网络工程设计与实施 第2版 教学ppt课件 项目五.pptx

学习情境五多校区校园网互联,主要内容,多校区校园网广域网互联规划设计,OSPF动态路由协议配置,DDN互联方案设计与实现,VPN互联方案设计与实现,项目导入,Leader职业学院有四个校区，并且四个校区的校园网已建设完毕，并各自接入Internet。目前学院决定将四个校区的校园网互联起来，搭建内联网（Intranet）。建设需求如下：（1）以当前成熟的、主流广域网技术，以老校区为中心节点，其他三个校区为分支节点，将学院老校区、新校区、威海校区和青岛校区四个校园网互联。（2）目前老校区、威海校区的Internet出口带宽均为100Mbps，新校区、青岛校区的Internet出口带宽为10Mbps。为节省开支，尽量利用各校区现有的Internet连接进行网络互联。（3）在各个校区之间实现内部网络资源共享。（4）各个校区之间需要传输财务数据、考试资料等私密信息，必须保证网络互联的安全性和可靠性。,5.1工作任务一多校区校园网广域网互联规划设计,【任务分析】,要实现四个校区校园网广域网互联，首先应调查该学院的具体需求，比如每个校区有多少用户，哪些用户有广域网互联需求，学院对广域网的连接带宽是多少，是否需要保证数据传输的安全性等。根据收集的调查信息，结合Leader职业学院对广域网互联的资金预算，为该学院推荐最合适的广域网解决方案。由于广域网技术种类繁多，为了全面介绍各种广域网技术的特点和适用客户，本工作任务将首先介绍常见的广域网连接方式、广域网接口和线缆，然后为Leader职业学院规划设计合适的广域网解决方案。,【任务要求】,5.1.1常见的广域网连接方式,1广域网连接方式的分类,广域网的连接方式分为私有WAN连接方式和公共WAN连接方式。前者对应DDN、帧中继和ATM等广域网技术，而后者对应各种VPN连接技术。1）私有WAN连接方式专用通信链路：运营商首先在骨干传送网中为用户建立一条独享的专用线路，用户使用路由器的串行接口连接到运营商。使用这种方式，用户能够在两个局域网之间得到一条永久性的、带宽固定的点对点专用线路连接。由于用户是向运营商租用的专用通信链路，所以也被称为租用线。典型的专用通信链路包括DDN和SDH租用线。交换通信链路：交换通信链路又分为电路交换链路和分组交换链路两种类型。电路交换链路的工作方式就像打电话，用户需要传输数据时，运营商的交换机在主叫端和被叫端之间接通一条物理的数据传输通路。当用户不再传输数据时，切断传输通路。典型的电路交换链路包括拨号PSTN和ISDN。,（2）公共WAN连接方式公共WAN连接方式是通过Internet连接组建广域网的方式。各企、事业单位都会使用城域网或DSL等方式连接到Internet，公共WAN连接就是使用用户现有的Internet连接组建广域网。由于Internet的安全风险以及私有地址的路由问题，公共WAN连接方式曾经被认为是不可行的广域网连接方案。但是，由于VPN（Virtual Private Network，虚拟专用网络）技术的发展，使得公共WAN连接成为了一种既经济、又安全的解决方案。公共WAN连接需要用户使用宽带网络连接到Internet，然后通过VPN技术确保数据传输的连通性和安全性。常见的广域网VPN包括GRE VPN、IPSec VPN、L2TP VPN以及MPLS VPN等多种类别。,广域网连接方式的分类,2DDN和SDH专线,DDN和SDH数字租用专线面向数据传输量大，要求可靠性强的用户。用户数据被直接发送到运营商骨干SDH传送网进行传输。专线连接的特点是带宽稳定，安全性和可靠性有保证，但是价格最为昂贵。,图5-1所示是专线连接的拓扑模型。要连接到租用专线，用户需要自行购买企业级路由器，使用串行接口（Serial Interface，简称串口）通过一条几米到十几米长的本地线缆连接到运营商的CSU/DSU（Channel Service Unit / Data Service Unit，通道服务单元/数据服务单元）设备。CSU/DSU再通过几百米到上千米的接入线路连接到距离用户最近的运营商机房的传输设备上，用户的局域网数据是被通过骨干传送网传输到远程节点的。,专线连接具有部署简单、通信可靠、带宽有保障、传输延迟小的优点。缺点是价格昂贵，资源的利用率低。由于线路是点到点的，因此一条DDN、SDH专线只能连接两个节点，如果需要连接多个局域网节点，就需要租用多条专线，使成本更加高昂，且结构不灵活。