OSPF路由配置与管理

OSPF路由配置与管理

配置OSPF安全功能

对安全性要求较高的网络中，可通过配置GTSM（GeneralizedTTL Security Mechanism，通用TTL安全保护机制）以及OSPF区域认证和接口认证来提高OSPF网络的安全性。在配置前，需完成以下配置任务：

1）配置接口的网络层地址，使各相邻节点网络层可达。

2）配置OSPF的基本功能。

一、配置OSPF GTSM功能

如果攻击者模拟真实的OSPF协议单播报文，对一台路由器不断发送报文，而路由器接口板在收到这些报文后，发现目的IP地址是本设备的接口地址，则会直接上送给控制层的OSPF协议处理，不辨“合法性”，导致路由器控制层面因忙于处理假合法报文使系统异常繁忙。可通过GTSM检查IP报文头中的TTL值是否在一个预先定义好的范围内，对IP层以上业务进行保护。但GTSM仅对单播报文有效，对组播报文无效，因为组播报文本身具有TTL值为255的限制，不需要使用GTSM进行保护。同时，GTSM不支持基于Tunnel的邻居。

GTSM的实现机制是：对于直接的协议邻居，将需要发出的单播协议报文的TTL值设定为255；而对于多跳的邻居则可以定义一个合理的TTL范围。使能了GTSM特性和策略设备会对收到的所有IP单播报文进行策略检查，对于没有通过策略的报文丢弃或上送控制平面，从而达到防止攻击的目的。GTSM的策略内容主要包括以下几种：

①发送给本机IP报文的源地址

②报文所属的VPN实例

③IP报文的协议号（OSPF是89，BGP是6）

④TCP/UDP之上协议的协议源端口号、目的端口号

⑤有效TTL范围（OSPFv2版本中仅支持这一策略）。

应用GTSM功能，需要在OSPF连接的两端都使能GTSM。被检测的报文的TTL值有效范围为[255-hops+1,255]。GTSM只会对匹配GTSM策略的报文进行TTL检查。对于未匹配策略的报文，可以设置通过或丢弃。如配置GTSM缺省报文动作为丢弃，就需在GTSM中配置所有可能的路由器连接情况，没有配置的路由器发送的报文将被丢弃，无法建立连接。在保证安全的同时会损失一些易用性。

OSPF GTSM功能的主要配置：

①使能GTSM功能

②（可选）配置未匹配GTSM策略的报文处理动作

③（可选）配置日志功能。

二、配置OSPF安全认证功能

为拒绝非法OSPF报文进入，OSPF支持报文认证功能，使只有通过认证的OSPF报文才能被接收，否则不能正常建立邻居。路由器支持两种认证方式：①区域认证方式；②接口认证方式。使用区域认证时，一个区域中所有的路由器在该区域下的认证模式和密码必须一致。如果同时配置了两种认证方式，则优先使用接口认证方式。

调整OSPF的路由选择

在复杂网络环境中，可通过调整OSPF功能参数来达到灵活组网、优化网络负载分担。可根据实际配置以下一项或几项：

①配置OSPF的接口开销。

②配置等价路由

③配置OSPF路由选择规则

④抑制接口接收和发送OSPF报文。

在调整OSPF的选路之前，需先配置接口的网络层地址，配置OSPF基本功能。

一、配置OSPF的接口开销

OSPF接口开销值影响路由的选择，开销越大，优先级越低。OSPF既可以根据接口的带宽自动计算链路开销值，也可通过命令固定配置。根据接口的带宽自动计算开销值的公式为：接口开销=带宽参考值/接口带宽，取计算结果的整数部分作为接口开销值（结果小于1时取1），通过改变带宽参考值可以间接改变接口的开销值。这样就有两种方式来调整OSPF的接口开销：一是直接配置接口的开销值；二是通过改变带宽参考值调整接口开销值。

链路状态路由协议（包括OSPF和IS-IS）的接口开销也即链路开销，是二层概念，是指接口所在链路的开销，主要依据接口带宽确定。如链路两端接口带宽不一致，则以带宽低的接口为准计算接口开销。同一路由器上的不同接口之间的链路开销为0。

