欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > DOC文档下载  

    大型企业OSPF组网建设方案.doc

    • 资源ID:1602595       资源大小:2.32MB        全文页数:29页
    • 资源格式: DOC        下载积分:16金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要16金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    大型企业OSPF组网建设方案.doc

    第一章 OSPF 协议简单介绍 OSPF 是由IETF 的IGP 工作组为IP 网络开发的路由协议。OSPF 作为一种内部网关协议(Interior Gateway Protocol,IGP),用于典型网络中的路由器之间发布路由信息。它是一种链路状态协议,区别于距离矢量协议(RIP),OSPF 具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。 第二章 OSPF 协议应用场合 在当前典型网络络中,OSPF的应用场合基本上有以下三种: (1) 典型网络中核心和汇聚都是支持 OSPFv2 的三层交换机 (2) 典型网络核心或者汇聚层设备上建立了过多的静态路由,人工维护量过大 (3) 典型网络中的三层设备支持 OSPFv2 但是仍然在使用 RIP 协议的可以考虑做协议迁移。 在日常工作中常见的情况只有(1)和(2)两种。 第三章 OSPF 协议基本规划 OSPF网络协议在所有内部网关协议中是比较复杂的一种,这种复杂性和 OSPF的协议原理密切相关,那么在设计典型网络中的 OSPF我们具体需要考虑哪几方面的问题呢?在本节中将会为您一一介绍。 3.1 保持 OSPF 数据库的稳定性: Router-id的选择 对于大型典型网络络OSPF设计和实施中我们需要考虑的第一点, 就是 Router-id的选择。 这是因为 OSPF作为一种链路状态路由协议其计算路由的依据是LSA(链路状态宣告报文)数据库,每个运行OSPF的路由器都会发送并泛洪 LSA报文到整个网络,这样网络中每个运行 OSPF的路由器都会收集到其他设备发送过来的 LSA 并且放入 LSA 数据库中,然后开始进行 SPF(最短路径转发)运算,计算出一棵以自 己为根到其他网络的无环树。由此可以看出保持每个路由器 LSA 数据库的稳定性是保证 OSPF 网络稳定的前提。那么在 LSA 数据库中对于不同 OSPF 设备发送来的 LSA 是如何进行区分的呢,答案就是使用 Router-id。如果一个路由器的 Router-id 发生变化,那么此路由器的会重新进行 LSA 泛洪,从而导致全网 OSPF路由器都会更新其LSA数据库并且重新进行SPF计算,使得OSPF网络发生振荡。因此选择一个稳定的Router-id是OSPF网络设计的首要工作。 了解了 Router-id 的重要性后,我们来看看一个 OSPF 路由器是如何选择 Router-id 的, 其选举原则基本上可以归纳为以下两点: (1) 首先选择具有最高 IP 地址的环回接口 (2) 如果没有环回接口的话则选择具有最高 IP 地址的激活物理接口。 在一个 OSPF路由器选举出 Router-id 后,重启路由器或者重新配置 OSPF 进程都会导致 Router-id 的重新选举,如果 OSPF路由器选择了一个激活物理接口的 IP 地址作为 Router-id的话, 那么一旦其 down掉,就有可能引起 OSPF路由器的Router-id发生变更,因此选择物理接口是一种危险的做法。 在实际工程中, 的推荐做法是首先规划出一个私有网段用于 OSPF 的 Router-id 选择。例如: 192.168.1.0/24. 在启用 OSPF 进程前就在每个 OSPF 路由器上建立一个环回口, 使用一个 32 位掩码的私有地址作为其 IP,这个 32位的私有地址不要发布在 OSPF网络中. 3.2 层次化的网络设计: OSPF 区域的规划 OSPF是一个需要层次化设计的网络协议,在 OSPF网络中使用了一个区域的概念,从层次化的角度来看区域被分为两种: 骨干区域和非骨干区域。骨干区域的编号为 0,非骨干区域的编号从 1 到 。