偶看新闻郑州市铁路公安局:三层交换机的OSPF简介
来源:百度文库 编辑:偶看新闻 时间:2024/05/03 03:42:47
三层交换机的OSPF简介
OSPF是Open Shortest Path First(开放最短路径优先协议)的缩写。它是IETF组织开发的一个基于L-S(Link-State,链路状态)的自治系统内部路由协议。其特性如下:
l 适应范围广——支持各种规模的网络,最多可支持几百台路由器。
l 收敛快速——在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步。
l 无自环——OSPF根据收集到的链路状态用最短路径树算法计算路由,从算法本身保证了不会生成自环路由。
l 区域划分管理——允许自治系统的网络被划分成区域来管理,区域间传送的路由信息被进一步抽象,从而减少了占用的网络带宽。
l 路由分级——使用4类不同等级的路由,按优先顺序来说分别是:区域内路由、区域间路由、第一类外部路由、第二类外部路由。
l 支持验证——支持基于接口的报文验证以保证路由计算的安全性。
l 可以多播发送——在有多播发送能力的链路层上以多播地址收发报文,既达到了广播的作用,又最大程度地减少了对其它网络设备的干扰。
从OSPF的观点看,整个网络由多个自治系统(AS)组成,它们之间通过收集和传递自治系统链路状态来动态地发现并传播路由达到自治系统的信息同步。每个自治系统又可划分为不同的区域(Area)。如果一个路由器端口被分配到多个区域内中,这个路由器就被称为区域边界路由器(简称为ABR),它是那些处在区域边缘的连接了多个区域的路由器。所有区域边界路由器和位于它们之间的路由器构成骨干区域(Backbone Area),该区域以0.0.0.0标识。由于所有区域都必须与骨干区域在逻辑上保持连接,特别引入了虚连接的概念,使那些物理上分割的区域仍可保持逻辑上的连通性。连接自治系统的路由器称为自治系统边界路由器(简称为ASBR)。
OSPF协议路由的计算过程可简单描述如下:
(1) 每个支持OSPF协议的路由器都维护着一份描述整个自治系统拓扑结构的链路状态数据库(简称为LSDB)。每台路由器根据自己周围的网络拓扑结构生成一条链路状态广播(简称为LSA),通过相互之间发送协议报文将这条LSA发送给网络中其它路由器。这样每台路由器都收到了其它路由器的LSA,所有的LSA放在一起便组成了链路状态数据库。
(2) 由于一条LSA是对一台路由器周围网络拓扑结构的描述,那么LSDB则是对整个网络的拓扑结构的描述。路由器很容易将LSDB转换成一张带权的有向图,这张图便是对整个网络拓扑结构的真实反映。
(3) 每台路由器都使用SPF算法计算出一棵以自己为根的最短路径树,这棵树给出了到自治系统中各节点的路由,外部路由信息为叶子节点,外部路由可由广播它的路由器进行标记以记录关于自治系统的额外信息。显然,各个路由器各自得到的路由表是不同的。
此外,为使每台路由器能将本地状态信息(如可用接口信息、可达邻居信息等)广播到整个自治系统中,在路由器之间要建立多个邻居关系,这使得任何一台路由器的路由变化都会导致多次传递,既没有必要,也浪费了宝贵的带宽资源。为解决这一问题,OSPF协议定义了“指定路由器”(DR),所有路由器都只将信息发送给DR,由DR将网络链路状态广播出去,两台不是DR的路由器(称为DR Other)之间将不再建立邻居关系,也不再交换任何路由信息——这样就减少了多址访问的网络上各路由器之间邻居关系的数量。
OSPF协议支持IP子网和外部路由信息的标记接收;它支持基于接口的报文验证以保证路由计算的安全性;并使用IP多播方式发送和接收报文。
S3500系列以太网交换机上所实现的OSPF软件遵循RFC2328所描述的协议文本,有下面列出的一些主要特色:
l 支持STUB区域:定义了STUB区域以节省该区域内以太网交换机接收ASE路由时的开销。
l 可以和其它动态路由协议共享所发现的路由信息:在现阶段,支持将RIP等动态路由协议和静态路由作为OSPF的外部路由接收到以太网交换机所属的自治系统中去,或将OSPF自身发现的路由信息发布到其它路由协议中去。
l 授权验证字:OSPF在相邻以太网交换机之间可以选择明文验证字和MD5加密验证字两种报文进行合法性验证。
l 以太网交换机VLAN接口参数的灵活配置:在以太网交换机的VLAN接口上,可以配置OSPF的参数包括:输出花费、Hello报文发送间隔、重传间隔、VLAN接口传输时延、路由优先级、相邻以太网交换机“死亡”时间和报文验证字等。
l 虚连接:支持创建与配置虚连接。
l 丰富的调试信息:提供了丰富的调试信息帮助用户诊断故障。
l S3500系列以太网交换机适用于以太网(请用户不要改变它的网络类型)。
4.2 OSPF的配置
4.2.1 OSPF配置任务列表
OSPF的配置需要在各以太网交换机(包括区域内以太网交换机、区域边界以太网交换机和自治系统边界以太网交换机等)之间相互协作。在未作任何配置的情况下,以太网交换机的各参数将使用缺省值。此时,发送和接收报文都毋须进行验证,接口也不属于任何一个自治系统的分区。在改变缺省参数的过程中,必须保证各以太网交换机之间的配置是一致的。
在各项配置任务中,必须先启动OSPF、指定接口与区域号后,才能配置其它的功能特性。而配置与接口相关的功能特性不受OSPF是否使能的限制。需要注意的是:在关闭OSPF后,原来的配置的接口参数将失效。
OSPF的主要配置任务列表如下:
l 指定以太网交换机的ID号
l 启动OSPF
l 指定VLAN接口所在的区域
l 设置VLAN接口网络类型
l 设置VLAN接口发送报文的开销
l 设置在选举DR时的优先级
l 设置发送Hello报文的时间间隔
l 设置邻居以太网交换机的失效时间
l 设置重传LSA的间隔
l 设置LSA的传输延时时间
l 设置OSPF的STUB区域
l 配置OSPF区域路由聚合
l 创建与配置虚连接
l 配置OSPF区域支持报文验证
l 配置OSPF报文的验证
l 引入其它协议的路由
l 配置OSPF引入外部路由的参数
l 配置OSPF接收缺省路由
l 设置OSPF协议的优先级
l 配置OSPF路由过滤
4.2.2 指定以太网交换机的ID号
以太网交换机的ID号是一个32比特的无符号整数,为点分十进制格式,它是以太网交换机在自治系统中的唯一标识,用户可以通过下面的命令来指定以太网交换机ID号。如果用户没有指定以太网交换机ID号,交换机会自动从已配置的VLAN接口的IP地址中选一个作为本机的ID号。在手工设置以太网交换机的ID号时,必须保证自治系统中任意两台以太网交换机的ID号都不相同。通常的做法是将以太网交换机的ID号设置为与该以太网交换机某个VLAN接口的IP地址一致。
请在全局配置模式下进行下列配置。
表4-1 指定以太网交换机的ID号
操作
命令
指定以太网交换机的ID号
router id router-id
删除以太网交换机的ID号
no router id
& 说明:
指定的以太网交换机ID号要在OSPF重启之后才能生效。
4.2.3 启动OSPF协议
请在全局配置模式下进行下列配置。
表4-2 启动OSPF协议
操作
命令
启动OSPF协议,进入OSPF路由协议配置模式。
router ospf
关闭OSPF协议
no router ospf
缺省情况下,系统不运行OSPF协议。
4.2.4 指定VLAN接口所在的区域
OSPF协议将自治系统进一步划分成不同的区域(Area),区域是在逻辑上将以太网交换机划分为不同的组。一些以太网交换机会属于不同的区域(这样的以太网交换机称作区域边界以太网交换机ABR),但一个网段只能属于一个区域,或者说每个运行OSPF的VLAN接口必须指明其所属的特定区域。区域用区域号area-id(一个32比特的标识符)来标识。为使OSPF正常工作,属于一个特定区域所有以太网交换机端口的area-id必须一致。不同区域间可通过ABR来传递路由信息。
另外,在同一区域内的所有以太网交换机各项参数的配置应该保持一致。因此,在配置同一区域内的以太网交换机时,应该注意大多数配置数据都应该以区域为基础来统一考虑,错误的配置可能会导致相邻以太网交换机之间无法相互传递信息,甚至导致路由信息的阻塞或者自环。
因此,OSPF任务启动后,必须指定在特定VLAN接口上运行OSPF协议,并指定VLAN接口所在的区域。
请在OSPF协议配置模式下进行下列配置。
表4-3 指定VLAN接口所在的区域
操作
命令
指定VLAN接口所在的区域
network address wildcard-mask area area-id
取消VLAN接口运行OSPF协议
