学习日志25-OSPF协议工作原理

OSPF三大表项：邻居表，链路状态数据库(LSDB)，路由表。

OSPF放环的支柱：

OSPF能避免环路，因为它不依赖邻居的"路由建议"，而是基于自己掌握的完整事实LSDB进行独立决策，不会被错误信息误导而形成环路。

邻居表：Neighbor Table，邻接数据库。ospf邻居关系建立需要经过7个状态的精确握手过程。

没有正常的Full状态，没有正确的路由计算。

两个网络的子网掩码不一样，不能建立邻居关系，LSDB需要完全同步，LSDB包含路由信息，路由信息中包含目的网段和子网掩码，所以子网掩码不一样，LSDB就不同步。

• ospf邻接关系建立流程-1
• ospf邻接关系建立流程-2&3：
• ospf邻接关系建立流程-4&5

OSPF的网络类型，不同类型有不同的邻居建立机制：

• 重要的接口变量，影响ospf在接口上的操作，采用什么方式发送ospf协议报文，是否需要选举DR、BDR等；
• 一般情况下，链路两端的OSPF接口网络类型必须一致，否则双方无法建立邻居关系。
• 接口默认的ospf网络类型取决于接口所使用的数据链路层 封装。
  • 常用的是前两种：
  • 在MA网络中，如果每台OSPF路由器都与其他的所有路由器建立OSPF邻接关系，便会导致网络中存在过多的OSPF邻接关系，增加设备负担，也增加了网络中泛洪的OSPF报文数量；当拓扑出现变更，网络中的LSA泛洪可能会造成带宽的浪费和设备资源损耗。
  • 为了优化MA网络中的OSPF邻接关系，OSPF指定了三种OSPF路由器身份，DR（Designated Router 指定路由器），BDR（Backup DR备用指定路由器），DRother路由器。
  • 邻居关系：相互认识；邻接关系：相互交换路由信息。

DR/DBR选举过程---减少邻接关系，同步广播型网络中的数据库：

• 选举时机：2-Way状态之后立即进行；网络接口启动时；现有DR失效时；
• 选举规则：第一优先级-比较接口的DR优先级(0-255)，优先级越高越优先(默认优先级=1,0不参与选举)；优先级相同，比较Router-ID，大的优先级高。
• 选举过程：
• 如果全部设备的优先级都为0，选不出来DR，数据不能同步。

LSA摘要包含的字段：

邻居状态卡住的原因： ACL：Access Control List，入口控制列表。用于子路由器或交换机上匹配并控制流量。

邻居表的生命周期管理：

• 建立过程：
• 维护机制：
  • Hello报文：默认10s发送一次，作为Keepalive；
  • Dead Timer：默认40s，4次Hello未收到认为邻居失效；
  • LSA刷新：每30min刷新一次自己的LSA（老化时间3600s）
• 失效与恢复：
  • 如果Dead Time超时，状态退回到Down；
  • 重新开始建立过程；
  • 快速收敛机制：如果支持Graceful Restart(GR)，可减少影响。（GR，保持邻居关系不中断，重启后快速同步LSDB，不中断业务）

通过display ospf peer命令，查看邻居表信息：

• 关键字段分析：
  • Router ID：邻居路由器ID，OSPF中的唯一标识，手动配置或自动选择；
  • Address：邻居接口的IP地址（直连接口），建立TCP-less连接的地址；
  • State：邻居状态，正常应为Full（最重要的字段）；
  • Mode：主从模式，Exchange时确定的，Master 控制交换。Slave-从属；
  • Priority：DR优先级，用于DR/BDR选举，0标识不参与选举；
  • DR：广播网络中生成LSA的代表；
  • BDR：DR的备份，快速接管；
  • Dead timer：死亡计时器，默认40s，到期认为邻居失效；
  • Retrans timer interval： Retransmission.重传定时器间隔。控制ospf可靠传输机制的超时重传时间。当路由器发送一个需要确认的ospf报文后，会启动这个定时器：Neighbor is up for：邻居建立时间，稳定性指标，频繁变化可能有问题；
  • Authentication Sequence 认证序列号：ospf报文认证的序列号计数器，每发送一个认证报文，序列号加1

