- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-路由管理(仅支持非Cavium平台硬件款型)
本章节下载: 06-路由管理(仅支持非Cavium平台硬件款型) (2.69 MB)
目 录
路由是通过互联的网络将数据从源地址传输到目的地址的行为。通常,路由器或其他路由设备使用路由选择协议动态地发现互联网中的网络,找出最佳数据传输路径,以最高效率将数据通过网络送达到目的地址。
设备不仅支持静态路由,同时也支持RIP(Routing Information Protocol)、OSPF(Open Shortest Path First)、和BGP(Border Gateway Protocol)等动态路由协议。
本章节介绍的路由管理功能仅支持非Cavium平台的硬件款型,目前支持的硬件型号包括:ACG1000-AI-50、ACG1000-AK2080、XSP 1046、ACG1000-ME-G、ACG1000-AE-G。
静态路由配置方便,对系统要求低,适用于拓扑结构简单并且稳定的小型网络。缺点是不能自动适应网络拓扑的变化,需要人工干预。
动态路由协议有自己的路由算法,能够自动适应网络拓扑的变化,适用于具有一定数量三层设备的网络。缺点是配置对用户要求比较高,对系统的要求高于静态路由,并将占用一定的网络资源和系统资源。
根据作用范围不同,路由协议可分为:
内部网关协议IGP(Interior Gateway Protocol):在一个自治系统内部运行。常见的IGP协议包括RIP、OSPF等。
外部网关协议EGP(Exterior Gateway Protocol):运行于不同自治系统之间。BGP是目前最常用的EGP协议。
根据使用算法不同,路由协议可分为:
距离矢量协议(Distance-Vector Protocol):包括RIP和BGP。其中,BGP也被称为路径矢量协议(Path-Vector Protocol)。
链路状态协议(Link-State Protocol):如OSPF。
以上两种算法的主要区别在于发现路由和计算路由的方法不同。
静态路由是用户在设备的路由表中手动添加的固定路由,适用于网络规模较小、拓扑结构固定的网络环境中。静态路由的优点是简单、高效、可靠、几乎不增加CPU负载;缺点是无法对网络结构改变做出反应,发生网络结构变化后只能在设备上手动维护路由表。在所有路由中,静态路由的优先级最高,静态路由与动态路由发生冲突时,系统会以静态路由为准。
通过菜单“网络配置> 路由管理 > 静态路由”,进入IPv4静态路由页面。在该页面上,可以查看已经配置的静态路由信息。
图1-1 静态路由表
通过点击IPv4静态路由页面中的“新建”,配置静态路由信息。
图1-2 静态路由配置页面
表1-1 静态路由配置项含义
|
标题项 |
说明 |
|
目的网段 |
设置静态路由的目的网段 |
|
子网掩码 |
设置静态路由的网络掩码,可以输入掩码长度或者点分十进制格式的掩码 |
|
下一跳 |
设置静态路由的下一跳的IP地址 |
|
出接口 |
设置静态路由的出接口 下一跳和出接口只能二选一 |
|
权重 |
设置静态路由的权重,取值范围1~255。如果存在多个下一跳负载均衡,权重越大,该条路由命中的概率就越大。 |
|
距离 |
指定静态路由的管理距离,取值范围1~255。管理距离是指路由协议的路由可信度。每种路由协议按可靠性从高到低依次分配一个信任等级,这个信任等级就叫管理距离。正常情况下,管理距离越小,优先级就越高,也就是可信度越高。对于两种不同的路由协议到同一个目的地的路由信息,路由器会优先选择管理距离小的路由。 |
|
地址探测 |
设置与静态路由联动的地址探测,将探测到的路由信息添加到路由表。有关地址探测的更多信息,请参考地址探测。 |
勾选启用状态为“启用”的路由表项,点击<禁用>,在弹出的对话框中点击<确定>可禁用选择的路由表项;勾选启用状态为“禁用”的路由表项,点击<启用>,在弹出的对话框中点击<确定>可启用选择的路由表项。
图1-3 启用或禁用静态路由
RIP(Routing Information Protocol,路由信息协议)是一种较为简单的内部网关协议(Interior Gateway Protocol,IGP),主要用于规模较小的网络中,比如校园网以及结构较简单的地区性网络。对于更为复杂的环境和大型网络,一般不使用RIP。由于RIP的实现较为简单,在配置和维护管理方面也远比OSPF和IS-IS容易,因此在实际组网中仍有广泛的应用。
(1) RIP的基本概念
RIP协议是基于D-V算法(又称为Bellman-Ford算法)的内部动态路由协议,简称IGP(Interior Gateway Protocol),它通过UDP数据报交换路由信息。D-V算法又称为距离向量算法,这种算法在ARPARNET早期就用于计算机网络的路由的计算。RIP协议在目前已成为路由器、主机路由信息传递的标准之一,是最广泛使用的IGP之一,被大多数IP路由器商业卖主广泛使用。 RIP协议被设计用于使用同种技术的中型网络,因此适应于大多数的校园网和使用速率变化不是很大的地区性网络。对于更复杂的环境,一般不使用RIP协议。
RIP协议使用跳数来衡量到达信宿机的距离,并称为路由权, RIP协议使用两种形式的报文: 路径信息请求报文和路径信息响应报文。在路由器端口第一次启动时,将会发送请求报文。路径信息响应报文包含了实际的路由信息,以每30秒的间隔发送给相邻端口。在RIP协议中,还使用了水平分割、毒性逆转机制来防止路由环路的形成,并且使用触发更新和路由超时机制确保路由的正确性。
(2) RIP的启动和运行过程
RIP启动和运行的整个过程可描述如下:
路由器启动RIP后,便会向相邻的路由器发送请求报文(Request message),相邻的RIP路由器收到请求报文后,响应该请求,回送包含本地路由表信息的响应报文(Response message)。
路由器收到响应报文后,修改本地路由表,同时向相邻路由器发送触发修改报文,广播路由修改信息。相邻路由器收到触发修改报文后,又向其各自的相邻路由器发送触发修改报文。在一连串的触发修改广播后,各路由器都能得到并保持最新的路由信息。
RIP采用老化机制对超时的路由进行老化处理,以保证路由的实时性和有效性。因此,RIP每隔一定时间周期性的向邻居路由器发布本地的路由表,相邻路由器在收到报文后,对其本地路由进行更新。所有RIP路由器都会重复此过程。
(3) 防止路由循环
RIP是一种基于D-V算法的路由协议,由于它向邻居通告的是自己的路由表,存在路由循环的可能性。
RIP通过以下机制来避免路由环路的产生:
水平分割(Split Horizon):RIP从某个接口学到的路由,不会从该接口再发回给邻居路由器。这样不但减少了带宽消耗,还可以防止路由循环。
毒性逆转(Poison Reverse):RIP从某个接口学到路由后,将该路由的开销设置为16(不可达),并从原接口发回邻居路由器。利用这种方式,可以清除对方路由表中的无用信息。
RIP有两个版本:RIP-1和RIP-2。
RIP-1是有类别路由协议(Classful Routing Protocol),它只支持以广播方式发布协议报文。RIP-1的协议报文中没有携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1无法支持路由聚合,也不支持不连续子网(Discontiguous Subnet)。
RIP-2是一种无分类路由协议(Classless Routing Protocol),与RIP-1相比,它有以下优势:
支持外部路由标记(Route Tag),可以在路由策略中根据Tag对路由进行灵活的控制。
报文中携带掩码信息,支持路由聚合和CIDR(Classless Inter-Domain Routing)。
支持指定下一跳,在广播网上可以选择到最优下一跳地址。
支持组播路由发送更新报文,减少资源消耗。
支持对协议报文进行验证,并提供明文验证和MD5验证两种方式,增强安全性。
RIP-2有两种报文传送方式:广播方式和组播方式,缺省将采用组播方式发送报文,使用的组播地址为224.0.0.9。当接口运行RIP-2广播方式时,也可接收RIP-1的报文。
与RIP相关的协议规范有:
RFC1058:Routing Information Protocol
RFC1723:RIP Version 2 - Carrying Additional Information
RFC1721:RIP Version 2 Protocol Analysis
RFC1722:RIP Version 2 Protocol Applicability Statement
RFC1724:RIP Version 2 MIB Extension
RFC2082:RIP-2 MD5 Authentication
RFC2091:Triggered Extensions to RIP to Support Demand CircuitsRIP