no network address wildcard-mask area area-id
缺省情况下,未指定VLAN接口所属的区域。
4.2.5 设置VLAN接口网络类型
OSPF协议计算路由是以本以太网交换机邻居网络的拓扑结构为基础的。每台以太网交换机将自己邻居的网络拓扑描述出来,传递给所有其它的以太网交换机。
由于S3500系列以太网交换机的链路层协议是以太网,所以OSPF认为网络类型是broadcast。一般情况下,请不要改变它的网络类型。
请在VLAN接口配置模式下进行下列配置。
表4-4 设置VLAN接口网络类型
操作
命令
设置VLAN接口网络类型
ip ospf network { non-broadcast | broadcast | point-to-multipoint | point-to-point }
删除指定的接口网络类型
no ip ospf network
当接口被设置为新的网络类型后,原接口网络类型将自动取消。
4.2.6 设置VLAN接口发送报文的开销
用户可设置VLAN接口发送报文的开销,否则OSPF会根据当前VLAN接口的波特率自动计算发送报文的开销。
请在VLAN接口配置模式下进行下列配置。
表4-5 设置VLAN接口发送报文的开销
操作
命令
设置VLAN接口发送报文的开销
ip ospf cost cost
将VLAN接口发送报文的开销恢复为缺省值
no ip ospf cost
缺省情况下,VLAN接口发送报文的开销将根据接口波特率来自动计算:
当接口波特率小于2000bit/s时,
接口发送报文的缺省开销为:100000000/64000 = 1562;
当接口波特率大于100000000bit/s时,
接口发送报文的缺省开销为:100000000/100000000 = 1;
在其他情况下,缺省开销为:100000000/接口的波特率。
4.2.7 设置VLAN接口在选举DR时的优先级
以太网交换机VLAN接口的优先级决定了该VLAN接口在选举“指定路由器”时所具有的资格,优先级高的VLAN接口在选举权发生冲突时被首先考虑。
指定路由器(Designated Router)不是人为指定的,而是由本网段中所有的以太网交换机共同选举出来的。本网段内所有priority大于0的以太网交换机都可以成为“侯选人”。在所有“自称”为DR的以太网交换机中,选取优先级值最大的当选本网段的DR;选票就是Hello报文,每台以太网交换机将自己选出的DR写入Hello报文后,发给网段上的每台以太网交换机。当位于同一网段的两台以太网交换机同时自称自己是“指定路由器”(DR)时,就选择优先级值较大的作为本网段的DR;若优先级值也相同,则选择Router ID大的以太网交换机将作为本网段的DR。
若DR因某种故障而失效,必须重新选举DR,但这需要较长的时间,在这段时间内,路由的计算是不正确的。为了缩短这个过程,OSPF提出了备份指定路由器(Backup Designated Router)的概念。也就是说:BDR实际上是DR的一个备份。在选举DR的同时也选举出BDR,BDR也和本网段内的所有以太网交换机建立邻居关系并交换路由信息。当DR失效后,BDR会立即成为DR,由于不需要重新选举,并且邻居关系也事先已建立,所以这个过程是非常短暂的。当然这时还需再重新选举出一个新的BDR,虽然一样需要较长的时间,但已不会影响到路由的计算。
人们一般习惯将既不是DR、也不是BDR的以太网交换机统统称为DR Other。
需要注意的是:
l 网段中的DR并不一定就是priority值最大的那台以太网交换机;同样,BDR也并不一定就是priority第二大的以太网交换机。若一台以太网交换机未与其它以太网交换机建立邻居关系,即使它的priority值是最大的,也不会成为该网段中的DR。
l DR是针对某个网段中的以太网交换机VLAN接口而言的。所以该以太网交换机在一个VLAN接口上可能是DR,在另一个VLAN接口上可能是BDR,或者是DR Other。
l 只有在VLAN接口类型为广播(如以太网)与NBMA(Non-Broadcast Multi-Access,是指非广播、多点可达的网络,比较典型的有X.25、HDLC和帧中继)时才会选举DR,在点到点或者是点到多点类型的接口上,是不需要选举DR的。由于VLAN接口必然为以太网接口,所以必然要发生DR的选举。
请在VLAN接口配置模式下进行下列配置。
表4-6 设置VLAN接口在选举DR时的优先级
操作
命令
设置VLAN接口在选举“DR”时的优先级
ip ospf priority value
将VLAN接口在选举“DR”的优先级恢复为缺省值
no ip ospf priority
缺省情况下,VLAN接口在选举DR时的优先级为1,取值范围为0~255。
4.2.8 设置Hello报文发送时间间隔
Hello报文是最常用的一种报文,它被周期性地发送至邻居以太网交换机,用于发现与维持邻居关系、选举DR与BDR。用户可对发送Hello报文的时间间隔Hello-interval的值进行设置。Hello-interval值越小,网络的变化将被越快地发现,但将花费更多的网络传输。同一网段的以太网交换机Hello-interval的值必须相同。
当一台以太网交换机刚启动后,它只向优先级大于0(那些有可能被选举为DR、BDR的以太网交换机)的邻居点发送Hello报文。当网段中的DR和BDR被选举出来后,再由DR和BDR向所有的邻居发送Hello报文建立邻居关系。
请在VLAN接口配置模式下进行下列配置。
表4-7 设置Hello报文发送时间间隔
操作
命令
设置VLAN接口发送Hello报文的时间间隔
ip ospf hello-interval seconds
将VLAN接口发送Hello报文的时间间隔恢复为缺省值
no ip ospf hello-interval
缺省情况下,VLAN接口发送Hello报文的时间间隔为10秒; 取值范围为1~255秒。
4.2.9 设置邻居以太网交换机的失效时间
邻居以太网交换机的失效时间是指:在该时间间隔内,若未收到邻居以太网交换机的Hello报文,就认为该邻居以太网交换机已失效。用户可设置邻居以太网交换机的失效时间Dead-interval。Dead-interval值至少应为Hello-interval值的4倍。同一网段上的以太网交换机的Dead-interval也必须相同。
请在VLAN接口配置模式下进行下列配置。
表4-8 设置邻居以太网交换机间失效时间
操作
命令
设置邻居以太网交换机的失效时间
ip ospf dead-interval seconds
将邻居以太网交换机的失效时间恢复为缺省值
no ip ospf dead-interval
缺省情况下,VLAN接口相邻以太网交换机间失效时间为40秒;取值范围为1~65535秒。
4.2.10 设置重传LSA的时间间隔
当一台以太网交换机向它的邻居发送一条链路状态广播(LSA)后,需要等待对方的确认报文。若在该重传LSA时间间隔内未收到对方的确认报文,就会重传这条LSA。用户可设置重传LSA的时间间隔。
请在VLAN接口配置模式下进行下列配置。
表4-9 设置重传LSA的时间间隔
操作
命令
设置重传LSA的时间间隔
ip ospf retransmit-interval seconds
将重传LSA的时间间隔恢复为缺省值
no ip ospf retransmit-interval
缺省情况下,重传LSA的时间间隔为5秒,取值范围为1~65535秒。
4.2.11 设置LSA的传输延迟时间
LSA在本以太网交换机的链路状态数据库LSDB中会随时间老化(Aging每秒钟减1),但在网络的传输过程中却不会,所以有必要在发送之前将LSA增加一段时间(通常增加Transmit-delay秒)。该项设置在低速网络中很重要。一般说来,以太网的传输速率很高;但在网络环境恶劣、数据流拥挤的情况下,也有必要设置该项。
请在VLAN接口配置模式下进行下列配置。
表4-10 设置LSA的传输延迟时间
操作
命令
设置LSA的传输延迟时间
ip ospf transmit-delay seconds
将LSA的传输延迟时间恢复为缺省值
no ip ospf transmit-delay
缺省情况下,LSA的传输延迟时间为1秒,取值范围为1~65535秒。
4.2.12 设置OSPF的STUB区域
“STUB区域”是指那些不传播接收到的外部LSA的区域。在这些区域中,路由表的规模以及路由信息的传递数量会大大减小。为保证到自治系统外的路由依旧可达,该区域的ABR将向区域内生成一条缺省路由(0.0.0.0)。
