大型企業(yè)OSPF組網(wǎng)建設(shè)方案詳細(xì)

OSPF是由IETF的IGP工作組為IP網(wǎng)絡(luò)開發(fā)的路由協(xié)議。OSPF作為一種內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol，IGP)，用于典型網(wǎng)絡(luò)中的路由器之間發(fā)布路由信息。它是一種鏈路狀態(tài)協(xié)議，區(qū)別于距離矢量協(xié)議(RIP),OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。第二章第二章OSPF協(xié)議應(yīng)用場(chǎng)合在當(dāng)前典型網(wǎng)絡(luò)絡(luò)中，OSPF的應(yīng)用場(chǎng)合基本上有以下三種：（1）典型網(wǎng)絡(luò)中核心和匯聚都是支持OSPFv2的三層交換機(jī)（2）典型網(wǎng)絡(luò)核心或者匯聚層設(shè)備上建立了過(guò)多的靜態(tài)路由，人工維護(hù)量過(guò)大（3）典型網(wǎng)絡(luò)中的三層設(shè)備支持OSPFv2但是仍然在使用RIP協(xié)議的可以考慮做協(xié)議遷移。在日常工作中常見的情況只有（1）和（2）兩種。第三章第三章OSPF協(xié)議基本規(guī)劃OSPF網(wǎng)絡(luò)協(xié)議在所有內(nèi)部網(wǎng)關(guān)協(xié)議中是比較復(fù)雜的一種，這種復(fù)雜性和OSPF的協(xié)議原理密切相關(guān)，那么在設(shè)計(jì)典型網(wǎng)絡(luò)中的OSPF我們具體需要考慮哪幾方面的問(wèn)題呢？在本節(jié)中將會(huì)為您一一介紹。3.1保持OSPF數(shù)據(jù)庫(kù)的穩(wěn)定性：Router-id的選擇對(duì)于大型典型網(wǎng)絡(luò)絡(luò)OSPF設(shè)計(jì)和實(shí)施中我們需要考慮的第一點(diǎn)，就是Router-id的選擇。這是因?yàn)镺SPF作為一種鏈路狀態(tài)路由協(xié)議其計(jì)算路由的依據(jù)是LSA(鏈路狀態(tài)宣告報(bào)文)數(shù)據(jù)庫(kù)，每個(gè)運(yùn)行OSPF的路由器都會(huì)發(fā)送并泛洪L(zhǎng)SA報(bào)文到整個(gè)網(wǎng)絡(luò)，這樣網(wǎng)絡(luò)中每個(gè)運(yùn)行OSPF的路由器都會(huì)收集到其他設(shè)備發(fā)送過(guò)來(lái)的LSA并且放入LSA數(shù)據(jù)庫(kù)中，然后開始進(jìn)行SPF(最短路徑轉(zhuǎn)發(fā))運(yùn)算，計(jì)算出一棵以自己為根到其他網(wǎng)絡(luò)的無(wú)環(huán)樹。由此可以看出保持每個(gè)路由器LSA數(shù)據(jù)庫(kù)的穩(wěn)定性是保證OSPF網(wǎng)絡(luò)穩(wěn)定的前提。那么在LSA數(shù)據(jù)庫(kù)中對(duì)于不同OSPF設(shè)備發(fā)送來(lái)的LSA是如何進(jìn)行區(qū)分的呢，答案就是使用Router-id。如果一個(gè)路由器的Router-id發(fā)生變化，那么此路由器的會(huì)重新進(jìn)行LSA泛洪，從而導(dǎo)致全網(wǎng)OSPF路由器都會(huì)更新其LSA數(shù)據(jù)庫(kù)并且重新進(jìn)行SPF計(jì)算，使得OSPF網(wǎng)絡(luò)發(fā)生振蕩。因此選擇一個(gè)穩(wěn)定的Router-id是OSPF網(wǎng)絡(luò)設(shè)計(jì)的首要工作。了解了Router-id的重要性后，我們來(lái)看看一個(gè)OSPF路由器是如何選擇Router-id的，其選舉原則基本上可以歸納為以下兩點(diǎn)：首先選擇具有最高IP地址的環(huán)回接口如果沒(méi)有環(huán)回接口的話則選擇具有最高IP地址的激活物理接口。在一個(gè)OSPF路由器選舉出Router-id后,重啟路由器或者重新配置OSPF進(jìn)程都會(huì)導(dǎo)致Router-id的重新選舉，如果OSPF路由器選擇了一個(gè)激活物理接口的IP地址作為Router-id的話，那么一旦其down掉，就有可能引起OSPF路由器的Router-id發(fā)生變更，因此選擇物理接口是一種危險(xiǎn)的做法。在實(shí)際工程中，的推薦做法是首先規(guī)劃出一個(gè)私有網(wǎng)段用于OSPF的Router-id選擇。例如：192.168.1.0/24.在啟用OSPF進(jìn)程前就在每個(gè)OSPF路由器上建立一個(gè)環(huán)回口，使用一個(gè)32位掩碼的私有地址作為其IP,這個(gè)32位的私有地址不要發(fā)布在OSPF網(wǎng)絡(luò)中.3.2層次化的網(wǎng)絡(luò)設(shè)計(jì)：OSPF區(qū)域的規(guī)劃OSPF是一個(gè)需要層次化設(shè)計(jì)的網(wǎng)絡(luò)協(xié)議，在OSPF網(wǎng)絡(luò)中使用了一個(gè)區(qū)域的概念，從層次化的角度來(lái)看區(qū)域被分為兩種：骨干區(qū)域和非骨干區(qū)域。骨干區(qū)域的編號(hào)為0，非骨干區(qū)域的編號(hào)從1到4294967295。處于骨干區(qū)域和非骨干區(qū)域邊界的OSPF路由器被稱為ABR（區(qū)域邊界路由器），處于非骨干區(qū)域的路由器被稱為區(qū)域內(nèi)部路由器。由于OSPF的區(qū)域邊界處于路由器上，因此對(duì)于每個(gè)非骨干區(qū)域中都會(huì)存在至少一個(gè)ABR。