OSPF区域间路由技术教程
路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。本次介绍OSPF区域间路由技术,内容包括区域间路由原理,使用Network-Summary-LSA描述区域间路由信息,虚连接技术,区域间路由汇聚等内容。
具体介绍
区域边界路由器(ABR)上有多个LSDB,ABR为每个区域维护一个LSDB。ABR将所连接的非骨干区域内的链路状态信息抽象成路由信息,并发布到骨干区域中,由骨干区域进一步发布到其它骨干区域中。
ABR也要将骨干区域的链路状态信息抽象成路由信息,并发布到所连接的非骨干区域中。
上图中:RTA生成关于N1的链路状态信息并泛洪到RTB。RTB生成关于N1的抽象路由信息并在骨干区域内泛洪。RTC将接收到的抽象路由信息泛洪到RTD。
上图中:如果关于Area2 和Area3之间发布路由信息是允许的,那么一个区域间的环路就会形成。
为了避免区域间的环路,OSPF规定不允许直接在两个非骨干区域之间发布路由信息,只允许在一个区域内部或者在骨干区域和非骨干区域之间发布路由信息。因此,每个区域边界路由器(ABR)都必须连接到骨干区域。
Network-Summary-LSA中主要包括以下内容:
Link State ID被设置成目的网段的IP地址。
Net mask被设置成目的网段的网络掩码。
Metric被设置成从该ABR到达目的网段的开销值。
以网段10.1.1.0/24为例,区域间路由发布的过程如下:
首先,RTB(Area 1的ABR)将该网段的路由信息发布到骨干区域中。
然后,RTC通过骨干区域学习到RTB发布的关于网段10.1.1.0/24的路由信息。
最后,RTC根据从骨干区域学习到Network-Summary-LSA重新生成一条新的Network-Summary-LSA,并发布到Area 2中,在这条新的LSA中:Advertising Router修改为RTC本身的Router ID;到目的网段的开销需要重新计算,修改为从RTC到目的网段的总开销。
骨干区域必须是连续的,但是并不要求物理上连续,可以使用虚连接使骨干区域逻辑上连续。
虚连续可以在任意两个区域边界路由器上建立,但是要求这两个区域边界路由器都有端口连接到一个共同的非骨干区域。
虚连接是属于骨干区域(Area 0)的一条虚拟链路。
本例中,在RTA和RTB之间建立一条虚连接,以使RTB连接到骨干区域。
问题:
1. 区域间传递的是否为链路状态信息?
2. 如何避免区域间环路的产生?
3. 如何确定虚连接的对端IP地址?
4. 区域间路由汇聚功能在什么路由器上配置?
答:
1. 不是,区域间传递的是路由信息,不是详细的链路状态信息。
2. 只允许在骨干区域和非骨干区域之间发布路由信息,不允许在非骨干区域之间直接发布路由信息。
3. 通过计算对端路由器的最短路径树找到对端路由器在虚连接上的IP地址。
4. 在区域边界路由器(ABR)上配置
相关阅读:路由器安全特性关键点
由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性:
(1)可靠性与线路安全 可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。当主接口出现故障时,备份接口自动投入工作,保证网络的正常运行。当网络流量增大时,备份接口又可承当负载分担的任务。
(2)身份认证路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。
(3)访问控制对于路由器的访问控制,需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。
(4)信息隐藏与对端通信时,不一定需要用真实身份进行通信。通过地址转换,可以做到隐藏网内地址,只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。
(5)数据加密
为了避免因为数据窃听而造成的信息泄漏,有必要对所传输的信息进行加密,只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密,即使在Internet上进行传输,也能保证数据的私有性、完整性以及报文内容的真实性。
(6)攻击探测和防范
路由器作为一个内部网络对外的接口设备,是攻击者进入内部网络的第一个目标。如果路由器不提供攻击检测和防范,则也是攻击者进入内部网络的一个桥梁。在路由器上提供攻击检测,可以防止一部分的攻击。
(7)安全管理
内部网络与外部网络之间的每一个数据报文都会通过路由器,在路由器上进行报文的审计可以提供网络运行的必要信息,有助于分析网络的运行情况。
OSPF区域间路由技术教程相关文章:
