当前位置:   article > 正文

教程篇(6.4) 08. OSPF ❀ 企业防火墙 ❀ Fortinet 网络安全架构师 NSE7_飞塔防火墙添加ospf功能

飞塔防火墙添加ospf功能

 在本课中,你将学习开放最短路径优先(OSPF)的概念,以及如何配置OSPF并排除OSPF的故障。

 完成本课后,你应该能够达到这张幻灯片上所示的目标。

  通过演示理解OSPF的能力,你将能够理解、配置和排除OSPF的故障。

 在本节中,你将回顾OSPF。

 在像OSPF这样的链路状态协议中,每个路由器都有一个完整的网络拓扑视图。OSPF协议具有可扩展性强、收敛速度快等优点。每30分钟,路由器重新发布他们的OSPF信息。在这30分钟的间隔内,当检测到拓扑变化时,将发送更新。所以,只要网络拓扑稳定,它就是一个相对安静的协议。在大型网络中,使用OSPF需要良好的规划,而且可能很难排除故障。

 同一区域的每个路由器都有相同的、同步的数据库。你将在这一课的后面学习关于OSPF区域。OSPF路由器使用LSDB和Dijkstra算法中的信息生成OSPF树,树中包含从本地路由器到彼此路由器和网络的最短路径。这棵树给出了到每个目的地的最佳路由,这是OSPF可以注入到设备路由表中的信息。

 OSPF对等体之间交换的拓扑信息包含在LSA中。路由器的LSDB中包含了本路由器的LSA以及从其他路由器收到的所有LSA的信息。

 当到同一目的子网有多条OSPF路由时,OSPF会选择成本最小的路由。每个路由器接口都有一个接口成本,接口成本通常与接口的速度或优先级有关。OSPF路由成本是所有接口到最终目的地的成本之和。

 接下来的两张幻灯片解释一个OSPF路由器如何建立它的OSPF树。每个路由器的初始信息是本地连接的网络,以及每个接口的OSPF成本。在这个幻灯片显示的例子中,路由器R2有三个本地连接的子网:子网Net1的成本为2,子网Net2的成本为3,子网Net3的

成本为1。路由器R1只有一个子网连接:Net1,成本为2,依此类推。

  每个路由器开始通过发送LSA来发布其本地连接的子网。

 OSPF路由器使用Djkstra的算法来确定到每个目的地的最佳路由。最好的路由可以表示为以本地路由器为根的树。Dijkstra算法是一个递归过程,重复多次,直到找到最佳路径。例如,这张幻灯片显示路由器R2的OSPF树。说明到Net 5和Net 4的最佳路由是通过R3,且Net 1、Net 2和Net 3为本地连接。

 OSPF网络可以划分为区域。每个区域由一个唯一的数字标识,可以用十进制或IP地址格式表示。

 每个区域都有自己独立的LSDB。位于同一区域的所有路由器都维护着该区域的LSDB的相同副本。正如你将在这一课中学到的,一个路由器可以属于多个区域。在这种情况下,路由器维护多个LSDB——每个连接到它的区域都有一个LSDB。

  将大的OSPF网络划分成区域可以减小LSDB表的大小。此外,拓扑变化不会影响整个网络,而只影响发生变化的区域。

  使用OSPF区域需要良好的规划,并可能使故障排除过程复杂化。

 所有OSPF网络必须至少有一个区域——骨干区域。骨干网是网络的核心,所有其他区域以轮辐拓扑结构与之连接。

 内部OSPF路由器的所有接口都连接到同一个区域。因此,它只维护一个LSDB。另一方面,一个ABR连接多个区域,所以它保留多个LSDB。

  骨干路由器至少有一个接口连接到骨干区域。

  ASBR将非OSPF路由重新分配到OSPF网络中。

 这张幻灯片展示了每种路由器类型的一个例子。

 OSPF网络有三种类型:

  ●  点对点网络只包含两个对等点,在点对点链路的每一端都有一个。

  ●  广播网络支持两个以上的附加路由器。它们还支持向多个接收者发送消息(广播)。

  ●  点到多点网络支持两个以上的附加路由器。但是他们不支持广播。

 两个OSPF对等体之间的OSPF会话称为邻接关系。这张幻灯片显示了正在形成邻接的两个对等体之间的初始交换。任何新的邻接关系都会经历不同的状态:Init、2-way、ExStart、Exchange、Loading和Full。Full状态表示成功建立邻接关系,并且两台路由器都有相同的LSDB副本

 这张幻灯片列出了两个对等体形成OSPF邻接关系的必要条件。如果其中任何一个条件不满足,邻接关系将失败,不能达到full状态。

 在任何多接入网络中,都有一个DR和一个BDR。具有最高优先级的路由器被选举为DR。如果两个或两个以上的路由器绑定了最高优先级的路由器,拥有最高OSPF ID的路由器被选举为DR。

