1、OSPF區(qū)域間路由技術(shù)教程具體介紹區(qū)域邊界路由器(ABR)上有多個LSDB , ABR為每個區(qū)域 維護(hù)一個LSDB o ABR將所連接的非骨干區(qū)域內(nèi)的鏈路狀態(tài) 信息抽象成路由信息，并發(fā)布到骨干區(qū)域中，由骨干區(qū)域進(jìn) 一步發(fā)布到其它骨干區(qū)域中。ABR也要將骨干區(qū)域的鏈路狀態(tài)信息抽象成路由信息，并發(fā)布到所連接的非骨干區(qū)域中O上圖中：RTA生成關(guān)于N1的鏈路狀態(tài)信息并泛洪到 RTBo RTB生成關(guān)于N1的抽象路由信息并在骨干區(qū)域內(nèi)泛洪。 RTC 將接收到的抽象路由信息泛洪到 RTD o上圖中：如果關(guān)于 Area2和Area3之間發(fā)布路由信息是 允許的，那么一個區(qū)域間的環(huán)路就會形成。為了避免區(qū)域間的環(huán)路

2、，OSPF規(guī)定不允許直接在兩個非骨干區(qū)域之間發(fā)布路由信息，只允許在一個區(qū)域內(nèi)部或者在 骨干區(qū)域和非骨干區(qū)域之間發(fā)布路由信息。因此，每個區(qū)域 邊界路由器(ABR)都必須連接到骨干區(qū)域。Network-Summary-LSA 中主要包括以下內(nèi)容：Link State ID被設(shè)置成目的網(wǎng)段的IP地址。Net mask被設(shè)置成目的網(wǎng)段的網(wǎng)絡(luò)掩碼。Metric被設(shè)置成從該 ABR到達(dá)目的網(wǎng)段的開銷值。以網(wǎng)段10.1.1.0/24為例，區(qū)域間路由發(fā)布的過程如下:首先，RTB(Area 1的ABR)將該網(wǎng)段的路由信息發(fā)布到骨干區(qū)域中。然后，RTC通過骨干區(qū)域?qū)W習(xí)到RTB發(fā)布的關(guān)于網(wǎng)段10.1.1.0/24的

3、路由信息。最后，RTC 根據(jù)從骨干區(qū)域?qū)W習(xí)到 Network-Summary-LSA 重新 生成一 條新的 Network-Summary-LSA ,并發(fā)布到 Area 2中，在這條新的 LSA 中：Advertising Router 修改為 RTC 本身的 Router ID; III 目的網(wǎng)段的開銷需要重新計(jì)算，修改為從RTC到目的網(wǎng)段的總開銷。骨干區(qū)域必須是連續(xù)的，但是并不要求物理上連續(xù)，可 以使用虛連接使骨干區(qū)域邏輯上連續(xù)。虛連續(xù)可以在任意兩個區(qū)域邊界路由器上建立，但是要 求這兩個區(qū)域邊界路由器都有端口連接到一個共同的非骨 干區(qū)域。虛連接是屬于骨干區(qū)域(Area 0)的一條虛擬鏈路。

4、本例中，在RTA和RTB之間建立一條虛連接， 以使RTB 連接到骨干區(qū)域。問題：1 .區(qū)域間傳遞的是否為鏈路狀態(tài)信息？2 .如何避免區(qū)域間環(huán)路的產(chǎn)生 ？3 .如何確定虛連接的對端IP地址？4 .區(qū)域間路由匯聚功能在什么路由器上配置？答：1 .不是，區(qū)域間傳遞的是路由信息，不是詳細(xì)的鏈路狀 態(tài)信息。2 .只允許在骨干區(qū)域和非骨干區(qū)域之間發(fā)布路由信息， 不允許在非骨干區(qū)域之間直接發(fā)布路由信息。3 .通過計(jì)算對端路由器的最短路徑樹找到對端路由器在 虛連接上的IP地址。4 .在區(qū)域邊界路由器(ABR)上配置相關(guān)閱讀：路由器安全特性關(guān)鍵點(diǎn)由于路由器是網(wǎng)絡(luò)中比較關(guān)鍵的設(shè)備，針對網(wǎng)絡(luò)存在的 各種安全隱患，路

5、由器必須具有如下的安全特性：(1)可靠性與線路安全可靠性要求是針對故障恢復(fù)和負(fù)載能力而提由來的。對于路由器來說，可靠性主要體現(xiàn)在接 口故障和網(wǎng)絡(luò)流量增大兩種情況下，為此，備份是路由器不 可或缺的手段之一。當(dāng)主接口由現(xiàn)故障時，備份接口自動投 入工作，保證網(wǎng)絡(luò)的正常運(yùn)行。當(dāng)網(wǎng)絡(luò)流量增大時，備份接 口又可承當(dāng)負(fù)載分擔(dān)的任務(wù)。(2)身份認(rèn)證路由器中的身份認(rèn)證主要包括訪問路由器時 的身份認(rèn)證、對端路由器的身份認(rèn)證和路由信息的身份認(rèn) 證。訪問控制對于路由器的訪問控制，需要進(jìn)行口令的分 級保護(hù)。有基于IP地址的訪問控制和基于用戶的訪問控制。(4)信息隱藏與對端通信時，不一定需要用真實(shí)身份進(jìn)行 通信。通過地址轉(zhuǎn)換，可以做到隱藏網(wǎng)內(nèi)地址，只以公共地 址的方式訪問外部網(wǎng)絡(luò)。除了由內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接， 網(wǎng)外用戶不能通過地址轉(zhuǎn)換直接訪問網(wǎng)內(nèi)資源。(5)數(shù)據(jù)加密為了避免因?yàn)閿?shù)據(jù)竊聽而造成的信息泄漏，有必要對所 傳輸?shù)男畔⑦M(jìn)行加密，只有與之通信的對端才能對此密文進(jìn) 行解密。通過對路由器所發(fā)送的報文進(jìn)行加密，即使在Internet上進(jìn)行傳輸，也能保證數(shù)據(jù)的私有性、完整性以及報 文內(nèi)容的真實(shí)性。(6)攻擊探測和防范路由器作為一個內(nèi)部網(wǎng)絡(luò)對外的接口設(shè)備，是攻擊者進(jìn) 入內(nèi)部網(wǎng)絡(luò)的第一個目標(biāo)。如果路由器不提供攻擊檢測和防 范，則也是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個橋梁。在路由器上提