《高级路由技术（理论篇）》 课件 单元4、5 优化OSPF动态路由技术、管理路由重分发,实现不同自治域路由注入

单元4：优化OSPF路由传输技术《高级路由技术》(理论篇）主讲教师：XXX技术背景随着园区网的规划扩大，接入网络中的设备增多，使用基于链路状态路由算法的OSPF路由协议对设备要求的系统开销较大，运行OSPF路由协议的设备上的路由计算开销也会增加，严重地影响网络传输效率。通过划分OSPF区域、路由汇总、更改网络类型等多项OSPF路由优化技术，来减少LSA通告泛洪的范围，优化路由表，构建一个稳定可靠园区网。学习目标了解园区中OSPF路由优化技术应用路由技术优化OSPF网络传输。4.1了解LSA报文类型LSage：老化时间，指从发出LSA后所经历时间，以秒为单位。Options：标志位，标识了OSPF网络提供各种可选服务。LStype：LS类型，指出5种LSA类型中一种。LinkStateID：链路状态ID，指明LSA描述特定网络区域。AdvertisingRouter：通告路由器。LSsequencenumber：LSA序列号，当LSA有新报文产生时，这个序列号就加1。路由器通过比对序列号识别最新LSA报文信息。序列号越大越新。LSChecksum：LS校验和检查LSA在传输到目的地的过程中是否受到破坏。Length：通知接收方LSA长度（字节）。每个LSA通告具有三个共同的特征：LSA的传播范围、LSA由谁通告、LSA包含的内容。4.1LSA类型1类LSA是路由器LSA（RouterLSA）。每台路由器都生成本地链路上的1类LSA通告，描述每台路由器连接区域、接口状态和开销。每台路由器都产生一个1类LSA通告，列出路由器所有链路或接口，指明它们的状态，沿每条链路方向出站代价，该链路上所有OSPF邻居。另外，1类LSA也指出路由器是ABR还是ASBR路由器。4.1.11类LSA：RouterLSA4.1LSA类型在广播型的多路访问网络环境中，为减少网络中路由器之间广播，会选举DR/BDR，所有Drother路由器只能和DR及BDR建立邻接关系。2类LSA仅存在多路访问网络中，由DR发送，描述多路访问网络上一组路由器，包括链接的链路状态ID等。2类LSA也只在本区域内泛洪，传播广播型的多路访问网络中所有路由器信息。4.1.22类LSA：NetworkLSA4.1LSA类型3类LSA是网络汇总LSA（NetworkSummaryLSA）由区域的边界路由器ABR上生成。3类LSA描述了区域外部路由信息。网络汇总LSA也就是某一区域内收到3类LSA，都是该区域ABR生成。这里汇总，和路由汇总是不同概念。4.1.33类LSA：NetworkSummaryLSA4.1LSA类型ABR路由器在OSPF网络中通告3类LSA，将一个区域内的链路信息通告给其他区域。由于ABR边界路由器同时连接两个以上区域（其中必须有骨干区域），熟悉不同区域内1类LSA、2类LSA。边界路由器ABR将某个区域内的1类LSA或2类LSA归纳，生成3类LSA。然后，泛洪到其他区域，解决区域之间路由计算。4.1.33类LSA：NetworkSummaryLSA4.1LSA类型OSPF使用路由重发布技术，将外部路由注入OSPF中。自治域外部路由通过自治域边界路由器（ASBR）重发布进OSPF，产生5类LSA。5类LSA在整个OSPF域泛洪（除Stub区域）。如图域边界路由器（ASBR）通过路由重发布，将5.5.5.0/24这条RIPV2路由重发布进OSPF。作为ASBR路由器的R5产生描述外部路由的5类LSA，描述这条外部路由5.5.5.0/24信息，其链路状态ID为外部网络网络地址。4.1.45类LSA：ASExternalLSA4.1LSA类型ASBR将外部路由信息通过重发布方式注入到OSPF域中。