OSPF路由器计算区域内、区域间、外部路由都需要依靠收集网络中的大量LSA,大量LSA会占用LSDB存储空间,所以解决问题的关键是在不影响正常路由的情况下,减少LSA的数量。
Stub区域的ABR不向Stub区域内传播它接收到的自治系统外部路由(对应四类、五类LSA),Stub区域中路由器的LSDB、路由表规模都会大大减小。
为保证Stub区域能够到达自治系统外部,Stub区域的ABR将生成一条缺省路由(对应三类LSA),并发布给Stub区域中的其他路由器。
Stub区域是一种可选的配置属性,但并不建议将每个区域都配置为Stub区域。通常来说,Stub区域位于自治系统的末梢,是那些只有一个ABR的非骨干区域。
配置Stub区域时需要注意下列几点:
骨干区域不能被配置为Stub区域。
如果要将一个区域配置成Stub区域,则该区域中的所有路由器必须都要配置成Stub路由器。
Stub区域内不能存在ASBR,自治系统外部路由不能在本区域内传播。
虚连接不能穿越Stub区域建立。
配置Stub区域后,所有自治系统外部路由均由一条三类的默认路由代替。
除路由条目的减少外,当外部网络发生变化后,Stub区域内的路由器是不会直接受到影响的。
Totally Stub区域既不允许自治系统外部路由(四类、五类LSA)在本区域内传播,也不允许区域间路由(三类LSA)在本区域内传播。
Totally Stub区域内的路由器对其他区域及自制系统外部的访问需求是通过本区域ABR所产生的三类LSA缺省路由实现的。
与Stub区域配置的区别在于,在ABR上需要追加no-summary参数。
Totally Stub区域访问其他区域及自制系统外部是通过默认路由实现的。
自制系统外部、其他OSPF区域的网络发生变化,Totally Stub区域内的路由器是不直接受影响的。
Stub、Totally Stub解决了末端区域维护过大LSDB带来的问题,但对于某些特定场景,Stub、Totally Stub并不是最佳解决方案。
Stub区域、Totally Stub区域存在的问题:
RTD和RTA同时连接到某一外部网络,RTA引入外部路由到OSPF域,RTD所在的Area 1为减小LSDB规模被设置为Stub或Totally Stub区域。RTD访问外部网络的路径是“RTD->RTB->RTA->外部网络”,显然相对于RTD直接访问外部网络而言,这是一条次优路径。
OSPF规定Stub区域是不能引入外部路由的,这样可以避免大量外部路由对Stub区域设备资源的消耗。
对于既需要引入外部路由又要避免外部路由带来的资源消耗的场景,Stub和Totally Stub区域就不能满足需求了。
OSPF NSSA区域(Not-So-Stubby Area)是在原始OSPF协议标准中新增的一类特殊区域类型。
NSSA区域和Stub区域有许多相似的地方。两者的差别在于,NSSA区域能够将自治域外部路由引入并传播到整个OSPF自治域中,同时又不会学习来自OSPF网络其它区域的外部路由。
NSSA LSA(七类LSA):
七类LSA是为了支持NSSA区域而新增的一种LSA类型,用于描述NSSA区域引入的外部路由信息。
七类LSA由NSSA区域的ASBR产生,其扩散范围仅限于ASBR所在的NSSA区域。
缺省路由也可以通过七类LSA来产生,用于指导流量流向其它自治域。
七类LSA转换为五类LSA:
NSSA区域的ABR收到七类LSA时,会有选择地将其转换为五类LSA,以便将外部路由信息通告到OSPF网络的其它区域。
NSSA区域有多个ABR时,进行7类LSA与5类LSA转换的是Router ID最大的ABR。
Totally NSSA和NSSA区别:
Totally NSSA不允许三类LSA在本区域内泛洪。
Totally NSSA与NSSA区域的配置区别在于ABR上需要追加no-summary参数。
NSSA区域与Totally NSSA区域的LSDB:
配置了NSSA区域的ABR产生一条七类LSA缺省路由。
配置了Totally NSSA区域的ABR会自动产生一条三类LSA缺省路由。
七类LSA总结:
LSA作用:
Router LSA(一类):每个路由器都会产生,描述了路由器的链路状态和开销,在所属的区域内传播。
Network LSA(二类):由DR产生,描述本网段的链路状态,在所属的区域内传播。
Network-summary-LSA(三类):由ABR产生,描述区域内某个网段的路由,并通告给其他相关区域。
ASBR-summary-LSA(四类):由ABR产生,描述到ASBR的路由,通告给除ASBR所在区域的其他相关区域。
AS-external-LSA(五类):由ASBR产生,描述到AS外部的路由,通告到所有的区域(除了Stub区域和NSSA区域)。
NSSA LSA(七类):由ASBR产生,描述到AS外部的路由,仅在NSSA区域内传播。
OSPF更新机制:
为了保证路由计算的准确性,需要保证LSA的可靠性。
OSPF为每个LSA条目维持一个老化计时器(3600s),当计时器超时,此LSA将从LSDB中删除。
为了防止LSA条目达到最大生存时间而被删除,OSPF通过定期更新(每1800s刷新一次)机制来刷新LSA。
OSPF路由器每1800s会重新生成LSA,并通告给其他路由器。
为了加快收敛速度,OSPF设置了触发更新机制。
当链路状态发生变化后,路由器立即发送更新消息,其他路由器收到更新消息后立即进行路由计算,快速完成收敛。
OSPF认证机制:
-安全隐患
如图所示,内部网络通过OSPF协议传递路由。正常情况下,财务部访问公司数据库的流量走向是“财务部->RTA->RTB->Database”。
非法设备接入公司内网,通过向网络中注入非法路由,引导流量进行非正常的转发。即“财务部->RTA->非法设备->RTB->Database”。非法设备收到财务部的流量之后,进行恶意分析,获取财务部关键信息,造成公司机密泄露。
OSPF支持认证功能,只有通过认证的OSPF路由器才能正常建立邻居关系,交互信息。
两种认证方式:
区域认证方式。
接口认证方式。
支持的认证模式分为null(不认证)、simple(明文)、MD5以及HMAC-MD5。
当两种认证方式都存在时,优先使用接口认证方式。
OSPF综合应用场景:
公司网络拓扑如下图所示:OSPF基础配置已经完成,作为网络管理员,有如下几个问题需要解决:
总公司与分公司A、B之间通信正常,但无法与办事处C通信。
分公司A的设备性能较低,希望降低路由计算、存储压力,同时考虑网络扩展,需要保留引入外部路由的功能。
办事处C外来人员较多,采用较安全的方式保证路由交互的安全性。
RTA引入外部路由时除了考虑外部开销之外,还需要考虑OSPF域内的开销。
需求分析:
需求1分析:办事处C处于Area 3,RTE左侧与Area 2相连。根据OSPF骨干区域与非骨干区域的连接规则,不能正常通行的原因在于Area 3没有与Area 0直接相连。解决的方式是在RTE和RTC之间建立虚连接。
需求2分析:区域内部设备性能低,降低路由计算压力可以通过Stub、Totally Stub、NSSA、Totally NSSA,最大程度减少需要选择Totally Stub或Totally NSSA,同时为了保留外部路由引入的功能,只能选择Totally NSSA。
需求3分析:保证路由安全性需要通过认证的方式,最安全的认证模式是采用HMAC-MD5。认证形式采取接口认证。
需求4分析:在计算外部路由时如要考虑OSPF域内开销,可通过引入类型为1类的外部路由实现。
配置如下:
以上就是本次的OSPF(Open Shortest Path First)特殊区域以及其它特性分享,知识点也是比较多,如果对于本片学习的同学仍觉晦涩难懂,建议多看几遍前两基础篇的分享,后续开始分享OSPF的域内路由,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!
励志分享超清壁纸语句~~:
一个人如果不到最高峰,他就没有片刻的安宁,他也就不会感到生命的恬静和光荣。——肖伯纳
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-10-21 11:38
技术专家1级 
