网络运维与网络安全 学习笔记2023.11.27
网络运维与网络安全 学习笔记 第二十八天
今日目标
OSPF基本原理、OSPF单区域配置、OSPF多区域配置
特殊区域之Stub、特殊区域之NSSA
OSPF基本原理
项目背景
随着企业的发展,网络的规模越来越大,网段的数量越来越多,公司内部的路由器的数量越来越多
为实现不同网络之间的互通,需要在路由器上配置大量的路由条目,工作量庞大并且随着网络扩展,后期管理难度增大
项目分析
为了实现不同网段之间的互通,需要在每个路由器上配置新增加的网段
如果新添加的网段数量很多,同时路由器的数量也很多,工作量非常庞大
如果想删除某个网段,也同样需要在所有路由器上删除,工作量也非常的庞大
解决方案
在路由器之间运行“动态路由协议”,让路由器之间自动的学习和分享彼此的路由表信息,每个路由器都独立的计算出一个去往目标网段的最好路由
动态路由协议的特点
减少了后期网络管理任务,避免了人为的配置错误
在设备之间传输路由,会占用少量的网络带宽
动态路由协议的类型
内部网关协议:在同一个公司内部运行的路由协议,如RIP、ISIS、OSPF
外部网关协议:在不同公司之间运行的路由协议,如BGP
OSPF协议概述
应用在企业内部,属于公有标准协议,位于OSI模型 第三层
OSPF的数据包,包含在IP头部后面,协议号为89
OSPF支持企业网络的层次化设计,将网络分为2层:骨干和非骨干区域
OSPF区域的标识
通过十进制表示,例如区域0、1、2、3等
通过点分十进制标识,例如区域0.0.0.0、0.0.0.1、0.0.0.2等
OSPF骨干区域
区域号为0,表示的时“骨干区域”
OSPF非骨干区域
区域号不为0,表示的就是“非骨干区域”
非骨干区域必须和骨干区域“直接”相连,能实现“区域之间的互通”
OSPF工作原理
建立OSPF邻居表、同步OSPF数据库、计算OSPF路由表
OSPF报文类型
项目总结
路由器和网段较多时,动态协议效率更高
在企业内网,适应性和扩展性最强的动态路由协议是OSPF
OSPF属于“网络层”协议,所以配置之前,必须确保网络的物理层和数据链路层是互通的
OSPF支持将网络划分为骨干层和非骨干层,便于网络的扩展、排错和管理
OSPF单区域配置
项目背景
企业内部存在多个部门,分别属于不同的网段
现需要不同部门之间实现互通,使用扩展性比较强的方案,便于后期网络规模的扩展
项目分析
在企业内部,灵活的实现不同部门之间互通的解决方案,并且具有丰富的扩展性,只有OSPF协议可以做到
为了便于网络规模的扩展,当前的OSPF网络必须要设计为区域0
解决方案
配置思路
根据拓扑图,实现设备之间的连接,并配置接口的IP地址
配置终端设备的IP地址、掩码、网关
在每个路由器上启用OSPF协议
查看路由器之间的OSPF邻居表和路由表
验证终端设备之间的互通性
配置命令
配置OSPF - R1
ospf 1 //指定OSPF协议的“进程号”,如果不指定默认是1
area 0 //进入OSPF协议的区域 0
network 192.168.1.0 0.0.0.255 //将192.168.1.0/24宣告进入到区域0
network 192.168.12.0 0.0.0.255 //network后面跟的必须是直连路由
配置OSPF - R2
ospf 2 //OSPF协议的进程号,在每个设备上是可以不相同的
area 0
network 192.168.12.0 0.0.0.255
network 192.168.23.0 0.0.0.255
配置OSPF - R3
ospf 3
area 0
network 192.168.23.0 0.0.0.255
network 192.168.2.0 0.0.0.255
查看OSPF邻居表简要信息
[R1]display ospf peer brief
#Router ID - 表示OSPF协议为R1起的名字
#Area Id - 表示R1当前建立的邻居关系所在的区域
#Neighbor id - 表示邻居路由器的OSPF Router ID
#State - 表示邻居路由器的状态,最终的完美状态时Full(完全邻接)
Router ID
OSPF为了区分不同的路由器,为不同的设备取得名字,格式类似IP地址
Router ID的特点是:稳定。即一旦确定,就不会改变,除非重启
Router ID的确定方式,可以时手动指定的,也可以是自动选举的
手动配置Router ID
ospf {进程号} router-id x.x.x.x //x.x.x.x是即将要配置的router-id
reset ospf process //重启OSPF协议,router-id才会生效
Warning:The OSPF process will be reset .Continue?[Y/N]:y
验证与测试OSPF
display ospf peer brief,查看OSPF邻居表
display ip routing-table protocol ospf,查看OSPF路由条目
PC1>ping 192.168.2.1,通
PC2>ping 192.168.1.1,通
配置步骤
①配置终端设备 - PC1
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备 - PC2
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置网络设备 - R1
undo terminal monitor
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.1.254 255.255.255.0
[R1-GigabitEthernet0/0/2]quit
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 255.255.255.0
[R1-GigabitEthernet0/0/0]quit
④配置网络设备 - R2
undo terminal monitor
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.23.2 255.255.255.0
[R2-GigabitEthernet0/0/0]quit
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.12.2 255.255.255.0
[R2-GigabitEthernet0/0/1]quit
⑤配置网络设备 - R3
undo terminal monitor
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet 0/0/2