可能出现的故障及排查：

• 如果重传频繁发生：网络质量差，丢包导致需要重传；邻居处理能力不足，CPU高，无法及时响应；MTU不匹配，大报文被丢弃。

邻居表的重要性-ospf的基石：

• 关系建立的路线图：7个状态确保可靠、有序的邻接建立；
• 大多数ospf问题首先体现在邻居状态异常；
• 邻居稳定性直接影响路由收敛速度

OSPF多区域（关于Area的概念，详见基础术语1-区域）：

练习：让三个不同网段的PC通信

• 配置pc的IP、掩码和网关，路由器各个接口的IP地址；
• 开启各个路由器的OSPF功能，并配置Router-ID，然后把路由器的各个接口加入到对应的OSPF区域中： AR2的两个接口属于两个区域，分开配置： AR3和AR4的配置同AR1

OSPF邻居关系认证：保证邻居建立的安全性

• 为什么需要认证？防止非法路由器接入网络；防止网络拓扑泄密；防止重放攻击
• 在邻居建立中的作用时机：
  • DOWN -> Init:发送Hello(携带认证信息)
  • Init -> 2-Way：检查认证通过
  • 2-Way之后所有报文都需要认证
• 级别：
  • 0-Null(无认证)-无安全性-默认状态；
  • 1-Simple(简单认证)-安全性低，可被Wireshar等工具捕获-明文密码，易被截获；
  • 2-加密认证MD5/HMAC(改进版MD5)-安全性高-加密哈希，防重放。
• 认证配置位置与优先级：接口认证>区域认证>进程认证。直连接口或者同一区域认证级别要一致，否则无法建立邻居关系。
  • 接口认证：配置到物理/逻辑接口下，每个接口单独配置，先进入到对应接口中 1：key-id，两端必须相同；huawei：密码 应用场景：不同安全级别的链路、外部互联。
  • 区域认证：区域内所有运行ospf的接口，先进入到ospf的对应区域中 应用场景：内部统一安全区域。

今天学习遇到的专有名词：

• 帧中继：Frame Relay, 就像是电信公司提供的"虚拟专线网"。
  • 我租用一条物理线路到电线公司，电线公司在内部为我创建多个虚拟线路，通过这些虚拟线路，我可以连接到多个远程站点。PVC:永久虚拟电路(租用期间一直存在)；DLCI：数据链路连接标识符(电话号码)Data Link Connect Identifier
  • 对比传统专线：
  • 特点：
    • 物理上多设备共享，但没有广播能力，OSPF需要特殊配置；基于分组转发包，非电路交换-可能拥塞；保证最低带宽的信息速率-超出可能丢包；并专线便宜很多
• Hub-Spoke中心辐射型拓扑
  • 类别成自行车轮子：
    • Hub-中心（轮轴）---> 通常是公司总部/数据中心；
    • Spoke-辐射分支(辐条) ---> 各个分公司/分支机构。
  • 帧中继网络中，Hub-Spoke是最常用的部署模式；
  • 优点：成本最低，n个站点，n条VC；管理简单，只在Hub配置所有Spoke，Spoke只指向Hub；所有流量经过Hub，便于监控、审计、QoS控制；扩展容易，新增Spoke只需在Hub加配置，Spoke设备配置不变。
  • 缺点：Hub宕机，全网瘫痪；所有流量经过Hub，Hub负载大；Spoke间通信需绕行Hub；需要备份Hub。
• 帧中继是经济高效的虚拟专线，Hub-Spoke是最小化连接成本的拓扑模式。
• HDLC：High-level Data Link Control 高级数据链路控制
  • 二层数据链路层协议，ISO(国际标准组织)标准，很多协议的基础。类似于信封的标准格式：
• GRE隧道：Generic Routing Encapsulation,通用路由封装。隧道协议，在一种协议中封装另一种协议。像快递的包装箱。
  • 可封装IP等，几乎所有设备都支持；无状态；
  • 无内置加密，无内置QoS，可能遇到MTU问题。
  • 常见应用场景：
• ATM：Asynchronous Transfer Mode 异步传输模式；
• X.25：包交换网络协议，第一个商用的包交换网络。