實(shí)際上OSPF區(qū)域的規(guī)劃也就是把網(wǎng)絡(luò)中的OSPF路由器做歸類的過(guò)程。在設(shè)計(jì)OSPF區(qū)域時(shí)，我們首先需要考慮第一點(diǎn)的是網(wǎng)絡(luò)的規(guī)模，對(duì)于小型的典型網(wǎng)絡(luò)絡(luò)，例如只有幾臺(tái)S3550作為核心和匯聚的網(wǎng)絡(luò)可以考慮只使用一個(gè)AREA0來(lái)完成OSPF規(guī)劃。這在本文中不予討論。但是在大型典型網(wǎng)絡(luò)的OSPF網(wǎng)絡(luò)中，網(wǎng)絡(luò)的層次化設(shè)計(jì)是必須的。對(duì)于大型的典型網(wǎng)絡(luò)絡(luò)，一般在規(guī)劃上都會(huì)遵循核心，匯聚，接入的分層原則，而OSPF骨干路由器的選擇必然包含兩種設(shè)備，一種是位于核心位置的設(shè)備，另一種是位于區(qū)域核心的匯聚設(shè)備，通常都是的高端產(chǎn)品如S6810E和S6806E.非骨干區(qū)域的范圍選擇則是根據(jù)地理位置和設(shè)備性能而定，如果在單個(gè)非骨干區(qū)域中使用了較多的低端三層交換產(chǎn)品，由于其產(chǎn)品定位和性能的限制，應(yīng)該盡量減少其路由條目數(shù)量，把區(qū)域規(guī)劃得更小一些。值得注意的是在施工中對(duì)于非骨干區(qū)域的AREA號(hào)定義，推薦使用AREA10,20,30…來(lái)遞增，這樣可以提供AREA號(hào)上的冗余，便于客戶增加區(qū)域。3.3非骨干區(qū)域內(nèi)部路由器的路由表項(xiàng)優(yōu)化：特殊區(qū)域的使用前一節(jié)講到在OSPF的非骨干區(qū)域中使用的一般都是較為低端的三層交換機(jī)，其產(chǎn)品定位使得其不可能承受過(guò)多的路由條目，為了精簡(jiǎn)其路由條目數(shù)量可以采用一些特殊區(qū)域模式來(lái)進(jìn)行路由表項(xiàng)的優(yōu)化。產(chǎn)品支持OSPF協(xié)議中定義的全部三種特殊區(qū)域模型：末梢區(qū)域(StubArea),完全末梢區(qū)域(TotallyStubArea)和非完全末梢區(qū)域(NSSAArea)。由于NSSA區(qū)域應(yīng)用非常少，下面簡(jiǎn)單介紹一下前兩種特殊區(qū)域的區(qū)別和應(yīng)用場(chǎng)合：末梢區(qū)域StubArea處于末梢區(qū)域的內(nèi)部路由器將不會(huì)出現(xiàn)重分布進(jìn)入OSPF網(wǎng)絡(luò)的外部路由條目，并且擁有一條指向區(qū)域外部的默認(rèn)路由。完全末梢區(qū)域TotallyStubArea處于完全末梢區(qū)域的內(nèi)部路由器只有區(qū)域內(nèi)部明細(xì)路由和指向區(qū)域外部的一條默認(rèn)路由。在絕大部分的情況下，典型網(wǎng)絡(luò)中的非骨干區(qū)域中都僅僅需要知道默認(rèn)路由出口在哪里，因此推薦把非骨干區(qū)域統(tǒng)一設(shè)置成完全末梢區(qū)域，這樣將極大的精簡(jiǎn)非骨干區(qū)域內(nèi)部路由器的路由條目數(shù)量，并且減少區(qū)域內(nèi)部OSPF交互的信息量。對(duì)于極少數(shù)存在特殊需求的網(wǎng)絡(luò)，請(qǐng)根據(jù)實(shí)際情況靈活使用幾種區(qū)域類型。3.4骨干區(qū)域路由器的路由表項(xiàng)優(yōu)化：非骨干區(qū)域IP子網(wǎng)規(guī)劃和路由匯總對(duì)于OSPF的非骨干區(qū)域來(lái)說(shuō)使用特殊區(qū)域能夠精簡(jiǎn)其內(nèi)部路由器的路由表，那么對(duì)于OSPF的骨干區(qū)域的路由器來(lái)說(shuō)又是如何優(yōu)化其路由表的呢？答案就是對(duì)非骨干區(qū)域使用的IP網(wǎng)段作出合理規(guī)劃以便于區(qū)域邊界的匯總。對(duì)于IP網(wǎng)段的合理規(guī)劃在本書中第三章《典型網(wǎng)絡(luò)IP地址規(guī)劃設(shè)計(jì)》中已經(jīng)有非常詳細(xì)的說(shuō)明，本章節(jié)就不再做過(guò)多的闡述。推薦新建OSPF網(wǎng)絡(luò)能夠在前期就作出利于路由匯總的IP網(wǎng)絡(luò)設(shè)計(jì)，對(duì)于擴(kuò)建的網(wǎng)絡(luò)盡量進(jìn)行IP地址的重新規(guī)劃，通過(guò)區(qū)域匯總能精簡(jiǎn)骨干區(qū)域路由器的路由表，減少骨干區(qū)域內(nèi)OSPF交互的信息量,并且提高了路由表項(xiàng)的穩(wěn)定性。3?5OSPF默認(rèn)路由的引入和選路優(yōu)化：重分布靜態(tài)和cost調(diào)整當(dāng)前對(duì)于一個(gè)大型典型網(wǎng)絡(luò)絡(luò)來(lái)說(shuō)，很大一部分的業(yè)務(wù)流量并不在典型網(wǎng)絡(luò)內(nèi)部，而是通往INTERNET出口，因此默認(rèn)路由的引入也是典型網(wǎng)絡(luò)絡(luò)OSPF設(shè)計(jì)的一大要點(diǎn)。對(duì)于OSPF網(wǎng)絡(luò)的默認(rèn)路由引入方式，推薦使用靜態(tài)默認(rèn)路由重分布到OSPF網(wǎng)絡(luò)的方式進(jìn)行。在實(shí)際的大多數(shù)工程案例中，典型網(wǎng)絡(luò)的出口往往不止一個(gè)，如何有效的將出口流量分擔(dān)到多條鏈路上就成為了OSPF設(shè)計(jì)中的一個(gè)難點(diǎn)。