,图5-1 专线连接模型在图5-1中，用户路由器通过串行接口连接到运营商的接入设备，路由器的物理接口分为DCE和DTE两类。,（1）DCE（Data Circuit-terminating Equipment，数据电路终接设备）：提供对用户路由器的专线接入、DCE和DTE之间的时钟频率。DCE是由运营商负责管理的设备端。（2）DTE（Data Terminal Equipment，数据终端设备）：是用户路由器，DTE通过DCE连接到运营商传送网，并从DCE接收时钟频率。DTE是由用户负责管理的设备端。常见的租用线及其比特率如表5-1所示，接入速率越高，需要的专线租赁费用就越高。,表5-1 专线连接的类型及其容量,DDN和SDH广域网工程的实施流程为：用户根据数据传输量需求，选择租用线路的带宽；运营商根据用户的要求，在传送网中的传输设备上为用户建立专用连接线路。在运营商搭建好专用连接线路后，用户在两个局域网的边缘各部署一台配有串行接口模块的路由器，然后开启接口并封装数据链路层协议PPP或HDLC、配置接口IP地址以及路由等其他信息。,3VPN技术,VPN（虚拟私有网）技术也是公共WAN连接方式。近十年来，VPN得到了快速的发展和越来越多的应用。由于DDN、SDH和帧中继等传统广域网技术具有部署成本高、变更不灵活以及移动用户远程接入费用高等缺点，所以用户需要一种成本较低、不需改变IP编址并能够充分利用现有网络资源的广域网互联方案。基于这些需求，VPN（Virtual Private Network，虚拟专用网）技术出现了。,图5-2 VPN组网,如图5-2所示，VPN利用现有的Internet连接，通过各种隧道技术建立虚拟的私有WAN。VPN具有成本低、安全性高和扩展性好等优点。,VPN解决了以下三个问题：通过组织现有的Internet连接组建广域网；不同局域网的内部私有地址连通性；保证安全、可靠的数据传输。,按照组网方式不同，可以将VPN分为站点到站点VPN和远程访问VPN。站点到站点VPN：用于企业总部与分支机构、合作伙伴局域网通过Internet线路进行互联的一种技术。通常要求企业或学校在网络出口防火墙或专用路由器上配置VPN功能。远程访问VPN：是为了方便出差员工、在家办公的员工、小型办事处等移动用户访问局域网内部资源而部署的。,常见的站点到站点VPN包括GRE VPN、IPSec VPN、MPLS VPN等；常见的远程访问VPN包括L2TP VPN、SSL VPN。按照工作的层次不同，可以将VPN划分为二层VPN和三层VPN。二层VPN：在VPN隧道中传输的是位于数据链路层的数据帧。典型的二层VPN包括L2TP VPN和MPLS L2VPN。三层VPN：在VPN隧道中传输的是位于网络层的数据包。典型的三层VPN包括GRE VPN、IPSec VPN、GRE over IPSec VPN、MPLS L3VPN等。,5.1.2广域网接口和线缆,1常见广域网接口,（1）同步串型接口同步串型接口常用DB-28和Smart Serial（思科设备）连接器，如图5-3和5-4所示。,图5-3 DB-28接口 图5-4思科Smart Serial接口,（2）E1、CE1接口E1、CE1接口常用DB-15连接器，如图5-5所示。E1接口的速率是2.048Mbps，CE1接口可以将E1划分为32个时隙，每个时隙64Kbps，可以使用若干个时隙的组合。国内运营商通常提供的是CE1线路。,图5-5 DB-15接口,（3）T1、CT1接口T1、CT1接口常用与RJ-45相同的连接器，如图5-6所示。这些路由器串行接口可以支持DDN和帧中继等广域网连接方式。,图5-6 RJ-45接口,2常见串口线缆,串行线缆将路由器广域网串行接口与CSU/DSU连接起来。在实际工程中，CSU/DSU是DCE设备端，所以用户路由器应使用DTE线缆。而在实验室中，是需要将DTE线缆与DCE线缆的D形连接器（通常是这种接口）对接起来，模拟与ISP的连接。,1）V.35 DTE线缆V.35 DTE线缆两端的接头不同，连接路由器一端的接头是DB-28或Smart Serial连接器，连接CSU/DSU一端的接头是34针D形连接器，如图5-7所示。注意图中是V.35 DTE线缆，外端是34针，如果是V.35 DCE线缆，则外端是34孔。