处于骨干区域和非骨干区域边界的 OSPF路由器被称为 ABR(区域边界路由器),处于非骨干区域的路由器被称为区域内部路由器。由于 OSPF的区域边界处于路由器上, 因此对于每个非骨干区域中都会存在至少一个ABR。 实际上 OSPF区域的规划也就是把网络中的 OSPF路由器做归类的过程。 在设计 OSPF 区域时,我们首先需要考虑第一点的是网络的规模,对于小型的典型网络络,例如只有几台S3550作为核心和汇聚的网络可以考虑只使用一个AREA 0来完成 OSPF规划。这在本文中不予讨论。但是在大型典型网络的 OSPF网络中,网络的层次化设计是必须的。 对于大型的典型网络络,一般在规划上都会遵循核心,汇聚,接入的分层原则,而 OSPF 骨干路由器的选择必然包含两种设备, 一种是位于核心位置的设备, 另一种是位于区域核心的汇聚设备,通常都是的高端产品如 S6810E和S6806E. 非骨干区域的范围选择则是根据地理位置和设备性能而定,如果在单个非骨干区域中使用了较多的低端三层交换产品,由于其产品定位和性能的限制,应该尽量减少其路由条目数量,把区域规划得更小一些。 值得注意的是在施工中对于非骨干区域的 AREA号定义,推荐使用 AREA 10 ,20 ,30来递增,这样可以提供AREA号上的冗余,便于客户增加区域。 3.3 非骨干区域内部路由器的路由表项优化: 特殊区域的使用 前一节讲到在 OSPF 的非骨干区域中使用的一般都是较为低端的三层交换机,其产品定位使得其不可能承受过多的路由条目,为了精简其路由条目数量可以采用一些特殊区域模式来进行路由表项的优化。产品支持OSPF协议中定义的全部三种特殊区域模型:末梢区域(Stub Area),完全末梢区域(Totally Stub Area)和非完全末梢区域(NSSA Area)。 由于 NSSA区域应用非常少,下面简单介绍一下前两种特殊区域的区别和应用场合: (1) 末梢区域 Stub Area 处于末梢区域的内部路由器将不会出现重分布进入 OSPF 网络的外部路由条目,并且拥有一条指向区域外部的默认路由。 (2) 完全末梢区域 Totally Stub Area 处于完全末梢区域的内部路由器只有区域内部明细路由和指向区域外部的一条默认路由。 在绝大部分的情况下,典型网络中的非骨干区域中都仅仅需要知道默认路由出口在哪里,因此推荐把非骨干区域统一设置成完全末梢区域,这样将极大的精简非骨干区域内部路由器的路由条目数量,并且减少区域内部OSPF交互的信息量。对于极少数存在特殊需求的网络,请根据实际情况灵活使用几种区域类型。 3.4 骨干区域路由器的路由表项优化:非骨干区域 IP子网规划和路由汇总 对于 OSPF 的非骨干区域来说使用特殊区域能够精简其内部路由器的路由表, 那么对于 OSPF 的骨干区域的路由器来说又是如何优化其路由表的呢?答案就是对非骨干区域使用的 IP 网段作出合理规划以便于区域边界的汇总。 对于 IP 网段的合理规划在本书中第三章典型网络 IP 地址规划设计中已经有非常详细的说明,本章节就不再做过多的阐述。 推荐新建 OSPF网络能够在前期就作出利于路由汇总的 IP网络设计,对于扩建的网络尽量进行 IP地址的重新规划,通过区域汇总能精简骨干区域路由器的路由表,减少骨干区域内 OSPF交互的信息量,并且提高了路由表项的稳定性。 3.5 OSPF默认路由的引入和选路优化:重分布静态和 cost调整 当前对于一个大型典型网络络来说,很大一部分的业务流量并不在典型网络内部,而是通往 INTERNET出口,因此默认路由的引入也是典型网络络 OSPF设计的一大要点。 对于 OSPF网络的默认路由引入方式,推荐使用静态默认路由重分布到 OSPF网络的方式进行。 在实际的大多数工程案例中,典型网络的出口往往不止一个,如何有效的将出口流量分担到多条链路上就成为了 OSPF 设计中的一个难点。虽然有很多种手段能够达到分担流量的目的,但是最简单也是最安全的方法是使用 OSPF 内建的选路机制。因为 OSPF 路由器对一条路由的优劣衡量是通过计算其 cost 值来实现的, cost 值小的路由会被路由器优先放入路由表。通过调整 OSPF 接口的 cost 值可以使得路由器选择不同的链路出口来达到负载分担的目的。 不过在调整 cost 值之前还有一项必须要做的工作。因为 OSPFv2 出现的时间较早,没有考虑到带宽的飞速发展,因此缺省情况下,OSPF计算cost值使用的参考带宽为 100M,也就是说缺省情况下,OSPF把100M 带宽以上的端口统统认为其cost 是 1。