雖然有很多種手段能夠達(dá)到分擔(dān)流量的目的，但是最簡(jiǎn)單也是最安全的方法是使用OSPF內(nèi)建的選路機(jī)制。因?yàn)镺SPF路由器對(duì)一條路由的優(yōu)劣衡量是通過(guò)計(jì)算其cost值來(lái)實(shí)現(xiàn)的，cost值小的路由會(huì)被路由器優(yōu)先放入路由表。通過(guò)調(diào)整OSPF接口的cost值可以使得路由器選擇不同的鏈路出口來(lái)達(dá)到負(fù)載分擔(dān)的目的。不過(guò)在調(diào)整cost值之前還有一項(xiàng)必須要做的工作。因?yàn)镺SPFv2出現(xiàn)的時(shí)間較早，沒(méi)有考慮到帶寬的飛速發(fā)展，因此缺省情況下，OSPF計(jì)算cost值使用的參考帶寬為100M，也就是說(shuō)缺省情況下，OSPF把100M帶寬以上的端口統(tǒng)統(tǒng)認(rèn)為其cost是1。很明顯，在網(wǎng)絡(luò)骨干帶寬邁向10T的今天已經(jīng)顯得非常的不合時(shí)宜。幸運(yùn)的是設(shè)備提供了更改參考帶寬的功能，使用auto-costreference-bandwidth命令選擇一個(gè)合適的參考帶寬成為OSPF網(wǎng)絡(luò)建設(shè)中必須要做的一項(xiàng)工作。對(duì)于OSPF網(wǎng)絡(luò)的選路優(yōu)化，推薦首先選擇合適的參考帶寬，然后通過(guò)調(diào)整OSPF接口cost值來(lái)實(shí)現(xiàn)。3.6OSPF網(wǎng)絡(luò)基本安全：阻止發(fā)往用戶的OSPF報(bào)文對(duì)于一個(gè)大型典型網(wǎng)絡(luò)絡(luò)來(lái)說(shuō)，安全性是必須要考慮到的問(wèn)題。首先談?wù)劄槭裁葱枰苊饨K端用戶窺探OSPF報(bào)文信息，這是因?yàn)槿绻脩裟芙孬@OSPF報(bào)文，那就意味著他已經(jīng)知道如何加入此OSPF網(wǎng)絡(luò)。此時(shí)要破壞這個(gè)OSPF網(wǎng)絡(luò)已經(jīng)是輕而易舉的事，接入一臺(tái)路由器到OSPF網(wǎng)絡(luò)中，并且使得該路由器的OSPF進(jìn)程處于不穩(wěn)定的狀態(tài)中，會(huì)導(dǎo)致整個(gè)OSPF網(wǎng)絡(luò)發(fā)生振蕩甚至癱瘓。為了保證OSPF網(wǎng)絡(luò)的安全與穩(wěn)定，推薦在實(shí)際工程中使用閉塞接口(Passive-interface)的方式來(lái)阻止通往用戶側(cè)的OSPF報(bào)文。第四章第四章OSPF案例分析和部署本章上一節(jié)對(duì)整個(gè)OSPF典型網(wǎng)絡(luò)絡(luò)設(shè)計(jì)的六個(gè)基本原則作出了詳細(xì)說(shuō)明，下面我們來(lái)看看在實(shí)際工程中我們是如何運(yùn)用這六個(gè)基本原則對(duì)OSPF進(jìn)行設(shè)計(jì)和部署的。RG-S681DE-1RG-SB810E-2RG-S681DE-1RG-SB810E-2iOHlKoi二號(hào)卷RG-S^KDEiES355O-24RG-S5KDE>E/I'前血鶴S35忸S355C-24TOC\o"1-5"\h\z二號(hào)卷RG-S^KDEiES355O-24RG-S5KDE>E/I'前血鶴S35忸S355C-24I/Ji33550-24S351?GS3550-24：I_J—I接入交卿f—圖1某典型網(wǎng)絡(luò)絡(luò)拓?fù)鋱D圖1是某典型網(wǎng)絡(luò)絡(luò)的物理拓?fù)鋱D，可以看到這是一個(gè)大型典型網(wǎng)絡(luò)絡(luò)，核心，匯聚,接入三層分明，擁有多出口到Internet，典型網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)存在雙鏈路冗余。對(duì)于這種比較典型的網(wǎng)絡(luò)結(jié)構(gòu)，我們將如何進(jìn)行OSPF的規(guī)劃部署工作呢？下面將根據(jù)上一節(jié)提出的六條基本原則逐步進(jìn)行此網(wǎng)絡(luò)的設(shè)計(jì)和部署。4.1保持OSPF數(shù)據(jù)庫(kù)的穩(wěn)定性:規(guī)劃和部署Router-id.部署OSPF的首要工作就是規(guī)劃和部署Router-id，在Router-id僅僅是一個(gè)OSPF設(shè)備的標(biāo)識(shí)，因此不需要占用公共IP，使用一個(gè)合適的私有IP地址段即可。在此案例中我們選用的Router-id地址段為10.0.0.0/24.選取完Router-id地址段后，接下來(lái)需要做的工作是在每個(gè)OSPF設(shè)備上建立相應(yīng)的Loopback接口并設(shè)置相應(yīng)的接口IP為10.0.0.X/32。具體配置以一號(hào)樓的S3550-24交換機(jī)為例：

