第6章-園區(qū)網(wǎng)OSPF規(guī)劃與部署ppt課件

1、第6章 園區(qū)網(wǎng)OSPF規(guī)劃與部署,前言,此課程主要介紹了園區(qū)網(wǎng)中OSPF規(guī)劃要點和部署OSPF的主要配置，對于OSPF協(xié)議原理和技術(shù)細節(jié)沒有過多的闡述,課程目標,通過本課程的學(xué)習(xí)，您可以完成以下任務(wù)： 說明什么是OSPF協(xié)議和其應(yīng)用場合 對園區(qū)網(wǎng)絡(luò)作出基本的OSPF規(guī)劃 獨立部署園區(qū)OSPF網(wǎng)絡(luò) 進行基本的OSPF驗證和排錯工作,提 綱,第一節(jié) OSPF協(xié)議簡介 第二節(jié) OSPF在園區(qū)網(wǎng)中的應(yīng)用場合 第三節(jié) OSPF的基本規(guī)劃 第四節(jié) OSPF案例分析和部署 第五節(jié) OSPF可選配置介紹 第六節(jié) OSPF的驗證和排錯,第一節(jié) OSPF協(xié)議簡單介紹,OSPF 是由IETF 的IGP 工作組為IP

2、 網(wǎng)絡(luò)開發(fā)的路由協(xié)議,用于AS中的路由器之間發(fā)布路由信息 。 IGP協(xié)議組： RIP , IGRP , EIGRP , ISIS , OSPF,第一節(jié) OSPF協(xié)議簡單介紹,OSPF是鏈路狀態(tài)協(xié)議的一種，相對于距離量協(xié)議(RIP)， OSPF 具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點，適用于當前園區(qū)網(wǎng)絡(luò)建設(shè),LSA 數(shù)據(jù)庫,執(zhí)行SPF算法,路由表,OSPF在目前應(yīng)用的路由協(xié)議中占有相當重要的地位，銳捷公司產(chǎn)品實現(xiàn)OSPFv2,第一節(jié) OSPF協(xié)議簡單介紹,提 綱,第一節(jié) OSPF協(xié)議簡介 第二節(jié) OSPF在園區(qū)網(wǎng)中的應(yīng)用場合 第三節(jié) OSPF的基本規(guī)劃 第四節(jié) OSPF案例分析和部署

3、 第五節(jié) OSPF可選配置介紹 第六節(jié) OSPF的驗證和排錯,第二節(jié) OSPF協(xié)議的應(yīng)用場合,園區(qū)網(wǎng)中核心和匯聚都是支持OSPF的三層交換機和路由器,OSPFv2,第二節(jié) OSPF協(xié)議的應(yīng)用場合,園區(qū)核心或者匯聚層設(shè)備上建立了過多的靜態(tài)路由，人工維護量過大,第二節(jié) OSPF協(xié)議的應(yīng)用場合,園區(qū)網(wǎng)絡(luò)中的三層協(xié)議仍然在使用RIP協(xié)議的可以考慮做協(xié)議遷移,提 綱,第一節(jié) OSPF協(xié)議簡介 第二節(jié) OSPF在園區(qū)網(wǎng)中的應(yīng)用場合 第三節(jié) OSPF的基本規(guī)劃 第四節(jié) OSPF案例分析和部署 第五節(jié) OSPF可選配置介紹 第六節(jié) OSPF的驗證和排錯,第三節(jié) OSPF協(xié)議基本規(guī)劃,OSPF協(xié)議的復(fù)雜性決定了

4、其在設(shè)計上必須要 全面考慮各種復(fù)雜因素，本章節(jié)講述了OSPF設(shè) 計最基本也是最關(guān)鍵的六個方面,第三節(jié) OSPF協(xié)議基本規(guī)劃,一） 規(guī)劃OSPF網(wǎng)絡(luò)的首要任務(wù)： 選擇合適的Router-id,第三節(jié) OSPF協(xié)議基本規(guī)劃,為什么需要在OSPF網(wǎng)絡(luò)設(shè)計時考慮Router-id？ OSPF是一種鏈路狀態(tài)路由協(xié)議。需要保持穩(wěn)定的鏈路狀態(tài)數(shù)據(jù)庫。 OSPF進程的Routerid發(fā)生變化會導(dǎo)致鏈路狀態(tài)通告報文重新泛洪，引起OSPF網(wǎng)絡(luò)的振蕩,LSA 數(shù)據(jù)庫 變化,Routerid 變化,SPF 計算,第三節(jié) OSPF協(xié)議基本規(guī)劃,OSPF路由器如何選擇Router-id？ 首先選擇OSPF進程下使用命令配

