《高级路由技术（理论篇）》-教学PPT4：优化OSPF动态路由技术

单元4：优化OSPF路由传输技术《高级路由技术》(理论篇）主讲教师：XXX技术背景随着园区网的规划扩大，接入网络中的设备增多，使用基于链路状态路由算法的OSPF路由协议对设备要求的系统开销较大，运行OSPF路由协议的设备上的路由计算开销也会增加，严重地影响网络传输效率。通过划分OSPF区域、路由汇总、更改网络类型等多项OSPF路由优化技术，来减少LSA通告泛洪的范围，优化路由表，构建一个稳定可靠园区网。学习目标了解园区中OSPF路由优化技术应用路由技术优化OSPF网络传输。4.1了解LSA报文类型LSage：老化时间，指从发出LSA后所经历时间，以秒为单位。Options：标志位，标识了OSPF网络提供各种可选服务。LStype：LS类型，指出5种LSA类型中一种。LinkStateID：链路状态ID，指明LSA描述特定网络区域。AdvertisingRouter：通告路由器。LSsequencenumber：LSA序列号，当LSA有新报文产生时，这个序列号就加1。路由器通过比对序列号识别最新LSA报文信息。序列号越大越新。LSChecksum：LS校验和检查LSA在传输到目的地的过程中是否受到破坏。Length：通知接收方LSA长度（字节）。每个LSA通告具有三个共同的特征：LSA的传播范围、LSA由谁通告、LSA包含的内容。4.1LSA类型1类LSA是路由器LSA（RouterLSA）。每台路由器都生成本地链路上的1类LSA通告，描述每台路由器连接区域、接口状态和开销。每台路由器都产生一个1类LSA通告，列出路由器所有链路或接口，指明它们的状态，沿每条链路方向出站代价，该链路上所有OSPF邻居。另外，1类LSA也指出路由器是ABR还是ASBR路由器。4.1.11类LSA：RouterLSA4.1LSA类型在广播型的多路访问网络环境中，为减少网络中路由器之间广播，会选举DR/BDR，所有Drother路由器只能和DR及BDR建立邻接关系。2类LSA仅存在多路访问网络中，由DR发送，描述多路访问网络上一组路由器，包括链接的链路状态ID等。2类LSA也只在本区域内泛洪，传播广播型的多路访问网络中所有路由器信息。4.1.22类LSA：NetworkLSA4.1LSA类型3类LSA是网络汇总LSA（NetworkSummaryLSA）由区域的边界路由器ABR上生成。3类LSA描述了区域外部路由信息。网络汇总LSA也就是某一区域内收到3类LSA，都是该区域ABR生成。这里汇总，和路由汇总是不同概念。4.1.33类LSA：NetworkSummaryLSA4.1LSA类型ABR路由器在OSPF网络中通告3类LSA，将一个区域内的链路信息通告给其他区域。由于ABR边界路由器同时连接两个以上区域（其中必须有骨干区域），熟悉不同区域内1类LSA、2类LSA。边界路由器ABR将某个区域内的1类LSA或2类LSA归纳，生成3类LSA。然后，泛洪到其他区域，解决区域之间路由计算。4.1.33类LSA：NetworkSummaryLSA4.1LSA类型OSPF使用路由重发布技术，将外部路由注入OSPF中。自治域外部路由通过自治域边界路由器（ASBR）重发布进OSPF，产生5类LSA。5类LSA在整个OSPF域泛洪（除Stub区域）。如图域边界路由器（ASBR）通过路由重发布，将5.5.5.0/24这条RIPV2路由重发布进OSPF。作为ASBR路由器的R5产生描述外部路由的5类LSA，描述这条外部路由5.5.5.0/24信息，其链路状态ID为外部网络网络地址。4.1.45类LSA：ASExternalLSA4.1LSA类型ASBR将外部路由信息通过重发布方式注入到OSPF域中。4类LSA描述ASBR位置，使用哪个出ASBR。在ASBR直连区域内，不产生4类LSA。ASBR发出1类LSA，指明自己是ASBR。如果生成4类的LSA，需要同时具备三个条件，才能实现OSPF内部路由器，了解外部非OSPF路由。4.1.54类LSA：ASBR汇总LSA4.1LSA类型4类LSA是指向ASBR的LSA通告，由ABR产生。