命令含義switch(config)#interfaceloopback0創(chuàng)建環(huán)回接口switch(config-if)#ipadd10.0.0.5255.255.255.255使用32位掩碼的私有地址注意：不要在OSPF進(jìn)程中發(fā)布loopbackO的接口地址，以減少無(wú)用的OSPF信息交互報(bào)文。三號(hào)嘍三號(hào)嘍圖2Router-id規(guī)劃后的OSPF拓?fù)鋱D4.2層次化的網(wǎng)絡(luò)設(shè)計(jì)：OSPF的區(qū)域規(guī)劃在分配完Router-id后，接下來(lái)的工作就是對(duì)于整個(gè)OSPF網(wǎng)絡(luò)進(jìn)行區(qū)域劃分。對(duì)于這種層次分明的網(wǎng)絡(luò)，OSPF的區(qū)域劃分是非常容易的，直接把核心和區(qū)域匯聚交換機(jī)包含到區(qū)域0,再按照地理位置來(lái)區(qū)分非骨干區(qū)域。唯一需要注意的是非骨干區(qū)域AREA號(hào)的冗余性，在實(shí)際工作中經(jīng)常被忽視。下圖是做了AREA劃分后的OSPF網(wǎng)絡(luò)拓?fù)鋱D:號(hào)樓I/10.D.O.AREA1010.0.0,9接入兗IN1EKNKI二號(hào)樓三號(hào)酸[iaao.1]W+(T,0.21AREA01RG-S6810E1■■■■10.0.0.5]HEmQTAREA'zoS號(hào)樓I/10.D.O.AREA1010.0.0,9接入兗IN1EKNKI二號(hào)樓三號(hào)酸[iaao.1]W+(T,0.21AREA01RG-S6810E1■■■■10.0.0.5]HEmQTAREA'zoS3550-24S3550-24摟入交換扒需I10.0.0,15AREA30接入交圖3AREA劃分后的OSPF拓?fù)鋱D具體的設(shè)備配置以一號(hào)樓的S6806E交換機(jī)為例:命令含義S6806E(config)#routerospf建立OSPF進(jìn)程S6806E(config-router)#network10.0.1.00.0.0.3area0將上聯(lián)S6810E的接口放到骨干區(qū)域S6806E(config-router)#network10.0.1.40.0.0.3area10將下行到S3550的接口放到非骨干區(qū)域10從配置命令中可以清楚的看到OSPF區(qū)域是以路由器為邊界的，例如此拓?fù)渲幸惶?hào)樓的S6806E上聯(lián)接口屬于Area0，下行接口屬于Area10,也就是說(shuō)，此路由器跨越了兩個(gè)區(qū)域，是一個(gè)區(qū)域邊界路由器。注意：在單個(gè)區(qū)域包含過(guò)多的低端路由器或者三層交換機(jī)是一種不好的設(shè)計(jì)，如果出現(xiàn)這種情況應(yīng)該考慮縮小區(qū)域范圍。

4?3非骨干區(qū)域內(nèi)部路由器的路由表項(xiàng)優(yōu)化:特殊區(qū)域的使用劃分完OSPF網(wǎng)絡(luò)區(qū)域，就應(yīng)該開始考慮特殊區(qū)域的運(yùn)用了。本案例具有很強(qiáng)的代表性，象此類型的典型網(wǎng)絡(luò)絡(luò)，推薦非骨干區(qū)域一律采用完全末梢區(qū)域?(TotallyStubArea).具體拓?fù)鋱D如下：TMTERNETTotailyStubAreaTbtailyStubArea圖4采用特殊區(qū)域后的OSPF網(wǎng)絡(luò)三號(hào)摟IRGB軸Q6E0.0.0.1協(xié)亂TMTERNETTotailyStubAreaTbtailyStubArea圖4采用特殊區(qū)域后的OSPF網(wǎng)絡(luò)三號(hào)摟IRGB軸Q6E0.0.0.1協(xié)亂0.羽130…^3550-240.0.0.16TotallyStubArea具體設(shè)備配置以AREA10的S6806E和S3550為例S3550配置如下表:命令含義S3550(config)#routerospf進(jìn)入OSPF進(jìn)程S3550(config-router)#Area10stub將AREA10設(shè)置成為stub區(qū)域

S6806E配置如下表：命令含義S6806E(config)#routerospf進(jìn)入OSPF進(jìn)程S6806E(config-router)#Area10stubno-summary將AREA10設(shè)置成為stub區(qū)域，No-summary參數(shù)用在區(qū)域邊界路由器上，設(shè)置此區(qū)域?yàn)橥耆┥覅^(qū)域4.4骨干區(qū)域路由器的路由表項(xiàng)優(yōu)化：非骨干區(qū)域IP子網(wǎng)規(guī)劃和路由匯總使用特殊區(qū)域后，非骨干區(qū)域內(nèi)部路由器的路由表得到極大的精簡(jiǎn)并且減少了區(qū)域內(nèi)部OSPF路由器之間的信息交互量。在骨干區(qū)域我們也需要作出適當(dāng)?shù)牟僮鱽?lái)達(dá)到同樣的目的，這就要對(duì)非骨干區(qū)域使用的IP子網(wǎng)作出合理規(guī)劃并在區(qū)域邊界路由器進(jìn)行匯總操作。在下圖中顯示了區(qū)域10作出合理的IP規(guī)劃后往區(qū)域0通告的路由匯總表項(xiàng)：INTERNETAREA300.0.0.1接入交換機(jī)誹接入交換申L搟—3550-240.0.0,13TotallyStubAreaTotallyStubAreaTotallyStubArea100,2二號(hào)樓S3550-24AREA10J10.D.0.5L凹辛S35T尊*_T"INTERNETAREA300.0.0.1接入交換機(jī)誹接入交換申L搟—3550-240.0.0,13TotallyStubAreaTotallyStubAreaTotallyStubArea100,2二號(hào)樓S3550-24AREA10J10.D.0.5L凹辛S35T尊*_T"AREA20RG-Se8l0e-2110.0.04；RG-S681CE-1|T0g3|三號(hào)按區(qū)域主機(jī)IP地址份配10.0.4.1-10.0.7.255區(qū)域圭機(jī)IP地址分配10.0.8.1-10.0.15.255區(qū)域主機(jī)IP地址分配10.0.16J-10.0.19.255圖5區(qū)域邊界路由匯總就只會(huì)向區(qū)域0區(qū)域路由匯總會(huì)抑制明細(xì)路由條目的通告，這樣區(qū)域10的就只會(huì)向區(qū)域0內(nèi)注入一條匯總路由10.0.4.0/22,這樣可以精簡(jiǎn)骨干路由器路由表項(xiàng)，減少AREA0的OSPF報(bào)文交互量和保證其路由表的穩(wěn)定。