ospf注入缺省路由解决的问题

ospf注入缺省路由解决的问题,第1张

1,OSPF是企业网中应用最广泛的一种IGP路由协议。通常企业网与ISP(互联网服务提供商)相连访问外部网络。通常情况下企业网络设备与ISP设备之间不会运行某种动态交换路由信息。企业无需知道和维护外部网络,而是通过缺省路由的方式来实现对外网的访问,这样可以精简路由表规模,同时当外部网络发生故障时,企业内部网络也不会受到影响,从而增强企业网络的安全性。

2,在OSPF中,有两种可以动态注入缺省路由。

1)第一种是在ASBR(自治系统边界路由)上手动注入缺省路由,也就是ASBR向整个OSPF网络泛洪表示缺省路由的Type-5 LSA(由ASBR产生,描述到AS外部的路由,通告给所有区域),其他路由器通过Type-5 LSA所表示的缺省路由来访问外部网络。

2)第二种是在Stub区域或Totally Stub区域以及NSSA区域中,由ABR自动注入缺省路由,也就是ABR向该区域泛洪表示缺省路由的Type-3 LSA或Type-7 LSA,该区域内的路由器通过Type-3 LSA(由区域边界路由ABR产生,描述区域内某个网段的路由,并通告给其他区域)或Type-7 LSA(由NSSA区域的ASBR产生,描述到AS外部的路由,仅在NSSA区域内传播)所表示的缺省路由来访问该区域以外的任何目的地。

实验目的

向OSPF网络手动注入缺省路由的方法

向OSPF自动注入缺省路由的方法

实验内容

实验拓扑

实验步骤

1,基本配置

配置接口IP

2,配置OSPF

[R1]ospf 100 router-id 10.0.1.1

[R1-ospf-100]area 2

[R1-ospf-100-area-0.0.0.2]network 10.0.13.0 0.0.0.255

[R1-ospf-100-area-0.0.0.2]net 172.16.1.0 0.0.0.255

登录后复制

[R2]ospf 100 router-id 10.0.2.2

[R2-ospf-100]area 1

[R2-ospf-100-area-0.0.0.1]net 10.0.23.2 0.0.0.255

[R2-ospf-100-area-0.0.0.1]net 172.16.2.0 0.0.0.255

登录后复制

[R3]ospf 100 router-id 10.0.3.3

[R3-ospf-100]area 0

[R3-ospf-100-area-0.0.0.0]net 10.0.34.0 0.0.0.255

[R3-ospf-100-area-0.0.0.0]area 1

[R3-ospf-100-area-0.0.0.1]net 10.0.23.0 0.0.0.255

[R3-ospf-100-area-0.0.0.1]area 2

[R3-ospf-100-area-0.0.0.2]net 10.0.13.0 0.0.0.255

登录后复制

[R4]ospf 100 router-id 10.0.4.4

[R4-ospf-100]area 0

[R4-ospf-100-area-0.0.0.0]network 10.0.34.0 0.0.0.255

登录后复制

R5是ISP边界路由器,R4是企业边界路由,所以,R5需要能够访问企业网络的能力,在R5上配置一条静态缺省路由指向R4

3,向普通区域注入缺省路由

现在企业内部课互通,但无法访问外网,原因是缺少去往外部网络的路由.

在R4上配置静态路由,使用import-route static将它引入ospf网络.

[R4]ip route-static 0.0.0.0 0.0.0.0 202.103.68.1

[R4]ospf 100

[R4-ospf-100]import-route static

登录后复制

可以看到,LSDB没有出现0.0.0.0的LSA,表示OSPF网络规定不允许通过import-router static命令注入缺省路由

删除刚才的配置

[R4]ospf 100

[R4-ospf-100]undo import-route static

登录后复制

在R4上使用default-route-advertise命令注入一条缺省路由.注意注入卤藕的前提是该路由器上必须要有一条通过其他方法获得的缺省路由.

[R4-ospf-100]default-route-advertise

登录后复制

可以看到,LSDB引入了0.0.0.0的Type-5 LSA的缺省路由,因为Type-5的泛洪范围是整个OSPF网络,说明default-route-advertise命令注入缺省路由的方法已经生效了.

R1上面也有了.

在R1上面ping 202.68.1.1能ping通,表示内部网现在可以与外部网络连接起来了.

但是,在实际场景中,R4 与R5之间的链路出现故障,就会导致R4的静态缺省路由失效,那么R4路由表就会失去这条缺省路由,进而导致default-route-advertise发布的缺省路由也随之失效.当恢复之后,静态缺省路由又会出现在路由表中,而表示这条缺省路由大的Type-5 LSA又会再次被发布到OSPF中,这样链路不稳定,会造成缺省路由和路由表的不稳定.

关闭g0/0/0接口,模拟链路故障.

[R5]int g0/0/0

[R5-GigabitEthernet0/0/0]shutdown

登录后复制

可以看到,缺省路由没有了.

重新打开后

[R5-GigabitEthernet0/0/0]undo shutdown

登录后复制

又回来了.

所以为了避免链路不稳定带来的影响,提高网络的可靠性,我们希望R4上是否已经存在缺省路由,R4都能够向整个OPF网络注入缺省路由.为此,可以使用default-route-advertise命令时添加关键字always

[R4]ospf 100

[R4-ospf-100]default-route-advertise always

登录后复制

也就是说,外网拓扑发生什么变化,缺省路由都不会变.

4,向stub区域或Totally-Stub区域注入缺省路由

该OSPF网络中,区域1本是一个普通的非骨干区域,如果将它配置成stub区域,由于Stub区域是不允许Type-5LSA进入的,则该区域是不可能获得前面的缺省路由的.实际上,在配置OSPF的Stub区域时,Stub区域的ABR会自动生成表示缺省路由的Type-3 LSA,并将它泛洪.Totally Stub区域也类似,Totally Stub区域虽然不允许Type-3LSA进入,但允许表示缺省路由的Type-3LSA进入.

缺省路由:路由算法有动静之分,静态路由是一种特殊的路由,它是由管理员手工设定的。手工配置所有的路由虽然可以使网络正常运转,但是也会带来一些局限性。网络拓扑发生变化之后,静态路由不会自动改变,必须有网络管理员的介入。

缺省路由是静态路由的一种,也是由管理员设置的。在没有找到目标网络的路由表项时,路由器将信息发送到缺省路由器。而动态的算法,顾名思义,是由路由器自动计算出的路由,常说的RIP、OSPF等都是动态算法的典型代表。

另外,还可以将路由算法分为DV和LS两种。DV(Distance Vector,距离向量)算法将当前路由器的路由信息传送给相邻路由器,相邻路由器将这些信息加入自身的路由表。而LS(Link State,链路状态)算法将链路状态信息传给域内所有的路由器,接收路由器利用这些信息构建网络拓扑图,并利用图论中的最短路径优先算法决定路由。

启明星辰防火墙引入直连路由的方法:

1、配置管理防火墙,PC地址段,创建安全域,创建外网域。

2、配置物理接口地址,配置接口模式,配置基本路由,添加缺省路由。

3、创建地址,添加办公网段,配置服务端口,定义端口。

4、配置源地址转换,NAT转换配置,做双向地址转换。

5、双向地址转换配置步骤,配置安全策略(允许通过)即可引入直连路由。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/bake/11423746.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-16
下一篇 2023-05-16

发表评论

登录后才能评论

评论列表(0条)

保存