,图5-7 V.35 DTE线缆,2）E1接口线缆路由器的E1、CE1接口线缆为标准的E1 G.703线缆，分为以下两种： 75非平衡同轴线缆：连接路由器一端的接头是DB-15连接器，连接传送网一端的接头是BNC连接器，如图5-8所示。,图5-8 E1 G.703非平衡同轴线缆, 120平衡双绞线线缆：连接路由器一端的接头是DB-15连接器，连接传送网一端的接头是RJ-45连接器，如图5-9所示。,图5-9 E1 G.703平衡双绞线线缆,5.1.3广域网互联技术选择,当前流行的广域网技术包括DDN、SDH专线、MPLS VPN、GRE over IPSec VPN等，每种广域网技术都有各自适合的用户范围。对于高校来说，主要注重广域网的带宽和安全性，其次才是稳定性和可靠性，因此MPLS VPN、GRE over IPSec VPN是常见的校园广域网解决方案。SDH租用专线的优点是带宽高、延迟小、安全性、稳定性和可靠性极高，缺点就是价格十分昂贵，因此是实力较强的企业的首选广域网解决方案。DDN租用专线虽然也拥有低延迟、高可靠性的优点，但由于带宽较低，通常用于数据传输量不大，但是对业务稳定性有要求的企业。,若学校实力一般，可以选择较为经济的VPN技术，比如使用IPSec VPN或GRE over IPSec VPN，通过现有的Internet连接互联各个校区，这种解决方案的优点是成本低、带宽高、安全性好，缺点是配置管理比较复杂，可扩展性不佳。另外，如果校园网内部上网流量较大，会影响VPN的性能。若学校想降低VPN的管理难度，可以选择MPLS VPN广域网技术，由运营商负责搭建并维护VPN隧道，该解决方案的优点是不需管理成本、带宽高、有QoS保障，缺点是价格较高、不能跨运营商。另外，用户地理位置必须在运营商的网络覆盖区域中。,为了较全面地介绍常见的广域网技术，本项目在老校区与新校区之间通过DDN专线实现广域网互联，老校区与威海校区之间通过GRE over IPSec VPN实现广域网互联，老校区与青岛校区之间通过MPLS L2 VPN实现广域网互联。网络拓扑如图5-10所示。,图5-10多校区广域网互联规划拓扑图,5.1.4多校区广域网互联规划设计,根据学校的实际需求，设计出图5-10所示的拓扑及广域网连接技术。该拓扑使用多区域OSPF互联各个校区，广域网核心属于Area 0，威海校区属于Area 1，青岛校区属于Area 2。考虑到在实施广域网配置时，尽量不影响校园网的正常业务，老校区和新校区仍使用原有的静态路由和RIPv2协议，并使用路由重分发技术在OSPF和静态路由之间以及RIPv2和OSPF之间交流路由信息。,在本项目中，将使用GNS3模拟器来完成设备配置。其中，路由器型号为Cisco 3745，交换机使用安装了NM-16ESW交换模块的Cisco3745路由器来代替，路由器Laoxiao和Xinxiao安装了WIC-2T串口模块。Cisco 3745的IOS版本为c3745-adventerprisek9-mz.124-25。,在本项目中，将使用GNS3模拟器来完成设备配置。其中，路由器型号为Cisco 3745，交换机使用安装了NM-16ESW交换模块的Cisco3745路由器来代替，路由器Laoxiao和Xinxiao安装了WIC-2T串口模块。Cisco 3745的IOS版本为c3745-adventerprisek9-mz.124-25。表5-2所示为所有设备的接口连接和IP地址规划表，该拓扑图和规划表将在工作任务三和工作任务四中使用。,表5-2 设备接口连接和IP地址规划表,表5-2 设备接口连接和IP地址规划表,【任务归纳】,通过本任务的学习，主要了解目前常用的广域网连接技术、广域网接口类型，能够根据用户的具体需求选择最合适广域网连接技术实现多园区校园网或企业网的互联，既能够满足用户的带宽、安全性、稳定性需求，也要考虑到用户的实力和投入预算。,5.2工作任务二 OSPF动态路由协议配置,【任务分析】,根据图5-10所示拓扑中的路由协议规划，老校区局域网使用静态路由实现内部网络互联，新校区局域网使用RIPv2动态路由协议实现内部网络互联，威海校区和青岛校区都是新建校区。由于网络规模较大，只使用静态路由会增加配置维护工作难度，只使用RIPv2又不能满足网络的可扩展性需求，所以管理员决定部署多区域OSPF动态路由协议，实现各个局域网与广域网之间的互联互通。为了在实施过程中不影响网络的正常工作，管理员将使用路由重分发技术，使OSPF与老校区的静态路由和新校区的RIPv2协同工作。