推薦在設(shè)計(jì)OSPF網(wǎng)絡(luò)時(shí)就合理規(guī)劃IP地址，在實(shí)施OSPF時(shí)進(jìn)行區(qū)域匯總。具體配置以Area10的S6806E為例命令含義S6806E(config)#routerospf進(jìn)入OSPF進(jìn)程S6806E(config-router)#area10range10.0.4.0255.255.252.0對(duì)Area10的路由進(jìn)行匯總發(fā)布注意：Areaxrange命令只能用在區(qū)域邊界路由上，區(qū)域內(nèi)部路由器上不要使用此條命令，否則會(huì)造成路由表項(xiàng)的錯(cuò)誤。4.5OSPF默認(rèn)路由的引入和選路優(yōu)化：重分布靜態(tài)和cost調(diào)整對(duì)于這種多出口的網(wǎng)絡(luò)拓?fù)?，引入默認(rèn)路由和多出口流量分擔(dān)是必須要考慮的問(wèn)題。引入默認(rèn)路由的方式有多種，推薦的做法是在邊界路由器上建立靜態(tài)默認(rèn)路由，并且重分布到OSPF進(jìn)程中。在本案例中兩條默認(rèn)路由被引入到OSPF網(wǎng)絡(luò)后，對(duì)于匯聚層的S6806E設(shè)備來(lái)講需要選擇其中的一條鏈路投遞IP報(bào)文，或者是在兩條鏈路上實(shí)現(xiàn)負(fù)載均衡。因?yàn)榈湫途W(wǎng)絡(luò)內(nèi)部使用的是私有地址，出口處必須做NAT轉(zhuǎn)換，因此使用兩條鏈路負(fù)載均衡的方式是不可行的。只能通過(guò)調(diào)整cost值來(lái)使得S6806E把其中的一條上行鏈路作為主鏈路，另外一條作為備份鏈路。具體項(xiàng)目中如何分配流量，請(qǐng)根據(jù)實(shí)際的網(wǎng)絡(luò)情況靈活配置。不過(guò)在做這項(xiàng)工作前，請(qǐng)記得首先更改OSPF網(wǎng)絡(luò)的參考帶寬。圖6中區(qū)域10的OSPF路由器在進(jìn)行了選路調(diào)整后，對(duì)上行鏈路，核心交換機(jī)和出口都作出了合理的流量分擔(dān)。INTERNET1:的備用出口10.0.0JAREA的主出口R&S6S10E-2；二號(hào)樓三號(hào)樓EAREA20AREA30TotallyStubAreaTotallyStilbAreaTotallyStubArea:10.0.0.4!|蝕皿|號(hào)樓區(qū)域主機(jī)IPINTERNET1:的備用出口10.0.0JAREA的主出口R&S6S10E-2；二號(hào)樓三號(hào)樓EAREA20AREA30TotallyStubAreaTotallyStilbAreaTotallyStubArea:10.0.0.4!|蝕皿|號(hào)樓區(qū)域主機(jī)IP地址分團(tuán)10.0.4.1-10.0.7.255區(qū)域主機(jī)尸地址分配10,0.8J-10.0t15.255區(qū)域豐機(jī)IP城址分配10-0.16J-10.0,19.255圖6OSPF選路優(yōu)化虛線部分表示此鏈路為備用圖中各區(qū)域S6806E的上聯(lián)鏈路實(shí)線部分表示為主鏈路,虛線部分表示此鏈路為備用鏈路。默認(rèn)路由引入的具體配置如下:命令含義Router(config)#iproute0.0.0.00.0.0.0202.103.131.1在出口路由器上建立一條指向電信路由器的靜態(tài)默認(rèn)路由命令含義Router(configr)#routerospf進(jìn)入OSPF進(jìn)程Router(config-router)#redistributestatic將靜態(tài)路由引入OSPF

選路優(yōu)化具體配置以Area10的S6806E,S6810E-1,S6810E-2為例AREA10匯聚交換機(jī)S6806E的配置:命令含義S6806E(config)#routerospf進(jìn)入OSPF進(jìn)程S6806E(config-router)#auto-costreference-bandwidth10000將網(wǎng)絡(luò)參考帶寬改為10GS6806E(config)#interfaceT1/1進(jìn)入S6806E到S6810E-1的上聯(lián)接口S6806E(config-if)#ipospfcost10調(diào)整此接口的cost值為10S6806E(config)#interfaceT1/2進(jìn)入S6806E到S6810E-2的上聯(lián)接口S6806E(config-if)#ipospfcost20調(diào)整此接口的cost值為20S6810E-1的配置:命令含義S6810E-1(config)#routerospf進(jìn)入OSPF進(jìn)程S6810E-1(config-router)#auto-costreference-bandwidth10000將網(wǎng)絡(luò)參考帶寬改為10GS6810E-1(config)#interfaceT1/1進(jìn)入?yún)^(qū)域10S6806E的下行接口S6810E-1(config-if)#ipospfcost10調(diào)整此接口的cost值為10S6810E-2的配置:命令含義S6810E-2(config)#routerospf進(jìn)入OSPF進(jìn)程S6810E-2(config-router)#auto-costreference-bandwidth10000將網(wǎng)絡(luò)參考帶寬改為10GS6810E-2(config)#interfaceT1/1進(jìn)入?yún)^(qū)域10S6806E的下行接口S6810E-2(config-if)#ipospfcost20調(diào)整此接口的cost值為20注意：在做OSPF選路調(diào)整時(shí)注意兩點(diǎn)：一是更改OSPF參考帶寬時(shí)必須保證全網(wǎng)設(shè)備一致，二是在鏈路兩側(cè)的設(shè)備上需要作出同樣的cost調(diào)整，否則會(huì)形成不對(duì)稱路由，引起網(wǎng)絡(luò)故障。