4类LSA描述ASBR位置，使用哪个出ASBR。在ASBR直连区域内，不产生4类LSA。ASBR发出1类LSA，指明自己是ASBR。如果生成4类的LSA，需要同时具备三个条件，才能实现OSPF内部路由器，了解外部非OSPF路由。4.1.54类LSA：ASBR汇总LSA4.1LSA类型4类LSA是指向ASBR的LSA通告，由ABR产生。ASBR和ABR在同一区域，通过ASBR路由器产生1类LSA，知道该ASBR位置。1类LSA泛洪范国本区域内，该区域外路由器如何得知这台ASBR位置？需要借助4类LSA。4.1.54类LSA：ASBR汇总LSA4.1LSA类型7类LSA是一种特殊LSA，这是一种描述外部路由的LSA，只能在NSSA特殊区域泛洪，不能跨越NSSA区域，进入OSPF常规区域。在特殊区域NSSA中，能阻挡5类LSA进入骨干区域（Area0）。同时，允许NSSA区域中本地始发的、外部路由以7类LSA通告形式，在NSSA中泛洪。当7类LSA到达NSSA区域ABR路由器，由ABR路由器将7类LSA转换成5类LSA，传输到骨干区域（Area0）中。将Area2区域配置为NSSA区域，自治域外部路由以7类LSA形态在区域内传播，到达ABR边界路由器R4时，由ABR路由器R4转化为5类LSA，传播到骨干区域Area0中。4.1.67类LSA：NSSAexternalLSA4.1LSA类型外部类型1也称OE1，外部路由的路径开销（cost）值，为外部成本加报文经过每条链路内部成本。多台ASBR路由器将连接外部路由，通告到OSPF自治域管理系统AS中，使用这种类型，避免OSPF网络中发送次优路径。4.1.7路由表中OSPF路由类型4.1LSA类型外部类型2也OE2外部路由路径开销（cost）值，只包含外部成本。在OSPF网络部署中，只有一台ASBR时，需要将外部路由通告到OSPF区域中，使用OE2为默认OSPF网络外部路由类型。使用OE2表示外部路由，用方括号标识两个数字[110/20]，分别是前往目标网络管理距离和总成本。当本地网络接收到多条。按如下顺序，比较不同Metric值，实现优选。首先比较外部LSA携带Metric，优选值小外部LSA。如果外部LSA携带Metric值相同，则比校本地到达通告每条LSA的ASBR/FA地址的Metric，优选值小。最后，如果本地通告每条LSA中的Metric值相同，则产生路由负载均衡。4.1.7路由表中OSPF路由类型4.2配置OSPF路由汇总随着OSPF规模越来越大，路由表规模也逐渐变大，路由的查询需要消耗设备资源，就需要在保证路由畅通同时，减小路由表规模，路由汇总就是一个有效手段。路由汇总又称为路由聚合（RouteAggregationorRouteSummarization），把一组路由汇聚成一条路由条目。汇聚前路由称明细路由。4.2.1OSPF路由汇总4.2配置OSPF路由汇总区域之间路由汇总在ABR进行，针对区域内路由汇聚。汇总不能使用路由重分发，不能把外部自治域中路由导入到OSPF。实现OSPF区域间路由汇总，需要保证区域内网络号连续，最大限度减少汇总后路由数量。4.2.1OSPF路由汇总4.2配置OSPF路由汇总4.2.2OSFP路由汇总命令4.3OSPF特殊区域Area1区域作为二级支行网络，是整个银行网络“末节＂网络，没必要知道其它支行外部路由，只需要有一条路由到达域外即可。为了优化非骨干区域OSPF路由传输，一种特殊末节区域stubarea技术应运而生。把Area1区域配置为OSPF网络“末节＂网络，优化OSPF网络部署。