OSPF高级特性

OSPF快速收敛

OSPF快速收敛概述

1. OSPF快速收敛是一种旨在提升路由收敛速度的扩展特性，主要包括：PRC（Partial Route Calculation，部分路由计算）与智能定时器。

2. OSPF还支持故障恢复快速收敛，例如：通过OSPF IP FRR（Fast ReRoute，快速重路由）实现备份链路的快速切换，也可与BFD（Bidirectional Forwarding Detection，双向转发检测）联动，从而快速感知网络故障。

PRC

1. PRC的工作原理：当网络中的路由发生变化时，仅对受影响的路由进行重新计算。

2. PRC不直接计算节点路径，而是基于SPF算法生成的最短路径树来更新路由信息。

示意图

在路由计算中，节点代表路由器，叶子代表路由，PRC只处理变化的叶子信息

场景介绍

1. 在OSPF网络中，当网络收敛完成后，左图展示了以R1为根的最短路径树结构。此时，R1若要访问节点R5，将通过【R1下行链路的出接口，以及R3上行链路接口的IP地址】作为路径到达目标节点。

2. 随后，R5将其环回接口Loopback0启用OSPF功能，这意味着OSPF网络内部新增了一个网段。

PRC计算

1. R5全网泛洪新增LSA

2. R1收到该LSA后会创建新的路由，继承原有访问节点R5的路径及下一跳，即：最短路径树不变，只在节点R5上新增叶子

3. 因此R1访问R5的Loopback 0时，通过【R1下行链路的出接口，R3上行链路接口的IP地址】到达该目的地

价值

OSPF网络新增网段时，只关注发生变化的路由，加快了路由的计算

注：在华为设备上，OSPF的PRC功能默认开启

智能定时器

1. 智能定时器是在进行SPF计算与产生LSA的时候用到的一种定时器

2. 智能定时器既可以对少量的外界突发事件进行快速响应，又可以避免过度地占用CPU

智能定时器

介绍

1. 智能定时器是在进行SPF计算与产生LSA的时候用到的一种定时器

2. 智能定时器既可以对少量的外界突发事件进行快速响应，又可以避免过度地占用CPU

作用

• 注1：若触发路由计算的时间间隔较长，同样会影响网络的收敛速度

• 注2：智能定时器首次超时时间为一个固定时间；若在定时器超时前，又有触发定时器的事件发生，则该定时器下一次的超时时间会增加

时间间隔

情况1

缺省情况下，使能智能定时器intelligent-timer，更新LSA的最长间隔时间max-interval为5000毫秒、初始间隔时间start-interval为500毫秒、基数间隔时间hold-interval为1000毫秒【以毫秒为单位的时间间隔】；使用智能定时器后：

1. 初次更新LSA的间隔时间由start-interval参数指定

2. 第 n(n≥2) 次更新LSA的间隔时间为\text{hold-interval}\times 2^{(n-2)}

3. 当\text{hold-interval}\times 2^{(n-2)} 达到指定的最长间隔时间max-interval时，OSPF连续三次更新LSA的时间间隔都是最长间隔时间，之后,再次返回步骤1，按照初始间隔时间start-interval更新LSA

情况2

缺省情况下，使能智能定时器intelligent-timer，接收LSA的最长间隔时间max-interval为1000毫秒、初始间隔时间start-interval为500毫秒、基数间隔时间hold-interval为500毫秒【以毫秒为单位的时间间隔】；使用智能定时器后：

1. 初次接收LSA的间隔时间由start-interval参数指定

2. 第 n(n≥2) 次接收LSA的间隔时间为\text{hold-interval}\times 2^{(n-2)}

3. 当\text{hold-interval}\times 2^{(n-2)} 达到指定的最长间隔时间max-interval时，OSPF连续三次接收LSA的时间间隔都是最长间隔时间，之后,再次返回步骤1，按照初始间隔时间start-interval接收LSA

情况3

缺省情况下，使能智能定时器intelligent-timer，SPF计算的最长间隔时间max-interval为10000毫秒、初始间隔时间start-interval为500毫秒、基数间隔时间hold-interval为1000毫秒【以毫秒为单位的时间间隔】；使用智能定时器后，SPF计算的时间间隔如下：

