本文講述了華為HCIP認證考試 - OSPF特殊區(qū)域及其他特性。分享給大家供大家參考，具體如下： 

OSPF特殊區(qū)域及其他特性

• ◉ Stub區(qū)域和Totally Stub區(qū)域
  • 傳輸區(qū)域和末端區(qū)域
  • Stub區(qū)域
  • Totally Stub區(qū)域
• ◉ Nssa區(qū)域和Totally Nssa區(qū)域
  • Stub區(qū)域、Totally Stub區(qū)域存在的問題
  • Nssa區(qū)域與Totally Nssa區(qū)域
  • LSA總結(jié)
• ◉ 區(qū)域間路由匯總和外部路由匯總
  • 區(qū)域間路由匯總
  • 外部路由匯總
• ◉ OSPF更新機制
  • 定時更新與觸發(fā)更新
• ◉ OSPF認證機制
  • 安全隱患
  • 認證解決安全隱患
  • OSPF綜合應(yīng)用場景
  • OSPF配置實現(xiàn)
• ◉ 思考題

◉ Stub區(qū)域和Totally Stub區(qū)域

傳輸區(qū)域和末端區(qū)域

如圖所示，全網(wǎng)可分為四部分Area 0、Area 1、Area 2、外部網(wǎng)絡(luò)。

四部分之間相互訪問的主要流量如圖中紅線所示。

對于OSPF各區(qū)域，可分為兩種類型：

• 傳輸區(qū)域：除了承載本區(qū)域發(fā)起的流量和訪問本區(qū)域的流量外，還承載了源IP和目的IP都不屬于本區(qū)域的流量，即“穿越型流量”，如Area 0。
• 末端區(qū)域：只承載本區(qū)域發(fā)起的流量和訪問本區(qū)域的流量，如Area 1。

對于末端區(qū)域，需要考慮下幾個問題：

• 保存到達其他區(qū)域明細路由的必要性：訪問其他區(qū)域通過單一出口，“匯總”路由相對明細路由更為簡潔。
• 設(shè)備性能：網(wǎng)絡(luò)建設(shè)與維護必須要考慮成本因素。末端區(qū)域中可選擇部署性能相對較低的路由器。

OSPF路由器計算區(qū)域內(nèi)、區(qū)域間、外部路由都需要依靠收集網(wǎng)絡(luò)中的大量LSA，大量LSA會占用LSDB存儲空間，所以解決問題的關(guān)鍵是在不影響正常路由的情況下，減少LSA的數(shù)量。

Stub區(qū)域

Stub區(qū)域的ABR不向Stub區(qū)域內(nèi)傳播它接收到的自治系統(tǒng)外部路由（對應(yīng)四類、五類LSA），Stub區(qū)域中路由器的LSDB、路由表規(guī)模都會大大減小。

為保證Stub區(qū)域能夠到達自治系統(tǒng)外部，Stub區(qū)域的ABR將生成一條缺省路由（對應(yīng)三類LSA），并發(fā)布給Stub區(qū)域中的其他路由器。

Stub區(qū)域是一種可選的配置屬性，但并不建議將每個區(qū)域都配置為Stub區(qū)域。通常來說，Stub區(qū)域位于自治系統(tǒng)的末梢，是那些只有一個ABR的非骨干區(qū)域。

配置Stub區(qū)域時需要注意下列幾點：

• 骨干區(qū)域不能被配置為Stub區(qū)域。
• 如果要將一個區(qū)域配置成Stub區(qū)域，則該區(qū)域中的所有路由器必須都要配置成Stub路由器。
• Stub區(qū)域內(nèi)不能存在ASBR，自治系統(tǒng)外部路由不能在本區(qū)域內(nèi)傳播。
• 虛連接不能穿越Stub區(qū)域建立。
  