在导航栏中选择“网络配置>路由管理 > RIP信息”,进入RIP信息页面,可以查看已创建的RIP实例信息,如图1-4所示。勾选“启用”后开启RIP路由功能,禁用会删除所有RIP实例。启用后可以新建RIP实例,如果未启用,新建时将会自动启用。
图1-4 RIP信息列表
点击<新建>,新建RIP实例,配置RIP协议的相关信息,点击<提交>。
图1-5 新建RIP信息
表1-2 RIP实例配置详细信息说明
|
标题项 |
说明 |
|
VRF |
指定RIP实例绑定的VRF。创建多个RIP实例时需要为每个实例绑定不同VRF使用,每个实例只能绑定一个VRF。 |
|
描述 |
RIP实例的描述信息。 |
|
默认开销 |
运行RIP协议所需的开销,范围1-16。 |
|
管理距离 |
配置管理距离,范围1-255。 |
|
RIP版本 |
选择RIP协议版本,推荐使用版本2。 |
|
向外发布缺省路由 |
设置是否将缺省路由发布到其它使用RIP协议的路由器。默认情况下,RIP协议不发送缺省路由。 |
|
RIP定时器 |
配置RIP实例定时器参数: 更新:设置向所有邻居发送全部RIP路由所间隔的时间,单位为秒。 超时:设置RIP协议的超时时间,单位为秒。如果一条路由在到达超时时间后仍未收到更新信息,该路由的度量就会被标记为16,表示不可达路由。 失效:设置RIP协议的失效时间,单位为秒。度量被标记为16的不可达路由会被一直发布到其它RIP协议路由,如果到达失效时间该路由仍未被更新,将会从RIP路由信息表中删除。 |
|
路由重发布 |
配置RIP实例路由重发布信息: 直连路由:设置是否通过RIP协议重发布设备通过直连网络学习到的路由信息,并设置所要学习的直连路由的跳数。 静态路由:设置是否通过RIP协议重发布设备学习到的静态路由信息,并设置所要学习的静态路由的跳数。 OSPF路由:设置是否通过RIP协议重发布设备通过OSPF协议学习到的路由信息,并设置所要学习的OSPF路由的跳数。 BGP路由:设置是否通过RIP协议重发布设备通过BGP协议学习到的路由信息,并设置所要学习的BGP路由的跳数。 |
在RIP信息页面的RIP信息列表中,点击需要修改的RIP实例对应的“RIP网络”,查看该RIP实例中启用的RIP协议的网络信息。
图1-6 RIP网络显示界面
在RIP网络页面点击<新建>按钮,添加需要启用RIP协议的网络(格式为IPv4地址/掩码,例如192.168.1.1/24),点击<提交>按钮,完成RIP网络的配置。
图1-7 RIP网络配置界面
RIPv2协议支持MD5认证,RIP密钥链是使用在RIP接口上的密钥组,包括Key值和密码两部分,只有RIP通讯双方配置了相同Key值和密码的情况下,双方才可以完成认证创建邻居关系。一个密钥链中可以包含多组Key值+密码组合,只要任意一个组合匹配通过双方即可通过认证。
选择“网络配置>路由管理>RIP信息>RIP Keychain”,单击“新建”按钮。设置名称,编辑Key值和密码,点击<添加到列表>,
图1-8 RIPKeychain配置界面
表1-3 RIPKeychain配置参数
|
参数 |
说明 |
|
名称 |
输入RIP密钥链的名称。1~63字符。 |
|
Key值 |
输入RIP密钥链的Key值,取值范围:0~2147483647,RIP两端认证时Key值需保持一致。 |
|
密码 |
输入RIP密钥链的密码,1~255字符,不支持特殊字符。RIP两端认证时密码需保持一致。 |
在RIP信息页面的RIP信息列表中,点击需要修改的RIP实例对应的“RIP接口”,查看该RIP实例中配置的RIP协议接口信息。
图1-9 RIP接口
在RIP接口页面点击<新建>按钮。该页面可以配置接口相关的RIP信息,具体信息说明如下图所示。
图1-10 RIP接口配置
表1-4 RIP接口各项配置含义
|
标题项 |
说明 |
|
接口 |
选择要启用RIP协议的接口 |
|
发送版本 |
设置该接口可发送的RIP协议版本 |
|
接收版本 |
设置该接口可接收的RIP协议版本 |
|
认证方式 |
设置RIP协议的认证方式,可以为无认证、明文认证或MD5认证。在对安全性要求较高的网络中,建议启用RIP协议认证。认证可以提高网络的安全性,只有相互认证成功的两台路由器之间才可以传输路由信息。 无:表示接口不对报文进行认证。 Text:启用明文认证方式,并指定认证使用的密钥链或密码。 MD5:启用MD5认证方式,并指定认证使用的密钥链或密码。与明文认证方式相比,MD5认证以密文形式传输认证凭据,因此更安全。 HMAC-SHA256:启用HAMC-SHA256认证方式,并指定认证使用的密钥链或密码。使用密文形式传输认证凭据,安全性更高。 |
|
认证标记 |
Keychain:RIP密钥链,详情请参见RIP Keychain。 密码:手动设置认证密码,1~16字符。 |
如下图所示,在网络中有3台设备,设备配置接口IP地址,要求设备Device1、Device2、Device3开启RIP进程创建RIP实例,实现Device1、Device2和Device3网络互连。
图1-11 RIP配置案例组网图
(1) 按照组网图组网。
(2) 配置Device1
进入“网络配置>接口配置>物理接口”,点击<操作>按钮,配置设备接口地址。
图1-12 配置接口
进入"网络配置> 路由管理>RIP信息"页面,勾选<启用>开启RIP。
图1-13 开启RIP
进入"网络配置> 路由管理>RIP信息"页面,点击<新建>按钮,新建RIP实例。
图1-14 新建RIP实例
进入"网络配置> 路由管理>RIP信息"页面,点击RIP实例对应的“RIP网络”,点击<新建>配置RIP网络。
图1-15 新建RIP网络
(3) 配置Device2、Device3
配置方式与Device1相同,不再赘述。
RIPng(RIP next generation,下一代RIP协议)是基于D-V(Distance Vector,距离矢量)算法的路由协议,用跳数来衡量到达目的主机的距离(也称为度量值或开销)。在RIPng协议中,从一个路由器到其直连网络的跳数为0,到通过另一台路由器可达的网络的跳数为1,如此类推,当跳数大于或等于16时,目的网络或主机就被定义为不可达。
RIPng是在IPv6网络中应用的RIP协议,并在原RIP协议基础上进行了一些扩展。多用于规模较小和结构较简单的IPv6网络环境中,是基于距离矢量的路由协议,使用跳数(Hop Count)来衡量到达目的地址的距离。
在导航栏中选择“网络配置>路由管理 > RIP信息”,进入RIP信息页面,可以查看已创建的RIPng实例信息。勾选“启用”后开启RIPng路由功能,禁用会删除所有RIPng实例。启用后可以新建RIPng实例,如果未启用,新建时将会自动启用。
图1-16 RIPng信息列表
点击<新建>,新建RIPng实例,配置RIPng协议的相关信息,点击<提交>。
图1-17 新建RIPng信息
表1-5 RIPng实例配置详细信息说明
|
标题项 |
说明 |
|
VRF |
指定RIPng实例绑定的VRF。创建多个RIPng实例时需要为每个实例绑定不同VRF使用,每个实例只能绑定一个VRF。 |
|
描述 |
RIPng实例的描述信息。 |
|
默认开销 |
运行RIPng协议所需的开销,范围1-16。 |
|
向外发布缺省路由 |
设置是否将缺省路由发布到其它使用RIP协议的路由器。默认情况下,RIPng协议不发送缺省路由。 |
|
RIP定时器 |
配置RIPng实例定时器参数: 更新:设置向所有邻居发送全部RIPng路由所间隔的时间,单位为秒。 超时:设置RIPng协议的超时时间,单位为秒。如果一条路由在到达超时时间后仍未收到更新信息,该路由的度量就会被标记为16,表示不可达路由。 失效:设置RIPng协议的失效时间,单位为秒。度量被标记为16的不可达路由会被一直发布到其它RIP协议路由,如果到达失效时间该路由仍未被更新,将会从RIP路由信息表中删除。 |
|
路由重发布 |
配置RIPng实例路由重发布信息: 直连路由:设置是否通过RIPng协议重发布设备通过直连网络学习到的路由信息,并设置所要学习的直连路由的跳数。 静态路由:设置是否通过RIPng协议重发布设备学习到的静态路由信息,并设置所要学习的静态路由的跳数。 OSPFv3路由:设置是否通过RIPng协议重发布设备通过OSPFv3协议学习到的路由信息,并设置所要学习的OSPFv3路由的跳数。 BGP4+路由:设置是否通过RIPng协议重发布设备通过BGP4+协议学习到的路由信息,并设置所要学习的BGP4+路由的跳数。 |
在RIPng信息页面的RIPng信息列表中,点击需要修改的RIPng实例对应的“RIPng网络”,查看该RIPng实例中启用的RIPng协议的网络信息。
图1-18 RIPng网络显示界面
在RIPng网络页面点击<新建>按钮,添加需要启用RIPng协议的网络(格式为IPv6地址/掩码,例如2002::1/96),点击<提交>按钮,完成RIPng网络的配置。
图1-19 RIPng网络配置界面
如下图所示,在网络中有3台设备,设备配置接口IP地址,要求设备Device1、Device2、Device3开启RIPng进程创建RIPng实例,实现Device1、Device2和Device3网络互连组网图。