1. 初次计算SPF的间隔时间由start-interval参数指定

2. 第 n(n≥2) 次计算SPF的间隔时间为\text{hold-interval}\times 2^{(n-2)}

3. 当\text{hold-interval}\times 2^{(n-2)} 达到指定的最长间隔时间max-interval时，OSPF连续三次计算SPF的时间间隔都是最长间隔时间，之后,再次返回步骤1，按照初始间隔时间start-interval计算SPF

扩展

如果两个LSA之间的间隔超过了最长间隔时间max-interval ，则下一次更新使用初始间隔时间start-interval 。

故最长间隔时间max-interval 有以下两个作用：

1. 持续发送链路状态通告（LSA）更新，并在累积达到最长间隔时间 max-interval时发送一次新的 LSA

2. 若两次更新之间的间隔超过了预设的最长间隔时间 max-interval，则后续的更新将重置为初始间隔时间 start-interval

参考实验

OSPF IP FRR

介绍

OSPF IP FRR是一种动态IP快速重路由技术，它采用LFA（Loop-Free Alternates，无循环替换）算法预先计算出备份路径，并将这些路径信息存储在转发表中。当网络发生故障时，该技术能够迅速将流量切换至备份链路，从而确保业务流量的连续性，实现有效的流量保护。通过这一机制，故障恢复时间可被缩短至50毫秒以内。

原理

LFA计算备份链路的基本原理是：首先将能够提供备份链路的邻居节点作为根节点，通过SPF算法计算到达目标节点的最短路径距离；随后，依据特定不等式筛选出开销最小且无环路风险的备份链路。

分类

OSPF IP FRR的流量保护分为【链路保护】与【节点链路双保护】

注：Distance_opt(X,Y)，是指节点X到Y之间的最短路径

节点链路双保护

如正文右图：流量从设备S到D进行转发，网络开销值满足节点链路保护公式，可保证当主链路故障后，设备S将流量切换到备份链路S到N后可以继续向下游转发，确保流量中断小于50ms

OSPF IP FRR的流量保护

分为链路保护与节点链路双保护

1. 当需要保护的对象是经过特定链路的流量时，流量保护类型为链路保护

2. 当需要保护的对象是经过特定设备的流量时，流量保护类型为节点链路双保护；节点保护优先级高于链路保护

参考实验

OSPF与BFD联动

介绍

1. OSPF通过周期性向邻居发送 Hello报文实现邻居检测，其故障检测时间较长，通常超过1秒【默认通过 OSPF Dead Timer超时判断邻居失效，缺省值为40秒】。随着科技发展，语音、视频及其他点播业务应用日益广泛，这些业务对丢包与延迟极为敏感。当数据传输速率达到吉比特级别时，较长的检测时间将导致大量数据丢失，难以满足电信级网络对高可靠性的要求。

2. 为解决上述问题，可通过配置指定进程或指定接口的OSPF与BFD联动功能，实现链路状态的快速检测。该方案可将故障检测时间缩短至毫秒级，从而显著提升链路状态变化时OSPF的收敛速度。

3. 网络中的链路故障或拓扑变化会触发设备重新执行路由计算，因此缩短路由协议的收敛时间对于提升网络性能至关重要。

4. OSPF与BFD联动机制通过将BFD与OSPF协议进行关联，实现了对链路故障的快速检测。当与邻居节点之间的通信链路发生故障时，BFD能够迅速感知并通知OSPF，从而显著提升OSPF对网络拓扑变化的响应速度。

示意图

工作原理

• 三台设备【R1、R2、R3】间建立OSPF邻居关系；邻居状态到达FuII时通知BFD建立BFD会话

• R1到R2间的链路出现故障后，BFD首先感知到并通知R1；R1处理BFD会话Down事件，重新进行路由计算，新的路径为：R1 → R3 → R2

备注

1. 若两个路由器之间为直连链路（通过网线直接相连，中间无交换机），则无需启用BFD；若链路发生故障，OSPF关系会直接为Down。

2. 若中间链路经过交换机且未配置BFD，则无法即时判定链路故障。OSPF会持续发送Hello包，只有在40秒后未收到回应后，才会将邻接关系判定为Down。

参考实验

OSPF路由控制

调整OSPF的接口开销

设置等价路由

1. 当路由表中存在到达同一目的地址，且同一路由协议发现的多条路由时，若这几条路由的开销值也相同，那么这些路由就是等价路由，可以实现负载分担

2. 设备将按照负载分担的方式从多条等价路由发送报文到同一目的地址

3. 设置进行负载分担的等价路由的最大数量（一般来说最多8条）：

   [Huawei-ospf-1] maximum load-balancing number

参考实验

引入外部路由

示意图

场景介绍

路由器R2运行OSPF（进程1）；R3运行IS‑IS（进程2）；R4与R5运行RIP（进程3）。R1同时运行三种路由协议，并将来自IS‑IS与RIP的路由条目导入到OSPF网络中。

