问鼎OSPF(7)-联手VPN智破环,塞外扬威俱相荣

2023-10-23 07:40

本文主要是介绍问鼎OSPF(7)-联手VPN智破环,塞外扬威俱相荣,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

问鼎OSPF

  • 问鼎OSPF目录
  • 一、OSPF多实例
    • 1、多实例
    • 2、Domain ID
  • 二、巧破OSPF多实例路由环路
    • 1、遇到问题
    • 2、巧计破环
      • 2.1 破环良策之一――DN-bit
      • 2.2 破环良策之二――VPN Route Tag
  • 三、破环虽好,偶有误伤
    • 1、案例
      • 1.1 组网需求
      • 1.2 场景描述
    • 2、关键配置
      • 2.1 故障现象
    • 3、 根因分析
    • 4、解决方法

问鼎OSPF目录

1、问鼎OSPF(1)-互联Route群雄争,OSPF 出横空
2、问鼎OSPF(2)-初涉路由显神通,治军四方拥
3、问鼎OSPF(3)-完善机制沐邻里,帅将兵民如父兄
4、问鼎OSPF(4)-连绵网络拔地起,划区而治应运生
5、问鼎OSPF(5)-内外疾行烽火令,锦绣山河尽囊中
6、问鼎OSPF(6)-因地巧施张良计,宏图霸业指日统

少年英俊潇洒,仗剑天涯,
结豪侠逍遥江湖,朝生暮醉。
又谁忆起,寒楼高阁红影,夜夜垂泪?
弹指红颜老,郎君可期?
转瞬已白首,伊人何在?
一世风光荣华,到头来,却羡鸳鸯,不羡仙。

富丽堂皇逍遥宫,佳肴琼浆美人伴,左右少帅掉进了红粉窟。
那一日,他们一路追随青丘族长,到了边疆塞外,便被一群人请到了这里。
想那时候那个人见到生人都会羞的躲在师父的背后,现如今却变成这样了么?
舞娘慢慢从大殿中央退下,施施然的从偏殿走出了一众人,中间簇拥着一个面蒙轻纱,美眸慑人心魄,身披华贵貂绒外衣,姿段曼妙的佳人。
“是你?!”欧少诧异不已。
“呵呵,可不是我么?当日路由圣山一别,今日再见,我当称呼你是大战RIP的白衣少年,OSPF,还是图得万里江山的左少帅,欧少帅呢?”佳人声若魔音,柔媚不已。
“当日,便知姑娘必是位贵人,原来不知竟是这样的人物,”欧少恢复以往的泰然自若,“啊不,称呼统管四方私网通信的VPN为姑娘,真是大不敬,还望宫主赎罪。”
“呵呵,真是一如既往的伶牙俐齿。免你大不敬之罪,而且,”VPN那双美眸还挑衅似地像他眨了眨,“不许你叫我宫主,叫我V姑娘。”
“呃,那么……V姑娘,”欧少还了身旁仍在云里雾里的华少一个歉意的眼神,然后道“你叫你的族人找我所为何事呢?”
“愿与我联手么?不过VPN网络可不是那么简单的哦。”
欧少早已了然于胸,遂笑道:“V姑娘可是担心OSPF应用于VPN场景下的环路问题?这我早已有计议。”
路由破环显神威
在上一期问鼎OSPF中,我们介绍了OSPF特殊区域的设立,以及这些特殊区域中可以使用的LSA。从前几期的介绍中,我们知道,OSPF拥有一个最为人津津乐道的能力,就是能够计算出无环的路由。不管是区域内的路由(Intra-Area Route)还是区域间(Inter-Area Route)路由,在OSPF设计之初就考虑到路由环路的问题,所以OSPF各种区域在处理Type1、Type2、Type3、Type4、Type5和Type7 LSA时,能够确保路由无环。