很明显,在网络骨干带宽迈向 10T的今天已经显得非常的不合时宜。幸运的是设备提供了更改参考带宽的功能,使用 auto-cost reference-bandwidth 命令选择一个合适的参考带宽成为OSPF网络建设中必须要做的一项工作。 对于 OSPF网络的选路优化, 推荐首先选择合适的参考带宽,然后通过调整 OSPF 接口 cost值来实现。 3.6 OSPF 网络基本安全:阻止发往用户的 OSPF 报文 对于一个大型典型网络络来说,安全性是必须要考虑到的问题 。 首先谈谈为什么需要避免终端用户窥探 OSPF报文信息,这是因为如果用户能截获 OSPF报文,那就意味着他已经知道如何加入此 OSPF 网络。此时要破坏这个 OSPF 网络已经是轻而易举的事, 接入一台路由器到OSPF 网络中,并且使得该路由器的 OSPF 进程处于不稳定的状态中,会导致整个 OSPF 网络发生振荡甚至瘫痪。 为了保证 OSPF网络的安全与稳定,推荐在实际工程中使用闭塞接口(Passive-interface)的方式来阻止通往用户侧的 OSPF报文。 第四章 OSPF 案例分析和部署 本章上一节对整个 OSPF 典型网络络设计的六个基本原则作出了详细说明,下面我们来看看在实际工程中我们是如何运用这六个基本原则对 OSPF进行设计和部署的。 图 1 某典型网络络拓扑图 图 1 是某典型网络络的物理拓扑图,可以看到这是一个大型典型网络络,核心,汇聚,接入三层分明, 拥有多出口到 Internet,典型网络内部网络存在双链路冗余。对于这种比较典型的网络结构,我们将如何进行OSPF的规划部署工作呢?下面将根据上一节提出的六条基本原则逐步进行此网络的设计和部署。 4.1 保持 OSPF 数据库的稳定性:规划和部署 Router-id. 部署 OSPF的首要工作就是规划和部署 Router-id, 在Router-id仅仅是一个 OSPF设备的标识,因此不需要占用公共 IP,使用一个合适的私有 IP 地址段即可。在此案例中我们选用的 Router-id地址段为 10.0.0.0/24. 选取完 Router-id 地址段后, 接下来需要做的工作是在每个 OSPF 设备上建立相应的 Loopback 接口并设置相应的接口 IP 为 10.0.0.X/32。具体配置以一号楼的 S3550-24交换机为例: 命 令含 义switch(config)# interface loopback 0创建环回接口switch(config-if)# ip add 10.0.0.5 255.255.255.255使用 32位掩码的私有地址注意: 不要在 OSPF 进程中发布 loopback0 的接口地址,以减少无用的 OSPF信息交互报文。 图 2 Router-id规划后的 OSPF拓扑图 4.2 层次化的网络设计: OSPF 的区域规划 在分配完 Router-id后,接下来的工作就是对于整个 OSPF网络进行区域划分。对于这种层次分明的网络,OSPF的区域划分是非常容易的,直接把核心和区域汇聚交换机包含到区域 0,再按照地理位置来区分非骨干区域。唯一需要注意的是非骨干区域 AREA号的冗余性,在实际工作中经常被忽视。下图是做了 AREA划分后的OSPF网络拓扑图: 图 3 AREA 划分后的 OSPF拓扑图 具体的设备配置以一号楼的 S6806E交换机为例: 命 令含 义S6806E(config)# router ospf建立 OSPF进程S6806E(config-router)# network 10.0.1.0 0.0.0.3 area 0将上联S6810E的接口放到骨干区域S6806E (config-router)# network 10.0.1.4 0.0.0.3 area 10将下行到 S3550 的接口放到非骨干区域 10 从配置命令中可以清楚的看到 OSPF区域是以路由器为边界的,例如此拓扑中一号楼的 S6806E上联接口属于Area 0 , 下行接口属于 Area 10,也就是说,此路由器跨越了两个区域,是一个区域边界路由器。 注意:在单个区域包含过多的低端路由器或者三层交换机是一种不好的设计,如果出现这种情况应该考虑缩小区域范围。 4.3 非骨干区域内部路由器的路由表项优化: 特殊区域的使用 划分完 OSPF网络区域, 就应该开始考虑特殊区域的运用了。本案例具有很强的代表性,象此类型的典型网络络,推荐非骨干区域一律采用完全末梢区域. (Totally Stub Area). 