5、置的Router-id。 然后選擇具有最高IP地址的環(huán)回接口。 沒有環(huán)回接口的話則選擇具有最高IP地址的激活物理接口。 重啟OSPF進程會導(dǎo)致Router-id的重新選舉。 應(yīng)該選擇穩(wěn)定的環(huán)回接口地址作為Router-id，銳捷網(wǎng)絡(luò)推薦不要使用OSPF進程下Routerid命令進行配置,第三節(jié) OSPF協(xié)議基本規(guī)劃,如何合理選擇規(guī)劃Router-id？ 選擇合適的私有地址段用于Router-id。 在每個OSPF路由器上建立環(huán)回接口并使用32位掩碼的IP地址。 環(huán)回接口地址在OSPF網(wǎng)絡(luò)中的發(fā)布應(yīng)該根據(jù)實際情況而定。 一般情況下不要在OSPF網(wǎng)絡(luò)中發(fā)布，以減少路由表項。 如果需要將環(huán)回口地址作

6、為管理使用，可以考慮發(fā)布,第三節(jié) OSPF協(xié)議基本規(guī)劃,二） 層次化的網(wǎng)絡(luò)設(shè)計： 合理的OSPF區(qū)域規(guī)劃,第三節(jié) OSPF協(xié)議基本規(guī)劃,OSPF是一種需要層次化設(shè)計的路由協(xié)議。使用區(qū)域來實現(xiàn)兩層結(jié)構(gòu)模型。區(qū)域被分為兩種： 骨干區(qū)域和非骨干區(qū)域。骨干區(qū)域的編號為0，非骨干區(qū)域的編號從1到4294967295,Area 10,Area 20,Area 30,Area 0,第三節(jié) OSPF協(xié)議基本規(guī)劃,如何劃分OSPF區(qū)域？ 原則：設(shè)備性能和地理位置。 在當前的園區(qū)網(wǎng)絡(luò)中基本上可以使用以下模式： AREA 0的范圍 核心交換機 區(qū)域匯聚核心交換機 出口路 由器 非零AREA一般根據(jù)所處位置劃分，但是

7、由于設(shè)備性能的限制不宜將區(qū)域劃得過大,第三節(jié) OSPF協(xié)議基本規(guī)劃,三） 非骨干區(qū)域路由器的路由表項優(yōu)化 ： 特殊區(qū)域的使用,第三節(jié) OSPF協(xié)議基本規(guī)劃,三種特殊區(qū)域： Stub 末梢區(qū)域 默認路由區(qū)域間路由區(qū)域內(nèi)路由 Totally stub 完全末梢區(qū)域 默認路由區(qū)域內(nèi)路由 NSSA 非完全末梢區(qū)域 為了從stub區(qū)域內(nèi)引入外部路由，應(yīng)用較少,Area 0,ABR,Area X,第三節(jié) OSPF協(xié)議基本規(guī)劃,在絕大部分的情況下，園區(qū)網(wǎng)中的非骨干區(qū)域中都僅僅需要知道默認路由出口在哪里，因此銳捷網(wǎng)絡(luò)推薦把非骨干區(qū)域統(tǒng)一設(shè)置成完全末梢區(qū)域，這樣將極大的精簡非骨干區(qū)域內(nèi)部路由器的路由條目數(shù)量，并

8、且減少區(qū)域內(nèi)部OSPF交互的信息量。對于極少數(shù)存在特殊需求的網(wǎng)絡(luò)，請根據(jù)實際情況靈活使用幾種區(qū)域類型,第三節(jié) OSPF協(xié)議基本規(guī)劃,四） 骨干區(qū)域路由器的路由表項優(yōu)化 ： 非骨干區(qū)域IP子網(wǎng)規(guī)劃和路由匯總,第三節(jié) OSPF協(xié)議基本規(guī)劃,非骨干區(qū)域匯總的好處： 區(qū)域匯總能精簡骨干區(qū)域路由器的路由表 減少骨干區(qū)域內(nèi)OSPF交互的信息量 提高了路由表項的穩(wěn)定性,第三節(jié) OSPF協(xié)議基本規(guī)劃,銳捷網(wǎng)絡(luò)推薦新建OSPF網(wǎng)絡(luò)能夠在前期就作出利于區(qū)域路由匯總的IP網(wǎng)絡(luò)設(shè)計，對于擴建的網(wǎng)絡(luò)盡量進行IP地址的重新規(guī)劃,第三節(jié) OSPF協(xié)議基本規(guī)劃,五） OSPF默認路由的引入和選路優(yōu)化 ： 重分布靜態(tài)和cost