(1) 按照组网图组网。
(2) 配置Device1
进入“网络配置>接口配置>物理接口”,点击<操作>按钮,配置设备接口地址。
图1-20 配置接口地址
进入"网络配置> 路由管理>RIPng信息"页面,勾选<启用>开启RIPng。
图1-21 开启RIPng
进入"网络配置> 路由管理>RIPng信息"页面,点击<新建>按钮,新建RIPng实例。
图1-22 新建RIPng实例
进入"网络配置> 路由管理>RIPng信息"页面,点击RIPng实例对应的“RIPng网络”,点击<新建>按钮配置RIPng网络。
图1-23 配置RIPng网络
OSPF(Open Shortest Path First,开放最短路径优先)是IETF(Internet Engineering Task Force,互联网工程任务组)组织开发的一个基于链路状态的内部网关协议。目前针对IPv4协议使用的是OSPF Version 2。
本节介绍配置OSPF所需要理解的知识,具体包括:
OSPF的特点
OSPF的报文类型
OSPF的区域划分
OSPF的路由器类型
OSPF的路由类型
OSPF的网络类型
OSPF的协议规范
本章所介绍的配置都是指OSPF version 2。
OSPF具有如下特点:
可适应大规模网络:支持各种规模的网络,最多可支持几百台路由器。
路由变化收敛快:在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步。
无路由自环:由于OSPF根据收集到的链路状态用最短路径树算法计算路由,从算法本身保证了不会生成自环路由。
支持区域划分:允许自治系统的网络被划分成区域来管理。路由器链路状态数据库的减小降低了内存的消耗和CPU的负担;区域间传送路由信息的减少降低了网络带宽的占用。
支持等价路由:支持到同一目的地址的多条等价路由。
支持路由分级管理:使用4类不同的路由,按优先顺序来说分别是:区域内路由、区域间路由、第一类外部路由、第二类外部路由。
支持验证:支持基于区域和接口的报文验证,以保证报文交互和路由计算的安全性。
组播发送:在某些类型的链路上以组播地址发送协议报文,减少对其他设备的干扰。
路由器标识是一个32位数字,使其用来独一无二的识别AS中的路由器。
OSPF协议需要路由器的Router-ID,作为本路由器在自治系统中的唯一标识。一般在协议任务启动后,会自动选出一个Router-ID。通常路由器先挑选IP地址最大的环回地址。若无环回地址,则在接口状态为up的物理接口中,选取最大的IP地址作为Router-ID。也可以指定一个Router-ID,并且指定的Router-ID优先级最高。
随着链路状态数据库的增大,计算SPF所需的时间也增加了,将网络分成较小的区域,并要求路由器与同一区域的路由器交换链路状态。这样传播的信息减少了。
优点:
降低CPU的负担;
减小LSDB的内存开销;
LSA相关计算和Flooding负担均降低。
(1) 划分要求
为了控制开销和便于管理OSPF,支持将整个自治系统划分成域来管理,并且划分为骨干域和边缘域。
原则上要求每个非骨干区域要和骨干域直接相连,骨干域要求连通性强、带宽高。
当一台路由器配置两个以上的域时,必须有一个是骨干域。
(2) 区域类型
¡ 骨干区域:所有的域间通信流量都必须通过骨干区域,非骨干区域之间不能直接交换数据包,区域0(或0.0.0.0)是骨干区域保留的区域ID号。
¡ 标准区域:一个标准区域可以接收链路更新信息和汇总路由。
¡ 末梢区域(stub area):只与一个区域相连的非骨干区域,不接受外部自治系统的LSA(类型5),区域内路由器会把去往外部网络的路由基于缺省路由(目的地址是0.0.0.0)发送出去。
¡ 完全末梢区域(totally stub area):不接受类型3、类型4 和类型5的LSA ,区域内路由器会把去往其它区域的路由基于缺省路由(目的地址是0.0.0.0)发送出去。
¡ 非完全末梢区域(Not-so-stubby-area,NSSA):该区域是Stub区域的变形,与Stub区域的区别在于NSSA区域允许引入自治系统外部路由,由ASBR发布Type7 LSA通告给本区域。当Type7 LSA到达NSSA的ABR时,由ABR将Type7 LSA转换成Type5 LSA,传播到其他区域。
OSPF路由器根据在AS中的不同位置,可以分为以下四类:
(1) 区域内路由器(Internal Router)
该类路由器的所有接口都属于同一个OSPF区域。
(2) 区域边界路由器ABR
该类路由器可以同时属于两个以上的区域,但其中一个必须是骨干区域。ABR用来连接骨干区域和非骨干区域,它与骨干区域之间既可以是物理连接,也可以是逻辑上的连接。
(3) 骨干路由器(Backbone Router)
该类路由器至少有一个接口属于骨干区域。因此,所有的ABR和位于Area0的内部路由器都是骨干路由器。
(4) 自治系统边界路由器ASBR
与其他AS交换路由信息的路由器称为ASBR。ASBR并不一定位于AS的边界,它有可能是区域内路由器,也有可能是ABR。只要一台OSPF路由器引入了外部路由的信息,它就成为ASBR。
OSPF使用4类不同的路由,按优先级由高到低排列如下:
(1) 区域内路由
(2) 区域间路由
(3) 第一类外部路由
(4) 第二类外部路由
区域内和区域间路由描述自治系统内部的网络结构;外部路由则描述了如何选择到自治系统以外的路由。第一类外部路由是指接收的是IGP路由(例如RIP、STATIC),由于这类路由的可信程度较高,所以,计算出的外部路由的花费与自治系统内部的路由花费的数量级相同,并且与OSPF自身路由的花费具有可比性,即到第一类外部路由的花费值=本路由器到相应的ASBR的花费值加ASBR到该路由目的地址的花费值。第二类外部路由器是指接收的是EGP路由,由于这类路由的可信度比较低,所以OSPF协议认为,从ASBR到自治系统之外的花费远远大于在自治系统之内到达ASBR的花费,计算路由花费时主要考虑前者。即第二类外部路由的花费值等于ASBR到该路由目的地址的花费值。如果该值相等,再考虑本路由器到相应的ASBR的花费值。
缺省情况下,按不同介质可划分成下列三种网络:广播网络(以太网,令牌环网、FDDI),非广播多路访问网络(帧中继、X.25),点到点网络(HDLC、PPP)。对以上任一类网络都可以进行OSPF配置。可以不考虑缺省的介质类型,选择配置OSPF网络类型。利用这一点,可将非广播多路访问网络配置为广播网络,如X.25和帧中继允许OSPF在其上以广播型网络运行,这就不用再去配置邻居。可将广播网络配置为非广播多路访问网络,例如当网络中有不支持组播传送地址的路由器时。对于不具有广播和组播能力的网络,必须配置对端邻居来指定发送hello报文,并可以指定邻居的优先级和轮询时间间隔。
点到多点时具有一个或者多个邻居的编号的点到点接口,它建立多主机路由。与非广播多路访问和点到点网络相比,点到多点网络具有以下优点:一到多接口更易于配置,因为它不需要配置邻居命令,只需要一个IP子网,所以不必分配路由选择。不需要全网络拓扑结构,开销较小。
设备只支持广播型网络和点对点型网络。
OSPF协议报文直接封装为IP报文,协议号为89。
OSPF有五种类型的协议报文:
(1) Hello报文:发现及维持邻居关系,选举DR,BDR;
(2) DD(Database Description,数据库描述)报文:相邻路由器之间发DD报文,报告对方自己所拥有的路由信息内容,包括LSDB中每一条LSA摘要(摘要是指LSA的HEAD,通过该HEAD可以唯一标识一条LSA),这样做的目的是为了减少路由器之间传递信息的量,因为LSA的HEAD只占一条LSA的整个数据量的一小部分。根据HEAD,对端路由器就可以判断出是否已经有了这条LSA。
(3) LSR(Link State Request,链路状态请求)报文:向对方请求所需的LSA。两台路由器互相交换DD报文之后,得知对端的路由器有哪些LSA是本地的LSDB所缺少的,这时需要发送LSR报文向对方请求所需的LSA。
(4) LSU(Link State Update,链路状态更新)报文:向对方发送其所需要的LSA。
(5) LSAck(Link State Acknowledgment,链路状态确认)报文:用来对收到的LSA进行确认。
与OSPF相关的协议规范有:
RFC 1765:OSPF Database Overflow
RFC 2328:OSPF Version 2
RFC 3101:OSPF Not-So-Stubby Area (NSSA) Option
RFC 3137:OSPF Stub Router Advertisement
RFC 3630:Traffic Engineering Extensions to OSPF Version 2
RFC 4811:OSPF Out-of-Band LSDB Resynchronization
RFC 4812:OSPF Restart Signaling