路由引入的基本配置:

[Huawei-ospf-1] import-route isis 2

[Huawei-ospf-1] import-route rip 3

路由聚合

路由聚合采用了CIDR（无类别域间路由）的思想，将相同前缀的地址聚合成一个。具体计算方法是找到所有明细路由的共同前缀，确定能够覆盖所有明细路由的最小汇总网络。

作用

1. 地址汇总通过减少需要泛洪的 LSA（链路状态通告）数量，降低控制平面流量和处理开销，从而节省资源。

2. 对网络中不稳定的细节进行屏蔽或过滤，减少频繁的状态更新和通知，可进一步节省带宽与计算资源。

分类

在华为的路由器上可执行两种类型的地址汇总：

1. 区域间路由汇总

2. 外部路由汇总

示意图

配置

在ASBR上配置外部汇总路由

[Huawei] ospf 1

[Huawei-ospf-1] asbr-summary 192.168.0.0 255.255.0.0

在ABR上配置区域间汇总路由

[Huawei] ospf 1

[Huawei-ospf-1] area 0

[Huawei-ospf-1-area-0.0.0.0] abr-summary 172.16.0.0 255.255.0.0

缺省路由通告

介绍

在OSPF的实际组网中，区域边界与自治系统边界通常由多个路由器组成，以实现多出口冗余或负载分担。此时，为减少路由表项数量并提高网络可用性，通常会配置缺省路由。

分类

OSPF缺省路由通常应用于下面两种情况:

1. 区域边界路由器（ABR）发布 Type-3 LSA，用于指引区域内的路由器进行区域间报文的转发。

2. 自治系统边界路由器（ASBR）发布 Type-5 LSA或Type-7 LSA，用于指引OSPF路由域内的路由器转发域外报文。

注意事项

注1：缺省路由是指目的地址和掩码均为0的路由；当设备找不到精确匹配的路由时，会通过缺省路由转发报文。由于OSPF的路由分级管理，Type‑3的缺省路由优先级高于Type‑5或Type‑7的缺省路由。

3、普通区域：

默认情况下，普通OSPF区域内的路由器不会自动产生并通告缺省路由，即使该路由器本身存在缺省路由。若需将缺省路由发布到OSPF中，必须手工执行default-route-advertise命令；配置完成后，路由器会产生一个ASE（Type‑5 LSA）的缺省路由，并将其通告到整个OSPF自治系统。

4、Stub区域：

Stub区域内不允许自治系统外部的路由（Type‑5 LSA）在区域内传播；区域内的路由器必须通过ABR学习外部路由。Stub区域的ABR会自动生成一条缺省的 Type‑3 LSA，并将其通告到整个Stub区域；ABR通过该缺省路由吸引到达 AS 外部的流量到自身，然后由ABR转发出区域。

5、Totally Stub区域：

Totally Stub区域既不允许自治系统外部的路由（Type‑5 LSA）在区域内传播，也不允许区域间路由（Type‑3 LSA）在区域内传播；区域内的路由器必须通过ABR学习到外部与其它区域的路由。Totally Stub区域的ABR会自动生成一条缺省的Type‑3 LSA并通告到整个区域；ABR通过该缺省路由吸引到达AS外部或其它区域的流量到自己，然后再由ABR转发出去。

6、NSSA 区域：

若希望部分到达自治系统外部的路由通过本区域的ASBR到达，而其它外部路由通过其它区域出去，则ABR会产生一条Type‑7 LSA的缺省路由并通告到整个NSSA区域；这样，少数路由可通过NSSA的ASBR到达，其它路由则通过NSSA的ABR转发到其它区域的ASBR。此情况下，无论 ABR的路由表中是否存在0.0.0.0的缺省路由，ABR都会产生Type‑7的缺省路由。