二、配置等价路由

当网络中存在多条由相同路由协议发现的到达同一目的地的路由，且这几条路由的开销值也相同，则这些路由就是等价路由，可以实现负载分担。

如上图，A和B之间的三条路由都运行OSPF协议，且几条路由的开销值也相同，这三条路由就是等价路由，形成了负载分担。

三、配置OSPF路由选择规则

OSPFv2发展过程中，经过几次大修改，重要的有两次（RFC1583和RFC2328），在计算外部路由时的规则不一样，可能会导致环路。为了避免路由环路发生，在最新的RFC2328中提出了RFC1583兼容特性，使能了RFC1583兼容特性后，OSPF采用RFC1583的路由计算规则。

OSPF路由选择规则的配置是在对应的OSPF进程视图下通过rfc1582 compatible命令配置。

示例：配置将RFC1583定义的规则配置成RFC2328定义的规则，即不再兼容RFC1583

system-view

[Huawei]ospf 1

[Huawei-ospf-1]undorfc1583 compatible

四、抑制接口接收和发送OSPF

通过抑制接口接收和发送的OSPF报文，使路由信息不被某一网络中的路由器获得，且使本地路由器不接收网络中其他路由器发布的路由更新信息，从而达到优先保证某条路由的目的。

配置抑制接口接收和发送OSPF报文的方法就是在对应的OSPF进程视图下通过silent-interface{all | interface-type interface-number}命令把本地路由器上的所有接口（all选项时）或指定接口（interface-typeinterface-number选项时）（除了可以是物理接口，还可以是象VLANIF和Eth-Trunk等之类的逻辑接口）配置为静默接口。

将运行OSPF协议的接口指定为Silent状态后，该接口的直连路由仍可以通过OSPF协议发布出去，但接口的Hello报文发送和接收都将被阻塞，接口上无法与其他设备建立邻居关系，其他OSPF报文更无法发送和接收了。

示例：在OSPF 100进程下禁止VLANIF200接口收发OSPF报文。

system-view

[Huawei]ospf100

[Huawei-ospf-100]silent-interfacevlanif 200

控制OSPF路由信息的发布和接收

控制OSPF路由信息的发布和接收包括外部路由引入控制，缺省路由通告控制，路由聚合控制和路由、LSA的发布或接收过滤。根据实际配置一项或多项：

①配置OSPF引入外部路由。

②配置OSPF将缺省路由通告到OSPF区域。

③配置OSPF路由聚合

④配置OSPF对接收和发布的路由进行过滤

⑤配置对发送的LSA进行过滤

⑥配置对ABR Type3 LSA进行过滤。

一、配置OSPF引入外部路由

当OSPF网络中的设备需要访问运行其他协议的网络中的设备时，需将其他协议的路由引入OSPF进程中，但这仅可以在连接了其他AS的ASBR上进行配置。

二、配置OSPF将缺省路由通告到OSPF区域

在OSPF实际组网应用中，区域边界和自治系统边界通常都是由多个路由器组成的多出口冗余备份或者负载分担，为减少路由表的容量，可配置缺省路由来保证网络的高可用性。

OSPF缺省路由通常应用于下面两种情况：

①由ABR发布Type3 LSA，用来指导区域内路由器进行区域之间报文的转发。

②由ASBR发布Type5 LSA或Type7 LSA，用来指导OSPF路由域内路由器进行域外报文的转发。

Type3 LSA缺省路由的优先级要高于Type5LSA或Type7 LSA路由。OSPF缺省路由的发布方式取决于引入该缺省路由的区域类型：

三、配置OSPF路由聚合

当OSPF网络规模较大时，配置路由聚合可以有效减少路由表的条目。配置路由聚合后，如果被聚合的IP地址范围内的某条链路频繁Up和Down，该变化并不会通告到被聚合的IP地址范围外的设备，可以避免网络中的路由震荡，提高网络的稳定性。仅可在运行OSPF协议的ABR和ASBR上配置路由聚合。