9、調(diào)整,第三節(jié) OSPF協(xié)議基本規(guī)劃,默認路由的引入也是園區(qū)網(wǎng)絡(luò)OSPF設(shè)計的一大要點 。 銳捷網(wǎng)絡(luò)推薦使用靜態(tài)默認路由重分布到OSPF網(wǎng)絡(luò)的方式進行,第三節(jié) OSPF協(xié)議基本規(guī)劃,園區(qū)網(wǎng)的出口往往不止一個，如何有效的將出口流量分擔(dān)到多條鏈路上就成為了OSPF設(shè)計中的一個難點 。 最簡單也是最安全的方法是使用OSPF內(nèi)建的選路機制,第三節(jié) OSPF協(xié)議基本規(guī)劃,合理調(diào)整OSPF參考帶寬： 缺省情況下，OSPF計算cost值使用的參考帶寬為100M，也就是說缺省情況下，OSPF把100M帶寬以上的端口統(tǒng)統(tǒng)認為其cost是1 。 使用auto-cost reference-bandwidth命令選擇

10、一個合適的參考帶寬,第三節(jié) OSPF協(xié)議基本規(guī)劃,通過調(diào)整OSPF接口cost值來實現(xiàn)選路優(yōu)化,Cost 100,Cost 100,Cost 100,未調(diào)整cost的OSPF網(wǎng)絡(luò),調(diào)整cost后的OSPF網(wǎng)絡(luò),第三節(jié) OSPF協(xié)議基本規(guī)劃,六） 實現(xiàn)OSPF網(wǎng)絡(luò)基本安全： 阻止發(fā)往用戶的OSPF報文,第三節(jié) OSPF協(xié)議基本規(guī)劃,用戶使用SNIFFER工具能夠收集到園區(qū)OSPF網(wǎng)絡(luò)信息，有能力作出下一步的攻擊行為 銳捷網(wǎng)絡(luò)推薦在實際工程中使用閉塞接口（Passive-interface）的方式來阻止通往用戶側(cè)的OSPF報文,提 綱,第一節(jié) OSPF協(xié)議簡介 第二節(jié) OSPF在園區(qū)網(wǎng)中的應(yīng)用場合

11、 第三節(jié) OSPF的基本規(guī)劃 第四節(jié) OSPF案例分析和部署 第五節(jié) OSPF可選配置介紹 第六節(jié) OSPF的驗證和排錯,第四節(jié) OSPF案例分析與部署,某園區(qū)網(wǎng)絡(luò)物理拓撲圖,雙核心，雙鏈路，多出口 核心，匯聚，接入層次分明,第一步：Router-id的規(guī)劃 選取私有網(wǎng)段： 10.0.0.0/24 在每個路由器上建立loopback0 ,并使用 10.0.0.X/32的地址,第四節(jié) OSPF案例分析與部署,規(guī)劃了Router-id后的網(wǎng)絡(luò)拓撲圖,第四節(jié) OSPF案例分析與部署,使用loopback口作為 Router-id保持OSPF網(wǎng)絡(luò) 的穩(wěn)定性,注意：環(huán)回地址是否發(fā)布請根據(jù)網(wǎng)絡(luò)實際情況和應(yīng)