,OSPF协议原理与配置较为复杂，因此在实施Leader职业学院广域网工程之前，先通过单区域OSPF、多区域OSPF和路由重分发三个典型配置案例，掌握OSPF的工作原理及配置方法，然后为Leader职业学院规划OSPF的路由设计。,【任务要求】,5.2.1单区域OSPF配置与管理,1OSPF基础知识,1）链路状态路由协议的基本原理链路状态路由协议包括OSPF和IS-IS（Intermediate System to Intermediate System，中间系统到中间系统）两种。与距离矢量路由协议（如RIP）相比，链路状态路由协议更适合部署在大型网络中。链路状态路由协议的收敛速度更快，并有很好的可扩展性。链路状态路由协议使用SPF算法计算到达目的网络的最佳路径。SPF（Shortest Path First）算法即最短路径优先算法，是由Edsger Dijkstra开发的，因此也叫Dijkstra算法。,对于链路状态路由协议，开销（cost）通常是基于链路的带宽计算出来的数值，SPF算法使用到达远程网络的累加链路开销作为度量值。在图5-11所示拓扑中，每条链路都有一个特定的开销值，比如以太网链路的开销值为10，串行链路的开销值为48。链路的开销实际上是路由器接口的开销。可以根据接口的带宽计算开销值，也可以手工指定接口的开销。,图5-11 SPF算法根据链路开销计算度量值,（2）OSPF的区域结构OSPF支持把网络划分为多个区域（Area），相同区域内的所有OSPF路由器的链路状态数据库都是相同的。链路状态信息只在区域内部泛洪，减小了链路状态数据库的规模。在区域间可以使用路由汇总，减小路由表的规模。使用区域划分，既能够减轻路由器的工作负担，又使网络具有可扩展性。OSPF的区域使用数字来表示，编号范围是2的32次方。在一个OSPF网络中，必须存在主干区域，其编号为0，所有使用其他编号的区域均为非骨干区域。为避免出现路由环路，OSPF规定骨干区域必须是连续的，非骨干区域必须与主干区域直接相连，如图5-12所示，Area 1和Area 2都与Area 0直接相连。,图5-12 OSPF的区域结构 图5-13单区域OSPF典型配置案例拓扑图,对于小型网络来说，链路状态信息一般比较少，因此可以不对网络进行区域划分，只使用单区域OSPF，即只有一个骨干区域Area 0就可以了。,2单区域OSPF典型配置案例,按照如图5-13所示的网络拓扑图和地址分配，掌握以下OSPF配置要点： 配置单区域OSPF；路由器Router-ID的选取；将环回接口（Loopback Interface）作为以太网接口发布到OSPF网络中；修改OSPF链路开销；修改接口的DR优先级；配置被动接口。（1）配置接口地址按照项目3、4中所学知识配置所有路由器接口的IP地址，并验证其连通性。,（2）配置单区域OSPF路由器R1的OSPF配置：R1(config)# router ospf 1R1(config-router)# network 10.1.100.0 0.0.0.255 area 0R1(config-router)# network 10.1.200.0 0.0.0.255 area 0R1(config-router)# exit路由器R2的OSPF配置：R2(config)# router ospf 1R2(config-router)# network 10.1.100.0 0.0.0.255 area 0R2(config-router)# network 10.1.200.0 0.0.0.255 area 0R2(config-router)# exit,路由器R3的OSPF配置：R3(config)# router ospf 1R3(config-router)# network 10.1.200.0 0.0.0.255 area 0R3(config-router)# exit,3）验证OSPF邻居关系查看OSPF运行信息：在路由器R1上输入“show ip protocols”，查看本路由器所配置的路由协议基本信息。查看OSPF邻居关系：在路由器R1上输入“show ip ospf neighbor”，查看R1的OSPF邻居信息。,可以看到，路由器R1有3个OSPF邻居。通过在路由器R2、R3上运行“show ip protocols”可以发现，R1通过FastEthernet0/0接口与R2、R3建立了邻居关系，通过Serial0/0接口与R2建立了邻居关系。