4.3.1OSPF特殊区域4.3OSPF特殊区域将常规区域配置为末节区域(Stubarea)，来自外部网络中LSA不会扩散到末节区域，缩小区域内LSDB数据库，降低路由器消耗。在末节区域中，使用默认路由（0.0.0.0）指引数据包前往OSPF路由域外网络，该默认路由通过末节区域ABR路由器生成。4.3.2配置Stub区域4.3OSPF特殊区域通过配置完全末节区域（Totallystubarea），区域内的路由器收到的LSA将进一步减少。区域内部进行LSA及SPF算法运算耗费也减少，增强网络的可扩展性。当区域外拓扑出现变更时，对本区域的影响也将变为最小。外部LSA以及3类LSA和4类LSA，都不能传播到完全末节区域（Totallystubarea）中。在完全末节区域（Totallystubarea）中只有区域内路由和默认路由，通过区域ABR将默认路由0.0.0.0通告到区域中。4.3.3配置绝对末节区域4.3OSPF特殊区域与配置Stub区域类似，不可以将骨干区域Area0配置为Totallystubarea。如果配置一个区域为Totallystubarea，也不能在区域路由器上做路由重发布。完全末节区域（Totallystubarea）是最受限制、特殊区域类型。区域路由器仅仅依靠域边界路由器ABR，生成一条默认路由，实现全网络连通。4.3.3配置绝对末节区域4.3OSPF特殊区域将某些区域配为Stub区域，阻挡来自其他区域4类LSA、5类LSA传播；同时，区域内的路由器禁止重发布外部路由。如果还期望该区域保留“阻挡其他区域的4类LSA、5类LSA”，还允许在区域本地发布路由，如何解决？OSPF路由进一步优化Stub区域，规划了NSSA（not-so-stubby-area）区域解决。4.3.4配置NSSA区域4.4配置OSPF虚链路在OSPF规划中，所有常规区域必须与骨干区域相连。因为常规区域只能和骨干区域交换LSA；常规区域之间即使直连，也无法互换LSA通告，这样，便无法学习到其它区域的路由。4.4.1OSPF虚链路技术4.4配置OSPF虚链路为解决某些特殊常规区域不能连接到骨干区域问题，使用虚拟链路技术让不能直接与骨干区域相连区域，最终与骨干区域直连，这种虚拟扩展技术就是OSPF的虚链路（VirtualLink）。4.4.1OSPF虚链路技术4.4配置OSPF虚链路虚链路连接（Virtual-link）是在两台边界路由器ABR之间，创建了一个常规区域，借助虚拟逻辑通道，实现常规区域之间逻辑连接（常规区域之间不通）。这里“逻辑通道”指在两台ABR路由器之间，建立LSA报文转发通道。虚链路提供一条从末梢的常规区域到骨干区域逻辑链路。4.4.1OSPF虚链路技术4.4配置OSPF虚链路虚链路在两台ABR路由器之间创建一条无编址的逻辑链路，这些ABR路由器之间虽然没有物理链路相连，但建立虚拟邻居关系。在OSPF路由计算中，通过虚链路传输路由信息，作为域内路由来看待，即两台ABR之间直接传递路由（ABR生成3类LSA），区域内路由器同步方式也没有改变。4.4.1OSPF虚链路技术4.4配置OSPF虚链路Area2与Area1直连，无法与骨干区域直连。R3虽是区域边界路由器，但没有连接骨干区域，不能将任何区域LSA通告传递进Area2，导致Area2无法与其它区域通信。4.4.1OSPF虚链路技术4.4配置OSPF虚链路4.4.2配置OSPF虚链路4.5配置OSPF认证4.5.1了解OSPF认证OSPF支持三种报文认证方式：空认证（NullAuthentication）、简单密码身份明文认证（SimpleAuthentication）及密文认证（CryptographicAuthentication）。空身份认证：类型0（type0），默认模式，报头中不包含身份认证秘钥信息。