问鼎OSPF(6)-因地巧施张良计,宏图霸业指日统

文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 1 页 共 18 页 问鼎问鼎OSPF 6 因地巧施张良计 宏图霸业指日统因地巧施张良计 宏图霸业指日统 寒星似铁 如钩月 几度离人肠 寒星似铁 如钩月 几度离人肠 醉卧沙场 红尘叹 何苦问苍茫 醉卧沙场 红尘叹 何苦问苍茫 和歌剑舞 自嘲弄 凭添一惆怅 和歌剑舞 自嘲弄 凭添一惆怅 但却为何 忘忧梦 总拂过绿裳 但却为何 忘忧梦 总拂过绿裳 俊俊的人儿准是梦到了什么好事 平日那脸上的一丝沧桑 那眉间的一抹忧愁都化开了 真好看 阿兰 再瞧你就要成一朵花了 突然从背后冒出来一句话 吓了阿兰一跳 待她看清 来人是谁 正待臭骂那白衣无赖 那个华阿哥叫他做欧少的人一顿 那人却做了一个噤声 的手势 然后正色道 阿兰 和你阿爹谈的如何了 边疆地域特殊 我们不能像一般的 中原地域去征讨这里 而你们世世代代居于此 我们亦不希望打破此间平和 说了 我阿爹是个明事理的人 他知道什么对族人好 什么对族人不好 只不过多了个 封号 却还是我们自己管自己 阿兰说道 现如今他正在联络其他几个部族的人 这 需要些时日 哦 那就好 欧少长吁了一口气 由我所定的四个特殊区域 分封这四族为镇守 应 无后顾之忧了 他看了看远处的华少 又对阿兰认真的道 阿兰 其实你的华阿哥已经 有喜欢的人了 你知道么 知道 阿兰咬了咬嘴唇 像他这样的人 除了喜欢的人 能有什么让他化不开忧愁 的呢 但我不在乎 我只做华阿哥的一个小阿妹就好 欧少正待再劝她 但见她神色郁郁 却又有点不忍 静立半晌 欧少转身欲走 突地又想起了一件事 回头对她说 哦 对了 刚你瞧的像 个痴人花 痴人花 痴人 花 吃人花 回来 你给我回来 待得反应过来 哪里还有白衣飘 飘的影子 她却也只得恨恨的跺了跺脚 因地巧设特殊区域 引四族襄助大业因地巧设特殊区域 引四族襄助大业 在上一期问鼎OSPF中 我们介绍了OSPF的各种类型的LSA OSPF网络依靠各种不同类型 的LSA完成LSDB的同步 从而计算出整个网络的拓扑结构 然而 对于OSPF区域 并不 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 2 页 共 18 页 每种LSA都是必须有的 有些比较特殊的区域需要有一些特殊的手段进行管理 本期我们 详细介绍一下OSPF的特殊区域 以及不同特殊区域里LSA的管理规则 也就是华少与小阿 妹商讨的四族自治四个特殊区域的事 1 OSPF 为什么需要划分特殊区域为什么需要划分特殊区域 1 1OSPF 的 Stub 区域和 Totally Stub 区域的由来 图1 OSPF的Stub区域和Totally Stub区域 我们来看一下图1所示的网络 OSPF划分了Area 0和Area 2 同时在Area 0内有的ASBR引 入了外部路由 通常 为了保证网络的路由可达性 可能把网络的各个角落的路由全都发 布进了OSPF 此时虽然各路由设备都能够到达网络的各个角落了 但是如果网络越来越大 设备越来越多 那么每台设备的路由表项就会越来越大 而维护一个大规模的路由表项是 需要消耗很多CPU及内存资源的 特别是对于一些边缘区域 设备性能可能比较低 如果 也需要维护这么大规模的路由表项的话可能是一种巨大的压力 从网络优化的角度考虑 我们通常在保证网络可达性的同时尽量减小路由表项的规模 尽 量减少网络中LSA报文的泛洪 对于图1所示的网络 Area 2如果作为一个常规区域 那么 可能存在Type1 Type2 Type3 Type4 Type5共计5中类型的LSA 但是实际上Area 2中 的设备真的需要这么多种类型的LSA吗 对于Area 2中的路由器 无论他们想到达的域外 的哪个网络 都必须首先到达到ABR路由器 也就是说这个时候Area 2中的路由器并不需 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 3 页 共 18 页 要了解外部网络的细节 它仅需要通过ABR路由器到达外面的世界就可以了 这种情况下 就产生了OSPF的第一种类型的特殊区域 Stub区域 配置Stub之后 自治系统外部的 路由就不会在本区域内传播了 这样就减少了Area 2中LSA数量 细心的读者可能会问一个问题 如果Area 2中的路由器想进一步减少自己的路由表项的规 模呢 仔细分析一下可以看出 对于Area 2中的路由器来说 其实区域间的明细路由它也 没必要都了解 仅保留一个出口让Area 2中的路由器的数据包能够出去就足够了 这就产 生了OSPF的第二种类型的特殊区域 Totally Stub区域 也叫完全Stub区域 配置了 Totally Stub区域以后 既不允许自治系统外部的路由在区域内传播 也不允许区域间路由 在区域内传播 这样就能达到进一步减少区域内LSA数量的目的 1 2OSPF 的 NSSA 区域和 Totally NSSA 区域的由来 图2 OSPF的NSSA区域和Totally NSSA区域 如图2所示 假设Area2原来作为一个Stub区域运行 但是某一天有个外部网络需要通过 Area2接入到这个OSPF网络 也就是需要将自治域外部路由引入并传播到整个OSPF自治域 中 此时可以在RTA上将外部路由注入到OSPF域 但是这种配置将使RTA成为ASBR 因 此 Area2也就不是Stub区域了 针对这种场景 OSPF定义了NSSA区域 