在ABR或ASBR上配置路由聚合后，ABR和ASBR本地的OSPF路由表是保持不变的，仍为各网段的明细路由，但是在它们向区域内其他OSPF设备通告时，这些连续子网路由将只以一条聚合路由进行通告，这样区域内其他路由器上的OSPF路由表中只有这一条聚合路由到达对应聚合网段的路由。直到网络中被聚合的路由都出现故障而消失时，该聚合路由才会消失。

在ASBR上对引入的路由进行路由聚合后，有以下几种情况：

①如果本地设备是ASBR且处于普通区域中，本地设备将对引入的聚合地址范围内的所有Type5 LSA进行路由聚合。

②如果本地设备是ASBR且处于NSSA或者Totally NSSA区域中，本地设备对引入的聚合地址范围内的所有Type5 LSA和Type7 LSA进行路由聚合。

③如果本地设备既是ASBR又是ABR且处于NSSA或者Totally NSSA区域中，本地设备除对引入的聚合地址范围内的所有Type5 LSA和Type7 LSA进行路由聚合外，还将对由Type7 LSA转化成的Type5 LSA也进行路由聚合。

示例：在ABR上将OSPF 100的区域1中两个网段36.42.10.0/24、36.42.110.0/24的路由聚合成一条聚合路由36.42.0.0/16向本区域和其他区域同时发布。

system-view

[Huawei]ospf 100

[Huawei-ospf-100]area 1

[Huawei-ospf-100-area-0.0.0.1]network36.42.10.0 0.0.0.255

[Huawei-ospf-100-area-0.0.0.1]network36.42.110.0 0.0.0.255

[Huawei-ospf-100-area-0.0.0.1]abr-summary36.42.0.0 255.255.0.0

四、配置OSPF对接收和发布的路由进行过滤

OSPF对接收的路由的过滤适用于任意OSPF路由器，是通过对接收的路由设置过滤策略，只允许通过过滤策略的路由被添加到本地设备的OSPF路由表中，没有通过过滤策略的路由不会被添加进路由表中，自然也不会通过本地设备对外发布。

OSPF对发布的路由的过滤仅针对在ASBR上引入的路由，通过设置发布策略设备仅允许满足条件的外部路由生成的Type5 LSA发布出去，这主要是为了避免路由环路的产生。

五、配置对发送的LSA进行过滤

当两台路由器之间存在多条链路时，通过对发送的LSA进行过滤可以在某些链路上过滤LSA的传送，减少不必要的重传，节省带宽。

对发送的LSA进行过滤，可在任意OSPF路由器上配置，具体方法就是在对应的接口视图下使用：ospf filter-lsa-out {all | {summary [acl {acl-number | acl-name}] |ase [acl {acl-number | acl-name}] | nssa [acl {acl-number | acl-name}]}*}命令进行LSA发送过滤策略的配置。

①all：指定对除GraceLSA外的所有LSA进行过滤

②summary：对Type3 LSA进行过滤，仅可在ABR上配置

③ase：对Type5 LSA进行过滤，仅可在普通区域ABR上配置

④nssa：对Type7 LSA进行过滤，仅可在NSSA区域ABR上配置

⑤acl {acl-number |acl-name}：指定用于过滤Type3 LSA，或者Type5 LSA，或者Type7 LSA的基本ACL列表号（2000~2999的整数）或者ACL名称。对于使用命名型ACL中的规则进行过滤时，只有source参数指定的源地址范围和time-range参数指定的时间段对配置规则过滤规则有效。

示例：设置GE1/0/0接口对出方向除Grace LSA外的所有LSA进行过滤：

system-view

[Huawei]interface gigabitethernet 1/0/0

[Huawei-GigabitEthernet1/0/0]ospffilter-lsa-out all

六、配置对ABR Type3 LSA进行过滤

可在ABR上通过对区域内出、入方向的Type3LSA设置过滤条件进一步减少区域间LSA的发布和接收。

可使用display ospf [process-id] interface [all | interface-typeinterface-number] [verbose]查看OSPF接口上的各种过滤配置信息；使用display ospf [process-id] asbr-summary [ip-address mask]查看OSPF ASBR聚合路由信息。

