OSPF区域间路由技术教程

具体介绍 区 域 边 界 路 由 器 (ABR)ABR)) 上 有 多 个 LSDB ， ABR) 为 每 个 区 域 维 护 一 个 LSDB。ABR) 将所连接的非骨干区域内的链路状态信息抽象成路由信息，并发 布到骨干区域中，由骨干区域进一步发布到其它骨干区域中。 ABR) 也要将骨干区域的链路状态信息抽象成路由信息，并发布到所连接 的非骨干区域中。 上图中:RTAR)TA 生成关于 N1 的链路状态信息并泛洪到 R)TB。R)TB 生成关于 N1 的抽象路由信息并在骨干区域内泛洪。 R)TC 将接收到的抽象路由信息泛 洪到 R)TD。 上图中：如果关于 Area2 和 Area3 之间发布路由信息是允许的，那么一 个区域间的环路就会形成。 为了避免区域间的环路，OSPF 规定不允许直接在两个非骨干区域之间 发布路由信息，只允许在一个区域内部或者在骨干区域和非骨干区域之间发 布路由信息。因此，每个区域边界路由器(ABR)ABR))都必须连接到骨干区域。 Network-Summary-LSA 中主要包括以下内容： Link State ID 被设置成目的网段的 IP 地址。 Net mask 被设置成目的网段的网络掩码。 Metric 被设置成从该 ABR) 到达目的网段的开销值。 以网段 10.1.1.0/24 为例，区域间路由发布的过程如下： 首先，R)TB(ABR)Area 1 的 ABR))将该网段的路由信息发布到骨干区域中。 然后，R)TC 通过骨干区域学习到 R)TB 发布的关于网段 10.1.1.0/24 的路 由信息。 最后，R)TC 根据从骨干区域学习到 Network-Summary-LSA 重新生成一 条新的 Network-Summary-LSA，并发布到 Area 2 中，在这条新的 LSA 中： Advertising R)outer 修改为 R)TC 本身的 R)outer ID;到目的网段的开销需要重 新计算，修改为从 R)TC 到目的网段的总开销。 骨干区域必须是连续的，但是并不要求物理上连续，可以使用虚连接使 骨干区域逻辑上连续。 虚连续可以在任意两个区域边界路由器上建立，但是要求这两个区域边 界路由器都有端口连接到一个共同的非骨干区域。 虚连接是属于骨干区域(ABR)Area 0)的一条虚拟链路。 本例中，在 R)TA 和 R)TB 之间建立一条虚连接，以使 R)TB 连接到骨干区 域。 问题： 1. 区域间传递的是否为链路状态信息? 2. 如何避免区域间环路的产生? 3. 如何确定虚连接的对端 IP 地址? 4. 区域间路由汇聚功能在什么路由器上配置? 答： 1. 不是，区域间传递的是路由信息，不是详细的链路状态信息。 2. 只允许在骨干区域和非骨干区域之间发布路由信息，不允许在非骨干 区域之间直接发布路由信息。 3. 通过计算对端路由器的最短路径树找到对端路由器在虚连接上的 IP 地址。 4. 在区域边界路由器(ABR)ABR))上配置 相关阅读：路由器安全特性关键点 由于路由器是网络中比较关键的设备，针对网络存在的各种安全隐患， 路由器必须具有如下的安全特性： (ABR)1)可靠性与线路安全 可靠性要求是针对故障恢复和负载能力而提出来 的。对于路由器来说，可靠性主要体现在接口故障和网络流量增大两种情况 下，为此，备份是路由器不可或缺的手段之一。当主接口出现故障时，备份 接口自动投入工作，保证网络的正常运行。当网络流量增大时，备份接口又 可承当负载分担的任务。 (ABR)2)身份认证路由器中的身份认证主要包括访问路由器时的身份认证、对 端路由器的身份认证和路由信息的身份认证。 (ABR)3)访问控制对于路由器的访问控制，需要进行口令的分级保护。有基于 IP 地址的访问控制和基于用户的访问控制。 (ABR)4)信息隐藏与对端通信时，不一定需要用真实身份进行通信。通过地址 转换，可以做到隐藏网内地址，只以公共地址的方式访问外部网络。除了由 内部网络首先发起的连接，网外用户不能通过地址转换直接访问网内资源。 (ABR)5)数据加密 为了避免因为数据窃听而造成的信息泄漏，有必要对所传输的信息进行 加密，只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的 报文进行加密，即使在 Internet 上进行传输，也能保证数据的私有性、完整 性以及报文内容的真实性。 (ABR)6)攻击探测和防范 路由器作为一个内部网络对外的接口设备，是攻击者进入内部网络的第 一个目标。如果路由器不提供攻击检测和防范，则也是攻击者进入内部网络 的一个桥梁。在路由器上提供攻击检测，可以防止一部分的攻击。 (ABR)7)安全管理 内部网络与外部网络之间的每一个数据报文都会通过路由器，在路由器 上进行报文的审计可以提供网络运行的必要信息，有助于分析网络的运行情 况。