[R3-GigabitEthernet0/0/2]ip address 192.168.2.254 255.255.255.0
[R3-GigabitEthernet0/0/2]quit
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.23.3 255.255.255.0
[R3-GigabitEthernet0/0/1]quit
⑥配置OSPF区域 0
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]quit
[R2]ospf 2
[R2-ospf-2]area 0
[R2-ospf-2-area-0.0.0.0]network 192.168.12.0 0.0.0.255
[R2-ospf-2-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[R2-ospf-2-area-0.0.0.0]quit
[R3]ospf 3
[R3-ospf-3]area 0
[R3-ospf-3-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[R3-ospf-3-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[R3-ospf-3-area-0.0.0.0]quit
项目总结
企业内网,如果仅仅配置一个区域,那必须是OSPF区域0
OSPF进程号的作用是:在同一个路由器上区分不同的OSPF协议,不同的路由器上的进程号可以相同也可以不相同,互不相干
OSPF的router-id用于标识不同的路由器,必须确保全网唯一
OSPF router-id最大的特点就是:稳定。一旦确定,就无法修改,除非重启OSPF协议或者重启路由器
OSPF邻居表中的状态必须是Full,才能互相学习对方的路由
OSPF多区域配置
项目背景
企业核心机房,连接不同的办公楼宇,实现不同楼宇互通
企业核心机房设置为OSPF骨干区域
其他办公楼宇为非骨干区域,通过路由器与核心机房互联互通
项目分析
随着企业内网的规模越来越大,网络的稳定性、扩展性以及管理工作,受到越来越大的考验
为了能够增强网络稳定性以及扩展性,简化网络管理和故障排查工作,我们引入OSPF多区域
相关概念
路由器的类型
骨干区域路由器:路由器所有的接口,都属于骨干区域的路由器
非骨干区域路由器:路由器所有的接口,都属于非骨干区域
区域边界路由器:同时连接着骨干区域和非骨干区域的路由器(ABR)
自治系统边界路由器:具有产生外部路由能力的路由器(ASBR)
OSPF区域的类型
骨干区域
非骨干区域
普通区域
特殊区域:stub区域、完全stub区域、NSSA区域、完全NSSA区域
多区域的互联原则
所有的非骨干区域,必须与骨干区域直接相连,否则区域之间无法互通
解决方案
配置思路
如图连接并配置设备接口IP地址
将R1和R2属于设置为区域12,R5和R6设置为区域56
将R2/R3/R4/R5设置为区域0,最终实现PC1和PC2的互通
配置命令
配置OSPF - R1
ospf 1 router-id 1.1.1.1
area 12
network 192.168.12.0 0.0.0.255
network 192.168.1.0 0.0.0.255
quit
配置OSPF - R2
ospf 1 router-id 2.2.2.2
area 12
network 192.168.12.0 0.0.0.255
area 0
network 192.168.23.0 0.0.0.255
quit
配置OSPF - R3
ospf 1 router-id 3.3.3.3
area 0
network 192.168.23.0 0.0.0.255
network 192.168.34.0 0.0.0.255
quit
配置OSPF - R4
ospf 1 router-id 4.4.4.4
area 0
network 192.168.45.0 0.0.0.255
network 192.168.34.0 0.0.0.255
quit
配置OSPF - R5
ospf 1 router-id 5.5.5.5
area 0
network 192.168.45.0 0.0.0.255
area 56
network 192.168.56.0 0.0.0.255
quit
配置OSPF - R6
ospf 1 router-id 6.6.6.6
area 56
network 192.168.56.0 0.0.0.255
network 192.168.2.0 0.0.0.255
quit
验证与测试
display ospf peer brief //查看OSPF邻居表
display ip routing-table protocol ospf //查看OSPF路由表
pc1>ping 192.168.2.1 //通
display ospf brief //查看OSPF路由器的身份,如ABR
配置步骤
①配置OSPF - R1
undo terminal monitor
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2]quit
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 12
[R1-ospf-1-area-0.0.0.12]network 192.168.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.12]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.12]quit
②配置OSPF - R2
undo terminal monitor
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1]quit
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0]quit
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 12
[R2-ospf-1-area-0.0.0.12]network 192.168.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.12]quit
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]quit
