OSPF虚链路(学习笔记+实验验证)
OSPF虚链路
- 原理概述
- 实验目的
- 实验内容
- 实验拓扑
- 实验步骤
- 1,基本配置
- 2,搭建OSPF网络
- 3,使用虚链路使区域2和区域0逻辑相连
- 1)在R3的区域1视图下使用vlink-peer建立与R1的虚链路
- 2)在R1的区域1视图下建立与R3的虚链路
- 4,修改虚链路的开销值
- 5,使用虚链路作为区域0链路的冗余备份
- 6,配置虚链路的认证功能
原理概述
1,OSPF中的非骨干区域和骨干区域通告ABR路由直接连接,非骨干区域之间通信要通过骨干区域,但可能因为条件限制,使骨干与非骨干区域无法连接,所以使用OSPF虚链路(Virtual Link)来实现逻辑上的连接。
ABR:区域边界路由,用来连接骨干与非骨干区域,可以与骨干区域物理连接,也可以是逻辑连接。
2,OSPF协议要求骨干区域是唯一且连续的,然而,由于发生故障等原因,骨干区域可能被分割,也可以使用虚链路来实现物理上被分割能够逻辑相连。
3,虚链路在网络中会穿越其他区域,因此可能带来安全隐患,所以通常都会对虚链路进行认证功能的配置。虚链路认证其实是OSPF接口认证的一种,支持MD5,HMAC-MD5,明文及Keychain
老师说
1.没有外部网络的单区域OSPF网络,是可以通信的,ospf设骨干区域的主要作用是防环
2.ospf骨干区是连接其他多个非骨干区域,区间路由一定要骨干才能传递,非骨干区域禁止传递路由,所以骨干区域是防环的作用,这也是OSPF的防环机制
3.虚链路是特殊情况,实际是逻辑上延长扩大骨干区域
4.使原来未和骨干相连的区域,逻辑上连接骨干区域,从而能传递区域间路由
实验目的
1,OPSF虚链路的应用场景
2,OSPF虚链路的配置方法
3,OSPF虚链路认证功能的配置方法
实验内容
实验拓扑
实验步骤
1,基本配置
2,搭建OSPF网络
[R1]ospf 10 router-id 10.0.1.1
[R1-ospf-10]area 0
[R1-ospf-10-area-0.0.0.0]network 10.0.1.1 0.0.0.0
[R1-ospf-10-area-0.0.0.0]n 10.0.12.0 0.0.0.255
[R1-ospf-10-area-0.0.0.0]area 1
[R1-ospf-10-area-0.0.0.1]network 10.0.13.0 0.0.0.255
[R2]ospf 10 router-id 10.0.2.2
[R2-ospf-10]area 0
[R2-ospf-10-area-0.0.0.0]network 10.0.2.2 0.0.0.0
[R2-ospf-10-area-0.0.0.0]network 10.0.12.0 0.0.0.255
[R2-ospf-10-area-0.0.0.0]area 1
[R2-ospf-10-area-0.0.0.1]network 10.0.23.0 0.0.0.255
[R3]ospf 10 router-id 10.0.3.3
[R3-ospf-10]area 1
[R3-ospf-10-area-0.0.0.1]network 10.0.13.0 0.0.0.255
[R3-ospf-10-area-0.0.0.1]network 10.0.23.0 0.0.0.255
[R3-ospf-10-area-0.0.0.1]network 10.0.3.3 0.0.0.0
[R3-ospf-10-area-0.0.0.1]area 2
[R3-ospf-10-area-0.0.0.2]network 10.0.34.0 0.0.0.255
[R4]ospf 10 router-id 10.0.4.4
[R4-ospf-10]area 2
[R4-ospf-10-area-0.0.0.2]network 10.0.4.4 0.0.0.0
[R4-ospf-10-area-0.0.0.2]network 10.0.34.0 0.0.0.255
在R3 上看邻居关系
在R4 上查看LSDB
可以看到,没有区域0的LSA,只有本区域的Type-1LSA和Type-2 LSA,说明区域2没有ABR存在,即没有和area0相连,也无法与其他区域通信。
3,使用虚链路使区域2和区域0逻辑相连
使用虚链路是区域2与区域0在逻辑上相互连接起来,此时的区域1将作为区域2和区域0 的传输区域
1)在R3的区域1视图下使用vlink-peer建立与R1的虚链路
[R3]ospf 10