Not So Stubby 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 4 页 共 18 页 Area NSSA 为了容易记忆 大家可以把它叫做 不那么Stub区域 意思是在Stub区 域的基础上做了一定的变通 允许引入外部路由了 所以就变得 不那么Stub 了 类 似的 如果想进一步减少LSA数量 可以配置成Totally NSSA区域 2 OSPF 特殊区域详解特殊区域详解 上一小节我们介绍了OSPF的四种特殊区域的产生背景 但是各位读者是否还是对OSPF特 殊区域有点云山雾绕的感觉 没关系 接下来我们结合一个实验 来详细介绍一下OSPF的 4种特殊区域的LSA及路由管理规则 同时介绍一下不同区域的缺省路由产生规则 图3 OSPF特殊区实验网络拓扑 组网如Error Reference source not found 所示 所有设备都配置LoopBack0 地址如图3所示 该地址不在OSPF内发布 只作为OSPF Router ID使用 R4上配置LoopBack1接口地址作为测试网段 在R4上将这个直连路由import进OSPF进 程 通过路由策略控制只引入这一条直连路由 R R1 1的的关关键键配配置置 ospf 1 router id 10 1 1 1 area 0 0 0 1 network 192 168 12 0 0 0 0 255 R R2 2的的关关键键配配置置 ospf 1 router id 10 2 2 2 area 0 0 0 0 network 192 168 23 0 0 0 0 255 area 0 0 0 1 network 192 168 12 0 0 0 0 255 R R3 3的的关关键键配配置置 ospf 1 router id 10 3 3 3 R R4 4的的关关键键配配配配置置 acl number 2000 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 5 页 共 18 页 area 0 0 0 0 network 192 168 23 0 0 0 0 255 area 0 0 0 2 network 192 168 34 0 0 0 0 255 rule 5 permit source 10 44 44 44 0 ospf 1 router id 10 4 4 4 import route direct route policy RP area 0 0 0 2 network 192 168 34 0 0 0 0 255 route policy RP permit node 10 if match acl 2000 2 1标准区域 按照上述拓扑 完成关键配置 此时没有划分特殊区域 Area1和Area2都是标准区域 我 们看一下标准区域的路由及LSA管理规则 以R1为例 路由表及LSDB如下 图4 Area1为标准区域的时候R1的IP路由表 从图4可以看到 此时R1的路由表中有OSPF区域间路由 并且有一条自治系统外部路由 10 44 44 44 32 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 6 页 共 18 页 图5 Area1为标准区域的时候R1的LSDB 可以看到 此时R1的LSDB里面有Type1 Type2 Type3 Type4 Type5类LSA 下面根据上述实验详细讲解一下不同特殊区域的缺省路由发布原则 2 2Stub 区域 图6 Stub区域的LSA管理规则 Stub区域不允许自治系统外部的路由 Type5 LSA 在区域内传播 也不允许到达ASBR的 Type4 LSA在区域内传播 因此这些区域中路由设备的路由表规模以及路由信息传递的数 量都会大大减少 这样一来Stub区域内的路由器除了ABR外没有自治系统外部路由 如果 它们想到自治系统外部时该怎么办呢 为保证到自治系统外的路由依旧可达 Stub区域的 ABR将生成一条缺省路由 并发布给Stub区域中的其他非ABR路由器 一般情况下 Stub区域位于自治系统的边界 是只有一个ABR的非骨干区域 配置Stub区 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 7 页 共 18 页 域的时候需要注意 骨干区域不能配置成Stub区域 Stub区域内不能存在ASBR 因此自治系统外部的路由不能在本区域内传播 虚连接不能穿过Stub区域 下面我们来通过实验验证一下 配置Area1为Stub区域 需要做一些配置更改 具体如下 R1R1的配置修改为如下 的配置修改为如下 ospf 1 router id 10 1 1 1 area 0 0 0 1 network 192 168 12 0 0 0 0 255 s st tu ub b R2R2的配置修改如下 的配置修改如下 ospf 1 router id 10 2 2 2 area 0 0 0 0 network 192 168 23 0 0 0 0 255 area 0 0 0 1 network 192 168 12 0 0 0 0 255 s st tu ub b 实验效果 实验效果 图7 Area1为Stub区域的时候R1的IP路由表 通过图4和图7的对比可以看到 配置Area1为Stub区域以后 R1上自治系统外部路由消失了 取而代之的是一条ABR R2 