③配置OSPF - R3
undo terminal monitor
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1]quit
[R3]interface GigabitEthernet0/0/0
[R3-GigabitEthernet0/0/0]ip address 192.168.34.3 24
[R3-GigabitEthernet0/0/0]quit
[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 192.168.34.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]quit
④配置OSPF - R4
undo terminal monitor
system-view
[Huawei]sysname R4
[R4]interface GigabitEthernet0/0/1
[R4-GigabitEthernet0/0/1]ip address 192.168.34.4 24
[R4-GigabitEthernet0/0/1]quit
[R4]interface GigabitEthernet0/0/0
[R4-GigabitEthernet0/0/0]ip address 192.168.45.4 24
[R4-GigabitEthernet0/0/0]quit
[R4]ospf 1 router-id 4.4.4.4
[R4-ospf-1]area 0
[R4-ospf-1-area-0.0.0.0]network 192.168.45.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]network 192.168.34.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]quit
⑤配置OSPF - R5
undo terminal monitor
system-view
[Huawei]sysname R5
[R5]interface GigabitEthernet0/0/1
[R5-GigabitEthernet0/0/1]ip address 192.168.45.5 24
[R5-GigabitEthernet0/0/1]quit
[R5]interface GigabitEthernet0/0/0
[R5-GigabitEthernet0/0/0]ip address 192.168.56.5 24
[R5-GigabitEthernet0/0/0]quit
[R5]ospf 1 router-id 5.5.5.5
[R5-ospf-1]area 56
[R5-ospf-1-area-0.0.0.56]network 192.168.56.0 0.0.0.255
[R5-ospf-1-area-0.0.0.56]quit
[R5-ospf-1]area 0
[R5-ospf-1-area-0.0.0.0]network 192.168.45.0 0.0.0.255
[R5-ospf-1-area-0.0.0.0]quit
⑥配置OSPF - R6
undo terminal monitor
system-view
[Huawei]sysname R6
[R6]interface GigabitEthernet0/0/1
[R6-GigabitEthernet0/0/1]ip address 192.168.56.6 24
[R6-GigabitEthernet0/0/1]quit
[R6]interface GigabitEthernet0/0/2
[R6-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R6-GigabitEthernet0/0/2]quit
[R6]ospf 1 router-id 6.6.6.6
[R6-ospf-1]area 56
[R6-ospf-1-area-0.0.0.56]network 192.168.56.0 0.0.0.255
[R6-ospf-1-area-0.0.0.56]network 192.168.2.0 0.0.0.255
[R6-ospf-1-area-0.0.0.56]quit
⑦确保PC-1和PC-2互通
PC-1>PING 192.168.2.1 通
PC-2>PING 192.168.1.1 通
项目总结
多区域的OSPF,最关键的是ABR的配置,实现区域之间的互通
在ABR上配置的时候,必须出现"区域0"的相关配置
多区域的OSPF网络,非骨干区域必须与骨干区域直接相连
路由器之间的直连网段,必须通过network命令宣告进OSPF
OSPF特殊区域之Stub
项目背景
两公司之间不运行OSPF协议,通过静态路由互通
为了让企业之间互相访问,需要将“静态路由”宣告进OSPF
企业内部重要区域(Area 12)不希望受到外部链路的抖动的影响
项目分析
在R6和R7之前配置静态路由,实现双边网络互通
在R6上将“静态路由”宣告进入到OSPF,只能通过import-route的方式,该路由以“外部路由”形式存在于OSPF网络
R6-R7之间的链路不稳定,导致OSPF外部路由不稳定,影响到整个OSPF网络中的路由表的稳定
OSPF计算外部路由,是通过External LSA计算出来的
解决方案
想让重要区域(Area 12)不受到外部路由的影响,可以让区域不接收 External LSA,即将Area 12 配成OSPF特殊区域
OSPF特殊区域,指的是不接收External LSA的区域
配置思路
如图配置设备IP地址
配置企业网络内部的OSPF协议,即多区域的OSPF网络
R6创建静态路由,实现与PC3的互通
R7创建静态路由,访问企业内网的所有网段
R6通过import-route的方式宣告“静态路由”
将Area 12 配置为OSPF特殊区域 - Stub Area(末梢区域)
配置终端的IP地址、掩码、网关
配置各路由器的接口IP地址,并启用OSPF,宣告网段进入区域
配置命令
配置R7去往公司内网的路由条目
ip route-static 192.168.0.0 16 192.168.67.6
配置R6去往PC3的静态路由
ip route-static 192.168.3.0 24 192.168.67.7
在R6上,宣告静态路由进入OSPF协议
ospf 1
import-route static //通过该命令产生的路由,称之为OSPF外部路由
将区域12配置为Stub区域
在该区域的所有路由器上(R1/R2),均配置下面的命令:
ospf 1
area 12
stub //将区域12设置为stub区域,该区域不允许存在外部LSA
方案优化
Stub区域的特点:
该区域不会受到外部链路的不稳定的影响
ABR会自动的产生1个默认路由,确保该区域可以与外部链路互通
该区域,依然会受到“其他区域的链路”不稳定所造成的影响
Stub区域的优化:
在ABR上配置,确保该区域不包含“区域之间的链路”,从而避免该区域受到“其他区域”的影响
具备这种特点的区域,称之为Totally Stub区域(完全末梢区域)
配置命令
将Stub区域12,进一步配置为Totally Stub区域
仅仅需要在Stub区域的ABR(R2)上配置以下命令:
ospf1
area 12
stub no-summary //该ABR不允许向区域12发送Summary LSA
配置步骤
①配置终端设备PC1/2/3
PC-1:
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
PC-2:
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
PC-3:
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
②配置OSPF - R1
undo terminal monitor
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2]quit
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 12
[R1-ospf-1-area-0.0.0.12]network 192.168.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.12]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.12]quit
③配置OSPF - R2
undo terminal monitor
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1]quit
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0]quit
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 12
[R2-ospf-1-area-0.0.0.12]network 192.168.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.12]quit
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]quit
④配置OSPF - R3
undo terminal monitor
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1]quit
[R3]interface GigabitEthernet0/0/0
[R3-GigabitEthernet0/0/0]ip address 192.168.34.3 24
[R3-GigabitEthernet0/0/0]quit
[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 192.168.34.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]quit
⑤配置OSPF - R4
undo terminal monitor
system-view
[Huawei]sysname R4
[R4]interface GigabitEthernet0/0/1
[R4-GigabitEthernet0/0/1]ip address 192.168.34.4 24
[R4-GigabitEthernet0/0/1]quit
[R4]interface GigabitEthernet0/0/0
[R4-GigabitEthernet0/0/0]ip address 192.168.45.4 24
[R4-GigabitEthernet0/0/0]quit
[R4]ospf 1 router-id 4.4.4.4
[R4-ospf-1]area 0
[R4-ospf-1-area-0.0.0.0]network 192.168.45.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]network 192.168.34.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]quit
⑥配置OSPF - R5
undo terminal monitor
system-view
[Huawei]sysname R5
[R5]interface GigabitEthernet0/0/1
[R5-GigabitEthernet0/0/1]ip address 192.168.45.5 24
[R5-GigabitEthernet0/0/1]quit
[R5]interface GigabitEthernet0/0/0
[R5-GigabitEthernet0/0/0]ip address 192.168.56.5 24
[R5-GigabitEthernet0/0/0]quit
[R5]ospf 1 router-id 5.5.5.5
[R5-ospf-1]area 56
[R5-ospf-1-area-0.0.0.56]network 192.168.56.0 0.0.0.255
[R5-ospf-1-area-0.0.0.56]quit
[R5-ospf-1]area 0
[R5-ospf-1-area-0.0.0.0]network 192.168.45.0 0.0.0.255
[R5-ospf-1-area-0.0.0.0]quit
⑦配置OSPF - R6
undo terminal monitor
system-view
[Huawei]sysname R6
[R6]interface GigabitEthernet0/0/1
[R6-GigabitEthernet0/0/1]ip address 192.168.56.6 24
[R6-GigabitEthernet0/0/1]quit
[R6]interface GigabitEthernet0/0/2