,4）Router ID的选取路由器要运行OSPF路由协议，就必须有一个Router ID。Router ID表示为一个IPv4地址，用来在OSPF路由域中唯一的标识一台路由器。在“show ip protocols”和“show ip ospf neighbor”的信息中，可以分别看到路由器自己的Router ID和邻居路由器的Router ID。Router ID可以手工设置，也可以自动获取，实际上，当在路由器上输入“router ospf 1”这个命令时，OSPF协议就会选择一个Router ID了。,OSPF通过以下顺序确定自己的Router ID：使用OSPF路由协议配置模式中的router-id命令配置的IP地址。如果没有配置router-id，则使用环回接口中最大的IP地址。如果以上两者都未配置，则使用活动物理接口中最大的IP地址。,本案例中，由于每台路由器都配置了环回接口，所以都会使用环回接口的IP地址作为自己的Router ID。如果想要使用router-id命令更改Router ID的话，必须运行“clear ip ospf process”重新启动OSPF进程，使新的Router ID生效。重新启动OSPF进程后，OSPF会与所有的邻居路由器解除现有关系，然后重新建立邻居关系，并重新交换相关的链路状态信息。,以路由器R1为例，手工设置Router ID为1.1.1.1的过程如下：R1(config)#router ospf 1R1(config-router)#router-id 1.1.1.1Reload or use clear ip ospf process command, for this to take effectR1(config-router)#endR1#clear ip ospf processReset ALL OSPF processes? no: yes,（5）将环回接口作为以太网接口发布到OSPF将环回接口使用network命令发布到OSPF，以路由器R1为例，配置过程如下：R1(config)# router ospf 1R1(config-router)# network 10.1.1.0 0.0.0.255 area 0路由器R2、R3上的配置类似。,查看每台路由器的路由表。每台路由器应该能够通过OSPF学习到所有的远程网络地址，以路由器R3为例，以下是所有通过OSPF协议学习到的路由：,虽然思科设备支持将环回接口配置为任意长度的子网掩码，但是通过OSPF学习到的R1和R2的环回接口的路由信息却是32位的主机路由，这是由接口的OSPF接口类型决定的。在路由器R1上输入“show ip ospf interface”，显示如下（部分显示被省略）：,可以看到，环回接口Loopback1的网络类型是LOOPBACK，配置为这种网络类型的环回接口会被OSPF作为一个末节主机对待。所以在默认的接口类型配置下，OSPF会将环回接口的地址变为32位的主机地址传播到其他路由器。对实际工程来说，这通常是没有问题的。但本案例是用环回接口来模拟以太网LAN接口，为了让路由器学习到环回接口本来的前缀长度，需要更改环回接口的OSPF网络类型。, OSPF网络类型。OSPF根据接口的数据链路层协议将网络分为若干种类型，以下是几种常见的类型： BROADCAST（广播）：当数据链路层协议是Ethernet（以太网）时，OSPF的缺省网络类型是Broadcast。在该类型的网络中，需要进行DR和BDR的选举。 POINT_TO_POINT（点到点）：当数据链路层协议是PPP或HDLC时，OSPF的缺省网络类型是Point-To-Point。在该类型的网络中，不需要进行DR和BDR的选举。 LOOPBACK（环回）：这是一种思科专有的OSPF网络类型，是环回接口的缺省网络类型。OSPF会将环回接口以32位的主机地址形式传播到其他路由器，以便于管理。但是在MPLS网络中，这会导致可达性和功能性问题。,更改环回接口的OSPF网络类型。想要让OSPF传播环回接口的原有子网掩码，可以手工将环回接口的OSPF网络类型从LOOPBACK更改为POINT_TO_POINT。以路由器R1为例，配置过程如下：R1(config)# interface loopback1R1(config-if)# ip ospf network point-to-point,查看路由表并测试连通性。