网络安全OSPF培训_第1页
网络安全OSPF培训_第2页
网络安全OSPF培训_第3页
网络安全OSPF培训_第4页
网络安全OSPF培训_第5页
已阅读5页,还剩45页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

关于网络安全OSPF培训第1页,讲稿共50页,2023年5月2日,星期三第一章OSPF的基本概念概述HELLO协议报文ROUTERIDOSPF网络类型OSPF邻居和邻接关系DR、BDRAREA、路由器类型LSA类型第2页,讲稿共50页,2023年5月2日,星期三参考资料《RoutingTCPIPVolumeI》RFC2328第3页,讲稿共50页,2023年5月2日,星期三OSPF概述(一)OSPF(OPENSHORTESTPATHFIRST),即开放最短路径优先。是一种链路状态协议,采用Dijkstra算法,也叫最短路径算法(SPF);OPEN代表OSPF是一个标准、开放的、与产商无关的标准路由协议;它由IETF制订的,用来替代RIP的一个IGP路由协议。最新的RFC文档为RFC2328,也叫OSPFV2。相对RIP,OSPF具有很多的优点:

1:无路由自环

2:可适应大规模网络

3:路由变化收敛速度快

4:支持区域划分

5:支持等值路由

6:支持验证

7:支持路由分级管理

8:支持以组播地址发送协议报文第4页,讲稿共50页,2023年5月2日,星期三OSPF概述(二)OSPF的运行过程:

1:每个运行OSPF的路由器发送HELLO报文到所有启用OSPF的接口。如果在共享链路上两个路由器发送的HELLO报文内容一致,那么这两个路由器将形成邻居关系。

2:从这些邻居关系中,部分路由器形成邻接关系。邻接关系的建立由OSPF路由器交换HELLO报文和网络类型来决定。

3:形成邻接关系的每个路由器都宣告自己的所有链路状态。

4:每个路由器都接受邻居发送过来的LSA,记录在自己的链路数据库中,并将链路数据库的一份拷贝发送给其它的邻居。

5:通过在一个区域中泛洪,使得给区域中的所有路由器同步自己数据库。

6:当数据库同步之后,OSPF通过SPF算法,计算到目的地的最短路径,并形成一个以自己为根的无自环的最短路径树

7:每个路由器根据这个最短路径树建立自己的路由转发表。OSPF报文格式:

OSPF是个上层的协议,OSPF报文封装在IP包头中,协议号为:89。

OSPFHeaderProtocol#89OSPFPacket第5页,讲稿共50页,2023年5月2日,星期三HELLO协议报文(一)HELLO协议报文的作用:

1:发现邻居

2:宣告一些参数,这些参数必须相同才能建立邻居关系

3:维护邻居关系

4:在邻居之间建立双向的通信

5:在多路访问网络中选举DR和BDR

第6页,讲稿共50页,2023年5月2日,星期三HELLO协议报文(二)HELLO协议报文的内容:

OSPFHEADER第7页,讲稿共50页,2023年5月2日,星期三ROUTERIDROUTERID是个32位的无符号整数,是一台路由器的唯一标识,在整个OSPF域必须唯一。ROUTERID的选举:

1:如果有环回接口地址,自动选举最大的环回接口地址

2:如果没有环回接口地址,自动选举最大的接口地址

3:使用配置命令强制路由器的ROUTERID[QUIDWAY]ROUTERIDX.X.X.X第8页,讲稿共50页,2023年5月2日,星期三OSPF的网络类型OSPF的网络类型作用:

OSPF的网络类型决定了邻居邻接关系的形成,以及对HELLO报文的处理,使得OSPF的适应性和性能得到提高。OSPF的网络类型:

1:广播网络类型

2:NBMA网络类型

3:点到点网络类型

4:点到多点网络类型

5:虚链路网络类型上述的五种网络类型可以归纳为两种网络类型:1:STUB2:TRANSIT网络类型目的地址间隔时间广播网络/610SNBMA单播30S点到多点10S虚链路单播30S点到点10S第9页,讲稿共50页,2023年5月2日,星期三邻居和邻接关系(一)邻居关系的形成