[R6-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R6-GigabitEthernet0/0/2]quit
[R6]interface GigabitEthernet0/0/0
[R6-GigabitEthernet0/0/0]ip address 192.168.67.6 24
[R6-GigabitEthernet0/0/0]quit
[R6]ospf 1 router-id 6.6.6.6
[R6-ospf-1]area 56
[R6-ospf-1-area-0.0.0.56]network 192.168.56.0 0.0.0.255
[R6-ospf-1-area-0.0.0.56]network 192.168.2.0 0.0.0.255
[R6-ospf-1-area-0.0.0.56]quit
[R6]ip route-static 192.168.3.0 24 192.168.67.7
⑧配置R7
undo terminal monitor
system-view
[Huawei]sysname R7
[R7]interface GigabitEthernet0/0/1
[R7-GigabitEthernet0/0/1]ip address 192.168.67.7 24
[R7-GigabitEthernet0/0/1]quit
[R7]interface GigabitEthernet0/0/2
[R7-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R7-GigabitEthernet0/0/2]quit
[R7]ip route-static 192.168.0.0 16 192.168.67.6
⑨R6宣告引入外部路由
[R6]ospf 1 router-id 6.6.6.6
[R6-ospf-1]import-route static
⑩配置区域12为Stub区域
[R1]ospf1
[R1-ospf-1]area 12
[R1-ospf-1-area-0.0.0.12]stub
[R2]ospf1
[R2-ospf-1]area 12
[R2-ospf-1-area-0.0.0.12]stub
配置区域12为Totally Stub区域
[R2]ospf 1
[R2-ospf-1]area 12
[R2-ospf-1-area-0.0.0.12]stub no-summary
项目总结
Stub区域,不会受到外部链路的不稳定的影响
ABR会自动的产生1个默认路由,确保该区域与外部链路以及其他区域互通
在Stub区域的基础上,更加的优化方案是:Totally Stub区域
在Totally Stub区域中的设备,不会受到外部链路以及其他区域链路的影响,确保该区域更加的稳定和安全
OSPF特殊区域之NSSA
项目背景
企业内网运行OSPF,经运营商访问公司架设在公网的“服务器”
为了确保内网区域123的稳定性,将区域123配置为stub区域
“合作公司”与“企业”有特定业务合作经公司访问公网服务器
项目分析
企业与合作公司之间仅仅是某种业务互通,所以公司之间使用静态路由实现互通
需要在R1上宣告去往“合作公司”的静态路由,使用重分发命令
因为区域123被配置为特殊区域,导致R1重分发路由不成功
解决方案
既保持区域123不接收其他区域产生的外部路由,但是自己本区域的设备又可以“引入”外部路由,所以将区域123配置为NSSA
NSSA(Not-So-Stub-Area),既保持了stub区域的特点,该类型的区域内的设备,还可以引入外部路由,是NSSA LSA的形式
配置命令
将区域123配置为NSSA区域
在该区域的所有路由器上(R1/R2/R3),均配置下面的命令:
ospf 1
area 123
undo stub //删除之前的stub区域相关配置
nssa //将区域123配置为nssa区域
方案优化
NSSA区域的特点
不接收其他区域的设备产生的外部路由,但本区域设备自己可产生外部路由
ABR会自动的产生1个默认路由,确保该区域可以与外部链路互通
该区域,依然会受到“其他区域的链路”不稳定所造成的影响
NSSA区域的优化
在ABR上配置,确保该区域不包含“区域之间的链路”,从而避免该区域受到“其他区域”的影响
具备这种特点的区域,称之为Totally NSSA区域
配置命令
将NSSA区域123,进一步配置为Totally NSSA区域
仅仅需要在NSSA区域的ABR(R3)上配置以下命令:
ospf 1
area 123
nssa no-summary //该ABR不允许向区域123发送Summary LSA
配置步骤
①配置终端设备 - PC1/Server1
PC-1:
地址:192.168.1.1
掩码:255.255.255.0
网关:182.168.1.254
Server-1:
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
②配置OSPF - R1
undo terminal monitor
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.16.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 123
[R1-ospf-1-area-0.0.0.123]network 192.168.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.123]quit
③配置OSPF - R2
undo terminal monitor
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1]quit
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0]quit
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 123
[R2-ospf-1-area-0.0.0.123]network 192.168.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.123]network 192.168.23.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]quit
④配置OSPF - R3
undo terminal monitor
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1]quit