STUB区域是一种可选的配置属性,但并不是每个区域都符合配置的条件。通常STUB区域位于自治系统边界,是那些只有一个ABR的非骨干区域;或者该区域虽然有多个ABR,但这些ABR之间没有配置虚连接。
配置STUB区域时需要注意以下几点:
l 骨干区域不能被配置成STUB区域,虚连接也不能穿过STUB区域。
l 若想将一个区域配置为STUB区域,则该区域中的所有以太网交换机必须都要配置该属性。
l STUB区域内不能存在自治系统边界以太网交换机ASBR,即自治系统外部的路由不能被接收到该区域内。
请在OSPF协议配置模式下进行下列配置。
表4-11 设置OSPF的STUB区域
操作
命令
将一个区域设置为STUB区域
area area-id stub [ no-summary ]
取消所设置的STUB区域
no area area-id stub
指定发送到STUB区域缺省路由的开销
area area-id default-cost cost
取消对发送到STUB区域缺省路由开销的指定
no area area-id default-cost
缺省情况下,不配置STUB区域;发送到STUB区域缺省路由的开销为1。
关于STUB区域配置的命令有两条:area stub和area default-cost,所有连接到STUB区域的以太网交换机,必须使用area stub命令将该区域配置成STUB属性。area default-cost则只用在连接在该STUB区域的边界以太网交换机ABR上,该命令配置区域边界以太网交换机发送到STUB区域的缺省路由的开销。
为了进一步减少发送到STUB区域中的LSA的数量,可配置no-summary选项来禁止ABR向STUB区域内发送聚合的LSAs。
4.2.13 配置OSPF区域路由聚合
路由聚合是指:当路由信息在ABR中进行处理时,对于一个配置了路由聚合的网段,将只有一条路由被发送到其它区域中。一个区域可多次配置路由聚合。也就是说:OSPF可对区域间路由进行多次聚合。ABR向其它区域发送路由信息时,以网段为单位生成Sum_net_LSA(Type 3 LSA)。若该区域中存在一些连续的网段,则可使用range命令将这些连续的网段聚合成一个网段。这样,ABR就只发送一条聚合后的LSA,所有由本命令指定的聚合网段范围内的LSA将不再会被单独发送出去,由此减少其它区域链路状态数据库LSDB的规模。
例如:一个区域内有如下两个网段:
l 202.38.160.0 255.255.255.0
l 202.38.180.0 255.255.255.0
将之聚合成一个网段:202.38.0.0 255.255.0.0。
一旦将某一网络的聚合网段加入到区域中,则该区域中所有落在这一聚合网段内的IP地址的内部路由都不再被独立地广播到别的区域,而只是广播整个聚合网段路由的摘要信息。若该网段范围用关键字notadvertise限定,则到这一网段路由的摘要信息将不会被广播出去。这个网段是由IP地址/掩码的方式说明的。接收聚合网段和对该网段的限定,可减少区域间路由信息的交流量。
请在OSPF协议配置模式下进行下列配置。
表4-12 配置OSFP区域路由聚合
操作
命令
配置OSFP区域路由聚合
area area-id range ip-address ip-mask [ advertise | notadvertise ]
取消OSPF区域路由聚合
no area area-idrange ip-address ip-mask
缺省情况下,不进行区域路由聚合。
& 说明:
路由聚合功能只有在ABR上配置才会生效。
4.2.14 创建和配置虚连接
OSPF划分区域之后,并非所有的区域都是平等的关系。其中有一个区域是与众不同的——它的区域号area-id是0.0.0.0,通常被称为骨干区域(Backbone Area)。非骨干区域之间的OSPF路由更新是通过骨干区域来交换完成的。OSPF协议规定:所有非骨干区域必须与骨干区域保持连通,即ABR上至少有一个端口应在区域0.0.0.0中。如果一个区域因网络拓扑结构的限制没有与骨干区域0.0.0.0形成直接的物理连接,就必须建立一个虚连接。
虚连接是指在两台ABR之间通过一个非骨干区域内部路由的区域而建立的一条逻辑上的连接通道。它的两端必须都是ABR,而且必须在两端同时配置方可生效。虚连接由对端以太网交换机的ID号来标识。为虚连接两端提供一条非骨干区域内部路由的区域称为转换区域(Transit Area),其区域号area-id也必须在配置时就指明。
虚连接在穿过转换区域的路由计算出来后被激活,相当于在两个端点之间形成了一个点到点的连接,因此,在这个连接上,和物理接口一样可以配置接口的各参数,如发送Hello报文的时间间隔等。
“逻辑通道”是指两台ABR之间的多台运行OSPF的以太网交换机只是起到一个转发报文的作用(由于协议报文的目的地址不是这些以太网交换机,所以这些报文对于他们是透明的,只是当作普通的IP报文来转发),两台ABR之间直接传递路由信息。这里的路由信息包含所有在骨干区域传播的LSA,区域内的以太网交换机同步方式没有因此改变。
需要注意的是:若自治系统被划分成一个以上的区域,则必须有一个区域是骨干区域,并且保证其它区域与骨干区域直接相连或逻辑上相连。骨干区域自身也必须是连通的。
请在OSPF协议配置模式下进行下列配置。
表4-13 创建和配置虚连接
操作
命令
创建并配置虚连接
area area-id virtua-link router-id[ hello-interval seconds ] [ retransmit-interval seconds ][ transmit-delay seconds ] [ dead-interval seconds] [ authentication-key key | message-digest-key keyid md5 key ]
删除创建的虚连接
no area area-id virtua-link router-id
缺省情况下,不创建虚连接;Hello-interval的缺省值为10秒;Retransmit-interval的缺省值为5秒;Transmit-delay的缺省值为1秒;Dead-interval的缺省值为40秒。
4.2.15 配置OSPF区域支持报文验证
一个区域中所有以太网交换机的验证类型必须一致(不支持验证、支持明文验证或支持MD5密文验证)。一个网段中所有以太网交换机的验证字口令也必须一致。用ip ospf authentication配置明文验证口令;用ip ospf message-digest-key md5配置MD5密文验证字口令。
请在OSPF协议配置模式下进行下列配置。
表4-14 配置OSPF区域支持报文验证
操作
命令
配置OSPF区域支持报文验证
area area-id authentication [ message-digest ]
取消OSPF区域对报文验证的支持
no area area-id authentication
缺省情况下,OSPF区域不支持报文验证。
4.2.16 配置OSPF报文的验证
OSPF支持在相邻以太网交换机之间进行明文验证或MD5密文验证。
当VLAN接口采用MD5密文验证时,要指定验证字标识符key-id,每个key-id唯一地标识当前使用的MD5算法及其使用的MD5验证字。后配置的验证字与key-id将覆盖已有的验证字与key-id。
请在VLAN接口配置模式下进行下列配置。
表4-15 配置OSPF报文的认证
操作
命令
设置进行OSPF报文的明文验证
ip ospf authentication-key password
将已设置的OSPF报文的明文验证取消
no ip ospf authentication-key
设置进行OSPF报文的MD5密文验证
ip ospf message-digest-key key-id md5 key
将已设置的OSPF报文的MD5密文验证取消
no ip ospf message-digest-key
缺省情况下,VLAN接口将不对OSPF报文进行验证。
4.2.17 引入其它协议的路由
各动态路由协议之间可以互相共享路由信息。对OSPF而言,其它的路由协议发现的路由总被当作自治系统外部的路由来处理。在引入其它协议路由时,还可指定引入路由的缺省花费、引入路由的类型、引入外部路由的时间间隔、引入外部路由的缺省标记以及引入外部路由的缺省上限等参数(详细的命令请用户参见本章中“配置OSPF接收外部路由的参数”一节)。