ABABHELLO,我是AABA你好,我是 BABB你好!第10页,讲稿共50页,2023年5月2日,星期三邻居和邻接关系(二)OSPF邻接关系的建立

OSPF的邻接关系的建立一般需要四个步骤:

1:邻居发现通过互相交换HELLO报文,当同意HELLO报文中的内容一致后,形成邻居。

2:双向通信(TWO-WAY)

当发现邻居的HELLO报文中有自己的ROUTERID之后,和邻居建立双向通信,邻接关系开始建立。

3:数据库同步通过使用DD、LSR、LSU报文的交互,来同步数据库

4:FULL

建立邻接关系。网络类型邻居关系邻接关系广播网络所有与DR/BDR点到点/VLINK所有所有点到多点所有所有NBMA所有与DR/BDROSPF邻居和邻接关系的对比

第11页,讲稿共50页,2023年5月2日,星期三邻居和邻接关系(三)OSPF邻接关系的建立过程第12页,讲稿共50页,2023年5月2日,星期三DR、BDRDR(DesignatedRouter)的作用

1:代表多路访问网络和其它的路由器

2:管理泛洪进程BDR(BackupDesignatedRouter)的作用作为DR的备份,防止DR失效,引起网络中断。DR的选举在多路访问网络中,DR的选举由路由器的优先级(8bits)和ROUTERID来决定。

1:在广播网络中,DR的选举是自动的。优先级越大的,就会成为DR,如果优先级相同,ROUTERID越大的,就是DR。在NBMA中,DR的选举是手动的。

2:一旦DR和BDR选举之后,即使有其它的路由器的优先级或者是ROUTERID大于DR和BDR,也不会代替DR和BDR。

3:DR、BDR是基于接口的。第13页,讲稿共50页,2023年5月2日,星期三AREA、路由器类型(一)AREA

AREA是个32位的AREAID,可以使用十进制和小数点来表示。AREA的作用

1:一台路由器仅与本区域的其它路由器共享同一链路数据库,不需要和整个网络中的路由器。需要的内存少。

2:较小的链路数据库意味着较少的LSA,对路由器的CPU要求低。

3:大多数的泛洪限制在区域内。

AREA的类型

1:骨干区域2:普通区域3:STUB区域4:TOTALLYSTUB(TotallyStubbyAreas)5:NSSA(Not-So-StubbyAreas)路由器的类型

1:InternalRouters2:BackboneRouters3:AreaBorderRouters(ABRs)4:AutonomousSystemBoundaryRouters(ASBRs)

第14页,讲稿共50页,2023年5月2日,星期三AREA、路由器类型(二)区域间的路由计算第15页,讲稿共50页,2023年5月2日,星期三LSA类型Router-LSA由每个路由器生成,描述了路由器的链路状态和花费,传递到整个区域Network-LSA,由DR生成,描述了本网段的链路状态,传递到整个区域Net-Summary-LSA,由ABR生成,描述了到区域内某一网段的路由,传递到相关区域Asbr-Summary-LSA,由ABR生成,描述了到ASBR的路由,传递到相关区域AS-External-LSA,由ASBR生成,描述了到AS外部的路由,传递到整个AS(STUB区域除外)第16页,讲稿共50页,2023年5月2日,星期三问题1:ROUTERID修改之后,会立即生效?2:OSPF为什么是无自环的?3:为什么OSPF区域必须和骨干区域相连?4:在STUB区域、骨干区域、NSSA区域分别有哪些LSA?5:OSPF有哪些协议报文?第17页,讲稿共50页,2023年5月2日,星期三解答1:不会。必须重置OSPF进程或者重启路由器。2:SPF计算最短路径树,以自己为根的、其它路由器为叶的单向树。3:OSPF协议在生成LSA时,首先将自己的RouterID加入到LSA中,但是如果该路由信息传递超过两个区域后就会丧失最初的生成者的信息。。4:骨干:LSA1/2/3/4/5STUB:LSA1/2/3/4NSSA:LSA1/2/3/75:HELLO/DD/LSR/LSU/LSAck第18页,讲稿共50页,2023年5月2日,星期三小结本小结讲述了OSPF的基本概念第19页,讲稿共50页,2023年5月2日,星期三课程内容