自动下发的缺省路由 是Type3 LSA描述的 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 8 页 共 18 页 图8 Area1为Stub区域的时候R1依靠缺省路由的指引到达AS外部 如图8所示 此时R1上虽然没有了到达10 44 44 44 32的明细路由 但是依然能ping通 10 44 44 44 32这个地址 这是因为此时有一条ABR自动下发的缺省路由 这条缺省路由能 够指引R1的数据流到达自治系统外部 图9 Area1为Stub区域的时候R1的LSDB 可以看到 此时Type5 LSA External Type4 LSA Sum Asbr 已经消失 取而代之的 是一条ABR R2 自动下发的缺省路由Type3 LSA 此时R1上仅有Type1 Type2 Type3 以及Type3缺省路由这几种LSA 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 9 页 共 18 页 2 3Totally Stub 区域 图10 Totally Stub区域的LSA管理规则 Stub区域能够起到减少区域内路由表项规模的作用 但是这似乎还不够彻底 实际上也可 以不关心区域间的路由细节 而仅预留一个到达其他区域的出口即可 这种情况下可以将 这个区域配置成Totally Stub区域 Totally Stub区域既不允许自治系统外部的路由在区域内传播 也不允许区域间路由在区域 内传播 区域内的路由设备必须通过ABR学到自治系统外部和其他区域的路由 实现方法 是配置Totally Stub区域后 ABR会自动产生一条缺省的Summary LSA Type3 LSA 通告 到整个Totally Stub区域内 这样 自治系统外部的路由和其他区域间的路由都可以通过 ABR到达 现在将Area1配置为Totally Stub区域 将配置修改为如下 R1R1的配置修改如下 的配置修改如下 ospf 1 router id 10 1 1 1 area 0 0 0 1 network 192 168 12 0 0 0 0 255 stub R2R2的配置修改如下 的配置修改如下 ospf 1 router id 10 2 2 2 area 0 0 0 0 network 192 168 23 0 0 0 0 255 area 0 0 0 1 network 192 168 12 0 0 0 0 255 stub no summary 实验效果 实验效果 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 10 页 共 18 页 图11 Area1为完全Stub区域的时候R1的IP路由表 通过图7和图11的对比可以看到 Area1为完全Stub区域的时候R1上外部路由和区域间路由 消失了 取而代之的是一条ABR R2 自动下发的缺省路由 是Type3 LSA描述的 图12 Area1为完全Stub区域的时候R1依靠缺省路由的指引到达AS外部 此时R1上虽然没有了自治系统外部路由 也没有了区域间的路由 但是ABR会自动下发一 条缺省路由 用于指引R1的数据流到区域外部或者自治系统外部 所以此时R1仍然能够 ping通10 44 44 44这个地址 R1仍然能够全网可达 图13 Area1为完全Stub区域的时候R1的LSDB 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 11 页 共 18 页 可以看到 此时R1的LSDB里面Type5 LSA External Type4 LSA Sum Asbr 以及 描述区域间路由的Type3 LSA都已经消失 取而代之的是一条ABR R2 自动下发的缺省 路由Type3 LSA 2 4NSSA 区域 图14 NSSA区域的LSA管理规则 NSSA区域允许引入少量通过本区域的ASBR到达的外部路由 但不允许其他区域的外部路 由ASE LSA Type5 LSA 在区域内传播 ABR自动产生一条缺省的NSSA LSA Type7 LSA 通告到整个NSSA区域内 这样 除了某少部分路由通过NSSA的ASBR到达 其 它路由都可以通过NSSA的ABR到达 在ASBR上手动通过命令进行配置 使ASBR产生一 条缺省的NSSA LSA Type7 LSA 通告到整个NSSA区域内 这样 外部路由也可以通 过本区域NSSA的ASBR到达 Type7 LSA缺省路由不会在ABR上转换成Type5 LSA缺省路 由泛洪到整个OSPF域 现在将Area2区配置成NSSA区域 将配置修改为如下 R3R3的配置修改如下 的配置修改如下 ospf 1 router id 10 3 3 3 area 0 0 0 0 network 192 168 23 0 0 0 0 255 area 0 0 0 2 network 192 168 34 0 0 0 0 255 nssa R4R4的配置修改如下 的配置修改如下 acl number 2000 rule 5 permit source 10 44 44 44 0 ospf 1 router id 10 4 4 4 import route direct route policy RP area 0 0 0 2 network 192 168 34 0 0 0 0 255 nssa 