OSPF可使用4类不同的路由,按其优先顺序来说分别是:
l 区域内路由
l 区域间路由
l 第一类外部路由(Type 1)
l 第二类外部路由(Type 2)
区域内路由描述的是自治系统一个区域内的路由;区域间路由描述的是自治系统不同区域之间的路由,它们都是自治系统的内部路由。
区域内路由与区域间路由都可被当作OSPF的内部路由,它们在路由表中的优先级都是一样的(缺省为10)。
OSPF将所有引入自治系统中的路由当作外部路由,它们描述了应该如何选择到自治系统以外目的地的路由。自治系统的外部路由包括第一类外部路由(Type 1)和第二类外部路由(Type 2),它们在路由表中的优先级也是相同的(缺省为150)。
第一类外部路由(Type 1)是指引入的是IGP路由(例如静态路由、RIP发现的路由),由于这类路由的可信程度高一些,所以计算出的外部路由的花费与自治系统内部的路由花费的数量级是相同的,并且和OSPF自身路由的花费具有可比性,即到第一类外部路由的花费值 = 本以太网交换机到相应的ASBR的花费值 + ASBR到该路由目的地址的花费值。
第二类外部路由(Type 2)是指引入的是EGP路由(例如BGP发现的路由),由于这类路由的可信度比较低,所以OSPF协议认为从ASBR到自治系统之外的花费远远大于在自治系统之内到达ASBR的花费。所以计算路由花费时将主要考虑前者,即到第二类外部路由的花费值 = ASBR到该路由目的地址的花费值。如果该值相等,再考虑本以太网交换机到相应的ASBR的花费值。
请在OSPF协议配置模式下进行下列配置。
表4-16 引入其它协议的路由
操作
命令
引入其它协议的路由
redistribute protocol[ metric metric][ type 1 | 2 ][ tag tag-value ]
取消对其它协议路由的引入
no redistribute protocol
缺省情况下,OSPF不引入其它协议的路由信息。
4.2.18 配置OSPF引入外部路由的参数
当OSPF将其它路由协议发现的路由信息引入到本自治系统中时,还需要配置一些额外的参数,如引入路由的缺省花费和缺省标记等。
请在OSPF协议配置模式下进行下列配置。
表4-17 配置OSPF引入外部路由的参数
操作
命令
设置OSPF引入外部路由的缺省时间间隔
default redistribute interval seconds
将OSPF引入外部路由的缺省时间间隔恢复为缺省值
no default redistribute interval
设置OSPF每时间间隔内可引入路由数量缺省限制的缺省值
default redistribute limit routes
将OSPF每时间间隔内可引入路由数量的缺省限制恢复为缺省值
no default redistribute limit
设置OSPF引入外部路由的缺省路由权值
default redistribute metric metric
将OSPF引入外部路由的缺省路由权恢复为缺省值
no default redistribute metric
设置OSPF在引入外部路由时的缺省标记值
default redistribute tag tag
将OSPF在引入外部路由时的缺省标记恢复为缺省值
no default redistribute tag
设置OSPF在引入外部路由时的缺省类型
default redistribute type { 1 | 2 }
将OSPF在引入外部路由时的缺省类型恢复为缺省值
no default redistribute type
缺省情况下,引入外部路由时无缺省花费值与标记值;引入路由的缺省类型为Type 2;引入外部路由的缺省时间间隔为1秒;在每时间间隔内可引入外部路由的缺省限制为150条。
4.2.19 配置OSPF接收缺省路由
使用redistribute命令不能引入缺省路由。若要接收缺省路由到路由表中,必须配置OSPF接收缺省路由。
请在OSPF协议配置模式下进行下列配置。
表4-18 配置OSPF接收缺省路由
操作
命令
设置OSPF接收缺省路由
default-information originate [ always ] [metric metric][ type 1 | 2 }]
取消OSPF对缺省路由的接收
no default-information originate
缺省情况下,OSPF不接收任何缺省路由到路由表中。
4.2.20 设置OSPF协议的优先级
由于在同一台以太网交换机上可能同时运行多个动态路由协议,因此存在各个路由协议之间路由信息共享和选择的问题。解决这个问题的办法是:系统为每一种路由协议设置一个优先级,当不同路由协议都发现了到同一目的地的路由时,优先级高的协议所发现的路由将被选中以转发报文。
请在OSPF协议配置模式下进行下列配置。
表4-19 设置OSPF协议的优先级
操作
命令
设置OSPF协议的优先级
preference [ ase ] value
将OSPF协议的优先级恢复为缺省值
no preference [ ase ]
缺省情况下,OSPF内部路由的优先级为10;外部路由的优先级为150。
4.2.21 配置OSPF路由过滤
请在OSPF协议配置模式下进行下列配置。
1. 允许/禁止OSPF对接收的路由信息进行过滤
表4-20 允许/禁止OSPF对接收的路由信息进行过滤
操作
命令
允许对接收的由指定地址发布的路由信息进行过滤
distribute-list gateway prefix-list-name in
禁止对接收的由指定地址发布的路由信息进行过滤
no distribute-list gateway prefix-list-name in
允许对接收的全局路由信息进行过滤
distribute-list { access-list-number | prefix-list prefix-list-name} in
禁止对接收的全局路由信息进行过滤
no distribute-list { access-list-number | prefix-list prefix-list-name} in
2. 允许/禁止对OSPF发布的路由进行过滤
表4-21 允许/禁止OSPF对发布的路由进行过滤
操作
命令
允许OSPF对发布路由的过滤
distribute-list { access-list-number| prefix-list prefix-list-name} out [ protocol ]
禁止OSPF对发布路由的过滤
no distribute-list { access-list-number| prefix-list prefix-list-name} out [protocol ]
缺省情况下,OSPF将不对接收与发布的路由信息进行过滤。
更详细的描述请参见“路由策略”的“配置路由过滤”部分。
4.3 OSPF的监控与维护
请在特权配置模式下进行下列操作。其中,show系列命令还可以在除普通用户模式以外的所有其它配置模式下使用。
表4-22 OSPF的监控与维护
操作
命令
显示OSPF 路由过程的一般信息
show ip ospf
显示OSPF 统计信息
show ip ospf cumulative
显示OSPF 连接状态数据库信息
show ip ospf database
显示OSPF 外部连接状态数据库的详细信息
show ip ospf database external
显示OSPF 邻接点信息
show ip ospf neighbor
显示OSPF 下一跳信息
show ip ospf nexthop
显示OSPF 路由表信息
show ip ospf routing
显示OSPF 虚连接信息
show ip ospf virtual-links
显示OSPF 请求列表
show ip ospf request-lists
显示OSPF 重传列表
show ip ospf retrans-list
显示OSPF ABR信息
show ip ospf border-routers
显示OSPF 接口信息
show ip ospf interface
显示OSPF 错误信息
show ip ospf error
打开OSPF 事件调试信息开关
debug ip ospf event
打开OSPF LSA报文调试信息开关
debug ip ospf lsa-generation
打开OSPF报文调试信息开关
debug ip ospf packet
打开OSPF最小树调试信息开关
debug ip ospf spf