当然,在OSPF多实例场景中,也存在一套避免路由环路的方法,也就是OSPF所说的计议。介绍之前,我们先了解两个概念。

一、OSPF多实例

1、多实例

BGP/MPLS IP VPN场景中PE和CE之间需要进行路由传递,就要得到各路由协议的支持。由于传统路由器只有一张路由表,为了不影响原来的路由信息,各路由协议必须扩展其功能才能在BGP/MPLS IP VPN场景中使用。

OSPF对其自身协议进行扩展,创立OSPF VPN多实例。支持在BGP/MPLS IP VPN场景的PE和CE之间运行,进行路由的学习和发布。在多实例场景中,路由器上会存在多个独立的路由表,之间的路由信息相互隔离。

2、Domain ID

我们知道,BGP/MPLS IP VPN本质是通过MPLS骨干网,将本端PE与CE之间的路由传递到对端PE。这个传递过程不再详细描述,有兴趣的小伙伴可以去搜索第一期华为悦读汇有关BGP/MPLS IP VPN的介绍。这里值得指出的是,PE之间是通过MP-BGP协议传递的路由信息。那这又跟我们这里OSPF多实例有什么关系呢?

从多实例的定义中,PE和CE之间运行路由协议,相互学习路由。其实这里可以使用的路由协议有很多,诸如静态路由、RIP、OSPF、BGP等协议。在OSPF多实例场景中,PE将OSPF路由引入BGP,从而传递到对端PE;当然,对端PE发过来的BGP路由,也会引入OSPF中。这样,在两端的PE设备上,分别存在一个OSPF区域,Domain ID则用于区分这两个区域是否属于同一个OSPF域。如果属于同一个OSPF域,PE则把BGP传来的远端路由通过Type3 OSPF路由发布给CE,否则发布Type5或Type7的OSPF路由。

这里插播一下: PE和CE之间运行路由协议虽然有很多,但是最常用的还是EGBP。那么为什么还要有OSPF VPN多实例呢?也许是因为其他路由协议都支持了,OSPF不能不支持的心理在作祟;也许是网络发展进程中,PE和CE已经习惯使用OSPF了吧。对这一点感兴趣的小伙伴不妨跟帖回复你认为的原因,可能有意想不到的惊喜哟!

二、巧破OSPF多实例路由环路

在这里插入图片描述
上图是典型的OSPF多实例组网,从前面的原理我们知道,PE1通过BGP从PE2收到关于CE2的OSPF路由,将这些路由的产生者的地址修改成自己,然后发布相关的Type3、Type5或Type7的OSPF路由给CE1。CE1再向其他区域发布这些路由时,会将PE1作为ASBR,这样就能实现跨越MPLS骨干网的两个私网之间进行路由互通了。

1、遇到问题

路由协议最怕的就是产生路由环路。不过OSPF天赋异禀,为保证区域间传递的路由不会产生环路而制定了规则:

  • 1、所有的非0区域必须与骨干区域直接相连,区域间路由需经由骨干区域中转。
  • 2、 使用SPF算法。

在实践中,OSPF的确达到了无环的目的。以至于一提到OSPF,就会提到OSPF能够计算出无环的路由。

但是,自从加入了OSPF多实例功能之后,由于BGP/MPLS IP VPN网络改变了原有的拓扑结构,使得第一条规则不再有效。而且在跨越了MPLS/IP骨干网之后一般都是Type3、Type5或Type7类型的OSPF路由,这三种LSA实际上在OSPF计算产生路由的时候和距离矢量算法很接近,在某些场景中很有可能产生路由环路。比如下图所示的场景:
在这里插入图片描述
PE1上OSPF引入了目的地址为10.1.1.0/24的BGP路由,产生5类或7类LSA发布给CE1,CE1上学到一条目的地址为10.1.1.0/24,下一跳为PE1的OSPF路由,并发布给PE2,这样PE2上就学到一条目的地址为10.1.1.0/24,下一跳为CE1的OSPF路由。

同理,CE1上也会学到一条目的地址为10.1.1.0/24,下一跳为PE2的OSPF路由,PE1上学到一条目的地址为10.1.1.0/24,下一跳为CE1的OSPF路由。