RFC 4813:OSPF Link-Local Signaling
通过菜单“网络配置 > 路由管理 > OSPF信息”,进入OSPF配置的显示界面,查看设备上已经配置的OSPF实例列表。勾选“启用”后开启OSPF路由功能,禁用会删除所有OSPF实例。启用后可以新建OSPF实例,如果未启用,新建时将会自动启用。
图1-24 OSPF配置显示界面
创建OSPF实例后,如果关闭“启用”开关会删除所有实例和接口下OSPF相关配置。
点击<新建>,新建OSPF实例,配置OSPF协议的相关信息,点击<提交>。
图1-25 OSPF实例配置界面
表1-6 OSPF各配置项说明
|
标题项 |
说明 |
|
VRF |
指定OSPF实例绑定的VRF。创建多个OSPF实例时需要为每个实例绑定不同VRF使用,每个实例只能绑定一个VRF。 |
|
描述 |
OSPF实例的描述信息。 |
|
管理距离 |
OSPF实例管理距离(Distance) |
|
路由器ID |
OSPF路由器ID。路由ID是每个路由器在整个OSPF域中唯一标识,使用IP地址的形式表示,每台运行OSPF协议的路由器都必须拥有一个路由ID。如未指定,系统将首先挑选IP地址最大的环回地址作为路由器ID,若无环回地址,则在接口状态为up的物理接口中选取最大的IP地址作为路由器ID。 |
|
缺省路由 |
是否发布默认路由,可选发布、不发布及强制发布。 不发布:不发布缺省路由。 发布:仅在系统中存在缺省路由的情况下才向邻居发布。这种方式主要适用于OSPF区域中存在双出口的组网,当某出口上行中断无法通过其他协议学习到默认路由时,该出口停止发布OSPF默认路由,这样就避免然将流量引导到该出口,导致不必要的带宽占用和次优路由。 强制发布:无论系统中是否存在缺省路由,都向邻居发布一条默认路由。这种发布方式效率更高,适用于OSPF区域存在单出口的组网方式。 |
|
路由重发布 |
直连路由:设置是否通过OSPF协议重发布设备通过直连网络学习到的路由信息,及所学习到路由的cost值。 静态路由:设置是否通过OSPF协议重发布设备学习到的静态路由信息,及所学习到路由的cost值。 RIP路由:设置是否通过OSPF协议重发布设备通过RIP协议学习到的路由信息,及所学习到路由的cost值。 BGP路由:设置是否通过OSPF协议重发布设备学习到的BGP路由信息,及所学习到路由的cost值。 cost值代表重发布后路由的开销值,用于设备的路由选择,值越小优先级越高。 |
通常路由器先挑选IP地址最大的环回地址作为Router-ID。若无环回地址,则在接口状态为up的物理接口中,选取最大的IP地址作为Router-ID。也可以指定一个Router-ID,并且指定的Router-ID优先级最高。
缺省路由:如果路由表中有默认路由,并且想要发布出去,选中“发布”即可;如果路由表中没有默认路由,想要发布默认路由则需要选中“强制发布”。
在OSPF信息页面的OSPF列表中,点击需要修改的OSPF实例对应的“OSPF网络”,进入“高级配置”页面,查看该OSPF实例中配置的网络信息。
图1-26 OSPF已配置网络
点击<新建>按钮,在该页填入要发布的OSPF网络及区域,点击<提交>。
图1-27 OSPF网络配置
表1-7 OSPF网络详细配置说明
|
配置项 |
说明 |
|
IP地址/掩码 |
指定需要启用OSPF协议的网络,格式为IP地址+掩码,如192.168.1.0/24。为避免OSPF邻居状态出现异常,建议此网段与OSPF邻居接口的网段保持一致。 |
|
区域 |
指定启用OSPF协议的区域号,格式为0~4,294,967,295之间的数字或IP地址。只有OSPF的路由器接口共享了具有相同区域号的网络时,这些路由器才可能成为邻居。 |
OSPF IP地址/掩码范围需要和接口内配置的掩码范围一致。
在OSPF信息页面的OSPF列表中,点击需要修改的OSPF实例对应的“区域配置”,进入OSPF高级配置的“区域配置”界面,查看该OSPF实例中配置的区域信息。
图1-28 已经配置的区域配置
点击<新建>,编辑相关信息,点击<提交>。
图1-29 配置OSPF区域信息
表1-8 OSPF区域信息详细配置说明
|
标题项 |
说明 |
|
区域 |
指定OSPF区域的标识。 |
|
认证算法 |
区域所使用的加密方式,支持MD5和Text。 |
如果配置了区域认证,需要到OSPF接口内配置对应的认证密钥。
在OSPF信息页面的OSPF列表中,点击需要修改的OSPF实例对应的“OSPF接口”,进入OSPF高级配置的“OSPF接口”界面,查看该OSPF实例中配置的接口信息。
图1-30 已经配置的接口信息
点击<新建>按钮,配置接口相关的OSPF信息。
图1-31 OSPF接口配置
表1-9 OSPF接口各项配置含义
|
标题项 |
说明 |
|
接口 |
选择需要启用OSPF协议的接口 |
|
优先级 |
设置接口的优先级,取值范围0~255。优先级为0的接口只用于接收网络中所有其他路由器的路由信息,并将收到的信息广播出去。当同一个网络的两个路由器都可作为指定路由器时,具有高优先级接口的路由器会被选中;如果接口的优先级相同,具有高路由器ID的路由器会被选中。 |
|
发送开销 |
设置接口发送数据包的开销,取值范围1~65535。此值用于计算报文到达对端的开销。 |
|
网络类型 |
设置网络类型,包括广播(broadcast)、非广播(non-broadcast)、点到点(Point-to-point)以及点到多点(Point-to-multipoint) 网络类型。默认情况下,接口的网络类型为广播类型。 |
|
认证 |
设置OSPF接口的认证方式,可以为无认证、明文认证、MD5认证以及HMAC-SHA256认证,认证优先级高于区域认证。在对安全性要求较高的网络中,建议启用OSPF接口认证。认证可以提高网络的安全性,只有相互认证成功的两台路由器之间才可以传输路由信息。 Empty:认证方式为空 None:无认证,不参与区域认证和接口认证。 Text:启用明文认证方式,需要搭配明文密码类型认证使用。 MD5:启用MD5认证方式,需要搭配MD5密码类型认证使用。与明文认证方式相比,MD5认证以密文形式传输认证凭据,因此更安全。 HMAC-SHA256:启用HMAC-SHA256认证方式,需要搭配HMAC-SHA256密码类型认证使用。使用密文形式传输认证凭据,安全性更高。 |
|
密码类型 |
用于区域认证加密或接口认证加密,使用时密码类型需要和认证类型一致。 Empty:密码为空。 Text:启用明文加密方式,并指定接口或区域的认证密码。 MD5:启用MD5加密方式,并指定接口或区域认证使用的键值及密钥。与明文认证方式相比,MD5认证以密文形式传输认证凭据,因此更安全。 HMAC-SHA256:启用HMAC-SHA256加密方式,并指定认证使用的键值及密钥。使用密文形式传输认证凭据,安全性更高。 |
|
计时 |
设置接口计时器相关配置,包括: Hello间隔:指定接口发送Hello包的时间间隔,单位为秒。启用了OSPF协议的接口会定期发送Hello包向邻居路由器更新其状态。 重传间隔:指定接口重传LSA(链路状态通告)的时间间隔,单位为秒。 Dead间隔:指定接口的相邻路由失效时间,单位为秒。如果接口在指定的Dead间隔时间内没有收到对方的Hello报文,则认为对端路由器已经失效。 发送延迟:指定发送链路状态更新报文的延迟时间,单位为秒。 |
如果在OSPF区域和接口下同时配置了认证模式及密码,则设备优先使用接口下的配置。
如下图所示,配置接口IP地址,要求设备R1和设备R2上开启OSPF进程,在R1和R2上创建OSPF实例,实例内分别配置网络10.1.14.1/24属于区域0。配置完成后,每台设备上都能看到邻接关系相互建立成功,state状态变为”full”,并且学习到路由属性为OSPF的10.1.14.0/24网段路由。
图1-32 OSPF配置案例组网图
(1) 在R1开启OSPF协议开关
通过菜单“网络配置 > OSPF信息”,进入OSPF的显示界面,勾选<启用>按钮。
图1-33 OSPF信息显示界面
(2) 在R1创建OSPF实例
通过菜单“网络配置 > OSPF信息”,进入OSPF的显示界面,点击<新建>按钮。在弹出的界面中进行配置。
图1-34 新建OSPF实例界面
配置完成后,如下图所示。
(3) 在R1配置OSPF网络
点击OSPF显示界面中OSPF实例的<OSPF网络>按钮,显示OSPF高级配置界面。
在高级配置页面中点击<新建>按钮,在弹出的界面中配置IP地址/掩码为10.1.14.1/24,区域为0,配置完成后点击“提交”。
图1-35 OSPF网络配置
(4) 在R1配置接口地址
进入“网络配置 > 接口配置”页面,选中“ge0”物理口,配置接口主地址为10.1.14.1/24。
图1-36 配置接口ge0
(5) 在R2开启OSPF协议开关
通过菜单“网络配置 > OSPF信息”,进入OSPF的显示界面,勾选<启用>按钮。
(6) 在R2创建OSPF实例
通过菜单“网络配置 > OSPF信息”,进入OSPF的显示界面,点击<新建>按钮。在弹出的界面中进行配置。