12、用需求進行調(diào)整。 一般園區(qū)網(wǎng)（如校園網(wǎng)）不推薦發(fā)布。 在某些需要用環(huán)回口地址做管理的園區(qū)網(wǎng)（如銀行）可以考慮發(fā)布,第四節(jié) OSPF案例分析與部署,第二步：OSPF區(qū)域規(guī)劃 對于這種層次分明的網(wǎng)絡(luò)，直接把出口路由器，核心和區(qū)域核心交換機包含到Area 0，再按照地理位置來區(qū)分非骨干區(qū)域 值得注意的是在施工中對于非骨干區(qū)域的AREA號定義，銳捷網(wǎng)絡(luò)推薦使用 AREA 10 ,20 ,30來遞增，這樣可以提供AREA號上的冗余，便于客戶增加區(qū)域,第四節(jié) OSPF案例分析與部署,劃分AREA后的網(wǎng)絡(luò)拓撲圖,第四節(jié) OSPF案例分析與部署,用區(qū)域劃分實現(xiàn)層次化設(shè)計,第三步：特殊區(qū)域的使用 象此類型的園區(qū)

13、網(wǎng)絡(luò)，銳捷網(wǎng)絡(luò)推薦非骨干區(qū)域一律采用完全末梢區(qū)域. (Totally Stub Area,第四節(jié) OSPF案例分析與部署,使用特殊區(qū)域后的網(wǎng)絡(luò)拓撲圖,第四節(jié) OSPF案例分析與部署,特殊區(qū)域的使用精簡了非骨 干區(qū)域的路由表項,第四步：非骨干區(qū)域IP子網(wǎng)規(guī)劃和路由匯總 OSPF網(wǎng)絡(luò)設(shè)計初期進行合理的IP子網(wǎng)規(guī)劃。 OSPF網(wǎng)絡(luò)部署時，進行區(qū)域間路由匯總,第四節(jié) OSPF案例分析與部署,使用區(qū)域匯總后的網(wǎng)絡(luò)拓撲圖,第四節(jié) OSPF案例分析與部署,非骨干區(qū)域的路由匯總精簡 了骨干區(qū)域的路由表項,注意： Area x range命令只能用在區(qū)域邊界路由器上，區(qū)域內(nèi)部路由器上不要使用此條命令，否則會造成

14、路由表項的錯誤,第四節(jié) OSPF案例分析與部署,第五步：引入默認路由和做選路優(yōu)化 在出口路由器上建立靜態(tài)默認路由指向Internet出口并且將其重分布到OSPF中。 根據(jù)網(wǎng)絡(luò)的實際情況更改OSPF參考帶寬 通過調(diào)整cost值來實現(xiàn)多鏈路的負載分擔(dān),第四節(jié) OSPF案例分析與部署,引入默認路由并進行選路優(yōu)化后的網(wǎng)絡(luò)拓撲,第四節(jié) OSPF案例分析與部署,引入默認路由并通過cost調(diào)整 實現(xiàn)冗余和負載均衡,第六步：阻止發(fā)往用戶的OSPF報文 為了保證OSPF網(wǎng)絡(luò)的安全，必須使用閉塞接口（Passive-interface）的方式來阻止發(fā)往用戶側(cè)的OSPF報文,第四節(jié) OSPF案例分析與部署,在區(qū)域1

15、0中阻止發(fā)往用戶的OSPF報文,第四節(jié) OSPF案例分析與部署,使用passive-interface來 阻止發(fā)往用戶的OSPF報文,注意：passive-interface命令會阻塞所有OSPF報文的發(fā)送，一般只會用于用戶vlan的SVI接口上,千萬不要阻塞OSPF路由器之間的鏈路，這將導(dǎo)致OSPF鄰居無法建立,第四節(jié) OSPF案例分析與部署,本章小結(jié): OSPF網(wǎng)絡(luò)設(shè)計的六大要點 Router-id的選擇 Area的劃分 特殊Area的使用 非骨干區(qū)域的路由匯總 引入默認路由和選路優(yōu)化 阻止發(fā)往用戶的OSPF報文 現(xiàn)在讓我們回顧一下本章的內(nèi)容,第四節(jié) OSPF案例分析與部署,第四節(jié) OSP

16、F案例分析與部署,原始網(wǎng)絡(luò)拓撲,Router-id規(guī)劃,默認路由引入和選路,非骨干區(qū)域路由匯總,使用特殊區(qū)域,Area劃分,阻止發(fā)往用戶的報文,提 綱,第一節(jié) OSPF協(xié)議簡介 第二節(jié) OSPF在園區(qū)網(wǎng)中的應(yīng)用場合 第三節(jié) OSPF的基本規(guī)劃 第四節(jié) OSPF案例分析和部署 第五節(jié) OSPF可選配置介紹 第六節(jié) OSPF的驗證和排錯,第五節(jié) OSPF可選配置,本章節(jié)介紹了不太常見的OSPF配置， 在實際工程中可以選擇性使用 。 接口參數(shù)調(diào)整 OSPF認證安全,第五節(jié) OSPF可選配置,OSPF接口參數(shù)調(diào)整 OSPF接口參數(shù)是OSPF協(xié)議的一個組成部分，將直接影響協(xié) 議的運行。在絕大多數(shù)情況下，