(1) 显示OSPF主要信息
Quidway(config)# show ip ospf
RouterID: 0.0.0.1 Border Router: Area
Routing preference: Inter/Intra: 10 External: 150
Default ASE parametres: Metric: 1 Tag: 0.0.0.1 Type: 2
SPF computation count: 73
Area 0.0.0.0:
Authtype: none Flags: <>
SPF scheduled: <>
Interface: 10.10.0.2 --> 10.10.0.1
Cost: 10 State: P To P Type: PointToPoint
Priority: 1
DoNotAge Lsa Allowed
Timers: Hello 10, Dead 40, Poll 0, Retransmit 5
Area 0.0.0.1:
Authtype: none Flags: <>
SPF scheduled: <>
Interface: 10.110.10.1 (VlanIf100)
Cost: 10 State: DR Type: Broadcast
Priority: 1
Designated Router: 10.110.10.1
DoNotAge Lsa Allowed
Timers: Hello 10, Dead 40, Poll 0, Retransmit 5
(2) 显示OSPF连接状态数据库信息
Quidway(config)# show ip ospf database
Link State Database
Area: 0.0.0.0
TypeLink StateID AdvRouter Age Len Sequence Metric Where
Stub 10.10.0.0 0.0.0.1 388 24 0 0 SpfTree
Rtr 0.0.0.1 0.0.0.1 362 48 8000002f 0 SpfTree
Rtr 0.0.0.2 0.0.0.2 389 48 8000002e 0 SpfTree
SNet 10.110.0.0 0.0.0.1 193 28 80000003 10 Inter List
Area: 0.0.0.1
TypeLink StateID AdvRouter Age Len Sequence Metric Where
Stub 10.110.0.0 0.0.0.1 2074 24 0 0 SpfTree
Rtr 0.0.0.1 0.0.0.1 363 36 80000003 0 SpfTree
SNet 10.10.0.0 0.0.0.1 193 28 80000002 10 Inter List
ASB 0.0.0.2 0.0.0.1 193 28 80000002 10 SumAsb List
AS External Database
TypeLinkStateID AdvRouter Age Len Sequence Metric Where
ASE 2.2.0.0 0.0.0.2 278 36 80000001 1 initialized
(3) 显示OSPF邻接点信息
Quidway(config)# show ip ospf neighbor
Area 0 interface 10.10.0.2's neighbors
RouterID: 0.0.0.2 Address: 10.10.0.1
State: Full Mode: Slave Priority: 1
DR: None BDR: None
Last Hello: 1:11:25 Last Exchange: 55:35
该命令将会显示以太网交换机邻居的OSPF信息。若未指定以太网交换机标识,该命令将会显示所有OSPF邻居的信息,命令所给出的最重要的信息是与邻居邻接的状况。在查找OSPF网络故障时,也会使用该命令。
(4) 显示OSPF路由表信息
Quidway(config)# show ip ospf routing
RoutingforNetwork
Destination Cost Type NextHop AdvRouter Area
10.110.0.0 10 Stub 10.110.10.1 0.0.0.1 1
10.10.0.0 10 Stub 10.10.0.1 0.0.0.1 0
Routing for ASEs
Destination Cost Type Tag NextHop AdvRotue
2.2.0.0 1 2 1 10.10.0.1 0.0.0.2
Total Nets: 2
Intra Area: 2 Inter Area: 0 ASE: 1
4.4 OSPF典型配置举例
4.4.1 配置OSPF优先级的DR选择
1. 组网需求
下面的实例描述了在一个OSPF自治系统中几个以太网交换机优先级的配置情况。S3526 A的优先级为100,它是网络上的最高优先级,所以S3526 A被选为DR;S3526 C的优先级为2,是第二高的优先级,所以被选为BDR;S3526 B的优先级为0,这意味着它将无法成为DR;S3526 D没有优先级而取缺省值为1。
2. 组网图
图4-1 配置OSPF优先级的DR选择组网图
3. 配置步骤
(1) 配置S3526A
S3526A(config)# interface vlan-interface 1
S3526A(config-VLAN-Interface1)# ip address 192.1.1.1 255.255.255.0
S3526A(config-VLAN-Interface1)# ip ospf priority 100
S3526A(config)# router id 1.1.1.1
S3526A(config)# router ospf
S3526A(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0
(2) 配置S3526B
S3526B(config)# interface vlan-interface 2000
S3526B(config-VLAN-Interface2000)# ip address 192.1.1.2 255.255.255.0
S3526B(config-VLAN-Interface2000)# ip ospf priority 0
S3526B(config)# router id 2.2.2.2
S3526B(config)# router ospf
S3526B(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0
(3) 配置S3526C
S3526C(config)# interface vlan-interface 1
S3526C(config-VLAN-Interface1)# ip address 192.1.1.3 255.255.255.0
S3526C(config-VLAN-Interface1)# ip ospf priority 2
S3526C(config)# router id 3.3.3.3
S3526C(config)# router ospf
S3526C(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0
(4) 配置S3526D
S3526D(config)# interface vlan-interface 1
S3526D(config-VLAN-Interface1)# ip address 192.1.1.4 255.255.255.0
S3526D(config)# router id 4.4.4.4
S3526D(config)# router ospf
S3526D(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0
在S3526 A上运行show ip ospf neighbor来显示OSPF邻居,注意S3526 A有三个邻居。
S3526A(config)# show ip ospf neighbor
Neighbor pri State Address Interface
4.4.4.4 1 full/DRother 192.1.1.4 GigabitEthernet2/1
3.3.3.3 2 full/BDR 192.1.1.3 GigabitEthernet2/1