此时,CE1上存在两条等价路由,分别指向PE1和PE2,而PE1和PE2上到10.1.1.0/24的下一跳也都指向CE1,环路就产生了。

2、巧计破环

既然产生了环路,总要有个破环方法。要知道,OSPF多实例场景中,PE将路由发送给CE时,使用的是Type3、Type5或Type7类型的OSPF路由。那我们就分别针对这三类路由指定破环之策。

2.1 破环良策之一――DN-bit

PE在生成Type3、Type5或Type7 LSA发布给CE时,都将DN位置位(值为1),其他类型LSA的DN位不置位(值为0)。

PE的OSPF多实例进程在进行计算时,忽略DN置位的LSA。这样就防止了PE又从CE学到发出的LSA而引起的环路。

2.2 破环良策之二――VPN Route Tag

VPN路由标记(VPN Route Tag),PE根据收到的BGP的私网路由产生的Type5或Type7类型LSA中必须包含这个参数。

当PE发现LSA的VPN路由标记(LSA的Tag值)和自己的一样,就会忽略这条LSA,因此避免了环路。

至此,CE双归属场景下的路由环路的问题消失的无影无踪。

三、破环虽好,偶有误伤

虽然OSPF多实例场景下路由破环获得奇效。不过,待看完下面这个案例,你又有什么样的想法呢?

1、案例

在这里插入图片描述

1.1 组网需求

如上图所示,某公司需要通过MPLS VPN实现总部和分支间的互通,同时需要通过VPN隔离多种不同的业务。为节省开支,希望分支通过一台MCE设备接入PE(此处仅以其中一个vpna为例说明问题)。

1.2 场景描述

1、PE1和PE2是MPLS VPN骨干网。CE1和MCE同属于vpna,通过骨干网进行私网互通。
2、PE1和CE1通过OSPF交互私网路由。
3、PE2和MCE通过OSPF多实例交互私网路由。
4、在PE的OSPF视图下引入BGP路由,发布PE的私网路由给CE或者MCE;在PE的BGP视图下引入该OSPF进程,发布私网路由信息给对端PE。

2、关键配置

在这里插入图片描述
在这里插入图片描述

2.1 故障现象

按照上述配置完成以后发现MCE侧学习不到对端的私网路由,但是存在OSPF的LSDB。

1、MCE侧的VPN实例里面学习不到CE侧的10.1.1.0/24网段的私网路由。
在这里插入图片描述
2、CE1上能正常学习到MCE侧10.2.1.0/24网段的私网路由。
在这里插入图片描述
3、MCE的OSPF LSDB信息中存在External类型的10.1.1.0网段路由。
在这里插入图片描述

3、 根因分析

由于防环检测机制的存在,所以我们在PE经常会发现存在LSA但路由计算不出来。

特别是在PE和MCE对接的场景下,PE在生成Type3、Type5或Type7 LSA发布给MCE时,都将DN位置位(值为1),其他类型LSA的DN位不置位(值为0)。MCE的OSPF多实例进程在进行计算时,忽略DN置位的LSA。所以就会出现OSPF邻居状态是Full的,也存在LSDB,但是无法计算出路由的现象。

验证一下,检查MCE上这条LSA是否存在DN-Bit。
在这里插入图片描述
“E DN”表示LSA带DN-Bit,正常时候显示“(DC)”。可以确认是由于OSPF的防环机制,导致这个LSA设置DN-Bit标志位,从而导致这条LSA不会参与到路由计算中,所以最终MCE侧学习不到CE侧的10.1.1.0网段的路由。