为所有路由器的环回接口更改网络类型后，再次查看路由器R3的OSPF路由：这时，路由器R3学习到的其他路由器的环回接口的子网掩码长度就是24位了。从路由器R3测试到路由器R1的环回接口的连通性，仍然可以ping通。,（6）修改OSPF开销在上面的路由信息中，110/11是有关这个网络的OSPF管理距离和度量值。OSPF的默认管理距离是110，而度量值的计算是基于链路的带宽的。OSPF使用从本路由器到远程网络的累加链路开销作为度量值，开销（cost）是基于链路的带宽计算出来的数值。对于每条链路，OSPF计算开销的公式为：接口OSPF开销（cost）= （bps）/ 接口Bandwidth（bps）称为“参考带宽”，即100Mbps，用这个带宽除以接口的Bandwidth（带宽），就得到链路的开销。关于OSPF的开销，有两个需要注意的地方：一个是接口的Bandwidth，另一个是参考带宽。,修改接口的开销。对于思科路由器，OSPF并不会检测接口的实际带宽，而是使用为接口规划的默认带宽计算开销值。使用“show interfaces”可以显示每个接口的基本信息，包括接口的物理层、数据链路层状态、硬件MAC地址、IP地址、MTU、Bandwidth（带宽）、链路层封装以及收发数据包数量统计等信息。,在路由器R1上输入“show interfaces”，显示如下（部分显示被省略）：,可以看到，快速以太网接口的默认带宽是10Mbps，串行接口的默认带宽是1.544Mbps。（本文使用了GNS3来模拟路由器，对于实际设备，快速以太网接口的默认带宽应为100Mbps。）在路由器R1上运行“show ip ospf interface brief”，查看每个接口的开销值。,用参考带宽100Mbps除以快速以太网接口的10Mbps，得到的开销值为10。用参考带宽除以串行接口的1.544Mbps，得到数值为64.77，去掉小数，开销值为64。用参考带宽除以环回接口的8000Mbps，得到开销值为0.0125。如果计算出的数值小于1，则开销值取1。当接口的实际带宽与默认带宽不相同时，可以手工修改接口的带宽，以修正OSPF计算出来的开销值。注意，同一条链路的两端应配置为相同的带宽。在接口配置模式下使用bandwidth命令修改接口的带宽。注意，该命令不能修改接口的实际带宽，只是指定接口的bandwidth值，使OSPF等路由协议能够计算出正确的开销值。,以路由器R1为例，将串行接口Serial 0/0的bandwidth修改为2Mbps的过程如下：R1(config)#interface serial 0/0R1(config-if)#bandwidth 2000在链路对端，路由器R2的串行接口Serial 0/0的bandwidth也需要做相同的修改。另一种修改接口开销的方法是直接配置接口的cost，以路由器R1为例，将串行接口Serial 0/0的cost修改为50的过程如下：R1(config)#interface serial 0/0R1(config-if)#ip ospf cost 50,配置参考带宽当今的主流以太网技术已经发展到10Gbps，使用默认的参考带宽会将所有的快速以太网接口、千兆以太网接口和万兆以太网接口的开销都计算为1，这可能出现次优路由。因此可以修改OSPF的参考带宽，以适应更快的链路速度。,在每台路由器上，将OSPF的参考带宽修改为10000Mbps。R1(config)#router ospf 1R1(config-router)#auto-cost reference-bandwidth 10000R2(config)#router ospf 1R2(config-router)#auto-cost reference-bandwidth 10000R3(config)#router ospf 1R3(config-router)#auto-cost reference-bandwidth 10000必须修改所有OSPF路由器的参考带宽，以保证度量值的准确性。另外，如果之前手工配置过接口的cost，在修改了OSPF参考带宽后，也需要一并修改。,（7）修改接口的DR优先级在以太网这样的多路访问网络中，OSPF会选举出一个DR（Designated Router，指定路由器）和一个BDR（Backup Designated Router，备用指定路由器），用来收集链路的所有路由器的链路状态信息，这样可以明显减少LSA的泛洪。