图1-37 新建OSPF实例界面
配置完成后,如下图所示。
(7) 在R2配置OSPF网络
点击OSPF显示界面中OSPF实例的<OSPF网络>按钮,显示OSPF高级配置界面。
在高级配置页面中点击<新建>按钮,在弹出的界面中配置IP地址/掩码为:10.1.14.2/24,区域为0。
图1-38 OSPF网络配置
(8) 在R2配置接口地址
进入“网络配置 > 接口配置”页面,配置ge0接口地址为10.1.14.2/24,然后点击<提交>按钮。
图3-16配置接口
查看邻居建立成功。
(1) 登录设备Device1的命令行界面,在enable视图下,使用 display ip ospf neighbor命令查看邻居状态为“Full/DR”,邻居建立成功。
图1-39 Device1邻居状态显示
(2) 登录设备Device2的命令行界面,在enable视图下,使用 display ip ospf neighbor命令查看邻居状态为“Full/ Backup”,邻居建立成功。
图1-40 Device2邻居状态显示
OSPFv3是运行于IPv6的OSPF路由协议(RFC2740),它在OSPFv2基础上进行了增强,是一个独立的路由协议。
OSPFv3在Hello报文、状态机、LSDB、洪泛机制和路由计算等方面的工作原理和OSPFv2保持一致。
OSPFv3协议把自治系统划分成逻辑意义上的一个或多个区域,通过LSA(Link State Advertisement)的形式发布路由
OSPFv3依靠在OSPFv3区域内各路由器交互OSPFv3报文来达到路由信息的统一。
OSPFv3报文封装在IPv6报文内,可以采用单播和组播的形式发送。
本章所介绍的配置都是指OSPF version 3。
OSPF是一种链路状态路由协议。它具有标准开放、收敛迅速、无环路、便于层级化设计等众多优点。IPv4网络中广泛使用的OSPFv2协议由于在报文内 容、运行机制等方面与IPv4地址联系得过于紧密,大大制约了它的可扩展性和适应性。在IPv6环境中,为了使OSPF更好的应用,同时保留原有的众多优点,因此,在OSPFv2的基础上作了多方面的修改后产生了OSPFv3协议。
OSPFv3相比OSPFv2作出的改进可以分为几个方面来描述。
OSPFv3基于链路运行
OSPFv2协议是基于子网运行的,邻居之间形成邻接关系的必要条件之一就是两端的IP地址属于同一网段而且掩码相同。而OSPFv3协议基于链路运行,与具体的IPv6地址、前缀分离开,即使同一链路上的不同节点具有不同网段的IPv6地址时,协议也可以正常运行。
编址性语义的取消
在OSPFv2中,协议分组和LSA中的许多字段都是来自于网络上的某个IP地址、掩码或某个IP子网号。报文的数据内容决定了OSPFv2的多种机制必须基于IPv4来进行,包括邻居路由器标识、邻居建立等等。
在OSPFv3中取消了这些编址性语义,而只保留协议运行必须的核心内容。比如,Router-LSA和Network-LSA中不再包含网络地址,而只用于传递拓扑信息;LSA的Link State ID依然保留32位长度的IPv4地址格式,但只是一个编号,不再包含地址信息;邻居路由器,包括DR和BDR,都是用Router ID来标识。这些保证了OSPFv3协议能够独立于网络协议运行。
链路本地地址的使用
OSPFv2协议要求,每一个运行OSPF的接口都必须有一个全局的IPv4地址,即使是在网络中仅仅用于传输转发的中间节点也必须如此,协议的运行和路 由的计算都依赖于这个地址。而在IPv6中,每个接口都会分配本地链路地址(link-local address),这个地址只在本地链路有效,并不会在整个网络中传播。OSPFv3使用这个本地链路地址作为协议分组发送的源地址(虚连接除外)和路由 的下一跳,在网络规划时就不需要在大量的中间节点规划子网,同样也不需要专门配置IPv6地址。这样,一方面可以节省大量的全局地址,另一方面可以说协议的运行独立于IPv6,可以方便的对协议进行扩展,实现组播选路等其他的功能。
使用专门的LSA来发布路由前缀信息
OSPFv2通过Router-LSA和Network-LSA来发布区域内的路由信息和计算拓扑,所以OSPFv2的拓扑结构与IPv4网络信息是密不可分的。为了改变这种状况,在OSPFv3中,Router-LSA和Network-LSA中仅保留拓扑信息;同时增加了Intra-Area-Prefix-LSA和Link-LSA,分别用于传递区域内路由前缀和传递链路范围内的IPv6前缀。拓扑信息与前缀信息的分离,使得OSPFv3的运行更加独立于网络协议。
OSPFv3取消了协议报文的验证字段
在OSPFv2中使用了专门的验证字段。而在OSPFv3中使用IPv6标准的验证方式(IP AH和IP ESP)来保证信息传递的安全性,这样一来,既减轻了协议开销,也在一定程度上简化了协议处理流程。
OSPFv3更加明确了LSA泛洪范围
在OSPFv3中,明确了LSA泛洪的三种范围:本地链路范围(Link-local scope)、区域范围(Area scope)、AS范围(AS scope),并且在LS_Type中增加了专门的字段进行说明。因此,OSPFv3协议在处理LSA泛洪时不再像OSPFv2中需要根据不同的LSA类型来判断LSA泛洪的范围,而是直接根据专门的字段进行处理就可以了。
OSPFv3支持多实例
OSPFv2协议规定,不同的实例必须运行在不同的链路上。OSPFv3协议则提供了对多实例的明确支持,通过在协议报文中增加“instance ID”字段,同时规定,接收报文时对该字段进行判断,只有实例号匹配的报文才会处理,否则丢弃。这样,即使是在同一链路上也可以运行多个OSPF实例了,而且独立运行不会互相影响。
对未知类型LSA的处理
在OSPFv2中,当路由器收到自己不支持的LSA时,仅仅是作简单的丢弃处理。这样,当能力不同的路由器混合组网时,整个网络的处理能力就会受限于能力最低的路由器。最为突出的是在广播(或NBMA)网络中,如果DR不支持可选类型的LSA,则DR不能处理的LSA就不能在非DR路由器之间交互了。
在OSPFv3中,对未知类型的LSA的处理作了新的规定:根据LSA中特定字段来进行判断,可以将其泛洪范围限定在本地链路范围内,也可以将其当作已知类型的LSA,根据其中的“泛洪范围”字段发送出去。这样一来,即使网络中某些路由器的能力有限也不会影响某些特殊LSA的传播,从而具备了更好的适应性。
通过菜单“网络配置 > 路由管理 > OSPF6信息”,进入OSPF6配置的显示界面,查看设备上已经配置的OSPFv3实例。勾选“启用”后开启OSPFv3路由功能,禁用会删除所有OSPFv3实例。启用后可以新建OSPFv3实例,如果未启用,新建时将会自动启用。
图1-41 OSPFv3实例列表
创建OSPFv3实例后,如果关闭“启用”开关会删除所有实例和接口下OSPFv3相关配置。
点击<新建>,新建OSPFv3实例,配置OSPFv3协议的相关信息,点击<提交>。
图1-42 OSPFv3实例配置界面
表1-10 OSPF6各配置项说明
|
标题项 |
说明 |
|
VRF |
指定OSPFv3实例绑定的VRF。创建多个OSPFv3实例时需要为每个实例绑定不同VRF使用,每个实例只能绑定一个VRF。 |
|
描述 |
OSPFv3实例的描述信息。 |
|
管理距离 |
OSPFv3实例管理距离(Distance) |
|
路由器ID |
OSPFv3路由器ID。路由ID是每个路由器在整个OSPFv3域中唯一标识,使用IP地址的形式表示,每台运行OSPFv3协议的路由器都必须拥有一个路由ID。如未指定,系统将首先挑选IP地址最大的环回地址作为路由器ID,若无环回地址,则在接口状态为up的物理接口中选取最大的IP地址作为路由器ID。 |
|
路由重发布 |
直连路由:设置是否通过OSPFv3协议重发布设备通过直连网络学习到的路由信息,及所学习到路由的cost值。 静态路由:设置是否通过OSPFv3协议重发布设备学习到的静态路由信息,及所学习到路由的cost值。 RIPng路由:设置是否通过OSPFv3协议重发布设备通过RIPng协议学习到的路由信息,及所学习到路由的cost值。 BGP4+路由:设置是否通过OSPFv3协议重发布设备学习到的BGP4+路由信息,及所学习到路由的cost值。 cost值代表重发布后路由的开销值,用于设备的路由选择,值越小优先级越高。 |
通常路由器先挑选IP地址最大的环回地址作为Router-ID。若无环回地址,则在接口状态为up的物理接口中,选取最大的IP地址作为Router-ID。也可以指定一个Router-ID,并且指定的Router-ID优先级最高。
在OSPF6信息页面的列表中,点击需要修改的实例对应的“OSPF6接口”,进入OSPF6高级配置的“OSPF6接口”界面,查看该OSPF6实例中配置的接口信息。
图1-43 已经配置的接口信息
点击<新建>按钮,配置接口相关的OSPF6信息。
图1-44 OSPF6接口配置
表1-11 接口各项配置含义
|
标题项 |
说明 |