4、解决方法

由于MCE设备并不是PE设备,所以可以不检查DN-Bit而直接计算出所有OSPF路由。

在MCE的OSPF视图下输入vpn-instance-capability simple即可禁止路由环路检测。
查看MCE上,学习到了CE侧的10.1.1.0网段的路由了。
在这里插入图片描述
需要注意的是,这个命令只建议配置在MCE设备上,因为配置这个命令后OSPF将不再能够引入IBGP路由(import from IBGP)。
扬威塞外一白衣,昔日少年耀九天
信马由缰自驰骋,北野茫茫青草天。
“啊!!!!”停缰勒马,仰天长啸。
华少听了那一人的长啸,又似看到了这多年的颠沛流离,这多年的南征北战,这多年少帅军的窘境,都随着这一声长啸,这多年的沉郁都一扫而空。
“啊!!!!”他也跟着放空大啸。
两个疯疯癫癫的人,路过的人都这么认为。管这两个人干什么,新帝登基,去凑凑热闹去。
“发泄好了么,欧少?都等着你呢。”大啸过后,华少脸含笑意。
“这,华少,要不你来当这皇帝好不好,我怕我做不来。”平日风轻云淡的一个人,现在竟然打起了退堂鼓。
“哈哈哈哈,你这说的什么话?我管设备,你管路由,怎么能乱了套呢?你啊,就别矫情了,快些走吧。”
“那……走吧。”
北青丘,白岐宫外。
路由领域登新帝,四方群豪竞相来。
如果有人好奇为什么在这边疆塞外办这么隆重的事儿,那就去问问那柔音媚骨,神秘莫测的女宫主吧。
卯时三刻到,钟鼎齐和鸣。
新帝到。
白衣飘飘,风度翩翩,气象雍容万千。
过广场,平民尽皆跪拜。
上大殿,宾客离席站起。
路由各诸侯垂首微拜。新帝颔首,回礼。
当然,独独缺了RIP不在。
互联网其他众协议再拜首。新帝亦颔首,回礼。
少帅军右少帅拜首。新帝颔首,回礼。
啊,那个整天围着白袍小将的绿衣姑娘也在。
新帝上师微拜首,含笑不语。新帝颔首,回礼。
师父也来了?咦?他旁边的人?莫非是?!那么师妹也来了么?
礼毕。授册印。
老祖端站殿上,朗声宣读,新帝聆听:“阿帕自立三十载,路由各方展宏图。后有白衣一少年,群英会上破空出。先辅网管,助大业成。再联S,立少帅军,统万里江山。今修得正果,特封OSPF成帝,苍天鉴!”
新帝接册印,礼成。
“呵呵呵,也不算太晚,路由新帝登基,我这个宫主怎能不来拜贺呢?”摄人美眸藏轻纱,衣着锦缎尽奢华。
“新帝,你难道不好奇我长什么样子么?”宫主秋波若含春风,众人皆醉,“其实,这轻纱可以摘得。只不过,我曾许过诺,我这轻纱只为倾心之人而揭。你要我揭开吗?”
揭得?揭不得?新帝脑立两小人,来回厮杀,挣扎不已。
“哈哈哈,由不得你了,我看上的人儿,怎能逃出我的手掌心呢?”
轻纱缓缓揭起。
五殿琉璃尽失色,九天玄女妒红尘。
本文章转载,原文章为华为企业互动社区的叫交换机在江湖博主的文章,原文章链接:
https://forum.huawei.com/enterprise/zh/thread/580890984399650816
文章转载,侵权必删

这篇关于问鼎OSPF(7)-联手VPN智破环,塞外扬威俱相荣的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/266470

相关文章

H3C SR-MPLS通过OSPF通告SID配置

首先在配置前理解几个基本概念 Prefix SID配置 统一分配和配置(全局规划)loopback和prefix sidPrefix SID=SRGB Base(16000)+index Adj SID自动生成 对应SR节点间的互联链路SR节点本地标识,从设备本地Segment池中动态分配设备会为其IGP中的链路自动分配Adj SID,并通过IGP进行广播 IGP SID的分发与传递

代理服务器介绍,正向代理(校园网,vpn,http隧道技术),反向代理(公司服务器,frp服务),NAT和代理服务器的相同/不同点

目录 代理服务器 介绍 类型  正向代理 引入 介绍  vpn http隧道技术 反向代理 引入 隧道技术 介绍 frp服务 NAT和代理服务器 相同点 不同点 NAT 代理服务器 代理服务器 介绍 一种中间服务器,充当客户端(如个人计算机或移动设备)与目标服务器(如网站服务器)之间的中介 它接受客户端的请求,然后将这些请求转发给目标服务器,再把

