在本课中,你将学习如何在FortiGate上首先配置开放最短路径(OSPF)。
通过展示对OSPF的熟练理解,你将能够从FortiManager配置OSPF,并了解可用的高级功能。
在本节中,你将了解OSPF路由协议。
同一区域的每个路由器都有相同和同步的数据库。OSPF路由器使用链路状态数据库(LSDB)和Dijkstra算法中的信息来确定通往每个目的地的最佳路线。最佳路由可以表示为以本地路由器为根的树。Dijkstra的算法是一个递归过程,路由器会重复多次,直到找到最佳路由。例如,上图显示了路由器R2的OSPF树。它表明通往Net 5和Net 4的最佳路线是通过R3,Net 1、Net 2和Net 3是本地连接的。
在像OSPF这样的链路状态协议中,每个路由器都有网络拓扑的完整视图。OSPF的优势包括可扩展性和快速融合。每隔30分钟,路由器就会重新宣传他们的OSPF信息。在这30分钟的间隔之间,当检测到拓扑变化时,会发送更新。因此,只要网络拓扑稳定,它就是一个相对安静的协议。在大型网络中,使用OSPF需要良好的规划,并且可能难以排除故障。
OSPF网络有三种类型:
● 点对点网络只包含两个对等体,一个在点对点链路的每一端。
● 广播网络支持两个以上的连接路由器。它们还支持向多个收件人发送消息(广播)。
● 点对多点网络支持两个以上的连接路由器,但它们不支持广播。
如果OSPF是独立的,你可以直接在FortiGate上配置OSPF,如果正在管理FortiGate,则可以使用FortiManager配置OSPF。在FortiGate上启用OSPF的基本设置是设置FortiGate连接的路由器ID和OSPF区域。
你还将网络和接口配置为基本OSPF设置的一部分。完成配置时,你必须通过安装设备设置级别将更改推送到托管的FortiGate。如果你想对托管设备的策略包进行其他更改,你可以同时更改策略包和设备设置。
上图显示了基本的FortiGate OSPF配置。它有区域列表、OSPF网络列表和OSPF路由器ID。
你可以创建一个CLI模板,并将其分配给FortiGate。这种类型的CLI模板被称为运行后,这意味着它适用于已经由FortiManager配置和管理的FortiGate设备。
当FortiGate配置为两个或多个不同OSPF区域的一部分时,你可以在OSPF上过滤路由。OSPF上有三条路由过滤规则:
1. 访问列表
2. 前缀列表
3. 路线图
路由过滤方法有助于控制或防止从一个OSPF区域到另一个OSPF区域的广告路由。这在区域边界路由器(ABR)上是可能的,并使用每个OSPF区域段内的CLI进行配置。
对于仅属于一个OSPF区域的路由器,你可以使用其他路由协议的重新分发设置过滤路由。默认情况下,OSPF路由器设置中的所有路由协议都禁用该设置。
访问列表用于根据IP地址和网络掩码的前缀过滤路由。它被用作过滤器,以防止将特定路由注入路由表。OSPF中访问列表的另一个用例是过滤从其他路由协议(如直接连接路由、静态路由或RIP)分发的路由。
前缀列表是一种过滤方法,类似于访问列表,具有其他参数需要配置,例如使用规则操作设置条件。条件可以是匹配对象的前缀长度是否大于或等于给定路由(ge),或小于或等于(le)。上面的示例显示,OSPF将删除10.1.0.0/16和10.1.0.0/24之间的网络,并允许其余网络。
OSPF中的路由映射用于对默认OSPF路线应用条件规则,过滤外部路线,或匹配特定路线以从其他路由协议重新分配。路由映射规则引用前缀列表对象来处理和匹配路线。
OSPF可以使用IPsec VPN隧道进行保护。OSPF over IPsec VPN的两个最常用的实现是:
● 点到点
● 拨号
站点到站点OSPF需要基于路由的IPsec VPN隧道,具有完整的第1阶段和第2阶段配置。在两个FortiGate设备上,第1阶段配置必须在隧道接口上分配隧道端IP地址。OSPF必须在VPN隧道接口上定义,作为OSPF接口配置的一部分。你需要每个FortiGate上的静态路由,指向VPN隧道上连接的其他FortiGate。
在星形实现中,OSPF通过拨号使用FortiGate的通用VPN设置作为拨号客户端。中心必须具有VPN第1阶段配置中指定的IPv4范围,以确保分支被分配一个IP地址。中心还必须有OSPF重新分配其他路由协议,特别是静态和直接连接的路由。
等成本多路径(ECMP)允许多个路由到同一目的地,具有不同的下一跳和负载均衡的路由流量。OSPF ECMP启用后,即使在成本相等的情况下,也会在路由表中安装相同成本的外部路由。
OSPF ECMP上的默认设置已禁用。你可以通过将rfc1583-compatible设置为启用,在CLI上的OSPF设置中启用ECMP。
当FortiGate是使用优雅重新启动模式的高可用性(HA)集群的一部分时,OSPF可以平稳运行。如果路由器脱机,优雅的重新启动模式可以帮助你避免流量中断。在启用OSPF优雅重新启动模式的HA集群中,主FortiGate在备份FortiGate的运行中失败。该操作将路由器设置为发送grace LSA。当邻居收到它时,他们进入帮助模式,以防止路由器的OSPF状态被更新。默认情况下,邻居等待120秒,然后再次与重新启动的路由器进行通信。
如果网络拓扑发生变化,restart-on-topology-change设置使重新启动路由器可以选择保持优雅的重新启动模式。如果你希望路由器退出优雅重新启动模式,则需要禁用此设置。
为了更快地收敛,双向转发检测(BFD)协议帮助OSPF快速检测OSPF邻居中的硬件故障。运行BFD的路由器使用协议标准计时器相互发送数据包,以保持通信的持续进行。如果其中一个路由器无法接收BFD数据包,这意味着它不会继续通信,则声明路由器已停机。此时,BFD协议通知其他路由协议(在本例中为OSPF)更新其邻居的状态并声明其无法访问。
BFD必须全局和每个物理接口进行配置。全局设置不应影响其他路由协议。这些协议可以在路由协议级别禁用BFD。
上图显示的命令提供了有关OSPF过程的详细信息。
上图的命令还显示了有关路由器所属的每个区域的信息。
有关每个接口的OSPF信息,请使用上图显示的命令。它显示:
● 网络类型,在这种情况下是广播多访问
● 如果是DR还是BDR
● DR和BDR ID和IP地址
● 邻接数量和流量统计
上图的命令显示了所有OSPF邻居的状态摘要。对于每个邻居,它显示邻接状态,如果它是DR、BDR或两者都不是(DROther)。如果邻居位于点对点网络中,则响应在状态后显示破折号。
上图显示的命令提供了FortiGate上所有LSDB条目的摘要,按LSA类型排序。它首先显示类型1的LSA(路由器链路状态),然后显示类型2(网络链路状态)。
上图显示的命令列出了起源于本地FortiGate的LSA。
使用上图显示的命令查看有关类型1 LSA的详细信息。
上图显示了get router info ospf database router lsa命令的更多输出示例。
通过掌握本课程中涵盖的目标,你从FortiManager了解了配置OSPF,并了解了可用的高级功能。