配置Stub區(qū)域后，所有自治系統(tǒng)外部路由均由一條三類的默認路由代替。

除路由條目的減少外，當外部網(wǎng)絡(luò)發(fā)生變化后，Stub區(qū)域內(nèi)的路由器是不會直接受到影響的。

Totally Stub區(qū)域

Totally Stub區(qū)域既不允許自治系統(tǒng)外部路由（四類、五類LSA）在本區(qū)域內(nèi)傳播，也不允許區(qū)域間路由（三類LSA）在本區(qū)域內(nèi)傳播。

Totally Stub區(qū)域內(nèi)的路由器對其他區(qū)域及自制系統(tǒng)外部的訪問需求是通過本區(qū)域ABR所產(chǎn)生的三類LSA缺省路由實現(xiàn)的。

與Stub區(qū)域配置的區(qū)別在于，在ABR上需要追加no-summary參數(shù)。

Totally Stub區(qū)域訪問其他區(qū)域及自制系統(tǒng)外部是通過默認路由實現(xiàn)的。

自制系統(tǒng)外部、其他OSPF區(qū)域的網(wǎng)絡(luò)發(fā)生變化，Totally Stub區(qū)域內(nèi)的路由器是不直接受影響的。

Stub、Totally Stub解決了末端區(qū)域維護過大LSDB帶來的問題，但對于某些特定場景，Stub、Totally Stub并不是最佳解決方案。

◉ Nssa區(qū)域和Totally Nssa區(qū)域

Stub區(qū)域、Totally Stub區(qū)域存在的問題

RTD和RTA同時連接到某一外部網(wǎng)絡(luò)，RTA引入外部路由到OSPF域，RTD所在的Area 1為減小LSDB規(guī)模被設(shè)置為Stub或Totally Stub區(qū)域。RTD訪問外部網(wǎng)絡(luò)的路徑是“RTD->RTB->RTA->外部網(wǎng)絡(luò)”，顯然相對于RTD直接訪問外部網(wǎng)絡(luò)而言，這是一條次優(yōu)路徑。

OSPF規(guī)定Stub區(qū)域是不能引入外部路由的，這樣可以避免大量外部路由對Stub區(qū)域設(shè)備資源的消耗。

對于既需要引入外部路由又要避免外部路由帶來的資源消耗的場景，Stub和Totally Stub區(qū)域就不能滿足需求了。

Nssa區(qū)域與Totally Nssa區(qū)域

OSPF NSSA區(qū)域（Not-So-Stubby Area）是在原始OSPF協(xié)議標準中新增的一類特殊區(qū)域類型。

NSSA區(qū)域和Stub區(qū)域有許多相似的地方。兩者的差別在于，NSSA區(qū)域能夠?qū)⒆灾斡蛲獠柯酚梢氩鞑サ秸麄€OSPF自治域中，同時又不會學(xué)習(xí)來自O(shè)SPF網(wǎng)絡(luò)其它區(qū)域的外部路由。

NSSA LSA（七類LSA）：

• 七類LSA是為了支持NSSA區(qū)域而新增的一種LSA類型，用于描述NSSA區(qū)域引入的外部路由信息。
• 七類LSA由NSSA區(qū)域的ASBR產(chǎn)生，其擴散范圍僅限于ASBR所在的NSSA區(qū)域。
• 缺省路由也可以通過七類LSA來產(chǎn)生，用于指導(dǎo)流量流向其它自治域。

七類LSA轉(zhuǎn)換為五類LSA：

• NSSA區(qū)域的ABR收到七類LSA時，會有選擇地將其轉(zhuǎn)換為五類LSA，以便將外部路由信息通告到OSPF網(wǎng)絡(luò)的其它區(qū)域。
• NSSA區(qū)域有多個ABR時，進行7類LSA與5類LSA轉(zhuǎn)換的是Router ID最大的ABR。

Totally NSSA和NSSA區(qū)別：

• Totally NSSA不允許三類LSA在本區(qū)域內(nèi)泛洪。
• Totally NSSA與NSSA區(qū)域的配置區(qū)別在于ABR上需要追加no-summary參數(shù)。
  