《Cloud Native Data Center Networking》(云原生数据中心网络设计)读书笔记 -- 09部署OSPF

本章的目的是帮助网络工程师确定网络的理想 OSPF 配置。本章将回答以下问题 应何时在数据中使用OSPF ?配置 OSPF 的关键设计原则是什么?OSPFv2 和 OSPFv3 之间有什么区别,应如何使用?如何在路由协议栈中配置 OSPF ?如何在服务器上配置 OSPF,例如为容器提供路由环境?如何使用 OSPF 来协助升级路由器软件? OSPF是最流行的IGP 目前针对IPv4协议使用

搭建IPsec VPN隧道解决PLC设备与主控上位机无法使用公网IP进行通信的问题

问题描述 按照初设规定,每个工程点位都要安装一条具有独立公网IP的光纤专线,供该点位的视频监控设备、水质监测设备及PLC设备与外界进行通信。而在项目开发前期并没有意识到,组态软件(上位机)无法通过公网IP地址连接PLC,导致在交付后期PLC设备无法与主控进行通信。 后经过了解得知可以在控制室网络与各PLC所属网络之间搭建VPN隧道,使得两个网络之间可以像局域网那样相互访问。 VPN技术 V

MPLS VPN的配置

VPN(Virtual Private Network,虚拟专用网络)指的是在一个公共网络中实现虚拟的专用网络,从而使得用户能够基于该专用网络实现通信的技术 MPLS VPN不是单一的一种VPN技术,是多种技术结合的综合解决方案,主要包含下列技术: MP-BGP:负责在PE与PE之间传递站点内的路由信息。 LDP:负责PE与PE之间的隧道建立 VRF:负责PE的VPN用户管理。 静态路由、I

通过Dot1q终结子接口实现VPN接入

通过Dot1q终结子接口实现VPN接入 通过Dot1q终结子接口接入PWE3/VLL/VPLS 如图1所示,某企业不同分支跨运营商的PWE3/VLL/VPLS网络互联,PE作为运营商的边缘设备,通过子接口接入各分支网络,CE发往PE的业务数据报文携带一层或两层VLAN Tag。不同分支用户要求互通。 图1 Dot1q终结子接口接入PWE3/VLL/VPLS示意图 在PE1和PE2的

IPsec VPN 主备链路备份及流统

华为防火墙,主备链路备份cd 出口: 7.7.7.48.8.8.8bj 出口 6.6.6.2546.0 to 7.0```baship-link check enableip-link name TO-bjdestination 6.6.6.254 interface GigabitEthernet 0/0/1 next-hop 7.7.7.1quitip route-static

HoloLens再添一应用领域!Microsoft和Trimble联手开启设施管理新篇章!

随着虚拟现实(VR)领域的发展,电子游戏只会成为该行业的一小部分,而商业,教育和行业有关的应用程序占VR、AR(增强现实)、MR(混合现实)应用程序的比重会大得多。因此,HoloLens即将在财产和设施管理方面大展身手。 HoloLens是构成Microsoft和Trimble之间试点项目的一部分,这使得企业房地产所有者和设施管理人员能够尝试新技术,并了解如何在维护工作流的可视化功能与

OSPF路由配置--控制选路

目录 不熟悉和理解OSPF动态协议的可以回顾OSPF详解,OSPF相关的实验都不再做过多的解释 一. 实验拓扑: 二. 实验配置: R1: R2: R3: R4: R1: 不熟悉和理解OSPF动态协议的可以回顾OSPF详解,OSPF相关的实验都不再做过多的解释 OSPF路由原理详解与关键点https://blog.csdn.net/2301_77362941/ar

73 OSPF图解LSA(华三)

71 OSPF多区域实验(华三)-CSDN博客文章浏览阅读166次,点赞8次,收藏3次。实操https://blog.csdn.net/qq_56248592/article/details/141563010?spm=1001.2014.3001.5501 一  基础配置省略 上次的原图基础上扩展