4.6OSPF網(wǎng)絡(luò)的基本安全：阻止發(fā)往用戶的OSPF報(bào)文對(duì)于本案例來(lái)說(shuō)，做完上面五步，實(shí)際上整個(gè)OSPF網(wǎng)絡(luò)已經(jīng)能夠正常的運(yùn)行，但是這個(gè)網(wǎng)絡(luò)存在一個(gè)較大的安全漏洞。即用戶側(cè)能夠接收到OSPF的hello報(bào)文，使用Sniffer工具可以很輕易的獲得基本的網(wǎng)絡(luò)信息，并作出下一步的攻擊行為。為了實(shí)現(xiàn)OSPF網(wǎng)絡(luò)的基本安全，在實(shí)際工程中推薦使用Passive接口的方式來(lái)阻止發(fā)往用戶的OSPF報(bào)文。如圖7所示：

具體配置以Area10中的一臺(tái)S3550為例:命令含義S3550(config)#routerospf進(jìn)入OSPF進(jìn)程S3550(config-router)#passive-interfacevlan10阻塞發(fā)往用戶vlan的OSPF報(bào)文注意：passive-interface命令會(huì)阻塞所有OSPF報(bào)文的發(fā)送，一般只會(huì)用于用戶vlan的SVI接口上，千萬(wàn)不要阻塞OSPF路由器之間的鏈路，這將導(dǎo)致OSPF鄰居無(wú)法建立。第五章OSPF可選配置本章節(jié)介紹了不太常見的OSPF配置，在實(shí)際工程中可以選擇性使用。5.1OSPF接口參數(shù)調(diào)整OSPF接口參數(shù)是OSPF協(xié)議的一個(gè)組成部分，將直接影響協(xié)議的運(yùn)行。在絕大多數(shù)情況下，推薦不要去更改這些參數(shù)的默認(rèn)值。只有在某些特定應(yīng)用環(huán)境中，比如運(yùn)營(yíng)商的網(wǎng)絡(luò)，可能會(huì)需要調(diào)整OSPF的接口參數(shù)。常見的OSPF接口參數(shù)有下面幾種：（1）OSPF網(wǎng)絡(luò)類型銳捷交換機(jī)支持兩種OSPF網(wǎng)絡(luò)類型：point-to-point（點(diǎn)到點(diǎn)）和Broadcast（廣播）。這兩種OSPF網(wǎng)絡(luò)類型的主要區(qū)別在于Broadcast需要選舉DR（指定路由器）和BDR（備用指定路由器），point-to-point不需要。因此Broadcast類型的接口建立OSPF鄰居關(guān)系花費(fèi)的時(shí)間會(huì)更長(zhǎng)一些。缺省情況下，銳捷交換機(jī)的所有OSPF接口都是Broadcast類型。（2）OSPF接口hello間隔和鄰居死亡間隔OSPF接口使用hello報(bào)文來(lái)發(fā)現(xiàn)鄰居和維持鄰居關(guān)系，在鄰居死亡間隔內(nèi)沒(méi)有收到對(duì)端回復(fù)的OSPF報(bào)文，將會(huì)宣告鄰居關(guān)系解除。缺省情況下，銳捷交換的hello間隔為10秒，鄰居死亡間隔4倍于hello間隔，也就是40秒。（3）OSPF接口優(yōu)先級(jí)OSPF接口優(yōu)先級(jí)用于Broadcast鏈路上的DR和BDR選擇，在某些情況下，是需要通過(guò)調(diào)整接口優(yōu)先級(jí)來(lái)保證DR和BDR位置的。這里簡(jiǎn)單介紹一下DR和BDR在OSPF的廣播網(wǎng)絡(luò)鏈路上的作用和選舉機(jī)制，大家知道在點(diǎn)對(duì)點(diǎn)鏈路上OSPF的鄰居只會(huì)有一個(gè)，也就是說(shuō)只需要建立一個(gè)鄰居關(guān)系即可。但是在廣播鏈路上，由于可以同時(shí)存在多個(gè)OSPF路由器，那么會(huì)需要維護(hù)大量的鄰居關(guān)系。例如在一個(gè)擁有3臺(tái)路由器的廣播鏈路上需要建立3個(gè)鄰居關(guān)系，但是在一個(gè)擁有4臺(tái)路由器的廣播鏈路上就會(huì)需要建立6個(gè)鄰居關(guān)系，對(duì)于一個(gè)擁有N臺(tái)路由器的廣播鏈路來(lái)說(shuō)，其鄰居關(guān)系的數(shù)量為NX(N-1)/2。維護(hù)過(guò)多的鄰居關(guān)系會(huì)消耗大量的路由器資源和鏈路帶寬。為了減少這種消耗，就出現(xiàn)了DR和BDR的概念。DR和BDR類似于廣播鏈路的領(lǐng)導(dǎo)者和中轉(zhuǎn)站，用于建立和維護(hù)普通路由器的鄰居關(guān)系，這樣就大大減少了鄰居關(guān)系的維護(hù)量。由此可以看出DR和BDR在廣播鏈路中的作用，對(duì)于一個(gè)路由器數(shù)量較多的OSPF廣播網(wǎng)絡(luò)來(lái)說(shuō)，保持DR和BDR的穩(wěn)定性是非常重要的。同時(shí)由于DR和BDR維護(hù)著這個(gè)網(wǎng)絡(luò)的鄰居關(guān)系，因此其性能要求也會(huì)高于普通路由器，一般DR和BDR都會(huì)選擇相對(duì)高端的設(shè)備。此時(shí)如果使用自動(dòng)選舉的方式，可能最終選舉出的DR和BDR不是我們希望獲得的結(jié)果，因此使用端口優(yōu)先級(jí)進(jìn)行調(diào)整來(lái)進(jìn)行人工指定是工程中必要的手段。更改接口參數(shù)具體配置如下：更改OSPF網(wǎng)絡(luò)類型:

命令含義Switch(config)#interfacevlan10進(jìn)入OSPF接口Vlan10Switch(config-if)#ipospfnetworkpoint-to-point將此接口的OSPF網(wǎng)絡(luò)類型更改為point-to-point(2)修改OSPF接口hello間隔和鄰居死亡間隔命令含義Switch(config)#interfacevlan10進(jìn)入OSPF接口Vlan10Switch(config-if)#ipospf將此接口的OSPF的hello間隔修改hello-interval5為5秒一次Switch(config-if)#ipospf將此接口的OSPF的鄰居死亡間隔修改dead-interval30為30秒超時(shí)。注意：修改接口網(wǎng)絡(luò)類型和hello間隔都有可能造成OSPF鄰居關(guān)系無(wú)法建立，請(qǐng)謹(jǐn)慎使用。如有特殊需求，請(qǐng)聯(lián)系工程師。通過(guò)調(diào)整接口優(yōu)先級(jí)來(lái)控制DR和BDR的選舉圖8控制DR和BDR的選舉如上圖，兩臺(tái)S6806E和三臺(tái)S3550-24在一個(gè)廣播型網(wǎng)絡(luò)中，這種情況下如果不作調(diào)整的話，性能較差的S3550有可能被選舉成DR和BDR，但是我們希望S6806E-1成為DR，S6806E-2成為BDR。因此需要使用端口優(yōu)先級(jí)來(lái)控制選舉過(guò)程。具體配置如下：S6806E-1的配置:命令含義S6806E-1(config)#IntG1/1進(jìn)入6806E-1的以太口S6806E-1(config-if)#ipospfpriority255設(shè)置此接口的OSPF優(yōu)先級(jí)為255，保證其成為DRS6806E-2的配置:命令含義S6806E-2(config)#IntG1/1進(jìn)入6806E-2的以太口S6806E-2(config-if)#ipospfpriority254設(shè)置此接口的OSPF優(yōu)先級(jí)為254,保證其成為BDR其它S3550使用缺省的Ipospfpriority值（缺省為1）.通過(guò)以上設(shè)置，6806E-1最終會(huì)成為DR,而6806E-2成為BDR，實(shí)現(xiàn)原有的設(shè)計(jì)。5?2OSPF的認(rèn)證：區(qū)域認(rèn)證和鏈路認(rèn)證在前面章節(jié)講述OSPF基本安全時(shí)，介紹了一種針對(duì)OSPF的攻擊方法，那就是接

入一臺(tái)路由器進(jìn)入OSPF典型網(wǎng)絡(luò)絡(luò)，并使其OSPF進(jìn)程處于不穩(wěn)定的狀態(tài)當(dāng)中，從而影響OSPF全網(wǎng)的穩(wěn)定性。那么如何防范未授權(quán)的OSPF路由器進(jìn)入網(wǎng)絡(luò)呢，答案就是開啟OSPF的認(rèn)證機(jī)制。OSPFv2有兩種認(rèn)證機(jī)制：一種是區(qū)域認(rèn)證，另外一種是鏈路認(rèn)證。設(shè)備對(duì)于這兩種認(rèn)證方式都支持，下面將以圖9和圖10中的兩臺(tái)S3550為例介紹這兩種認(rèn)證方式的區(qū)別和配置。F0Z2S35^0-2需要認(rèn)還F0Z2S35^0-2需要認(rèn)還圖9開啟區(qū)域認(rèn)證后區(qū)域認(rèn)證:OSPF的區(qū)域認(rèn)證一旦開啟，那么在此路由器上屬于此區(qū)域的所有OSPF接口都會(huì)進(jìn)行認(rèn)證操作，一旦鄰居發(fā)送的OSPF報(bào)文無(wú)法通過(guò)認(rèn)證，將導(dǎo)致鄰居關(guān)系被解除。圖9中，在S3550-1和S3550-2上開啟Area0的認(rèn)證，那么包含在Area0中的兩條鏈路的認(rèn)證開關(guān)都被打開。需要認(rèn)證S3550-1F0哂一一--需要認(rèn)證S3550-1F0哂一一--巧?~AREAC需要認(rèn)謳圖10開啟鏈路認(rèn)證后鏈路認(rèn)證：OSPF的鏈路認(rèn)證開啟后，只會(huì)影響當(dāng)前開啟認(rèn)證的接口。從此OSPF接口接收到的所有OSPF報(bào)文都需要認(rèn)證。圖10中，在S3550-1和S3550-2上開啟了F0/1接口的認(rèn)證，那么認(rèn)證僅僅會(huì)發(fā)生在F0/1接口，但是在F0/2接口上認(rèn)證開關(guān)并沒(méi)有打開，因此不需要認(rèn)證。（3）認(rèn)證報(bào)文方式：在區(qū)域認(rèn)證和鏈路認(rèn)證配置過(guò)程中可以選擇兩種認(rèn)證報(bào)文的發(fā)送方式，第一種是明文方式，第二種是MD5的加密報(bào)文方式。在實(shí)際工程中，推薦OSPF認(rèn)證全部采用MD5加密報(bào)文的方式。區(qū)域認(rèn)證的具體配置以S3550-1為例：命令含義S3550-1(config)#routerospf進(jìn)入OSPF進(jìn)程S3550-1(config-router)#area0authenticationmessage-digest開啟OSPFArea0的MD5認(rèn)證S3550-1(config-if)#interfacefastEthernet0/1進(jìn)入接口F0/1S3550-1(config-if)#ipospfmessage-digest-key1md5rg在接口F0/1上設(shè)置認(rèn)在接口F0/1上設(shè)置認(rèn)證密碼rgS3550-1(config-if)#interfacefastEthernet0/2進(jìn)入接口F0/2S3550-1(config-if)#ipospfmessage-digest-key1md5rg在接口F0/2上設(shè)置認(rèn)證密碼rg