2.2.2.2 0 full/DRother 192.1.1.2 GigabitEthernet2/1
每个邻居的状态都是full,这意味着S3526 A与它的每个邻居都形成了邻接(S3526 A和C必须与网络中的所有以太网交换机形成邻接,才能分别充当网络的DR和BDR)。S3526 A是网络中的DR,而S3526 C是BDR。其它所有的邻居都是DRother(这意味着它们既不是DR,也不是BDR)。
(5) 将S3526 B的优先级改为200
S3526B(config-VLAN-Interface2000)# ip ospf priority 200
在S3526 A上运行show ip ospf neighbor来显示OSPF邻居,注意S3526 B的优先级变为200;但它并不是DR。
S3526A(config)# show ip ospf neighbor
Neighbor pri State Address Interface
4.4.4.4 1 full/DRother 192.1.1.4 GigabitEthernet2/1
3.3.3.3 2 full/BDR 192.1.1.3 GigabitEthernet2/1
2.2.2.2 200 full/DRother 192.1.1.2 GigabitEthernet2/1
只有当现在的DR不在网络上了后,DR才会改变。关掉S3526 A,在S3526 D上运行show ip ospf neighbor命令可显示邻居,注意本来是BDR的S3526 C成为了DR,并且S3526 B现在成为了BDR。
S3526D(config)# show ip ospf neighbor
Neighbor pri State Address Interface
3.3.3.3 2 full/DR 192.1.1.3 GigabitEthernet3/1
2.2.2.2 200 full/BDR 192.1.1.2 GigabitEthernet3/1
若网络中所有的以太网交换机被移走后又重新加入,S3526 B就被选为DR(优先级为200),S3526 A成为了BDR(优先级为100)。关掉所有的以太网交换机再重新启动,这个操作会带来一个新的DR/BDR选择。
S3526D(config)# show ip ospf neighbor
Neighbor pri State Deadtime Address Interface
1.1.1.1 100 full/BDR 00:00:33 192.1.1.1 GigabitEthernet3/1
3.3.3.3 2 2way/Drother 00:00:33 192.1.1.3 GigabitEthernet3/1
2.2.2.2 200 full/DR 00:00:30 192.1.1.2 GigabitEthernet3/1
4.4.2 配置OSPF虚链路
1. 组网需求
在下图中区域2与区域0没有直接相连。区域1被用作运输区域来连接区域2和区域0。以太网交换机B和C之间配置一条虚链路。
2. 组网图
图4-2 配置OSPF虚链路组网图
3. 配置步骤
(1) 配置S3526A
S3526A(config)# interface vlan-interface 1
S3526A(config-VLAN-Interface1)# ip address 192.1.1.1 255.255.255.0
S3526A(config)# router id 1.1.1.1
S3526A(config)# router ospf
S3526A(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0
(2) 配置S3526B
S3526B(config)# interface vlan-interface 7
S3526B(config-VLAN-Interface7)# ip address 192.1.1.2 255.255.255.0
S3526B(config)# interface vlan-interface 8
S3526B(config-VLAN-Interface8)# ip address 193.1.1.2 255.255.255.0
S3526B(config)# router id 2.2.2.2
S3526B(config)# router ospf
S3526B(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0
S3526B(config-router-ospf)# network 193.1.1.0 0.0.0.255 area 1
S3526B(config-router-ospf)# area 2 virtual-link 3.3.3.3
(3) 配置S3526C
S3526C(config)# interface vlan-interface 1
S3526C(config-VLAN-Interface1)# ip address 152.1.1.1 255.255.255.0
S3526C(config)# interface vlan-interface 2
S3526C(config-VLAN-Interface2)# ip address 193.1.1.1 255.255.255.0
S3526C(config)# router id 3.3.3.3
S3526C(config)# router ospf
S3526C(config-router-ospf)# network 193.1.1.0 0.0.0.255 area 1
S3526C (config-router-ospf)# network 152.1.1.0 0.0.0.255 area 2
S3526C(config-router-ospf)# area 1 virtual-link 2.2.2.2
4.4.3 配置OSPF邻居验证
1. 组网需求
下述的配置案例将使用明文和MD5密文两种方式来进行邻居验证。以太网交换机S3526A与S3526B交换路由更新时采用明文验证,而在与S3526C交换路由更新时使用MD5密文验证。
以太网交换机S3526A与S3526B的以太网端口与在OSPF区域0内。以太网交换机S3526A与S3526C的以太网端口都在区域1内,它们都为区域1配置了MD5验证。
2. 组网图
图4-3 配置OSPF邻居验证组网图
3. 配置步骤
(1) 配置S3526A
S3526A(config)# interface vlan-interface 8
S3526A(config-VLAN-Interface8)# ip address 192.1.1.1 255.255.255.0
S3526A(config-VLAN-Interface8)# ip ospf authentication-key quidway
S3526A(config)# interface vlan-interface 2
S3526A(config-VLAN-Interface2)# ip address 193.1.1.1 255.255.255.0
S3526A(config-VLAN-Interface2)# ip ospf message-digest-key 1 md5 cisco
S3526A(config)# router id 1.1.1.1
S3526A(config)# router ospf
S3526A(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0
S3526A(config-router-ospf)# network 193.1.1.0 0.0.0.255 area 1
S3526A(config-router-ospf)# area 0 authentication
S3526A(config-router-ospf)# area 1 authentication message-digest
(2) 配置S3526B
S3526B(config)# interface vlan-interface 1
S3526B(config-VLAN-Interface1)# ip address 192.1.1.2 255.255.255.0
S3526B(config-VLAN-Interface1)# ip ospf authentication-key quidway