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 12 页 共 18 页 route policy RP permit node 10 if match acl 2000 实验效果 实验效果 图15 Area2为NSSA区域的时候R3的IP路由表 从图15中可以看到 此时R3的路由表中学习到了一条10 44 44 44 32的自治系统外部路由 这条路由被标记为O NSSA类型 表示这条路由是由Type7 LSA计算出来的 图16 Area2为NSSA区域的时候R4的IP路由表 从图16中可以看到 R4上有一条缺省路由并且协议类型为O NSSA 表示是由Type7 LSA 描述的 这条缺省路由是由ABR R3 自动产生的 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 13 页 共 18 页 图17 Area2为NSSA区域的时候R4的LSDB 从图17中可以看到 此时R4的LSDB里面存在Type1 LSA Type2 LSA Type3 LSA Type7 LSA 同时R4的LSDB里面存在一条由R3产生的Type7 LSA 描述了一条缺省路由 对于NSSA区域的ASBR R4 手动通过命令进行配置 也可以使ASBR也产生一条缺省 的NSSA LSA Type7 LSA 注意在ASBR上只有当路由表中存在缺省路由0 0 0 0 0 才会 产生Type7 LSA缺省路由 R4的配置修改如下 acl number 2000 rule 5 permit source 10 44 44 44 0 ospf 1 router id 10 4 4 4 import route direct route policy RP area 0 0 0 2 network 192 168 34 0 0 0 0 255 nssa default route advertise route policy RP permit node 10 if match acl 2000 ip route static 0 0 0 0 0 0 0 0 NULL0 必必须须路路由由表表中中存存在在缺缺省省路路由由0 0 0 0 0 0 0 0 0 0 才才会会产产生生 T Ty yp pe e7 7 L LS SA A 缺缺省省路路由由 实验效果 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 14 页 共 18 页 图18 R4作为NSSA区域的ASBR通过nssa default route advertise下发缺省路由 可以看到 此时R4的LSDB里面存在两条描述缺省路由的Type7 LSA 一条是ABR R3 自动产生的 另外一条是NSSA区域的ASBR R4 手动配置nssa default route advertise命令 以后产生的 我们再来看一下此时R2的路由表项及LSDB信息 图19 Area2为NSSA区域的时候R2的IP路由表 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 15 页 共 18 页 图20 Area2为NSSA区域的时候R2的LSDB 可以看到10 44 44 44 32这条路由在Area0区域被标记为O ASE路由 表示这条路由在NSSA 区域的ABR R3 进行了Type7 LSA转换成Type5 LSA 但是R2上并没有学习到O ASE缺 省路由 也没有描述缺省路由的LSA 所以Type7 LSA缺省路由不会在ABR上转换成Type5 LSA缺省路由泛洪到整个OSPF域 只会在NSSA区域内部泛洪 2 5Totally NSSA 区域 图21 Totally NSSA区域的LSA管理规则 Totally NSSA区域既不允许其他区域的外部路由ASE LSA Type5 LSA 在区域内传播 也 文档名称文档密级 2020 3 27华为保密信息 未经授权禁止扩散第 16 页 共 18 页 不允许区域间路由 Type3 LSA 在区域内传播 区域内的路由器必须通过ABR学到其他 区域的路由 实现方法是配置Totally NSSA区域后 ABR会自动产生缺省的Type3 LSA和 Type7 LSA通告到整个Totally NSSA区域内 这样 自治系统外部路由和区域间路由都可以 通过ABR到达 现在将Area2区域配置成Totally NSSA区域 将配置修改为如下 R3R3的配置修改如下 的配置修改如下 ospf 1 router id 10 3 3 3 area 0 0 0 0 network 192 168 23 0 0 0 0 255 area 0 0 0 2 network 192 168 34 0 0 0 0 255 nssa no summary R4R4的配置修改如下 的配置修改如下 acl number 2000 rule 5 permit source 10 44 44 44 0 ospf 1 router id 10 4 4 4 import route direct route policy RP area 0 0 0 2 network 192 168 34 0 0 0 0 255 nssa route policy RP permit node 10 if match acl 2000 实验效果 实验效果 图22 Area2为Totally NSSA区域