具体拓扑图如下: 图 4 采用特殊区域后的 OSPF网络 具体设备配置以 AREA 10 的S6806E和S3550为例 S3550 配置如下表: 命 令含 义S3550(config)#router ospf 进入 OSPF进程 S3550(config-router)#Area 10 stub将AREA 10设置成为 stub区域 S6806E 配置如下表: 命 令含 义S6806E(config)#router ospf进入 OSPF进程S6806E(config-router)#Area 10 stub no-summary将AREA 10设置成为stub区域,No-summary参数用在区域边界路由器上,设置此区域为完全末梢区域4.4 骨干区域路由器的路由表项优化:非骨干区域 IP子网规划和路由汇总 使用特殊区域后,非骨干区域内部路由器的路由表得到极大的精简并且减少了区域内部 OSPF 路由器之间的信息交互量。在骨干区域我们也需要作出适当的操作来达到同样的目的,这就要对非骨干区域使用的IP子网作出合理规划并在区域边界路由器进行汇总操作。 在下图中显示了区域 10作出合理的 IP 规划后往区域0通告的路由汇总表项: 图 5 区域边界路由汇总 区域路由汇总会抑制明细路由条目的通告,这样区域 10 的 ABR 就只会向区域 0 内注入一条汇总路由 10.0.4.0/22,这样可以精简骨干路由器路由表项,减少 AREA 0 的 OSPF报文交互量和保证其路由表的稳定。 推荐在设计 OSPF网络时就合理规划 IP地址,在实施 OSPF时进行区域汇总。 具体配置以 Area 10 的S6806E为例 命 令含 义S6806E(config)#router ospf进入 OSPF进程S6806E(config-router)#area 10 range 10.0.4.0 255.255.252.0对 Area 10 的路由进行汇总发布注意: Area x range 命令只能用在区域边界路由上,区域内部路由器上不要使用此条命令,否则会造成路由表项的错误。 4.5 OSPF 默认路由的引入和选路优化:重分布静态和 cost调整 对于这种多出口的网络拓扑,引入默认路由和多出口流量分担是必须要考虑的问题。 引入默认路由的方式有多种,推荐的做法是在边界路由器上建立静态默认路由,并且重分布到 OSPF 进程中。 在本案例中两条默认路由被引入到 OSPF网络后,对于汇聚层的 S6806E设备来讲需要选择其中的一条链路投递IP报文,或者是在两条链路上实现负载均衡。 因为典型网络内部使用的是私有地址,出口处必须做NAT转换,因此使用两条链路负载均衡的方式是不可行的。只能通过调整 cost 值来使得 S6806E 把其中的一条上行链路作为主链路,另外一条作为备份链路。具体项目中如何分配流量,请根据实际的网络情况灵活配置。不过在做这项工作前,请记得首先更改 OSPF网络的参考带宽。 图6 中区域 10的OSPF路由器在进行了选路调整后,对上行链路,核心交换机和出口都作出了合理的流量分担。 图 6 OSPF选路优化 图中各区域 S6806E的上联链路实线部分表示为主链路,虚线部分表示此链路为备用链路。 默认路由引入的具体配置如下: 命 令含 义Router(config)#ip route 0.0.0.0 0.0.0.0 202.103.131.1在出口路由器上建立一条指向电信路由器的静态默认路由 命 令含 义Router(configr)# router ospf进入 OSPF进程 Router(config-router)# redistribute static将静态路由引入 OSPF选路优化具体配置以 Area 10 的 S6806E,S6810E-1,S6810E-2为例 AREA10 汇聚交换机 S6806E的配置:命 令含 义S6806E(config)#router ospf进入 OSPF进程 S6806E(config-router)#auto-cost reference-bandwidth 10000将网络参考带宽改为 10GS6806E(config)#interface T 1/1进入S6806E到S6810E-1的上联接口S6806E(config-if)#ip ospf cost 10调整此接口的 cost 值为10S6806E(config)#interface T 1/2进入S6806E到S6810E-2的上联接口S6806E(config-if)#ip