S3526B(config)# router id 2.2.2.2
S3526B(config)# router ospf
S3526B(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0
S3526B(config-router-ospf)# area 0 authentication
(3) 配置S3526C
S3526C(config)# interface vlan-interface 1
S3526C(config-VLAN-Interface1)# ip address 193.1.1.2 255.255.255.0
S3526C(config-VLAN-Interface1)# ip ospf message-digest-key 1 md5 cisco
S3526C(config)# router id 3.3.3.3
S3526C(config)# router ospf
S3526C(config-router-ospf)# network 193.1.1.0 0.0.0.255 area 1
S3526C(config-router-ospf)# area 1 authentication message-digest
4.5 OSPF故障的诊断与排除
故障之一:按前述步骤在以太网交换机上配置了OSPF,但却不能正常运行。
故障排除:可按如下步骤进行检查。
l 首先检查两台直接相连的以太网交换机之间协议运行是否正常,正常的标志是两台以太网交换机之间neighbor状态机达到FULL状态。(注:在广播网络上,两台接口状态是DROther的以太网交换机之间neighbor状态机并不达到FULL状态,而是2 way状态。DR、BDR与其它所有以太网交换机之间达到FULL状态)。
!使用show ip ospf neighbor命令查看。
Quidway(config)# show ip ospf neighbor
Interface: 202.38.160.1 Area: 0.0.0.2
Neighbors:
RouterID: 2.2.2.2 Address: 202.38.160.2
State:FULL Mode: None Priority: 0
DR: 202.38.160.1 BDR: 202.38.160.1
Last Hello: 14:04 Last Exchange: 0
l 检查物理连接及下层协议是否正常运行。可通过ping命令测试,若从本地以太网交换机ping对端以太网交换机不通,则表明物理连接和下层协议有问题。
l 如果物理连接和下层协议正常,则检查在VLAN接口上配置的OSPF参数,使用show ip ospf interface命令查看VLAN接口上的OSPF信息。
l 必须保证与和该VLAN接口相邻的以太网交换机的参数一致。这些参数包括hello-interval、dead-interval和authentication等。区域号必须相同;网段与掩码也必须一致(点到点与虚连接的网段与掩码可以不同)。
l 检查在同一VLAN接口上dead-interval值应至少为hello-interval值的4倍。
l 以太网交换机的网络类型为广播网,所以至少有一个VLAN接口的优先级应大于零。
l 如果一个Area配置成STUB area,则在与这个区域相连的所有以太网交换机中都应将该区域配置成STUB area。且在STUB区域内的以太网交换机不能接收外部路由。
l 若配置了两个以上的区域,则至少有一个区域应配成骨干区域(即Area号为0,或配置一条虚连接)。
l 应保证骨干区域与所有的区域相连接,骨干区域必须是连通的。且骨干区域也不能配置成STUB区域。
l 虚连接不能穿越STUB区域。
第5章 IP路由策略配置
5.1 IP路由策略简介
运行动态路由协议的以太网交换机在发布与接收路由信息时,可能需要实施一些策略——比如只希望接收或发布一部分满足给定条件的路由信息,对路由信息进行过滤;一种动态路由协议(如RIP)可能需要从其它的路由源(如OSPF、BGP)引入它们发现的路由信息,从而丰富自己的路由知识;在引入其它路由协议收集的路由信息时,可能需要只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置以使其满足本协议的要求。S3500系列以太网交换机为上述路由策略功能的实现提供了有力支持。
路由策略的实现首先要定义将要实施路由策略的那些路由信息的特征,这相当于定义一组匹配规则,可以针对路由信息中的不同属性以它们作为匹配依据进行设置——如依据路由信息的目的地址、发布路由信息的以太网交换机地址等信息指定匹配条件。匹配规则可以预先设置好,然后再将它们应用于路由发布、路由接收和路由引入等过程的路由策略定义中。
在S3500系列以太网交换机中,提供了access-list和prefix-list两种过滤器供路由协议引用,如下所示:
1. 访问列表(access-list)
访问列表access-list分为标准型的访问列表(standard access-list)和扩展型的访问列表(extended access-list)。在应用于路由信息的过滤时,一般使用标准型的访问列表——用户在定义访问列表时指定一个IP地址或子网的范围,用于匹配路由信息的目的网段地址或下一跳地址,对路由信息进行过滤。如使用扩展access-list,则只用其扩展access-list中指定的源地址范围作为匹配条件。
2. 前缀列表(prefix-list)
前缀列表prefix-list的作用类似于access-list,但比它更为灵活,且更易于为用户理解——prefix-list在应用于路由信息的过滤时,其匹配为路由信息的目的地址信息域;另外在prefix-list中,用户可以指定gateway选项,指明只接收某些以太网交换机发布的路由信息。
一个prefix-list由前缀列表名标识。每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个sequence-number来标识,sequence-number指明了在prefix-list中进行匹配检查的顺序。
在匹配的过程中,以太网交换机按升序依次检查由sequence-number标识的各个表项,只要有某一表项满足条件,就意味着通过该prefix-list的过滤(不会进入下一个表项的测试)。
5.2 IP路由策略配置
5.2.1 IP路由策略配置任务列表
IP路由策略的配置任务列表如下:
l 定义访问列表
l 定义地址前缀列表
l 配置路由过滤
5.2.2 定义访问列表
用户需要根据自己的安全策略来确定访问列表,并将其应用到整机或指定接口上,以太网交换机就会根据访问列表来检查所有接口或指定接口上的所有数据包,对于符合规则的报文作正常转发或丢弃处理,从而起到防火墙的作用。
同一个序号的规则可以看作一类规则;所定义的规则可以用来在接口上过滤报文。基于接口的访问列表表示允许或者禁止从这个接口进入的数据包的转发。同一个序号中的规则按照配置的先后顺序进行排列和选择,这个顺序可以通过show access-list all命令看到。
请在全局配置模式下进行下列配置。
表5-1 定义访问列表
操作
命令
定义通过数字引用的标准访问列表
access-list listnumber1 { permit | deny | match-order { config | auto } }source-addr [ source-mask ][ log ]
定义通过数字引用的扩展访问列表
access-list listnumber2 { permit | deny | match-order { config | auto } } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ]| icmp-type [ icmp-code ] ] [ precedence precedence ][ tos tos ] [ log ]
定义通过名字引用的标准访问列表
ip access-list standard name [ match-order { config | auto } ] { permit | deny} { source-addr [ source-wildcard ] | any } [ log ]
定义通过名字引用的扩展访问列表