注意：區(qū)域認(rèn)證一旦開啟，就要在所有包含到此區(qū)域的接口上設(shè)置認(rèn)證密碼。鏈路認(rèn)證的具體配置仍然以S3550-1為例:命令含義S3550-1(config-if)#interfacefastEthernet0/1進(jìn)入接口F0/1S3550-1(config-if)#ipospfauthenticationmessage-digest在接口F0/1上開啟鏈路認(rèn)證S3550-1(config-if)#ipospfmessage-digest-key1md5rg在接口F0/1上設(shè)置認(rèn)證密碼rg第六章第六章OSPF的驗(yàn)證與排錯(cuò)在工程中配置完一個(gè)OSPF網(wǎng)絡(luò)之后，需要對(duì)OSPF的運(yùn)行狀態(tài)和參數(shù)進(jìn)行驗(yàn)證和排錯(cuò)，設(shè)備為大家提供了多種工具來(lái)達(dá)到這一目標(biāo)，本章節(jié)將為大家提供OSPF驗(yàn)證和排錯(cuò)的基本流程。6?1OSPF常用的驗(yàn)證方法：靈活使用三條show命令（1）Showipospfneighbor:這是最常用也是最容易被忽視的一條命令。在實(shí)際工作中,OSPF出現(xiàn)問(wèn)題時(shí)應(yīng)該使用到的第一條命令就是它。因?yàn)槿f(wàn)變不離其宗,不管OSPF出什么問(wèn)題，都應(yīng)該從最基礎(chǔ)的鄰居關(guān)系開始考慮起。這條命令中為我們驗(yàn)證和排錯(cuò)提供的最有用的三個(gè)信息是：NeighborID（鄰居的Router-id）State（當(dāng)前鄰居關(guān)系的狀態(tài)，共有五種，正常狀態(tài)應(yīng)該是full，但是在廣播型鏈路上，DROTHER路由器之間的狀態(tài)會(huì)停留在Two-way。）Interface（通往鄰居的接口信息）（2）Showipospfinterface此命令用于檢查加入OSPF進(jìn)程的接口配置，在進(jìn)行OSPF鄰居關(guān)系排錯(cuò)時(shí)非常有用下面將對(duì)輸出信息的重點(diǎn)部分進(jìn)行講解：Switch#showipospfinterface接口狀態(tài)：是否UP1?1?1接口狀態(tài)：是否UP1?1?1?1/24InternetaddressArea0?0?0?0Area5?5?5?5?5NetworkTypePointToPoint網(wǎng)絡(luò)類型：兩種broadcastNetworkType和PointToPointcost:cost:此鏈路在OSPF中的cost值TransmitDelay:1State:PointToPointPriority:1優(yōu)先級(jí)：接口競(jìng)選DR使用的優(yōu)先級(jí)DesignatedRouter(ID):NoDRonthisnetwork當(dāng)前網(wǎng)絡(luò)的DR是誰(shuí)DR'sInterfaceaddress:noneBackupdesignatedrouter(ID):NoBDRonthisnetwork當(dāng)前網(wǎng)絡(luò)的BDR是誰(shuí)BDR'sInterfaceaddress:noneAuthentication:none是否打開鏈路認(rèn)證Hello:5接口的hello間隔Dead:20接口的鄰居死亡間隔Retransmit:5HelloDuein:00:00:01Passivestatus:Disabled接口是否被passiveDatabase-filterallout:DisabledShowipospf這條命令用于查看本路由器的OSPF進(jìn)程信息和配置參數(shù)，對(duì)于OSPF的驗(yàn)證和排錯(cuò)非常有意義，其提供的信息非常豐富，下面將選擇其中較為重要的部分做講解：Switch#showipospfRouterID:5.5.5.5路由器的Router-idRouterType:ABR路由器的類型：ABR,ASBR

:SingleTos(Tos0)或:SingleTos(Tos0)SupportTosNumberofexternalLSA:0ExternalLSAChecksumSum:0x0Numberofareasinthisrouter:2Numberofnormalarea:2Numberofstubarea:0Numberofnssaarea:0MinimumLSAInterval:5MinimumLSAArrival:1SPFDelay:5TOC\o"1-5"\h\zSPF-holdtime:10當(dāng)前OSPF協(xié)議的管當(dāng)前OSPF協(xié)議的管Administrativedistance:110理距離Inter-areaDistance:110Intra-areaDistance:110ExternalDistance:110RFC1583Compatibilityflag:EnabledDefaul