  BDR监控DR状态。当DR失败时,BDR将扮演DR角色。

  其他路由器只与DR和BDR邻接。DR将链路状态信息从一个路由器转发到另一个路由器。这简化了多接入网络中需要的邻接数量。

 这张幻灯片显示OSPF在广播多址及点对点网络中所使用的组播地址。请记住,OSPF也使用单播地址来转播LSA和数据库描述报文。

 一共有11种LSA类型。这节课将介绍五种最常用的用法:

  ●  类型1描述了连接到路由器的所有链路

  ●  类型2描述了多存取网络中的所有路由器(如果不止一个)

  ●  类型3描述区域内的网络(仅由ABR生成)

  ●  类型4描述到达ASBR的路径

  ●  类型5描述由ASBR发起的外部目的地

  在下一张幻灯片中,你会看到这五种类型的例子。

 类型1描述了连接到路由器的网络。一个区域内的所有路由器都会发布广告。类型1 LSA不会在它们产生的区域之外通告。

 类型2 LSA仅由DR发布。在本例中,该区域有两个多接入网络,每个多接入网络都有一个DR。两个DR发布类型2 LSA,这些LSA包含了连接到它们的多接入网络的其他路由器的信息。

 类型3 LSA包含汇总的链路状态信息。它们只在ABR上做广告。本例中,左边的ABR向区域1发送类型3 LSA。它们包含区域0和2中汇总子网的链接状态信息。同一条ABR也向骨干区域发送类型3 LSA,并记录区域1的子网信息。

  类似的情况也发生在右侧的ABR上。它向区域2发送类型3 LSA。它们包含区域0和1中汇总子网的链接状态信息。同一条ABR也向骨干区域发送类型3 LSA,并记录区域2的子网信息。

 ASBR通过发送类型1 LSA来通告自身。这些LSA在OSPF报头中有E-bit。像任何其他类型1一样,带有E-bit的LSA被限制在它们起源的区域。但是,同一区域的ABR向其他区域发送类型4 LSA,其中包含如何到达ASBR的信息。在本例中,将RIP路由重新分配到OSPF中的ASBR通过向骨干区域发送类型1 LSA来通告自身。ABR收到该LSA,发送类型4 LSA到区域1。

 本课中涉及的最后一种LSA是类型5。类型5 LSA仅由ASBR发送,不局限于一个区域。它们达到了所有的标准区域。它们包含重新分配到OSPF(也称为外部路由)的路由的链路状态信息。

  请注意,本课中所有的面积例子都是标准面积。还有存根和非纯末节区域 (NSSA),这在本课中没有涉及。类型5 LSA不通告给stub或NSSA。

 每个外部路由分配一个度量值。有两种类型的外部路由度量。第一类指标是达到ASBR的外部成本和内部成本之和。第二类度量仅是外部成本(不考虑内部成本)。如果到达同一目的地址的外部路由有两条,一条是type 1,另一条是type 2, OSPF路由器会选择type 1而不是type 2。

 这张幻灯片显示了一个基本的FortiGate OSPF配置。它包含区域列表、OSPF网络列表和OSPF路由器ID。

 任何将非OSPF路由重新分配到OSPF中的FortiGate都是一个ASBR。

 在本节中,你将了解用于故障排除OSPF问题的工具和提示。

 这张幻灯片上显示的命令提供了关于OSPF进程的详细信息。

 该命令还显示路由器所属的每个区域的信息。

 关于每个接口的OSPF信息,使用幻灯片上显示的命令。它显示:

  ●  网络类型,在这种情况下广播多访问

  ●  如果是DR或BDR

  ●  DR和BDR ID和IP地址

  ●  邻接的数量和流量统计

 该命令显示所有OSPF邻居状态的概要信息。对于每个邻居,它显示邻接状态,如果它是DR, BDR,或者不是(DROther)。如果邻居是点对点网络,状态后面会显示一个破折号。

  幻灯片上显示的命令提供了FortiGate上所有LSDB表项的摘要,按LSA类型排序。首先显示type 1 LSA(路由器链路状态),然后显示type 2 LSA(网络链路状态)。

 本幻灯片中显示的命令列出了源自本地FortiGate的LSA。

 使用这张幻灯片上显示的命令可以看到关于type 1 LSA的详细信息。

 这是命令get router info ospf database router lsa的更多输出示例。

 OSPF实时调试显示OSPF邻接体建立和OSPF错误的信息。它还显示了关于网络拓扑变化的信息。

  你可以为实时调试启用zl标志,使其在路由进程重新启动后保持不变。

 这是一个由OSPF实时调试产生的输出示例。这个示例显示了正在发送的Hello数据包。

 这是OSPF实时调试产生的另一个输出示例。这个示例显示了正在接收的Hello数据包。

 缺省情况下,FortiGate会记录最重要的OSPF路由事件,例如:

  ●  邻居是上线还是上线

  ●  OSPF消息交换

  ●  淡判错误

 通过GUI界面可以查看与OSPF相关的路由器事件。你可以单击任何记录条目查看详细信息。

 这张幻灯片展示了你在这节课中所学到的目标。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/408378
推荐阅读
相关标签
  

闽ICP备14008679号