配置了NSSA區(qū)域的ABR產(chǎn)生一條七類LSA缺省路由。

配置了Totally NSSA區(qū)域的ABR會自動產(chǎn)生一條三類LSA缺省路由。

LSA總結(jié)

LSA作用：

• Router LSA（一類）：每個路由器都會產(chǎn)生，描述了路由器的鏈路狀態(tài)和開銷，在所屬的區(qū)域內(nèi)傳播。
• Network LSA（二類）：由DR產(chǎn)生，描述本網(wǎng)段的鏈路狀態(tài)，在所屬的區(qū)域內(nèi)傳播。
• Network-summary-LSA（三類）：由ABR產(chǎn)生，描述區(qū)域內(nèi)某個網(wǎng)段的路由，并通告給其他相關(guān)區(qū)域。
• ASBR-summary-LSA（四類）：由ABR產(chǎn)生，描述到ASBR的路由，通告給除ASBR所在區(qū)域的其他相關(guān)區(qū)域。
• AS-external-LSA（五類）：由ASBR產(chǎn)生，描述到AS外部的路由，通告到所有的區(qū)域（除了Stub區(qū)域和NSSA區(qū)域）。
• NSSA LSA（七類）：由ASBR產(chǎn)生，描述到AS外部的路由，僅在NSSA區(qū)域內(nèi)傳播。

特殊區(qū)域不僅有效減少了區(qū)域內(nèi)LSA的數(shù)量以及路由計算的壓力，而且一定程度上也縮小了網(wǎng)絡(luò)故障的影響范圍。

◉ 區(qū)域間路由匯總和外部路由匯總

區(qū)域間路由匯總

在大規(guī)模部署OSPF網(wǎng)絡(luò)時，可能會出現(xiàn)由于OSPF路由表規(guī)模過大而降低路由查找速度的現(xiàn)象，為了解決這個問題，可以配置路由匯總，減小路由表的規(guī)模。

路由匯總是指將多條連續(xù)的IP前綴匯總成一條路由前綴。如果被匯總的IP地址范圍內(nèi)的某條鏈路頻繁Up和Down，該變化并不會通告給被匯總的IP地址范圍外的設(shè)備。因此，可以避免網(wǎng)絡(luò)中的路由振蕩，在一定程度上提高了網(wǎng)絡(luò)的穩(wěn)定性。

路由匯總只能匯總路由信息，所以ABR是可以執(zhí)行路由匯總的位置之一：

• ABR向其它區(qū)域發(fā)送路由信息時，以網(wǎng)段為單位生成三類LSA。如果該區(qū)域中存在一些連續(xù)的網(wǎng)段，則可以通過命令將這些連續(xù)的網(wǎng)段匯總成一個網(wǎng)段。這樣ABR只發(fā)送一條匯總后的三類LSA，所有屬于命令指定的匯總網(wǎng)段范圍的LSA將不會再被單獨發(fā)送出去。

如圖所示，Area 1中存在8個連續(xù)網(wǎng)段，匯總前RTB將產(chǎn)生8條三類LSA。在RTB上配置匯總后，RTB僅產(chǎn)生1條三類LSA并泛洪到Area 0。

引入外部路由的ASBR也是執(zhí)行路由匯總的位置之一。

外部路由匯總

ASBR匯總：

• 配置ASBR匯總后，ASBR將對引入的外部路由進行匯總。NSSA區(qū)域的ASBR也可以對引入NSSA區(qū)域的外部路由進行匯總。
• 如果設(shè)備既是NSAA區(qū)域的ASBR又是ABR，則可在將七類LSA轉(zhuǎn)換成五類LSA時對相應(yīng)前綴進行匯總。