第一章OSPF的基本概念第二章OSPF的数据结构第三章OSPF的配置方法第四章OSPF常见问题分析第20页,讲稿共50页,2023年5月2日,星期三第二章OSPF的数据结构OSPF的接口数据结构OSPF的邻居表

OSPF的链路数据表OSPF的路由表第21页,讲稿共50页,2023年5月2日,星期三OSPF接口状态数据结构(一)OSPF接口数据结构[NE40A]dispospfintLoopBack0

Interface:4(LoopBack0)-->4Cost:1562State:PToPType:PointToPointPriority:1Timers:Hello10,Dead40,Poll40,Retransmit5,TransmitDelay1[NE40A]dispospfintgi8/0/1

Interface:(GigabitEthernet8/0/1)Cost:1State:DRType:BroadcastPriority:1DesignatedRouter:BackupDesignatedRouter:0Timers:Hello10,Dead40,Poll40,Retransmit5,TransmitDelay1

第22页,讲稿共50页,2023年5月2日,星期三OSPF接口状态数据结构(二)接口状态机第23页,讲稿共50页,2023年5月2日,星期三OSPF的邻居表(一)OSPF的邻居数据表结构

Areainterface8(GigabitEthernet4/0/3)'sneighbor(s)RouterID:Address:7State:FullMode:NbrisMasterPriority:1DR:8BDR:7Deadtimerexpiresin34sNeighborcomesupfor3d15h01m

Areainterface3(Pos1/0/0)'sneighbor(s)RouterID:7Address:4State:FullMode:NbrisSlavePriority:1DR:NoneBDR:NoneDeadtimerexpiresin33sNeighborcomesupfor3d12h29m

第24页,讲稿共50页,2023年5月2日,星期三OSPF邻居表(二)OSPF的邻居状态机第25页,讲稿共50页,2023年5月2日,星期三OSPF的链路数据表(一)OSPF的链路数据表结构[NE40A]dispospflsdb

LinkStateDatabase

Area:TypeLinkStateIDAdvRouterAgeLenSequenceMetricWhereStub04-12400SpfTreeStub84-12400SpfTreeRtr223416080000bd40SpfTreeRtr0018248800000c10SpfTreeNet743124032800014bb0SpfTreeNet34159432800003f20SpfTreeSNet007149428800006711UninitializedSNet097149428800006731563UninitializedASB630288000047a1UninitializedASB10150928800004a22Uninitialized

ASExternalDatabase:TypeLinkStateIDAdvRouterAgeLenSequenceMetricWhereAS210UninitializedASE41039368000521e10AseListASE1423680000bcf1Uninitialized第26页,讲稿共50页,2023年5月2日,星期三OSPF的链路数据表(二)ROUTERLSATYPEDESCRIPTIONLINKIDLINKDATA1P-TO-PNeighbor'srouterIDInterfaceIPaddress2TransitIPaddressoftheDRInterfaceIPaddress3StubIPnetworknumberSubnetmask4VirtuallinkNeighbor'srouterIDInterfaceIPaddress[NE40A]dispospflsdbrouter

LinkStateDataBaseArea:

Type:RouterLsid:Advrtr:Lsage:1214Len:72Seq#:80001134Chksum:0x3032Options:(DC)ASBRLinkcount:4LinkID:31Data:46Type:Point-to-PointMetric:10LinkID:44Data:52Type:StubNetMetric:10LinkID:31Data:34Type:Point-to-PointMetric:10LinkID:32Data:52Type:StubNetMetric:10第27页,讲稿共50页,2023年5月2日,星期三OSPF的链路数据表(三)NETWORK-LSA[NE40A]dispospflsdbnetwork

LinkStateDataBaseArea:

Type:NetLsid:Advrtr:4Lsage:1643Len:32Seq#:800000e1Chksum:0xc618Options:(DC)Netmask:52AttachedRouter4AttachedRouter6

NETWORK-SUM-LSA[NE40A]dispospflsdbsummary

LinkStateDataBaseArea:

Type:SumNetLsid:28Advrtr:0Lsage:1571Len:28Seq#:800003ebChksum:0x77feOptions:(DC)Netmask:52Tos0metric:1第28页,讲稿共50页,2023年5月2日,星期三OSPF的链路数据表(四)ASBR-SUM-LSA(LSA4)AS-EXTERNAL-LSA(LSA5)[NE40A]dispospflsdbasbr

LinkStateDataBaseArea:

Type:SumASBLsid:Advrtr:6Lsage:104Len:28Seq#:8000047aChksum:0xf16fOptions:(DC)Tos0metric:1[NE40A]dispospflsdbase

LinkStateDataBaseType:ASELsid:Advrtr:Lsage:224Len:36Seq#:800018d2Chksum:0xe273Options:(NonDC)Netmask:Tos0metric:10Etype:2ForwardingAddress:Tag:1第29页,讲稿共50页,2023年5月2日,星期三OSPF的路由表OSPF的路由表数据结构<SX_NJ_NE40A>dispiproproospfOSPFRoutingtables:Summarycount:46OSPFRoutingtablestatus:<active>:Summarycount:33Destination/MaskProtocolPreCostNexthopInterface2/30OSPF1011GigabitEthernet8/0/2

8/28OSPF1015632Pos1/0/33/32OSPF1018Pos1/0/14/32OSPF1014Pos1/0/06/32OSPF1010Pos1/0/29/32OSPF1012Pos1/1/14/27OSPF10120Pos1/0/200/30OSPF1024Pos1/0/009/32OSPF1015644Pos1/0/08/28OSPF10124Pos1/0/0/30OSPF1020Pos1/0/22/27OSPF10120Pos1/0/292/26OSPF10120Pos1/0/2/30OSPF10206Pos1/1/36/30OSPF1024Ethernet6/0/4/32OSPF1015637GigabitEthernet4/0/第30页,讲稿共50页,2023年5月2日,星期三问题在OSPF域中有两个相同的ROUTERID,会造成什么问题?OSPF的路由表查找顺序是什么?OSPF中有哪些表?生成这些表的顺序是什么?第31页,讲稿共50页,2023年5月2日,星期三解答造成路由下一跳不稳定。域内、域间、外部类型1、外部类型2邻居表、链路数据表、路由表第32页,讲稿共50页,2023年5月2日,星期三小结本节主要讲解的是OSPF的数据结构,了解和掌握OSPF的数据表,对解决和分析OSPF的问题非常重要。第33页,讲稿共50页,2023年5月2日,星期三课程内容

第一章OSPF的基本概念第二章OSFP的数据结构第三章OSPF的配置方法第四章OSPF常见问题分析第34页,讲稿共50页,2023年5月2日,星期三第三章OSPF的配置方法OSPF的基本配置OSPF的高级配置OSPF路由过虑第35页,讲稿共50页,2023年5月2日,星期三OSPF的基本配置说明:以下所有命令均为VRP3.1版本的命令行格式启动OSPF[QUIDWAY]OSPF配置区域,进入到OSPF视图下:

[QUIDWAY-OSPF]AREAarea-id指定接口;在相应的区域下,指定运行OSPF的接口:

[QUIDWAY-OSPF-AREA-]networkip-addressip-mask指定OSPF的ROUTERID:

[QUIDWAY]ROUTERIDX.X.X.X(一般使用环回接口地址)第36页,讲稿共50页,2023年5月2日,星期三OSPF的高级配置(一)COST值的配置,基于接口:

[QUIDWAY-POS1/0/0]OSPFCOSTvalue区域认证配置,分两步:

1:在相应的区域配置认证方式:

[QUIDWAY-OSPF-AREA-]authentication-mode[simple|md5]

2:在相应的接口下配置认证密钥:

[QUIDWAY-POS1/0/0]ospfauthentication-modesimplepassword或者ospfauthentication-modemd5key_idkey

第37页,讲稿共50页,2023年5月2日,星期三OSPF的高级配置(二)区域特性配置

1:STUB区域

[QUIDWAY-OSPF-AREA-]stub[no-summary]2:NSSA区域:

[QUIDWAY-OSPF-AREA-]nssa[default-route-advertise][no-import-route][no-summary]路由聚合配置

1:域间路由聚合配置:

[QUIDWAY-OSPF-AREA-]abr-summaryip-addressmask[advertise|not-advertise]2:外部路由聚合配置:

[QUIDWAY-OSPF-AREA-]asbr-summaryip-addressmask[not-advertise|tagvalue]第38页,讲稿共50页,2023年5月2日,星期三OSPF的路由过滤引入外部路由

[QUIDWAY-OSPF]import-routeprotocol[costvalue][typevalue][tagvalue][route-policyroute-policy-name]

引入缺省路由

[QUIDWAY-OSPF]default-route-advertise[always][costvalue][typevalue][route-policyroute-policy-name]对OSPF路由过滤

[QUIDWAY-OSPF]filter-policy[ip-prefixip-prefix-name]gatewayip-prefix-nameimport或者filter-policy{acl-number|ip-prefixip-prefix-name}export[routing-protocol]

第39页,讲稿共50页,2023年5月2日,星期三小结介绍OSPF一些常见的配置命令第40页,讲稿共50页,2023年5月2日,星期三课程内容

第一章OSPF的基本概念第二章OSFP的数据结构第三章OSPF的配置方法第四章OSPF常见问题分析第41页,讲稿共50页,2023年5月2日,星期三第四章OSPF常见问题分析第42页,讲稿共50页,2023年5月2日,星期三OSPF常见问题分析(一)接口参数配置不一致导致邻居不能建立起来,处于INIT状态。【现象描述】Quidway路由器通过串口直接相连,初始时能够正常建立邻居关系,并达到Full状态,但是当改变双方的接口网络类型为Broadcast时,双方不能正确发现邻居。【问题分析】1、分别在两台路由器上查看邻居状态及邻居列表,如下:<quidway>displayospfpeer2、分别在两台路由器上查看关键配置信息,如下:<quidway>displaycourrinterfaceSerial10/1/3!interfaceSerial10/1/3encapsulationhdlcipaddressipospfnetworkbroadcast!end<quidway>displaycourrinterfaceSerial10/1/4!interfaceSerial10/1/4ipaddressipospfnetworkbroadcastend3、从以上的Display信息及Debug信息可以发现,两台路由器直接相连的接口Netmask不一致,一个是,一个是。4、OSPF从发HELLO报文发现邻居开始,会检查一些参数,而Netmask是其中一个,当双方的Netmask不一致时,收到对方发来的HELLO报文不会接受,直接丢弃,从而导致不能正确建立邻居关系,那为什麽初始时能够建立正确的邻居关系并达到FULL呢?是因为:如果网络类型是POINT-TO-POINT,QUIDWAY路由器不会对Netmask进行检查,而此案例中用到的串口封装的协议是HDLC,缺省的OSPF网络类型为POINT-TO-POINT。第43页,讲稿共50页,2023年5月2日,星期三OSPF常见问题分析(二)大包不通导致OSPF邻居不能正常建立【处理方法】当一台路由器从邻居收到HELLO包时,它会检查其中一些参数的值是否和接收接口的相匹配,这些参数包括:AREAID、AUTHENTICATION、NETMASK、HELLOINTERVAL、DEADINTERVAL以及OPTIONS。如果这些参数不匹配,该HELLO报文会被丢弃,不能建立起邻接关系。所以在进行OSPF配置时,互连的两个接口的这些参数一定要配置成相同,即使是在不检查Netmask的POINT-TO-POINT网络类型的接口上,也建议使用相同的掩码,避免不必要的麻烦。【现象描述】:

某用户反映我司的NE16路由器与某厂商路由器的OSPF互通时,长时间不能学到相应的路由。【原因分析】:

(1)

查看邻居状态,STATE处于exstart状态。打开NE路由器的debugging开关查看相应的报文信息。发现相互都可以收到HELLO报文。但NE发送DD报文之后,却一直没有收到对方回应的DD报文。

(2)

打开该厂商路由器的debugging

ospfpacket开关,发现对方收到NE的DD报文后,已发送了相应的DD报文予以回应。但是NE却没有收到。

(3)既然可以接收到HELLO报文,说明链路是通畅的。而且多播报文的收发也没有问题。

(4)有可能是对方发送的DD报文有错误,导致NE拒收。但查看相应的信息,NE并没有报告接收到过错误的DD报文。

(5)可以初步断定:NE并没有接收到这个报文,但是对方确实发出来了。

(6)仔细查看该厂商路由器的调试信息,发现这个DD报文很大,有2000多字节。

(7)很可能是因为双方的MTU不一致,导致大包不通所致。查看配置,发现该厂商路由器的MTU是4000多,而NE16为1500。

第44页,讲稿共50页,2023年5月2日,星期三OSPF常见问题分析(三)ROUTERID冲突导致下一跳不稳定【组网拓扑】:

8850―――NE80(1)――――NE80(2)―――――S6506【问题现象】:在6506中引入一条静态路由:到OSPF中,在NE80(2)中发现这条路由的下一跳一会是S6506(2),一会是NE80(1)(53).[]dispiproDestination/MaskProtocolPreCostNexthopInterface/0O_ASE150153GigabitEthernet1/0/0.2[]dispiproDestination/MaskProtocolPreCostNexthopInterface/25O_ASE15012GigabitEthernet1/0/2.1/0O_ASE150153GigabitEthernet1/0/0.2【原因解释】:

产生这种现象的原因是因为routerid有冲突,造成ospf计算混乱,引起下一跳不稳定。routerid在ospf协议报文的头部,表示标示路由器本身,代表是谁产生的报文。在路由器产生lsa更新的时候,都会带routerid代表这条lsa是谁宣告的;当有两个路由器有相同的routerid的时候,在链路数据库中就会产生同一个routerid宣告不同的routerlsa,有不同的linkid和linkdata。(对与linkid和linkdata在不同的lsa中代表了不同地址。在routerlsa中如果链路类型是transit类型,那么linkid代表的是DR的ipaddress,linkdata代表的是路由器本身的接口地址。)。ospf中的路由表是根据链路数据库通过spf的计算得到的最短路径,由于在链路数据库,两个相同的routerid有不同的linkdata,那么在路由表中就表示有不同的下一跳,因此会使得下一跳不稳定。第45页,讲稿共50页,2023年5月2日,星期三OSPF常见问题分析(四)ne40的ospf路由没有走cost小的反而走了cost大的路由网段【现象描述】:

8016---ne40(1)--ne40(2)

.|.................5200...............|

在8016和ne40(2)上分别配置了一条目的为5200的下行某相同网段,下一跳为各自下带5200接口ip的静态路由,并同时将此条静态路由引入ospf,在ne40(1)上查看路由表发现ne40(1)选择了cost为501的从ne40(2)学习到的这条

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论