,在路由器R1上输入“show ip ospf neighbor”，显示所有邻居信息：,可以看到，路由器R1通过FastEthernet0/0建立了两个邻居关系，邻居的Router ID分别为10.1.2.1和10.1.3.1，邻居的身份分别是BDR和DR。而路由器R1自己的FastEthernet0/0接口的身份为DROther。在一个多路访问网络中，除了DR和BDR以外，所有其他路由器接口的身份都是DROther。, DR选举条件在一个多路访问网络中，具有最高OSPF接口优先级（interface priority）的路由器将成为DR，具有第二高OSPF接口优先级的路由器将成为BDR，如果OSPF接口优先级相等，则取路由器ID最高者。DR/BDR选举只发生在多路访问网络中，在点到点串行链路上不选举。所有以太网接口的默认OSPF接口优先级为1，所以在本案例中，Router ID最大的R3成为了DR，Router ID第二大的R2成为了BDR，而R1是DROther。,修改接口的DR优先级如果打算让路由器R1成为DR，路由器R2成为BDR，可以通过修改接口的DR优先级，并重启OSPF路由进程实现。在路由器R1、R2和R3上配置以下命令：,待邻居关系重新建立完毕后，在路由器R1上显示邻居表如下：,这时，路由器R1在FastEthernet0/0链路上已经成为了DR。,（8）配置被动接口当使用network命令声明了某个路由器接口后，OSPF就会开始在这个接口发送并接收Hello数据包，并进行后续的链路状态信息交换。但是，将OSPF协议信息发送到不包含OSPF路由器的用户网络会有安全隐患，所以，在实际工程中，务必将连接到用户业务网段的接口配置为被动接口。将接口配置为被动接口后，路由器将不再在接口上向外发送Hello数据包，所以无法在接口上与外部路由器建立邻居关系，也无法发送接收链路状态信息。,在本案例中，使用了环回接口模拟用户业务以太网接口。在路由器R1上，输入以下命令，将Loopback1接口配置为被动接口。R1(config)#router ospf 1R1(config-router)#passive-interface loopback 1同样，在路由器R2、R3上需要将各自连接用户的接口配置为被动接口。如果路由器上连接用户的接口数量较多，可以使用“passive-interface default”先将所有接口配置为被动接口，然后配置需要与其他路由器建立邻居关系的非被动接口。,对于路由器R1来说，相关的配置如下：使用“show ip protocols”可以看到哪些接口是被动接口（以下省略部分输出）：,5.2.2多区域OSPF配置与管理,1. 使用多区域OSPF组建可扩展的网络,（1）OSPF区域划分 单区域OSPF通常能够满足不多于50台路由器规模的网络。如果网络的规模日益扩大，有上百台路由器都运行单区域OSPF时，链路状态信息会非常的庞大，占用大量的路由器资源及带宽资源。另外，网络规模扩大之后，网络拓扑发生变化的可能性也会增加，网络会经常处于不稳定状态，大量的OSPF协议报文会浪费带宽资源。而且每次拓扑发生变化，都会导致所有的路由器重新进行SPF路由计算。,OSPF通过将网络划分成多个区域（Area）来解决上述问题。从逻辑归属上将路由器划分为多个组，每个组用区域号（Area ID）来标识。如上小节中的图5-12，通过对路由器的逻辑分组，将OSPF路由域划分为了3个区域，路由器R1、R2、R3在骨干区域0中，路由器R2、R4在区域1中，路由器R3、R5在区域2中。,图5-12 OSPF的区域结构,关于区域划分，需要注意：区域划分的边界是路由器，而不是链路，比如路由器R2和R3都在区域边界。一条链路只能属于一个区域，每个参与OSPF协议的路由器接口必须属于某一个区域。另外，一条链路两端的接口必须属于相同的区域，否则不能建立邻居关系。通过区域划分，可以减少区域内链路状态信息的数量，节省路由器系统资源和链路带宽资源。同时，可以在区域边界进行路由汇总，减小路由表规模，将路由震荡控制在区域内部。,2）OSPF路由器类型OSPF路由器可分为：区域内部路由器（Internal Router）、骨干路由器（Backbone Router）、区域边界路由器（Area Border Router，ABR）和自治系统边界路由器（Autonomous System Border Router，ASBR）四种，如图5-14所示。