调整OSPF网络收敛性能

OSPF路由的收敛性能与路由报文的收敛优先级、各种报文发送和接收定时器参数的配置密切相关。

一、调整OSPF网络收敛性能的配置任务

1、配置路由的收敛优先级

通过配置OSPF路由的收敛优先级，允许用户配置特定路由的优先级，使这些路由能够比其他的路由优先进行收敛。

2、配置LSA更新时间间隔

LSA更新时间间隔是指路由器主动通过LSU报文（不是指在收到对方路由器的LSR请求报文后而作为应答的LSU报文）发布LSA更新的时间间隔。

在华为系列路由器，可以针对不同类型的LSA设置不同的更新时间间隔，且可对Router LSA（Type1 LSA）和Network LSA（Type2 LSA）采用智能定时器来设置更新时间间隔。在网络相对稳定、对路由收敛时间要求较高的组网环境中，可以指定LSA的更新时间间隔为0来取消LSA的更新时间间隔，使得在网络拓扑或路由发生变化时可以立即通过LSA发布到网络中，从而加速收敛速度。

3、配置接收LSA的时间间隔

前面的LSA更新时间间隔是为了避免过多消耗其他设备CPU资源，而此处的接收LSA时间间隔则为了避免过多消耗本地设备的CPU资源。

4、配置SPF计算的时间间隔

当LSDB发生改变时，需重新计算最短路径，占用大量系统资源。

5、配置接口发送Hello报文的时间间隔

Hello报文是最常用的一种OSPF报文，报文内容包括一些定时器的数值、DR、DBR以及自己已知的邻居，作用是为建立和维护邻接关系，会以设置的Hello Interval定时器为时间单位周期性地在使能了OSPF的接口上发送。OSPF邻居之间的Hello定时器的时间间隔要保持一致，否则不能协商为邻居。

6、配置相邻邻居失效的时间

邻居失效定时器（Dead Interval）是指在改时间间隔内，若未收到邻居的Hello报文，就认定该邻居已失效。通常最少是Hello Interval的4倍。

7、配置Smart-discover

缺省时，OSPF路由器必须等待Hello报文发送时间间隔超时后才能再次发送Hello报文，这样一来，路由器的邻居状态或者多址网络（广播型或NBMA）上的DR、BDR发生变化时会影响设备间建立邻居的速度。

通过配置Smart-discover功能，当网络中邻居状态或DR、BDR发生变化时，设备不必等到Hello报文发送时间间隔超时就可立刻主动向邻居发送Hello报文，从而提高建立邻居的速度。

二、调整OSPF网络收敛性能的配置步骤

在配置OSPF定时器参数之前，需要完成以下任务：

①配置各OSPF接口的链路层协议。

②配置接口的网络层地址，使各节点网络层可达

③配置OSPF的基本功能。

配置OSPF与BFD联动

OSPF通过周期性的向邻居发送Hello报文来实现邻居检测，检测到故障所需的时间比较长。为解决这个问题，可以配置指定进程或指定接口的OSPF与BFD联动特性，以便快速检测链路的状态。当BFD检测到链路故障时，能将故障通告给路由协议，触发路由协议的快速收敛；当邻居关系为Down时，则动态删除BFD会话。

BFD会话不会感知路由切换。如果绑定的对端IP地址改变引起路由切换到其他链路上，除非原链路转发不通，否则，BFD不会重新协商。

1、OSPF与BFD联动的配置流程

①配置全局BFD功能

②配置全局的OSPF BFD特性

③（可选）阻止接口动态创建BFD会话 ： 仅当要对对应OSPF进程下某些接口附上创建BFD会话，才需要进行本项配置任务。

④（可选）配置指定接口的OSPF BFD特性

如想单独只对某些指定的接口配置与全局配置不一样的BFD for OSPF特性，那么当这些接口的链路发生故障时，路由器可以快速的感知，并及时通知OSPF重新计算路由，从而提高OSPF的收敛速度。当邻居关系为Down时，则动态删除BFD会话。但在接口上OSPF创建BFD会话也需要先进行上一项配置任务，使能全局BFD功能。

2、OSPF与BFD联动的配置步骤

需先完成：1）配置接口的网络层地址，使各相邻节点网络层可达；2）配置OSPF的基本功能。