[R3]interface GigabitEthernet0/0/0
[R3-GigabitEthernet0/0/0]ip address 192.168.34.3 24
[R3-GigabitEthernet0/0/0]quit
[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 192.168.34.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]quit
[R3-ospf-1]area 123
[R3-ospf-1-area-0.0.0.123]network 192.168.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.123]quit
⑤配置OSPF - R4
undo terminal monitor
system-view
[Huawei]sysname R4
[R4]interface GigabitEthernet0/0/1
[R4-GigabitEthernet0/0/1]ip address 192.168.34.4 24
[R4-GigabitEthernet0/0/1]quit
[R4]interface GigabitEthernet0/0/0
[R4-GigabitEthernet0/0/0]ip address 192.168.45.4 24
[R4-GigabitEthernet0/0/0]quit
[R4]ospf 1 router-id 4.4.4.4
[R4-ospf-1]area 0
[R4-ospf-1-area-0.0.0.0]network 192.168.34.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]quit
[R4-ospf-1-area-0.0.0.0]network 192.168.45.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]quit
⑥配置OSPF - R5
undo terminal monitor
system-view
[Huawei]sysname R5
[R5]interface GigabitEthernet0/0/1
[R5-GigabitEthernet0/0/1]ip address 192.168.45.5 24
[R5-GigabitEthernet0/0/1]quit
[R5]interface GigabitEthernet0/0/0
[R5-GigabitEthernet0/0/0]ip address 192.168.56.5 24
[R5-GigabitEthernet0/0/0]quit
[R5]ospf 1 router-id 5.5.5.5
[R5-ospf-1]area 56
[R5-ospf-1-area-0.0.0.56]network 192.168.56.0 0.0.0.255
[R5-ospf-1-area-0.0.0.56]quit
[R5-ospf-1]area 0
[R5-ospf-1-area-0.0.0.0]network 192.168.45.0 0.0.0.255
[R5-ospf-1-area-0.0.0.0]quit
⑦配置OSPF - R6
undo terminal monitor
system-view
[Huawei]sysname R6
[R6]interface GigabitEthernet0/0/1
[R6-GigabitEthernet0/0/1]ip address 192.168.56.6 24
[R6-GigabitEthernet0/0/1]quit
[R6]interface GigabitEthernet0/0/2
[R6-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R6-GigabitEthernet0/0/2]quit
[R6]interface GigabitEthernet0/0/0
[R6-GigabitEthernet0/0/0]ip address 192.168.67.6 24
[R6-GigabitEthernet0/0/0]quit
[R6]ospf 1 router-id 6.6.6.6
[R6-ospf-1]area 56
[R6-ospf-1-area-0.0.0.56]network 192.168.56.0 0.0.0.255
[R6-ospf-1-area-0.0.0.56]network 192.168.2.0 0.0.0.255
[R6-ospf-1-area-0.0.0.56]quit
[R6]ip route-static 192.168.3.0 24 192.168.67.7
⑧配置R7
undo terminal monitor
system-view
[Huawei]sysname R7
[R7]interface GigabitEthernet0/0/1
[R7-GigabitEthernet0/0/1]ip address 192.168.67.7 24
[R7-GigabitEthernet0/0/1]quit
[R7]interface GigabitEthernet0/0/2
[R7-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R7-GigabitEthernet0/0/2]quit
[R7]ip route-static 192.168.0.0 16 192.168.67.6
⑨R6宣告引入外部路由
[R6]ospf 1 router-id 6.6.6.6
[R6-ospf-1]import-route static
⑩配置区域12为Stub区域
[R1]ospf1
[R1-ospf-1]area 12
[R1-ospf-1-area-0.0.0.12]stub
[R2]ospf1
[R2-ospf-1]area 12
[R2-ospf-1-area-0.0.0.12]stub
配置区域12为Totally Stub区域
[R2]ospf 1
[R2-ospf-1]area 12
[R2-ospf-1-area-0.0.0.12]stub no-summary
项目总结
不能接受External LSA的区域,称之为特殊区域
OSPF特殊区域包括:Stub/Totally Stub/NSSA/Totally NSSA 4种
通常情况下,为了确保一个区域更加的安全和稳定,才会将其配置为特殊区域
只有非骨干区域可以配置为特殊区域,骨干区域无法配置为特殊区域