ospf cost 20调整此接口的 cost 值为20 S6810E-1的配置: 命 令含 义S6810E-1(config)#router ospf进入 OSPF进程 S6810E-1(config-router)#auto-cost reference-bandwidth 10000将网络参考带宽改为 10G S6810E-1(config)#interface T 1/1进入区域 10 S6806E 的下行接口S6810E-1(config-if)#ip ospf cost 10调整此接口的 cost 值为10S6810E-2的配置: 命 令含 义S6810E-2(config)#router ospf进入 OSPF进程S6810E-2(config-router)#auto-cost reference-bandwidth 10000将网络参考带宽改为 10GS6810E-2(config)#interface T 1/1进入区域 10 S6806E 的下行接口 S6810E-2(config-if)#ip ospf cost 20调整此接口的 cost 值为20注意:在做OSPF选路调整时注意两点:一是更改OSPF参考带宽时必须保证全网设备一致,二是在链路两侧的设备上需要作出同样的 cost调整,否则会形成不对称路由,引起网络故障。 4.6 OSPF网络的基本安全:阻止发往用户的OSPF 报文 对于本案例来说,做完上面五步,实际上整个 OSPF 网络已经能够正常的运行,但是这个网络存在一个较大的安全漏洞。即用户侧能够接收到 OSPF的 hello报文,使用 Sniffer工具可以很轻易的获得基本的网络信 息,并作出下一步的攻击行为。 为了实现 OSPF网络的基本安全,在实际工程中推荐使用 Passive接口的方式来阻止发往用户的 OSPF报文。如图 7所示: 图 7 阻止发往用户的OSPF报文 具体配置以 Area 10中的一台 S3550为例: 命 令含 义S3550(config)# router ospf进入 OSPF进程S3550(config-router)#passive-interface vlan 10阻塞发往用户 vlan的 OSPF报文注意:passive-interface 命令会阻塞所有 OSPF 报文的发送,一般只会用于用户 vlan 的 SVI接口上,千万不要阻塞 OSPF路由器之间的链路,这将导致 OSPF邻居无法建立。 第五章 OSPF 可选配置 本章节介绍了不太常见的 OSPF配置, 在实际工程中可以选择性使用。 5.1 OSPF 接口参数调整 OSPF接口参数是 OSPF协议的一个组成部分,将直接影响协议的运行。在绝大多数情况下,推荐不要去更改这些参数的默认值。只有在某些特定应用环境中,比如运营商的网络,可能会需要调整 OSPF 的接口参数。 常见的 OSPF接口参数有下面几种: (1) OSPF网络类型 锐捷交换机支持两种 OSPF网络类型: point-to-point(点到点)和 Broadcast(广播)。这两种OSPF网络类型的主要区别在于Broadcast 需要选举 DR (指定路由器)和 BDR (备用指定路由器), point-to-point 不需要。因此Broadcast 类型的接口建立 OSPF邻居关系花费的时间会更长一些。缺省情况下,锐捷交换机的所有 OSPF接口都是 Broadcast类型。 (2) OSPF 接口 hello间隔和邻居死亡间隔 OSPF接口使用 hello报文来发现邻居和维持邻居关系, 在邻居死亡间隔内没有收到对端回复的 OSPF报文, 将会宣告邻居关系解除。缺省情况下,锐捷交换的 hello间隔为 10秒,邻居死亡间隔 4倍于 hello间隔,也就是40秒。 (3) OSPF接口优先级 OSPF 接口优先级用于 Broadcast 链路上的 DR 和 BDR 选择,在某些情况下,是需要通过调整接口优先级来保证DR和BDR 位置的。 这里简单介绍一下 DR 和 BDR 在 OSPF 的广播网络链路上的作用和选举机制,大家知道在点对点链路上OSPF的邻居只会有一个,也就是说只需要建立一个邻居关系即可。但是在广播链路上,由于可以同时存在多个OSPF路由器, 那么会需要维护大量的邻居关系。例如在一个拥有 3台路由器的广播链路上需要建立 3个邻居关系, 但是在一个拥有 4 台路由器的广播链路上就会需要建立 6 个邻居关系,对于一个拥有 N 台路由器的广播链路来说,其邻居关系的数量为 N×(N-1)/ 2。 