区域内部路由器：所有接口都属于同一个区域中的路由器，如路由器R1、R4、R5。骨干路由器：至少有一个接口属于骨干区域的路由器，如路由器R1、R2、R3。,图5-14使用虚链路解决骨干区域被分割的问题,在图5-14中，骨干区域被分割，通过在ABR路由器R2和R3上配置虚链路，可以实现骨干区域的逻辑连接,区域边界路由器：同时属于两个以上区域的路由器，如路由器R2和R3。ABR主要用来连接骨干区域与非骨干区域，在ABR上可以进行区域间路由汇总。自治系统边界路由器：至少有一个接口与其他路由域相连的路由器称为ASBR。只要一台OSPF路由器通过路由重分发引入了外部路由，则这台路由器就是ASBR。有关路由重分发和ASBR路由汇总的知识与配置将在5.2.3小节中详细讲解。,（3）OSPF虚链路OSPF链路状态信息在区域内部泛洪，一个区域内的所有路由器的链路状态数据库是相同的。在区域之间，不会传播链路状态信息，而是传播整个区域的路由表。为了避免出现路由环路，所有非骨干区域之间的路由信息必须通过骨干区域来转发，骨干区域负责与其他区域之间的路由。为此，OSPF有两个规定：所有非骨干区域必须与骨干区域保持连通；骨干区域自身也必须保持连通。,所以在进行区域划分时，最好使非骨干区域与骨干区域直接相连，并且骨干区域最好连续，不被其他区域分割。如果因为某些原因不能遵循以上两点，出现了骨干区域被分割，或非骨干区域无法与骨干区域直接相连时，可以通过虚链路解决。虚链路是在两台ABR之间通过一个非骨干区域而建立的一条逻辑通道。虚链路的两端必须是ABR，而且必须在两台ABR上同时配置才可生效。提供建立虚链路的区域也称作传输区域（Transit Area）。,图5-15使用虚链路解决非骨干区域无法与骨干区域直接连接的问题,在图5-15中，非骨干区域Area 2没有与骨干区域直接相连，通过在ABR路由器R2和R3上配置虚链路，可以实现Area 2与骨干区域的逻辑连接。虚链路依赖于底层传输区域内路由的连通性，在上面的两个例子中，路由器R2和R3在Area 1中不必是直接相连的，中间有其他路由器也可以，但是必须具有路由连通性，虚链路才能建立起来。虚链路建立成功后，路由器R2和R3会形成虚链路邻居关系。虚链路不能穿越多个区域，也不能穿越末节区域，虚链路只能穿越一个标准的非骨干区域。若要使用虚链路穿越两个非骨干区域到骨干区域，需要创建两条虚链路，每个区域一条。,2多区域OSPF典型配置案例,按照如图5-16所示拓扑图所示IP地址及多区域OSPF规划信息，掌握如下OSPF配置要点：多区域OSPF基本配置；配置OSPF区域间路由汇总；传播OSPF默认路由；配置OSPF身份验证；配置OSPF虚链路。,图5-16 多区域OSPF典型配置案例拓扑图,（1）配置接口地址本案例使用环回接口模拟业务以太网接口，在路由器上创建环回接口时，需要将接口的OSPF网络类型更改为point-to-point，使得OSPF传播环回接口的真实子网掩码。例如，在路由器R1上，创建Loopback 1接口的过程如下：R1(config)# interface loopback 1R1(config-if)# ip address 10.1.1.1 255.255.255.0R1(config-if)# ip ospf network point-to-point,（2）多区域OSPF基本配置路由器R1的OSPF配置：配置路由器R1的Router ID为10.1.1.1，将Serial 0/0、Loopback 1接口加入Area 0。Loopback 30接口模拟连接到Internet的接口，不参与OSPF协议运作。R1(config)# router ospf 1 R1(config-router)#router-id 10.1.1.1R1(config-router)# network 10.1.12.0 0.0.0.255 area 0 R1(config-router)# network 10.1.1.0 0.0.0.255 area 0 R1(config-router)# exit,路由器R2的OSPF配置：配置路由器R2的Router ID为10.1.2.1，将Serial 0/0接口加入Area 0，将Serial