简单密码身份明文认证：类型1（type1），明文身份认证，使用简单明文口令。密文认证：类型2（type2），MD5身份认证，使用MD5加密口令。4.5配置OSPF认证4.5.1了解OSPF认证OSPF支持三种报文认证：空认证（NullAuthentication）、简单密码身份明文认证（SimpleAuthentication）及密文认证（CryptographicAuthentication）。默认情况下，OSPF使用身份认证方法NULL，即不对路由信息进行认证。通过开启邻居安全认证，则相同网段上所有对等路由器使用相同口令和身份认证方法。在部署OSPF安全中，在链路上进行，也可以在整个区域内进行认证。另外，虚链路同样也可以进行认证。4.5配置OSPF认证4.5.2OSPF明文认证当OSPF区域中设备不支持MD5身份安全认证，使用明文身份认证。明文认证将密码以明文形式，包含在OSPF报头中传输，使OSPF网络容易受到“嗅探器攻击”。受到这种攻击时，数据包会被协议分析程序捕获而读取口令，导致网络安全性不够。在某个接口上开启OSPF报文安全认证，也可以在一个区域中开启。当在一个区域中开启认证功能时，属于该区域中OSPF路由器上所有接口均开启认证。无论认证在哪里开启，最终都是基于接口运作。4.5配置OSPF认证4.5.4OSPF密文认证MD5算法基于每一个OSPF报文计算出一个散列值，生成口令（或密钥）。此散列值将与密钥ID以及非递减序号一起在数据报中传输。邻居路由器收到该报文后，依据口令计算出自己的散列值。如果在OSPF网络中传输的报文消息没有任何更改，邻居路由器接收到的散列值，应该与随消息一起传输的散列值匹配成功。需要注意的是，OSFP的密文认证增加序号机制，防止重放攻击。在OSPF网络受到重放攻击时，网络中传输OSPF报文消息将被捕获、修改。与明文身份认证一样，MD5身份认证口令不必在整个区域中相同。但在邻居路由器之间必须相同。4.5配置OSPF认证4.5.5配置OSPF虚链路认证OSPF的认证除在物理接口上开启，在区域上激活之外，还可以在VirtualLink上部署认证。虚链路上安全认证，也同样分为Null认证、明文认证、MD5认证。需要注意的是，由于VirtualLink被视为骨干域Area0的一部分。因此，当网络中骨干区域Area0被激活认证时，VirtualLink也需要配置认证密码。【网络实践】:配置OSPF域间路由汇总路由器RB为ABR路由器，互连Area0和Area1区域中路由器RA和RC。其中，Area1中域内路由器RA上有6个子网，配置域内路由汇总，将6个子网路由条目，汇总成一条路由通告到Area0，优化OSPF网络配置。【任务描述】【设计过程】【任务目标】构建高可用性校园网络省略好好学习天天向上单元5：管理路由重分发，实现不同自治域路由注入《高级路由技术》(理论篇）主讲教师：XXX技术背景大型园区网组网中，两种不同路由协议在两个自治域的边界，不同的路由信息相互独立和隔离，这就需要使用路由重分发技术来解决。路由重分发技术解决大型园区网中，先后经历多次网络规划，网络中存在多种不同的路由互相隔离的困境，使用路由重分发能实现不同路由协议之间互连互通。学习目标学习园区网中路由重分发技术掌握园区网中路由重分发技术应用5.1了解路由重分发两种不同的路由协议域学习、生成和更新路由表机制不同，因此，互相之间学习不到路由信息。处在两个不同自治域边界路由器R2，不同路由协议之间相互不转发路由，造成网络隔离。5.1.1路由重分发技术背景5.1了解路由重分发在AS域边界路由器R2，有去往全网路由。但不同路由协议机制不同，在R2路由器内部不会将RIP协议学习来路由“变成”OSPF路由；也不会将OSPF学习来路由，“变成”RIP路由告诉R1路由器。