ip access-list extended name [ match-order { config | auto } ]{ permit | deny } protocol source-addr source-wildcard destination destination-wildcard [ precedence precedence ] [tos tos ][ log ] [ time-range time-range-name ]
删除已定义的访问列表
no access-list { all | name [ subitem ] | listnumber [ subitem ] }
缺省情况下,不定义任何访问列表。
& 说明:
定义路由策略访问列表的命令行关键字是access-list,定义访问控制列表(ACL)的命令行关键字是acl。请注意区分。
5.2.3 定义地址前缀列表
一个地址前缀列表(prefix-list)由前缀列表名标识。每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个序列号来标识,该序列号指明了在prefix-list中进行匹配检查的顺序。
请在全局配置模式下进行下列配置。
表5-2 定义地址前缀列表
操作
命令
定义地址前缀列表
ip prefix-list prefix-list-name[ seq seq-num] { permit | deny } network/len [ ge ge-value] [ le le-value ]
删除已定义的地址前缀列表
no ip prefix-list prefix-list-name[ permit | deny ] [ seq-number ]
缺省情况下,不定义任何地址前缀列表。
5.2.4 配置路由过滤
1. 允许/禁止对接收的路由进行过滤
定义一条策略规则,通过对一个访问列表或地址前缀列表的引用实现在接收路由过程中对不满足条件的路由信息进行过滤。
请在相应的路由协议配置模式下进行下列配置。
表5-3 允许/禁止对接收的路由进行过滤
操作
命令
允许对接收的由指定地址发布的路由信息进行过滤
distribute-list gateway prefix-list-name in
禁止对接收的由指定地址发布的路由信息进行过滤
no distribute-list gateway prefix-list-name in
允许对接收的全局路由信息进行过滤
distribute-list { access-list-number | prefix-list prefix-list-name} in
禁止对接收的全局路由信息进行过滤
no distribute-list { access-list-number | prefix-list prefix-list-name} in
2. 允许/禁止对发布的路由进行过滤
定义一条有关路由发布的策略规则,通过对一个访问列表或地址前缀列表的引用实现在路由发布的过程中过滤不满足条件的路由信息。
请在相应的路由协议配置模式下进行下列配置。
表5-4 允许/禁止对发布路由的过滤
操作
命令
允许对协议发布路由的过滤
distribute-list { access-list-number| prefix-list prefix-list-name} out [ routing-protocol ]
禁止对协议发布路由的过滤
no distribute-list { access-list-number| prefix-list prefix-list-name } out [ routing-protocol]
缺省情况下,不对接收与发布的路由进行过滤。
5.3 IP路由策略的监控与维护
请在除普通用户模式以外的所有其它配置模式下进行下列操作。
表5-5 IP路由策略的监控与维护
操作
命令
显示地址访问列表信息
show access-lists [ access-list-number ]
显示地址前缀列表信息
show ip prefix-list [ prefix-list-name ]
(1) 显示地址访问列表信息
Quidway(config)# show access-lists
Standard IP access list 22
deny 192.168.1.100
permit 172.20.0.0, wildcard bits 0.0.255.255
5.4 IP路由策略典型配置举例
5.4.1 配置过滤接收的路由信息
1. 组网需求
l S3526A与S3526B通信,运行OSPF协议。
l 对S3526A上的OSPF路由进程进行配置,引入三条静态路由。
l 通过在S3526B上配置路由过滤规则,使接收到的三条静态路由部分可见、部分被屏蔽掉——20.0.0.0和40.0.0.0网段的路由是可见的,30.0.0.0网段的路由则被屏蔽。
2. 组网图
1.1.1.1 2.2.2.2
static 20.0.0.1/8---|@@@@@@@|-----------|@@@@@@@@| AREA0
30.0.0.1/8 switchsA switchsB
40.0.0.1/8
图5-1 过滤接收的路由信息组网图
3. 配置步骤
(1) 配置S3526A
!配置VLAN接口的IP地址。
S3526A(config)# interface vlan-interface 100
S3526A(config-VLAN-Interface100)# ip address 10.0.0.1 255.0.0.0
S3526A(config)# interface vlan-interface 200
S3526A(config-VLAN-Interface200)# ip address 12.0.0.1 255.0.0.0
!配置三条静态路由。
S3526A(config)# ip route 20.0.0.1 255.255.255.255 12.0.0.1
S3526A(config)# ip route 30.0.0.1 255.255.255.255 12.0.0.1
S3526A(config)# ip route 40.0.0.1 255.255.255.255 12.0.0.1
!启动OSPF协议,指定该接口所属区域号。
S3526A(config)# router id 1.1.1.1
S3526A(config)# router ospf
S3526A(config-router-ospf)# network 10.0.0.0 255.0.0.0 area 0
!引入静态路由。
S3526A(config-router-ospf)# redistribute static
(2) 配置S3526B
!配置VLAN接口的IP地址:
S3526B(config)# interface vlan-interface 100
S3526B(config-VLAN-Interface100)# ip address 10.0.0.2 255.0.0.0
!配置访问列表。
S3526B(config)# access-list 1 deny 30.0.0.0 0.255.255.255
S3526B(config)# access-list 1 permit any
!启动OSPF协议,指定该接口所属区域号。
S3526B(config)# router id 2.2.2.2
S3526B(config)# router ospf
S3526B(config-router-ospf)# network 10.0.0.0 255.0.0.0 area 0
!配置OSPF对接收的外部路由进行过滤。
S3526B(config-router-ospf)# distribute-list 1 in
5.5 IP路由策略故障的诊断与排除
故障一:路由协议运行正常,却无法实现路由信息的过滤。
故障排除:检查如下几种错误:
地址前缀列表的各个表项中至少应该有一个表项的匹配模式是permit模式。deny模式的表项可以先被定义以快速的过滤掉不符合条件的路由信息,但如果所有表项都是deny模式,则任何路由都不会通过该地址前缀列表的过滤。可以在定义了多条deny模式的表项后定义一条permit 0.0.0.0/0 的表项以使其它所有路由通过过滤。
故障二:在引用一个access-list进行路由信息过滤时,修改该access-list的定义没有引起路由策略的相应更新。
故障排除:在这种情况下,应该重新配置引用该access-list的策略规则以使协议得知access-list的变化。如果引用其它的过滤器,则不需这种操作,协议会被告知过滤器的改变。