ASBR和ABR在同一区域，通过ASBR路由器产生1类LSA，知道该ASBR位置。1类LSA泛洪范国本区域内，该区域外路由器如何得知这台ASBR位置？需要借助4类LSA。4.1.54类LSA：ASBR汇总LSA4.1LSA类型7类LSA是一种特殊LSA，这是一种描述外部路由的LSA，只能在NSSA特殊区域泛洪，不能跨越NSSA区域，进入OSPF常规区域。在特殊区域NSSA中，能阻挡5类LSA进入骨干区域（Area0）。同时，允许NSSA区域中本地始发的、外部路由以7类LSA通告形式，在NSSA中泛洪。当7类LSA到达NSSA区域ABR路由器，由ABR路由器将7类LSA转换成5类LSA，传输到骨干区域（Area0）中。将Area2区域配置为NSSA区域，自治域外部路由以7类LSA形态在区域内传播，到达ABR边界路由器R4时，由ABR路由器R4转化为5类LSA，传播到骨干区域Area0中。4.1.67类LSA：NSSAexternalLSA4.1LSA类型外部类型1也称OE1，外部路由的路径开销（cost）值，为外部成本加报文经过每条链路内部成本。多台ASBR路由器将连接外部路由，通告到OSPF自治域管理系统AS中，使用这种类型，避免OSPF网络中发送次优路径。4.1.7路由表中OSPF路由类型4.1LSA类型外部类型2也OE2外部路由路径开销（cost）值，只包含外部成本。在OSPF网络部署中，只有一台ASBR时，需要将外部路由通告到OSPF区域中，使用OE2为默认OSPF网络外部路由类型。使用OE2表示外部路由，用方括号标识两个数字[110/20]，分别是前往目标网络管理距离和总成本。当本地网络接收到多条。按如下顺序，比较不同Metric值，实现优选。首先比较外部LSA携带Metric，优选值小外部LSA。如果外部LSA携带Metric值相同，则比校本地到达通告每条LSA的ASBR/FA地址的Metric，优选值小。最后，如果本地通告每条LSA中的Metric值相同，则产生路由负载均衡。4.1.7路由表中OSPF路由类型4.2配置OSPF路由汇总随着OSPF规模越来越大，路由表规模也逐渐变大，路由的查询需要消耗设备资源，就需要在保证路由畅通同时，减小路由表规模，路由汇总就是一个有效手段。路由汇总又称为路由聚合（RouteAggregationorRouteSummarization），把一组路由汇聚成一条路由条目。汇聚前路由称明细路由。4.2.1OSPF路由汇总4.2配置OSPF路由汇总区域之间路由汇总在ABR进行，针对区域内路由汇聚。汇总不能使用路由重分发，不能把外部自治域中路由导入到OSPF。实现OSPF区域间路由汇总，需要保证区域内网络号连续，最大限度减少汇总后路由数量。4.2.1OSPF路由汇总4.2配置OSPF路由汇总4.2.2OSFP路由汇总命令4.3OSPF特殊区域Area1区域作为二级支行网络，是整个银行网络“末节＂网络，没必要知道其它支行外部路由，只需要有一条路由到达域外即可。为了优化非骨干区域OSPF路由传输，一种特殊末节区域stubarea技术应运而生。把Area1区域配置为OSPF网络“末节＂网络，优化OSPF网络部署。4.3.1OSPF特殊区域4.3OSPF特殊区域将常规区域配置为末节区域(Stubarea)，来自外部网络中LSA不会扩散到末节区域，缩小区域内LSDB数据库，降低路由器消耗。在末节区域中，使用默认路由（0.0.0.0）指引数据包前往OSPF路由域外网络，该默认路由通过末节区域ABR路由器生成。4.3.2配置Stub区域4.3OSPF特殊区域通过配置完全末节区域（Totallystubarea），区域内的路由器收到的LSA将进一步减少。区域内部进行LSA及SPF算法运算耗费也减少，增强网络的可扩展性。当区域外拓扑出现变更时，对本区域的影响也将变为最小。外部LSA以及3类LSA和4类LSA，都不能传播到完全末节区域（Totallystubarea）中。在完全末节区域（Totallystubarea）中只有区域内路由和默认路由，通过区域ABR将默认路由0.0.0.0通告到区域中。4.3.3配置绝对末节区域4.3OSPF特殊区域与配置Stub区域类似，不可以将骨干区域Area0配置为Totallystubarea。