路由 这样在用户网段很多的情况下通过汇总能在很大程度上精简骨干区域的路由 同时 减少了骨干区域和非骨干区域的 LSA 交互数量 提高了网络的稳定性 2 5上行流量的引导 上行流量的引导 OSPF 缺省路由的引入和选路优化缺省路由的引入和选路优化 在第一节的 OSPF 典型网络规划原则的时候我们曾经提到过 对于一个园区网络 很大一 部分流量是流向 Internet 的 因此对于这种多出口的网络拓扑 引入缺省路由和多出口流 量分担是必须要考虑的问题 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 14 页 共 19 页 引入缺省路由的方式有多种 这里我们建议的做法是在边界路由器上通过 OSPF 非强制下 发缺省路由来实现 江湖小贴士江湖小贴士 一般推荐使用 OSPF 非强制 下发缺省路由的方式 即只有边界路由器自身的 IP 路由表中存在缺省路由 的时候才能发布缺省路由 否则就不能发布 之所以这样要求主要是防止在特殊场景下产生环路或者次优 路由 这个问题我们会在 OSPF 番外篇 OSPF 的缺省路由综合应用案例中详细讲解 请持续关注 在本案例中两个边界路由器发布缺省路由以后 对于核心交换机S9700集群来说会收到两 条缺省路由 下一跳分别指向两个出口路由器 此时核心交换机S9700集群可以选择其中 一条链路作为上行 也可以选择两条上行链路负载分担 具体项目中如何分配流量 请根 据实际的网络情况灵活配置 S9700集群的缺省路由和流量的走向如图12所示 图 12 通过缺省路由引导核心交换机 S9700 集群的上行流量 NE4 E 1 和 NE40E 2 上发布缺省路由的具体配置如下 以 NE40E 1 为例 NE40E 2 上需要 做类似的配置 命令命令含义含义 NE40E 1 ip route static 0 0 0 0 0 0 0 0 202 10 10 1首先在NE40E 1上手工配置一条下一跳指 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 15 页 共 19 页 向电信运营商的公网地址的缺省路由 NE40E 1 ospf 1进入OSPF进程视图 NE40E 1 ospf 1 default route advertise发布缺省路由 注意不要携带always参数 即非强制下发缺省路由 上述配置完成以后 S9700 上将会学习到两条等价的缺省路由 此时 S9700 的上行流量将 会采取负载分担的方式进行 详细如图 13 所示 图 13 S9700 集群上有两条等价的缺省路由 如果用户想让 S9700 上行的两条链路采取主备份的形式 正常情况下走 NE40E 1 这边上行 当 NE40E 1 故障的时候流量自动切换到 NE40E 2 这边 这个需求怎么实现呢 根据第一 节的介绍 最简单直接的方法就是使用 OSPF 自身的选路机制 通过修改 cost 值来影响 S9700 集群的选路 为了实现路由的主备份 可以修改 S9700 到达 NE40 2 这条链路的 cost 使得 S9700 到达 NE40 2 这条链路的 cost 值大于 S9700 到达 NE40 1 这条链路 详细配置如下 S9700 侧的配置如下 命令命令含义含义 S9700 interface vlanif 50进入OSPF接口视图 S9700 Vlanif50 ospf cost 10修改该接口的OSPF cost值为10 NE40E 2 的配置如下 命令命令含义含义 NE40E 2 interface GigabitEthernet 0 0 1进入OSPF接口视图 NE40E 2 GigabitEthernet0 0 1 ospf cost 10修改该接口的OSPF cost值为10 由于缺省情况下百兆带宽以上的链路 OSPF 的 cost 默认为 1 所以我们将 S9700 到 NE40E 2 之间的链路的 OSPF cost 值修改为 10 以后 S9700 将优选 NE40E 1 这边的链路作为上行 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 16 页 共 19 页 流量的出口 此时 S9700 的 IP 路由表中将会仅存在一条指向 NE40E 1 的缺省路由 详细 如图 14 所示 图 14 S9700 集群上有仅有一条缺省路由 江湖小贴士江湖小贴士 在做 OSPF 选路调整时注意 如果需要调整 cost 值来影响 OSPF 的选路 则在链路两侧的设备上需要作出 同样的 cost 调整 否则会形成不对称路由 引起网络故障 2 6路由汇总场景下的防环设计 黑洞路由的使用路由汇总场景下的防环设计 黑洞路由的使用 经历了上述5个步骤的规划与部署 这个典型OSPF网络的基本功能已经具备了 而且我们 也通过了一些手段进行了路由表项的优化 但是这个网络现在是否还存在问题呢 是否还 需要做进一步的优化呢 答案是肯定的 这个网络中当前是存在一种产生环路的风险的 第一节的规划原则中我们 也曾经提到过 路由汇总通常容易产生环路 而黑洞路由通常可以用来和路由汇总相结合 来防止路由环路 下面我们来看一下这个环路是如何产生的 对于园区网来说 来自内部的网络攻击是很常见的 假设1号楼内的某台主机受到病毒攻击 这种攻击会导致主机扫描访问10 0 0 0网段的IP地址 那么此时就有很大的风险产生环路 假设主机扫描到10 10 50 1这个地址 1号楼实际上不存在这个地址 1 这个数据包将会发送至主机的网关即S7700 1 2 S7700 1上不存在这个目的地址的明细路由 所以会匹配默认路由发送至S9700集群 3 由于10 10 50 1这个地址在整个园区网中根本不存在 所以数据包到达S9700上以后只能 匹配缺省路由发送只NE40E 1 4 而NE40E 1上学习到的路由却是S9700通过路由汇总发布出去的 所以会匹配到 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 17 页 共 19 页 10 10 0 0 16这条路由 所以数据包又重新发回S9700 至此S9700和NE40E 1之间的一条环路就形成了 如图15所示 一旦形成路由环路将会严重 影响网络的运行 甚至导致整网的瘫痪 所以做路由汇总的场景下 如何防止路由环路是 一个必须考虑的问题 图 15 S9700 集群和 NE40E 1 之间形成路由环路 形成环路的主要原因是在S9700集群上把目的地址为一个园区网内不存在的地址的数据包 匹配默认路由发送给和骨干区域 同时骨干区域又通过汇总的回程路由回送回来 因此解决这个环路的方法就是在S9700上阻断目的地址为一个园区网内不存在的地址的数 据包 推荐使用的方法就是配置黑洞路由 详细配置如下 S9700 ip route