如圖所示，Area 0中RTA將8個連續(xù)的外部路由引入到OSPF域內(nèi)，產(chǎn)生8條五類LSA并在OSPF進程域內(nèi)泛洪。

在ASBR（RTA）配置外部路由匯總后，RTA將僅產(chǎn)生1條五類LSA并泛洪至OSPF路由進程域內(nèi)。

路由匯總降低了網(wǎng)絡(luò)故障的影響范圍。

網(wǎng)絡(luò)發(fā)生故障后，路由協(xié)議的收斂速度也是衡量路由協(xié)議的重要參考依據(jù)之一。

◉ OSPF更新機制

定時更新與觸發(fā)更新

定時更新：

• LSA每1800s更新一次，3600s失效。

觸發(fā)更新：

• 當鏈路狀態(tài)發(fā)生變化之后，立即發(fā)送鏈路狀態(tài)更新。
  

為了保證路由計算的準確性，需要保證LSA的可靠性。

OSPF為每個LSA條目維持一個老化計時器（3600s），當計時器超時，此LSA將從LSDB中刪除。

為了防止LSA條目達到最大生存時間而被刪除，OSPF通過定期更新（每1800s刷新一次）機制來刷新LSA。

OSPF路由器每1800s會重新生成LSA，并通告給其他路由器。

為了加快收斂速度，OSPF設(shè)置了觸發(fā)更新機制。

當鏈路狀態(tài)發(fā)生變化后，路由器立即發(fā)送更新消息，其他路由器收到更新消息后立即進行路由計算，快速完成收斂。

◉ OSPF認證機制

安全隱患

如圖所示，內(nèi)部網(wǎng)絡(luò)通過OSPF協(xié)議傳遞路由。正常情況下，財務(wù)部訪問公司數(shù)據(jù)庫的流量走向是“財務(wù)部->RTA->RTB->Database”。

非法設(shè)備接入公司內(nèi)網(wǎng)，通過向網(wǎng)絡(luò)中注入非法路由，引導(dǎo)流量進行非正常的轉(zhuǎn)發(fā)。即“財務(wù)部->RTA->非法設(shè)備->RTB->Database”。非法設(shè)備收到財務(wù)部的流量之后，進行惡意分析，獲取財務(wù)部關(guān)鍵信息，造成公司機密泄露。

認證解決安全隱患

OSPF支持認證功能，只有通過認證的OSPF路由器才能正常建立鄰居關(guān)系，交互信息。

兩種認證方式：

• 區(qū)域認證方式。
• 接口認證方式。

支持的認證模式分為null（不認證）、simple（明文）、MD5以及HMAC-MD5。

當兩種認證方式都存在時，優(yōu)先使用接口認證方式。

OSPF綜合應(yīng)用場景

需求1分析：
辦事處C處于Area 3，RTE左側(cè)與Area 2相連。根據(jù)OSPF骨干區(qū)域與非骨干區(qū)域的連接規(guī)則，不能正常通行的原因在于Area 3沒有與Area 0直接相連。解決的方式是在RTE和RTC之間建立虛連接。

需求2分析：
區(qū)域內(nèi)部設(shè)備性能低，降低路由計算壓力可以通過Stub、Totally Stub、NSSA、Totally NSSA，最大程度減少需要選擇Totally Stub或Totally NSSA，同時為了保留外部路由引入的功能，只能選擇Totally NSSA。

需求3分析：
保證路由安全性需要通過認證的方式，最安全的認證模式是采用HMAC-MD5。認證形式采取接口認證。

需求4分析：
在計算外部路由時如要考慮OSPF域內(nèi)開銷，可通過引入類型為1類的外部路由實現(xiàn)。

OSPF配置實現(xiàn)

◉ 思考題

1. OSPF定義了哪幾種特殊區(qū)域？

OSPF定義了四種特殊區(qū)域，分別是Stub Area，Totally Stub Area，Not-So-Stubby Area（NSSA），Totally NSSA。

2. Stub區(qū)域與Totally Stub區(qū)域的主要差別是什么？

Stub區(qū)域不允許Type-4和Type-5 LSA進入，但允許Type-3 LSA進入。Totally Stub區(qū)域不僅不允許Type-4和Type-5 LSA進入，同時也不允許Type-3 LSA進入，只允許表示缺省路由的Type-3 LSA進入。

3. 區(qū)域間路由匯總功能在什么路由器上配置？

在區(qū)域邊界路由器（ABR）上配置。

最新評論