[R3-ospf-10]area 1
[R3-ospf-10-area-0.0.0.1]vlink-peer 10.0.1.1
2)在R1的区域1视图下建立与R3的虚链路
[R1]ospf 10
[R1-ospf-10]area 1
[R1-ospf-10-area-0.0.0.1]vlink-peer 10.0.3.3
可以看到R1与R3建立了虚链路
在R4LSDB上也可以看到R3的通告区域0和区域1 的Type-3LSA,说明R4已将R3作为连接区域2至区域0的ABR了。
在R4上ping R1和R2都可以正常ping通
4,修改虚链路的开销值
现在已经通过R1与R3的虚链路使区域2 和区域0逻辑连接了。但还有R2呢,现在也让R2与R3建立虚链路。
[R2]ospf 10
[R2-ospf-10]area 1
[R2-ospf-10-area-0.0.0.1]vlink-peer 10.0.3.3
[R3]ospf 10
[R3-ospf-10]area 1
[R3-ospf-10-area-0.0.0.1]vlink-peer 10.0.2.2
现在可以看到有两条虚链路了(R3与R1,R3与R2)
可以看到两条虚链路的开销都为1,当R4访问区域0时会负载均衡的情形;要求时主链路走R3->R1,备份为R3->R2,实现的方法就是修改虚链路的开销值。
由于虚链路实际使用的路径是在传输区域内经过SPF算法计算的最优路径,虚链路开销也就是OSPF早传输区域所选用的物理路径的开销值,所以
[R3]int g0/0/2
[R3-GigabitEthernet0/0/2]ospf cost 10
[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]ospf cost 10
在R3上查看虚链路信息,看到R3与R2的开销变为了10 ,R3与R1的还是1,所以这样就可以让主链路走R3->R1,备份为R3->R2了
5,使用虚链路作为区域0链路的冗余备份
[R1]ospf 10
[R1-ospf-10]area 1
[R1-ospf-10-area-0.0.0.1]vlink-peer 10.0.2.2
[R2]ospf 10
[R2-ospf-10]area1
[R2-ospf-10-area-0.0.0.1]vlink-peer 10.0.1.1
可以看到R1上面多了一条走R2的虚链路,开销为11
现在测试R1与R2的走向
在没有故障时
将R1的g0/0/0关了再看
#int g0/0/0
#shutdown
可以看到走配好的虚链路了
因为还要用,重新打开
#int g0/0/0
#undo shutdown
6,配置虚链路的认证功能
由于虚链路使用了其他传输区域的物理链路,通常使用认证功能增强安全性,在区域视图下,使用命令vlink-peer 10.0.2.2 hmac-md5 1plain hongwei,hmac-md5为选用的认证加密方式,1为Key ID,plain hongwei便是明文显示口令hongwei.
在R1和R2虚链路配置认证(必须是双向的认证,只配置一个认证不行)
[R1]ospf 10
[R1-ospf-10]area 1
[R1-ospf-10-area-0.0.0.1]vlink-peer 10.0.2.2 hmac-md5 1 plain hongwei
[R2]ospf 10
[R2-ospf-10]area 1
[R2-ospf-10-area-0.0.0.1]vlink-peer 10.0.1.1 hmac-md5 1 plain hongwei
配置R1和R3的认证
[R1-ospf-10-area-0.0.0.1]vlink-peer 10.0.3.3 hmac-md5 1 plain hongwei
看到单向的Down,不行
所以要双向配置
[R3]ospf 10
[R3-ospf-10]area 1
[R3-ospf-10-area-0.0.0.1]vlink-peer 10.0.1.1 hmac-md5 1 plain hongwei
配置R2和R3的认证
[R2]ospf 10
[R2-ospf-10]area 1
[R2-ospf-10-area-0.0.0.1]vlink-peer 10.0.3.3 hmac-md5 1 plain hongwei
[R3-ospf-10-area-0.0.0.1]vlink-peer 10.0.2.2 hmac-md5 1 plain hongwei
现在所以的认证都配置完成,可以正常通信