|
接口 |
选择要启用OSPF6协议的接口。 |
|
区域 |
指定OSPF6区域的标识,格式为0~4,294,967,295之间的数字或IP地址。只有OSPF的路由器接口共享了具有相同区域号的网络时,这些路由器才可能成为邻居。 |
如下图所示,配置接口IP地址,要求设备R1和设备R2上开启OSPF6进程,在R1和R2上创建OSPF6实例,并在实例内添加ge0口属于区域0。配置完成后,每台设备上都能看到邻接关系相互建立成功,state状态变为”full”,并且学习到路由属性为OSPF6的2010:14::0/64网段路由。
图1-45 OSPFv3配置举例组网图
(1) 在R1开启OSPF6协议开关
通过菜单“网络配置 > OSPF6信息”,进入OSPF6的显示界面,勾选<启用>按钮。
(2) 在R1创建OSPF6实例
通过菜单“网络配置 > OSPF6信息”,进入OSPF6的显示界面,点击<新建>按钮,在弹出的界面中进行配置。
图1-46 新建OSPF6实例界面
配置完成后如下图所示。
(3) 在R1配置OSPF6接口
点击OSPF6显示界面中OSPF6实例的<OSPF6接口>按钮,进入OSPF6高级配置界面。
在高级配置页面中点击<新建>按钮,在弹出的界面中配置接口为ge0,区域为0。
图1-47 OSPF6接口配置
(4) 在R1配置接口地址
进入“网络配置 > 接口配置”页面,配置ge0接口主地址为2010:14::1/64。
图1-48 ge0接口配置页面
(5) 在R2开启OSPF6协议开关
通过菜单点“网络配置 > OSPF6信息”,进入OSPF6的显示界面,勾选<启用>按钮。
(6) 在R2创建OSPF6实例
通过菜单“网络配置 > OSPF6信息”,进入OSPF6的显示界面,点击<新建>按钮。在弹出的界面中配置OSPF6信息。
图1-49 新建OSPF6实例界面
配置完成后如下图所示。
(7) 在R2配置OSPF6接口
点击OSPF6显示界面中OSPF6实例的<OSPF6接口>按钮,进入OSPF6高级配置界面。
在高级配置页面中点击<新建>按钮,在弹出的界面中配置接口为ge0,区域为0。
图1-50 OSPF6接口配置
(8) 在R2上配置接口地址
进入“网络配置 > 接口配置”页面,配置ge0接口主地址为2010:14::2/64。
(1) 登录设备Device1的命令行界面,在enable视图下,使用 display ipv6 ospf6 neighbor命令查看邻居状态为“Full/DR”,邻居建立成功。
图1-51 Device1邻居状态显示
(2) 登录设备Device2的命令行界面,在enable视图下,使用 display ipv6 ospf6 neighbor命令查看邻居状态为“Full/DR”,邻居建立成功。
图1-52 Device2邻居状态显示
策略路由,也叫做基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。
通过菜单“网络配置>路由管理 > 策略路由”,进入如策略路由显示页面。在该页面上,可以查看已经配置的策略路由信息。
图1-53 策略路由表
表1-12 策略路由表的显示信息
|
标题项 |
说明 |
|
新建 |
新建策略路由 |
|
删除 |
删除策略路由 |
|
优先级 |
调整策略路由优先级 |
|
ID |
策略路由的ID |
|
入接口 |
报文的入接口 |
|
源地址 |
源地址对象名称,地址对象或对象组 |
|
目的地址 |
目的地址对象名称,地址对象或对象组 |
|
用户 |
用户对象名称 |
|
服务 |
服务对象名称 |
|
应用 |
应用对象名称 |
|
下一跳/出接口 |
报文转发的下一跳/出接口 |
|
操作 |
点击 |
通过点击策略路由页面中的“新建”,配置策略路由信息。
图1-54 策略路由配置页面
表1-13 策略路由配置项含义
|
标题项 |
说明 |
|
入接口 |
报文的入接口 |
|
源地址 |
源地址对象名称,地址对象或地址对象组,后面的<新建>是创建地址对象/地址对象组对象 |
|
目的地址 |
目的地址对象名称,地址对象或地址对象组,后面的<新建>是创建地址对象/地址对象组对象 |
|
用户 |
用户对象名称 |
|
服务 |
服务对象名称 |
|
应用 |
应用对象名称 |
|
时间 |
策略路由生效时间 |
|
下一跳信息 |
可以选择下一跳地址,也可以选择出接口 |
|
权重 |
该策略路由的权重值 |
每创建一条策略路由后,系统都会为新建的路由自动分配一个ID,但该ID与路由匹配优先级无关。流量进入设备后,设备对策略路由表中的所有策略规则进行顺序匹配,按照匹配到的第一条策略规则对流量进行处理。用户可根据需要移动策略路由的位置来调整规则的匹配顺序。
通过点击策略路由页面中的“优先级”,可以调整策略路由的优先级,如下图所示。
图1-55 移动策略路由
表1-14 移动策略路由配置项含义
|
标题项 |
说明 |
|
被移动策略ID |
被移动策略ID |
|
目标位置 |
要移动到的位置,一共四个位置:策略最前、策略ID之前、策略ID之后、策略最后 |
|
目标位置策略ID |
目标位置策略ID |
各设备接口及主机的IP地址和掩码如下图所示。
将来自192.168.1.0/24网段的数据包路由至设备200.0.0.2上。
将来自192.168.2.0/24网段的数据包路由至设备200.0.1.2上。
通过这样的配置可以有选择的限制不同的IP用户访问不同的网络或使用不同的网络出口。
图1-56 策略路由配置案例组网图
(1) 按照组网图组网
(2) 通过菜单“网络配置>路由管理> 策略路由”,点击<新建>,进入策略路由配置页面。
(3) 点击源地址那一栏后面的<新建>,建立192.168.1.0/24的地址对象,如下图所示。
图1-57 地址对象配置
(4) 点击<提交>按钮,进入策略路由配置页面,并如下图所示填写下一跳信息,并点击<提交>按钮提交该页配置。
图1-58 配置策略路由
(5) 同样方式配置192.168.2.0/24网段的策略路由。
查看策略路由表,查看是否已经有已经配置的策略路由,如下图所示。
图1-59 验证策略路由配置
很多用户通常会申请多条线路进行流量负载均衡。然而,一般的均衡是不会根据流量的流向,做均衡的,如果网通的服务器通过电信访问,网速就会很慢。安全网关针对该问题,提供ISP路由功能,使不同ISP流量走专有路由,从而提高网络速度。
配置ISP 路由,用户首先需要将子网条目添加到一个ISP地址库,然后才可以配置以ISP地址库名称为目的地的ISP 路由。用户可以自定义ISP地址库,也可以使用预定义的ISP的地址库。安全网关提供了四个预定义ISP 地址库,分别是中国电信(ChinaTelecom)、中国联通(Chinaunicom)、教育网(ChinaEducation)、中国移动(ChinaMobile)。配置步骤如下:
(1) 通过菜单“网络配置>路由管理 > ISP路由”,进入ISP信息页面。在该页面上,可以查看预定义的ISP地址库和自定义的地址库信息。
图1-60 ISP地址库
(2) 点击ISP信息页面中的<新建>按钮,进入ISP地址库的配置页面,如下图所示。
图1-61 新建ISP地址库
表1-15 ISP地址库配置项含义
|
标题项 |
说明 |
|
名称 |
设置ISP地址库名称 |
|
子网 |
设置ISP地址库中的子网网段,格式为:IP地址/掩码,如192.168.1.1/24。最多可添加200个子网网段。 |
用户自定义的ISP地址库名称不能与预定义的相同。
用户自定义的ISP地址库,每个ISP最多有200个地址网段。
用户可以编辑自定义的ISP地址库,不可以编辑预定义的。
(1) 选择“网络配置>路由管理 > ISP路由”,选择“ISP路由”页签,查看所有ISP路由信息。
图1-62 ISP路由页面
表1-16 ISP路由各项含义
|
标题项 |
说明 |
|
名称 |
ISP路由所使用地址库名称 |
|
下一跳/出接口 |
ISP路由的下一跳/出接口 |
|
权重 |
ISP路由的权重,范围是<1-255> |
|
优先级 |
ISP路由的优先级,范围是<1-255> |
|
地址探测 |
和ISP路由联动的地址探测,如果已经配置和探测联动,点击地址探测名称可以修改和路由联动的地址探测 |
|
操作 |
点击 |
· 权重:在多下一跳负载均衡时,权重越大,命中的概率就越大。
· 距离:路由类型的优先级,该值越小,优先级越高。
· ISP路由和静态路由的优先级相同,如果出现相同的目的网段同时配置ISP路由和静态路由的下一跳不同,流量负载分担
(2) 点击新建>按钮,进入ISP路由配置页面,如下图所示。
图1-63 ISP路由配置
表1-17 ISP路由各配置项含义
|
标题项 |
说明 |
|
ISP名称 |
ISP路由所使用地址库名称 |
|
下一跳/出接口 |
ISP路由的下一跳/出接口 |
|
权重 |
ISP路由的权重,范围是<1-255> |
|
优先级 |
ISP路由的优先级,范围是<1-255> |
|
地址探测 |
配置和ISP路由联动的地址探测 |