17、銳捷網(wǎng)絡(luò)推薦不要去更改這 些參數(shù)的默認值。只有在某些特定應(yīng)用環(huán)境中，比如運營商 的網(wǎng)絡(luò)，可能會需要調(diào)整OSPF的接口參數(shù),第五節(jié) OSPF可選配置,OSPF接口參數(shù)有下面幾種： OSPF網(wǎng)絡(luò)類型: 點到點和廣播 （NBMA和點到多點一般不會用于園區(qū)網(wǎng)絡(luò)中，本章中不作 介紹） OSPF 接口hello間隔和鄰居死亡間隔 OSPF接口優(yōu)先級,第五節(jié) OSPF可選配置,注意：修改接口網(wǎng)絡(luò)類型和hello間隔都有可能造成OSPF鄰居關(guān)系無法建立，請謹慎使用。如有特殊需求，請聯(lián)系銳捷網(wǎng)絡(luò)工程師,第五節(jié) OSPF可選配置,接口參數(shù)調(diào)整的特殊案例分析： 通過調(diào)整OSPF接口優(yōu)先級來操縱DR和BDR選舉,第五

18、節(jié) OSPF可選配置,為什么要控制廣播網(wǎng)絡(luò)中的DR和BDR選舉？ DR和BDR類似于OSPF廣播鏈路的領(lǐng)導(dǎo)者和中轉(zhuǎn)站，用于建立和維護到普通路由器的鄰居關(guān)系。 DR和BDR應(yīng)該選擇相對高端的設(shè)備,通過調(diào)整接口優(yōu)先級來控制DR和BDR的選舉 調(diào)整S6806E-1接口的端口優(yōu)先級為255 調(diào)整S6806E-2接口的端口優(yōu)先級為254,第五節(jié) OSPF可選配置,第五節(jié) OSPF可選配置,OSPF的認證安全: OSPFv2有兩種認證機制：一種是區(qū)域認證， 另外一種是鏈路認證 銳捷網(wǎng)絡(luò)設(shè)備對于這兩種認證方式都支持,第五節(jié) OSPF可選配置,OSPF的區(qū)域認證一旦開啟，那么在此路由器上屬于此區(qū)域的所有OSP

19、F接口都會進行認證,第五節(jié) OSPF可選配置,OSPF的鏈路認證開啟后，只會影響當前開啟認證的接口,第五節(jié) OSPF可選配置,認證方式的選擇： 在區(qū)域認證和鏈路認證配置過程中可以選擇兩種認證方式，第一種是明文方 式，第二種是MD5的加密方式 在實際工程中，銳捷網(wǎng)絡(luò)推薦OSPF認證全部采用MD5加密報文的方式,提 綱,第一節(jié) OSPF協(xié)議簡介 第二節(jié) OSPF在園區(qū)網(wǎng)中的應(yīng)用場合 第三節(jié) OSPF的基本規(guī)劃 第四節(jié) OSPF案例分析和部署 第五節(jié) OSPF可選配置介紹 第六節(jié) OSPF的驗證和排錯,第六節(jié) OSPF的驗證與排錯,OSPF常用的驗證方法： 靈活使用三條show命令。 Show ip ospf neighbor Show ip ospf interface Show ip ospf,第六節(jié) OSPF的驗證與排錯,Show ip ospf neighbor OSPF出現(xiàn)問題時應(yīng)該使用到的第一條命令 幾個重要的信息： 鄰居的Router-id 當前鄰居關(guān)系的狀態(tài),第六節(jié) OSPF的驗證與排錯,Show ip ospf interface 此命令用于檢查加入OSPF進程的接口配置，在進行OSPF鄰居關(guān)系排錯時非常有用 幾個重要的信息： Hello 間隔 網(wǎng)絡(luò)類型 端口優(yōu)先級 端口認證信息 接口是否被passive,第六節(jié) OSPF的驗證與排錯,Show ip ospf 這條命