在路由器R2上，R和O二种路由之间无法互相通告。5.1.1路由重分发技术背景5.1了解路由重分发路由重分发技术应用在具有不同路由选择域的边界路由器（ASBR）上，实现不同路由选择域（自主系统）之间，通告和发布路由技术。路由器RouterA同时运行OSPF和RIP。打开OSPF进程，通告来自RIP域中路由，重分发RIP路由进入OSPF域中；同样的方式，重分发OSPF路由进入RIP域中，实现全网连通。5.1.2了解路由重分发技术5.1了解路由重分发在执行路由重分发的过程中，还可以部署路由策略，或者执行路由汇总等等，通过这些手段控制路由更新，使路由重分发技术实现路由弹性。路由重分发可能会带来网络中出现路由环路和次级路由，为避免这些问题，配合使用默认路由、被动接口、路由分发列表，只配置单方向上的路由重分发技术。5.1.2了解路由重分发技术5.1了解路由重分发每一种路由对路由Metric度量值定义不同，如OSPF使用Cost（开销）来衡量；而RIP用跳数Hop来衡量。在实施路由重分发，向OSFP中重分发RIP路由，需要把RIP路由跳数，修改为OSPF中使用Cost。5.1.3路由重分发原则一：度量（Metric）5.1了解路由重分发配置路由重分发的度量值通过以下二种方式。方式一，在执行路由重分发时，手工指定路由重分发后的Metric值。方式二，在路由协议之间实施重分发时，使用该路由协议默认的种子度量值。所谓种子度量值指将一条从外部路由选择协议，重分发到本地路由选择协议中时，使用默认的Metric值。5.1.3路由重分发原则一：度量（Metric）5.1了解路由重分发如果一台自治域的边界路由器上运行多种路由选择协议，并从每种协议中都学习到一条到达相同目标网络的路由。到达同一个目标网络有多条路由，那么，应该选择哪一条最佳路由记录到路由表呢？每一种路由都使用自己的度量定义最优路径。这就是路由管理距离，为不同路由分配不同的度量，确定首选路径。要确定首选路由源，需要向路由源分配管理距离。通过把管理距离看作可信度一种量度，管理距离越小，协议可信度越高。5.1.4路由重分发原则二：管理距离5.1了解路由重分发早期版本RIP路由是有类路由协议，不能从27位子网掩码推算出30位子网掩码；并且，也不能从30位子网掩码推出27位子网掩码；无法解决子网掩码冲突问题。路由器通过RIP路由从接口通告子网，仅包括在10.1.1.0子网，也即子网掩码与接口掩码相同子网，才从接口通告。图所示网络结果是：如果接口Fa0/0和Fa0/1上运行RIP路由邻居路由器，将不知道子网掩码为27位子网；接口S0和S1连接运行RIP路由邻居路由器，也不知道子网掩码为30位子网，造成路由重分发失败。5.1.5路由重分发原则三：从无类路由向有类路由重分发5.1了解路由重分发在子网掩码相同接口之间通告路由特性，在从无类路由选择协议向有类路由选择协议重分发时才会出现。在多园区网络规划中，左边的是新园区网络规划，使用OSPF无类路由协议，支持VLSM机制；右边网络是旧的网络规划，使用的RIP有类路由协议。由于自治域的边界路由器RouterA上启用的RIP进程使用24位子网掩码，因此，导致和使用OSPF路由规划的新园区网络中的二个10.1.5.0/26和10.1.6.0/28子网段掩码信息的不一致，所以无法把子网信息，通过路由重分发技术通告到RIP路由域中。5.1.5路由重分发原则三：从无类路由向有类路由重分发5.2配置路由重分发技术在实施实现重分发之前，需要考虑以下几点。（1）只能在支持相同协议栈的路由协议之间进行重分发。例如，可以在RIP和OSPF之间执行路由重分发，因为它们都支持TCP/IP协议栈。但不能在IPXRIP和OSPF之间进行重分发，因为IPXRIP支持