如果配置一个区域为Totallystubarea，也不能在区域路由器上做路由重发布。完全末节区域（Totallystubarea）是最受限制、特殊区域类型。区域路由器仅仅依靠域边界路由器ABR，生成一条默认路由，实现全网络连通。4.3.3配置绝对末节区域4.3OSPF特殊区域将某些区域配为Stub区域，阻挡来自其他区域4类LSA、5类LSA传播；同时，区域内的路由器禁止重发布外部路由。如果还期望该区域保留“阻挡其他区域的4类LSA、5类LSA”，还允许在区域本地发布路由，如何解决？OSPF路由进一步优化Stub区域，规划了NSSA（not-so-stubby-area）区域解决。4.3.4配置NSSA区域4.4配置OSPF虚链路在OSPF规划中，所有常规区域必须与骨干区域相连。因为常规区域只能和骨干区域交换LSA；常规区域之间即使直连，也无法互换LSA通告，这样，便无法学习到其它区域的路由。4.4.1OSPF虚链路技术4.4配置OSPF虚链路为解决某些特殊常规区域不能连接到骨干区域问题，使用虚拟链路技术让不能直接与骨干区域相连区域，最终与骨干区域直连，这种虚拟扩展技术就是OSPF的虚链路（VirtualLink）。4.4.1OSPF虚链路技术4.4配置OSPF虚链路虚链路连接（Virtual-link）是在两台边界路由器ABR之间，创建了一个常规区域，借助虚拟逻辑通道，实现常规区域之间逻辑连接（常规区域之间不通）。这里“逻辑通道”指在两台ABR路由器之间，建立LSA报文转发通道。虚链路提供一条从末梢的常规区域到骨干区域逻辑链路。4.4.1OSPF虚链路技术4.4配置OSPF虚链路虚链路在两台ABR路由器之间创建一条无编址的逻辑链路，这些ABR路由器之间虽然没有物理链路相连，但建立虚拟邻居关系。在OSPF路由计算中，通过虚链路传输路由信息，作为域内路由来看待，即两台ABR之间直接传递路由（ABR生成3类LSA），区域内路由器同步方式也没有改变。4.4.1OSPF虚链路技术4.4配置OSPF虚链路Area2与Area1直连，无法与骨干区域直连。R3虽是区域边界路由器，但没有连接骨干区域，不能将任何区域LSA通告传递进Area2，导致Area2无法与其它区域通信。4.4.1OSPF虚链路技术4.4配置OSPF虚链路4.4.2配置OSPF虚链路4.5配置OSPF认证4.5.1了解OSPF认证OSPF支持三种报文认证方式：空认证（NullAuthentication）、简单密码身份明文认证（SimpleAuthentication）及密文认证（CryptographicAuthentication）。空身份认证：类型0（type0），默认模式，报头中不包含身份认证秘钥信息。简单密码身份明文认证：类型1（type1），明文身份认证，使用简单明文口令。密文认证：类型2（type2），MD5身份认证，使用MD5加密口令。4.5配置OSPF认证4.5.1了解OSPF认证OSPF支持三种报文认证：空认证（NullAuthentication）、简单密码身份明文认证（SimpleAuthentication）及密文认证（CryptographicAuthentication）。默认情况下，OSPF使用身份认证方法NULL，即不对路由信息进行认证。通过开启邻居安全认证，则相同网段上所有对等路由器使用相同口令和身份认证方法。在部署OSPF安全中，在链路上进行，也可以在整个区域内进行认证。另外，虚链路同样也可以进行认证。4.5配置OSPF认证4.5.2OSPF明文认证当OSPF区域中设备不支持MD5身份安全认证，使用明文身份认证。明文认证将密码以明文形式，包含在OSPF报头中传输，使OSPF网络容易受到“嗅探器攻击”。受到这种攻击时，数据包会被协议分析程序捕获而读取口令，导致网络安全性不够。在某个接口上开启OSPF报文安全认证，也可以在一个区域中开启。当在一个区域中开启认证功能时，属于该区域中OSPF路由器上所有接口均开启认证。无论认证在哪里开启，最终都是基于接口运作。4.5配置OSPF认证4.5.4OSPF密文认证MD5算法基于每一个O