维护过多的邻居关系会消耗大量的路由器资源和链路带宽。为了减少这种消耗, 就出现了 DR 和BDR 的概念。 DR 和BDR 类似于广播链路的领导者和中转站,用于建立和维护普通路由器的邻居关系,这样就大大减少了邻居关系的维护量。 由此可以看出 DR 和 BDR 在广播链路中的作用,对于一个路由器数量较多的 OSPF 广播网络来说,保持DR 和BDR的稳定性是非常重要的。同时由于 DR 和 BDR 维护着这个网络的邻居关系,因此其性能要求也会高于普通路由器, 一般 DR 和BDR 都会选择相对高端的设备。此时如果使用自动选举的方式,可能最终选举出的DR和BDR不是我们希望获得的结果,因此使用端口优先级进行调整来进行人工指定是工程中必要的手段。 更改接口参数具体配置如下: (1)更改 OSPF网络类型: 命 令含 义Switch(config)# interface vlan 10进入 OSPF接口Vlan10Switch(config-if)#ip ospf network point-to-point将此接口的OSPF网络类型更改为 point-to-point (2)修改 OSPF接口 hello间隔和邻居死亡间隔 命 令含 义Switch(config)# interface vlan 10进入 OSPF接口Vlan10Switch(config-if)#ip ospf hello-interval 5将此接口的 OSPF 的 hello 间隔修改为 5秒一次Switch(config-if)#ip ospf dead-interval 30将此接口的OSPF的邻居死亡间隔修改为 30秒超时。注意:修改接口网络类型和 hello 间隔都有可能造成 OSPF 邻居关系无法建立,请谨慎使用。如有特殊需求,请联系工程师。 (3) 通过调整接口优先级来控制 DR 和 BDR的选举 图 8 控制 DR 和BDR的选举 如上图, 两台 S6806E 和三台 S3550-24 在一个广播型网络中,这种情况下如果不作调整的话, 性能较差的S3550有可能被选举成 DR 和BDR,但是我们希望 S6806E-1成为 DR,S6806E-2成为 BDR。因此需要使用端口优先级来控制选举过程。具体配置如下: S6806E-1的配置: 命 令含 义S6806E-1(config)# Int G1/1进入 6806E-1的以太口S6806E-1 (config-if)# ip ospf priority 255设置此接口的 OSPF 优先级为255 ,保证其成为DR S6806E-2的配置: 命 令含 义S6806E-2(config)# Int G1/1进入 6806E-2的以太口S6806E-2 (config-if)# ip ospf priority 254设置此接口的 OSPF 优先级为254,保证其成为 BDR 其它 S3550使用缺省的 Ip ospf priority 值 (缺省为 1). 通过以上设置, 6806E-1最终会成为 DR,而 6806E-2成为 BDR,实现原有的设计。 5.2 OSPF的认证:区域认证和链路认证 在前面章节讲述OSPF基本安全时,介绍了一种针对OSPF的攻击方法, 那就是接入一台路由器进入OSPF典型网络络,并使其 OSPF 进程处于不稳定的状态当中,从而影响 OSPF 全网的稳定性。 那么如何防范未授权的OSPF路由器进入网络呢,答案就是开启 OSPF的认证机制。 OSPFv2 有两种认证机制:一种是区域认证, 另外一种是链路认证。设备对于这两种认证方式都支持,下面将以图 9和图 10中的两台 S3550为例介绍这两种认证方式的区别和配置。 图 9 开启区域认证后 (1) 区域认证: OSPF的区域认证一旦开启,那么在此路由器上属于此区域的所有 OSPF接口都会进行认证操作,一旦邻居发送的 OSPF报文无法通过认证,将导致邻居关系被解除。 图9中,在 S3550-1和S3550-2上开启 Area 0的认证,那么包含在 Area 0中的两条链路的认证开关都被打开。 图 10 开启链路认证后 (2) 链路认证: OSPF的链路认证开启后,只会影响当前开启认证的接口。从此 OSPF接口接收到的所有 OSPF报文都需要认证。 图10中,在 S3550-1和S3550-2上开启了F0/1接口的认证,那么认证仅仅会发生在 F0/1接口, 但是在F0/2接口上认证开关并没有打开,因此不需要认证。 (3) 认证报文方式: 在区域认证和链路认证配置过程中可以选择两种认证报文的发送方式,第一种是明文方 式,第二种是 MD5的加密报文方式。 在实际工程中,推荐 OSPF认证全部采用 MD5加密报文的方式。 区域认证的具体配置以 S3550-1为例: 命 令含 义S3550-1(config)#router ospf进入 OSPF进程S3550-1(config-router)#area 0 authentication message-digest开启 OSPF Area 0 的MD5认证S3550-1(config-if)# interface fastEthernet 0/1进入接口 F0/1S3550-1(config-if)# ip ospf message-digest-key 1 md5 rg在接口 F0/1 上设置认在接口 F0/1 上设置认证密码 rg S3550-1(config-if)# interface fastEthernet 0/2进入接口 F0/2S3550-1(config-if)# ip ospf message-digest-key 1 md5 rg在接口 F0/2 上设置认证密码 rg注意:区域认证一旦开启,就要在所有包含到此区域的接口上设置认证密码。 链路认证的具体配置仍然以 S3550-1为例: 命 令含 义S3550-1(config-if)# interface fastEthernet 0/1进入接口 F0/1S3550-1(config-if)# ip ospf authentication message-digest在接口 F0/1 上开启链路认证S3550-1(config-if)# ip ospf message-digest-key 1 md5 rg在接口 F0/1 上设置认证密码 rg第六章 OSPF 的验证与排错 在工程中配置完一个 OSPF网络之后,需要对 OSPF的运行状态和参数进行验证和排错,设备为大家提供了多种工具来达到这一目标,本章节将为大家提供 OSPF验证和排错的基本流程。 6.1 OSPF常用的验证方法: 灵活使用三条show 命令 (1) Show ip ospf neighbor: 这是最常用也是最容易被忽视的一条命令。 在实际工作中,OSPF出现问题时应该使用到的第一条命令就是它。因为万变不离其宗,不管 OSPF出什么问题,都应该从最基础的邻居关系开始考虑起。 这条命令中为我们验证和排错提供的最有用的三个信息是: Neighbor ID (邻居的 Router-id) State (当前邻居关系的状态,共有五种,正常状态应该是full,但是在广播型链路上, DROTHER路由器之间的状态会停留在 Two-way。) Interface (通往邻居的接口信息) (2) Show ip ospf interface 此命令用于检查加入 OSPF进程的接口配置,在进行OSPF邻居关系排错时非常有用 下面将对输出信息的重点部分进行讲解: Switch#show ip ospf interface FastEthernet 0/1 State : Up 接口状态: 是否 UP Internet address : 1.1.1.1/24 Area : 0.0.0.0 Router ID : 5.5.5.5 Network Type : PointToPoint 网络类型: 两种 broadcast和 PointToPoint Cost : 1 cost : 此链路在 OSPF中的 cost值 Transmit Delay : 1 State : PointToPoint Priority : 1 优先级: 接口竞选DR使用的优先级 Designated Router(ID) : No DR on this network 当前网络的 DR是谁 DR's Interface address : none Backup designated router(ID): No BDR on this network 当前网络的 BDR是谁 BDR's Interface address : none Authentication

    注意事项

    本文(大型企业OSPF组网建设方案.doc)为本站会员(牧羊曲112)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    展开