权重:在多下一跳负载均衡时,权重越大,命中的概率就越大。
距离:路由类型的优先级,该值越小,优先级越高。
BGP(Border Gateway Protocol,边界网关协议)是一种既可以用于不同AS(Autonomous System,自治系统)之间,又可以用于同一AS内部的动态路由协议。当 BGP 运行于同一AS内部时,被称为IBGP(Internal BGP);当 BGP 运行于不同AS之间时,称为EBGP(External BGP)。AS是拥有同一选路策略,属于同一技术管理部门的一组路由器。
本节介绍配置BGP所需要理解的知识,具体包括:
BGP的特点
BGP发言者和BGP对等体
BGP的消息类型
本章所介绍的配置都是指BGP version 4。
BGP具有如下特点:
BGP是一种EGP(Exterior Gateway Protocol,外部网关协议),与OSPF、RIP等IGP(Interior Gateway Protocol,内部网关协议)不同,其着眼点不在于发现和计算路由,而在于控制路由的传播和选择最佳路由。
BGP使用TCP作为其传输层协议(端口号179),提高了协议的可靠性。
BGP是一种路径矢量(Path-Vector)路由协议,它采用到达目的地址所经过的AS列表来衡量到达目的地址的距离。
BGP支持CIDR(Classless Inter-Domain Routing,无类域间路由)。
路由更新时,BGP只发送更新的路由,大大减少了BGP传播路由所占用的带宽,适用于在Internet上传播大量的路由信息。
BGP路由通过携带AS路径信息彻底解决路由环路问题。
BGP提供了丰富的路由策略,能够对路由实现灵活的过滤和选择。
BGP易于扩展,能够适应网络新的发展。
运行BGP协议的路由器称为BGP发言者。BGP发言者接收或产生路由信息,并将路由信息发布给其它BGP发言者。
相互之间存在TCP连接、相互交换路由信息的BGP发言者互为BGP对等体。根据对等体所在的AS,对等体分为以下几种:
IBGP对等体:对等体与本地路由器位于同一AS。
EBGP对等体:对等体与本地路由器位于不同AS。
BGP定义了以下几种消息类型:
Open:TCP连接建立后发送的第一个消息,用于在BGP对等体之间建立会话。
Update:用于在对等体之间交换路由信息。一条Update消息可以发布具有相同路径属性的多条可达路由,也可以同时撤销多条不可达路由。
Keepalive:BGP周期性地向对等体发送Keepalive消息,以保持会话的有效性。
Route-refresh:用来要求对等体重新发送指定地址族的路由信息。
Notification:当BGP检测到错误状态时,就向对等体发出Notification消息,之后BGP会话会立即中断。
通过菜单“网络配置 > 路由管理 > BGP信息”,进入BGP配置的显示界面,查看设备上已经配置的BGP实例。勾选“启用”后开启BGP路由功能,禁用会删除所有BGP实例。启用后可以新建BGP实例,如果未启用,新建时将会自动启用。
图1-64 BGP信息显示页面
创建BGP实例后,如果关闭“启用”开关会删除所有实例和接口下BGP相关配置。
点击<新建>,新建BGP实例,配置BGP协议的相关信息,点击<提交>。
图1-65 BGP实例配置界面
表1-18 BGP各配置项说明
|
标题项 |
说明 |
|
VRF |
指定BGP实例绑定的VRF。创建多个BGP实例时需要为每个实例绑定不同VRF使用,每个实例只能绑定一个VRF。 |
|
描述 |
BGP实例的描述信息。 |
|
AS号 |
自治域系统号 |
|
路由标识 |
BGP路由器ID |
AS (Autonomous System number,自治域系统号)是指拥有同一选路策略,在同一技术管理部门下运行的一组路由器的集合。BGP的RFC1771里留给AS的范围是2个字节,所以AS的取值范围为1-65535,其中64512以上的为私有AS。但是鉴于IPv4地址空间不够这个前车之鉴,在RFC4893里定义了一个BGP的新功能——4字节AS(BGP Support for Four-octet AS Number,一般用M.N来描述),范围是65536-4294967295。
在BGP信息页面的列表中,点击需要修改的实例对应的“邻居配置列表”,进入BGP高级配置的“邻居配置列表”界面,查看该BGP实例中配置的邻居列表。
图1-66 BGP邻居配置列表显示页面
点击<新建>按钮,输入新增的邻居配置,点击<提交>。
图1-67 邻居配置列表
表1-19 邻居配置参数说明
|
标题项 |
说明 |
|
邻居IP |
邻居路由器的IP地址。 |
|
AS号 |
邻居路由器所属于的AS号。 |
在BGP信息页面的列表中,点击需要修改的实例对应的“网络配置列表”,进入BGP高级配置的“网络配置列表”界面,查看该BGP实例中配置的网络列表。
图1-68 已经配置的网络配置列表
点击<新建>,配置通告到指定BGP要发送的网络,同时也可指定此网络路由的网络掩码。支持IPv4和IPv6地址。
图1-69 网络配置列表
网络配置列表需要通告本地设备上的有效路由信息才会生效。
BGP协议自身不能发现路由,所以需要引入其他协议的路由(如IGP或者静态路由等)注入到BGP路由表中,从而将这些路由在AS之内和AS之间传播。
在BGP信息页面的列表中,点击需要修改的实例对应的“路由引入配置列表”,进入BGP高级配置的“路由引入配置列表”界面,查看该BGP实例中配置的路由引入列表。
图1-70 已经配置的路由引入配置列表
点击<新建>,设置IPv4路由引入的协议类型,选择路由重发布(包括直连路由、静态路由、RIP路由和OSPF路由),点击<提交>。
图1-71 路由引入配置列表页面
BGP4+通过引入IGP的路由信息获得AS内部的路由信息并发布给对等体。
在BGP信息页面的列表中,点击需要修改的实例对应的“路由引入BGP4配置列表”,进入BGP高级配置的“路由引入BGP4配置列表”界面,查看该BGP实例中配置的BGP4+路由引入列表。
图1-72 已经配置的路由引入配置列表
点击<新建>,设置BGP4+引入其他协议的路由,选择路由重发布(包括直连路由、静态路由、RIPng路由和OSPFv3路由),点击<提交>。
图1-73 BGP4+路由引入配置列表页面
iBGP用于在同一个自治系统内部交换路由信息。如下图所示,在设备R1和设备R2上开启BGP进程,创建BGP实例并配置相同AS号1,在实例内配置对端接口地址为邻居,在R1与R2之间建立iBGP邻居关系。
图1-74 iBGP配置案例组网图
(1) 在R1开启BGP协议开关
过菜单“网络配置 > BGP信息”,进入BGP的显示界面,勾选<启用>按钮。
(2) 在R1创建BGP实例
通过菜单“网络配置 > BGP信息”,进入BGP的显示界面,点击<新建>按钮。在弹出的界面中进行配置。
图1-75 新建BGP实例界面
(3) 在R1配置BGP邻居
点击BGP显示界面中BGP实例的<邻居配置列表>,进入BGP高级配置界面。
在高级配置页面中点击<新建>按钮,在弹出的界面中配置邻居IP为10.1.14.2,AS号为1。
图1-76 BGP邻居配置
(4) 在R1配置接口地址
进入“网络配置 > 接口配置”页面,配置ge0接口主地址为10.1.14.1/24,然后点击<提交>按钮。
图1-77 配置接口ge0
(5) 在R2开启BGP协议开关
通过菜单“网络配置 > BGP信息”,进入BGP的显示界面,勾选<启用>按钮。
(6) 在R2创建BGP实例
通过菜单“网络配置 > BGP信息”,进入BGP的显示界面,点击<新建>按钮。在弹出的界面中进行配置。
图1-78 新建BGP实例界面
(7) 在R2配置BGP邻居
点击BGP显示界面中BGP实例的<邻居配置列表>,显示BGP高级配置界面。
在高级配置页面中点击<新建>按钮,在弹出的界面中配置邻居IP为10.1.14.1,AS号为1。
图1-79 BGP邻居配置
(8) 在R2配置接口地址
进入“网络配置 > 接口配置”页面,配置ge0接口主地址为10.1.14.2/24,然后点击<提交>按钮。
图1-80 物理接口编辑界面
查看邻居建立成功。
(1) 登录设备Device1的命令行界面,在enable视图下,使用 display ip bgp neighbors命令查看邻居状态为“Established”,邻居建立成功。
图1-81 Device1邻居状态显示
(2) 登录设备Device2的命令行界面,在enable视图下,使用 display ip bgp neighbors命令查看邻居状态为“Established”,邻居建立成功。
图1-82 Device2邻居状态显示
用于在不同的自治系统之间交换路由信息。如下图所示,在设备R1和设备R2上开启BGP进程,创建BGP实例并配置不同的AS号,在实例内配置对端接口地址为邻居,在R1与R2之间建立eBGP邻居关系。
图1-83 eBGP配置案例组网图
(1) 在R1开启BGP协议开关
通过菜单“网络配置 > BGP信息”,进入BGP的显示界面,勾选<启用>按钮。
(2) 在R1创建BGP实例
通过菜单“网络配置 > BGP信息”,进入BGP的显示界面,点击<新建>按钮。在弹出的界面中进行配置。
图1-84 新建BGP实例界面
(3) 在R1配置BGP邻居
点击BGP显示界面中BGP实例的<邻居配置列表>,显示BGP高级配置界面。
在高级配置页面中点击<新建>按钮,在弹出的界面中配置邻居IP为10.1.14.2,AS号为2。
图1-85 BGP邻居配置
(4) 在R1配置接口地址
进入“网络配置 > 接口配置”页面,配置ge0接口主地址为10.1.14.1/24,然后点击<提交>按钮。
(5) 在R2开启BGP协议开关
通过菜单“网络配置 > BGP信息”,进入BGP的显示界面,勾选<启用>按钮。
(6)在R2创建BGP实例
通过菜单“网络配置 > BGP信息”,进入BGP的显示界面,点击<新建>按钮。在弹出的界面中进行配置。
图1-86 新建BGP实例界面
(6) 在R2配置BGP邻居
点击BGP显示界面中BGP实例的<邻居配置列表>,显示BGP高级配置界面。
在高级配置页面中点击<新建>按钮,在弹出的界面中配置邻居IP为10.1.14.1,AS号为1。
图1-87 BGP邻居配置
(7) 在R2配置接口地址
进入“网络配置 > 接口配置”页面,配置ge0接口主地址为10.1.14.2/24,然后点击<提交>按钮。
在R2查看邻居建立成功
登录设备R2的命令行界面,进入enable视图使用 display ip bgp neighbors命令查看邻居状态为“Full”,邻居建立成功。
图1-88 邻居状态显示
BFD(Bidirectional Forwarding Detection)为一种网络协议,用于快速检测系统之间的通信故障,并在出现故障时通知上层协议。
设备BFD主要功能如下:
设备支持BFD与OSPF、OSPFv3、BGP、BGP4+及静态路由的联动。
地址探测支持BFD方式探测网络链路的连通性。
BFD使用三路握手的机制来建立会话,会话建立过程如下:
(1) 上层协议通过自己的Hello机制发现邻居并建立连接;
(2) 上层协议在建立了新的邻居关系时,将邻居的参数及检测参数(包括目的地址和源地址等)都通告给BFD;
(3) BFD根据收到的参数进行计算并建立邻居。
(4) 会话建立经过3次握手协议,从down状态变成up状态。
当网络出现故障时:
(5) BFD检测到链路/ 网络故障;
(6) 拆除BFD邻居会话;
(7) BFD通知本地上层协议进程BFD邻居不可达;
(8) 本地上层协议中止上层协议邻居关系;
(9) 如果网络中存在备用路径,路由器将选择备用路径。
BFD检测支持单跳检测和多跳检测两种方式:
单跳检测:
“跳”指IP网络中的一跳,单跳检测指检测两台直连设备间转发链路的连通性。
多跳检测:
多跳检测指检测两台非直连设备间任意路径的IP连通性,这些路径可能跨越很多跳,也可能在某些部分重叠。多跳检测一般用来检查两台设备间是否存在可达路由。
控制报文方式:链路两端会话通过控制报文交互监测链路状态。
BFD回声报文(Echo)方式:链路某一端通过发送Echo 报文由另一端转发回来,实现对链路的双向监测。这种模式一般用于只有一端支持BFD功能。
BFD会话建立前有两种模式:主动模式和被动模式。
主动模式:在建立会话前不管是否收到对端发来的BFD控制报文,都会主动发送BFD控制报文;
被动模式:在建立会话前不会主动发送BFD控制报文,直到收到对端发送来的控制报文。
BFD会话建立后有两种模式:异步模式和查询模式通信双方要求运行在相同的模式。
异步模式:以异步模式运行的设备周期性地发送BFD控制报文,如果在检测时间内对端没有
收到BFD控制报文,则认为会话 down。
查询模式:假定有一个独立的方法,确认自己和对端系统的连通性。这样,BFD会话建立后会停止周期发送BFD控制报文,除非需要显式地验证连接性。
BFD的发送周期和检测时间由三个值决定:
DMTI(Desired Min Tx Interval):本端想要采用的最短BFD控制报文发送周期。
RMRI(Required Min Rx Interval):本端能够支持的最短BFD控制报文接收周期。
Detect Mult(Detect time multiplier):检测时间倍数。
对于发送周期的计算与检测模式无关,无论在那种检测模式下,由于要考虑到链路的抖动,需要一个允许的范围,其具体的计算发送如下:
如果DetectMulti为1,发送周期=(90%~70%) * max(bfd.DMTI, 接收的RMRI) ;否则,发送周期 = (100%~75%) * max(bfd.DMTI, 接收的RMRI) 。
对于检测时间,由于BFD存在两种检测模式,所以对于这两种检测模式下相应检测时间的计算并不完全相同。由于两种检测模式下都可以使用回声功能,对于回声包的检测时间的计算草案中并没有给出,任何一种可以检测回声包丢失的机制都可以。
在异步模式下,由于检测的位置是在对端,所以对端计算检测时间时需要用到本端的检测倍数,公式如下:检测时间 = 接收的远端DM * max(bfd.RMRI,接收到的DMTI) 。
在查询模式下,由于检测的位置是在本端,所以本端计算检测时间时只需用本端的检测倍数,公式如下:检测时间 = bfd.DM * max(bfd.RMRI,接收到的DMTI) 。
设备Web管理界面支持配置地址探测BFD及静态路由BFD,其他协议需使用命令行配置。
地址探测BFD和静态路由BFD的配置方法如下:
进入“策略配置> 对象管理>地址对象>地址探测”页面,点击<新建>按钮新建地址探测,类型选择BFD,配置BFD参数后点击<提交>,如下图所示。
图1-89 配置地址探测BFD
表1-20 地址探测BFD配置详细信息描述
|
配置项 |
说明 |
|
名称 |
配置地址探测BFD名称,可配范围1-63字符 |
|
探测目标 |
配置地址探测BFD目标,可配IPv4地址、IPv6地址 |
|
类型 |
配置地址探测类型为BFD |
|
出接口 |
配置地址探测BFD路由出接口 |
|
本地标识符 |
配置地址探测BFD本地标识符,可配范围1-4095 |
|
远端标识符 |
配置地址探测BFD远端标识符,可配范围1-4294967295 |
|
多跳检测 |
禁用/启用多跳检测 |
|
源IP地址 |
配置地址探测BFD源IP地址 |
|
发送间隔 |
配置地址探测BFD报文发送间隔,可配范围10-60000 毫秒 |
|
接收间隔 |
配置地址探测BFD报文接收间隔,可配范围10-60000 毫秒 |
|
本地检查倍数 |
配置地址探测BFD本地检查倍数,可配范围2-255 |
进入“网络配置> 路由管理>静态路由”页面,点击<新建>按钮,新建静态路由并勾选“BFD”,点击<提交>,如下图所示。
图1-90 配置静态路由BFD
表1-21 静态路由BFD配置详细信息描述
|
配置项 |
说明 |
|
启用 |
禁用/启用静态路由 |
|
目的地址 |
静态路由目的地址 |
|
子网掩码 |
静态路由目的地址子网掩码 |
|
下一跳/出接口 |
勾选下一跳后才可以配置BFD |
|
下一跳 |
静态路由下一跳地址,同时也是静态路由BFD的探测目标 |
|
权重 |
配置权重,可配范围1-255 |
|
距离 |
配置距离,可配范围1-255 |
|
BFD |
静态路由绑定/去绑定BFD,和静态路由中的地址探测互斥 |
|
地址探测 |
静态路由绑定地址探测,和静态路由BFD互斥 |
在网络中有两台设备,在设备Device1和Device2上开启BFD地址探测。配置完成后,链路不通时BFD状态不活跃,链路连通时BFD状态活跃,从而实现Device1和Device2 链路连通性的BFD探测。
图1-91 BFD配置举例组网图
配置Device1。
(1) 进入“网络配置>接口配置>物理接口”,点击<操作>按钮,配置设备ge1接口IP地址。
(2) 进入“策略配置> 对象管理>地址对象>地址探测”页面,点击<新建>按钮新建地址探测,类型选择BFD,配置地址探测BFD参数,探测目标为对端设备Device2的ge1口地址,本地标识符和Device2的远端标识符对应,远端标识符和Device2的本地标识符对应。
Device2与Device1配置相同。
在网络中有两台设备,在Device1和Device2之间配置静态路由并与BFD绑定。配置完成后当链路故障时,设备通过BFD的毫秒级检测通知静态路由不可达,实现链路的快速检测。
图1-92 BFD配置举例组网图
配置Device1。
(1) 进入“网络配置>接口配置>物理接口”,点击<操作>按钮,配置设备ge1接口IP地址。
(2) 配置静态路由BFD
进入“网络配置>接口配置>物理接口”,点击<操作>按钮,配置设备接口IP地址。
进入“网络配置> 路由管理>静态路由”页面,点击<新建>按钮,配置静态路由绑定BFD,下一跳配置为Device2的ge1口地址。
Device2与Device1配置相同。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