若希望所有外部路由都仅通过本区域的ASBR到达，则必须在ASBR上手动执行nssa [default-route-advertise]命令，使ASBR产生一条缺省的 NSSA LSA（Type‑7 LSA）并通告到整个NSSA区域；如此，所有外部流量将只能通过该区域的ASBR出去。在这种情况下，ASBR只有在其路由表中存在缺省路由0.0.0.0时，才会产生Type‑7 LSA的缺省路由。

注2：因为缺省路由（Type‑7 LSA）仅在本NSSA区域内泛洪，并未泛洪到整个OSPF域，因此本NSSA区域内的路由器在找不到路由时可以通过该NSSA的ASBR出口转发流量，但不能使其它OSPF区域的流量从该出口出去。Type‑7缺省路由不会在ABR上被转换为Type‑5缺省路由并泛洪到整个OSPF域。

7、Totally NSSA区域：

Totally NSSA的ABR会自动向该区域下发以Type‑3 LSA描述的缺省路由，而Totally NSSA的ASBR不会自动下发缺省路由。因此，在该场景下，区域内的路由器可以通过ASBR学到的外部路由到达相应的外部网段，也可以通过ABR下发的缺省路由到达其它网段。若希望Totally NSSA内的路由器将ASBR作为默认出口而不是ABR，则必须在ASBR上手工配置以使其下发缺省路由。

注3：import‑route (OSPF) 命令不能引入外部路由的缺省路由；当需要将其它协议产生的缺省路由引入OSPF时，必须在ASBR上配置 default‑route‑advertise命令，将缺省路由发布到普通OSPF区域。

注4：OSPF在通告缺省路由前会比较各缺省路由的优先级。如果某OSPF设备上同时配置了静态缺省路由和OSPF通告的缺省路由，想要让 OSPF通告的缺省路由进入本地路由表，则必须确保所配置的静态缺省路由的优先级低于OSPF通告的缺省路由。

扩展

OSPF中default-route-advertise命令和default-route-advertise always命令的区别。

default-route-advertise

1. 触发条件：本机路由表中必须有激活的非本OSPF缺省路由时才会生成并发布缺省路由的LSA

2. 工作原理：设备检查路由表中是否存在非OSPF产生的缺省路由（如静态缺省路由、BGP缺省路由等），如果存在则生成Type 5 LSA（外部LSA）发布到整个OSPF自治系统

3. 应用场景：适用于设备确实有出口路由，需要将缺省路由通告给OSPF域内其他设备的情况

default-route-advertise always

1. 触发条件：无论本机是否存在激活的非本OSPF缺省路由，都会产生并发布一个描述缺省路由的LSA

2. 特殊行为：如果配置了always参数，设备不再计算来自其他设备的缺省路由

3. 强制发布：即使设备自身没有缺省路由，也会强制生成并发布缺省路由LSA

4. 应用场景：适用于需要强制发布缺省路由作为出口，或者作为备份路径的场景

Filter-Policy

Filter-Policy（过滤策略）是一个很常用的路由信息过滤工具，能够对接收、发布、引入的路由进行过滤，可应用于IS-IS、OSPF、BGP等协议。它是一个策略工具，用于过滤路由信息，以及为过滤后的路由信息设置路由属性。

工作原理

在距离矢量路由协议中的应用

在距离矢量路由协议中，设备之间传递的是路由信息，如果需要对这种路由信息进行某种过滤，可以使用Filter-Policy实现。距离矢量协议是基于路由表生成路由的，因此过滤器会影响从邻居接收的路由和向邻居发布的路由。

在链路状态路由协议中的应用

在链路状态路由协议中，各路由设备之间传递的是LSA信息，然后设备根据LSA汇总成的LSDB信息计算出路由表¹。但是Filter-Policy只能过滤路由信息，无法过滤LSA。

以OSPF为例，OSPF把网络中所泛洪的LSA存储到自己的LSDB中，并且运行SPF算法，计算出一颗以自己为根，无环的最短路径树，Filter-Policy对OSPF计算出来的路由（加载到路由表之前）进行过滤，而不会对LSA进行过滤。

简介

1. 将接口配置为【静默接口】会完全阻止它发送路由更新

2. 【静默接口】不能发送OSPF Hello分组，这将阻止路由器与链路伙伴建立毗邻关系

3. 但有时需要在路由更新中只抑制某些特定路由不被发送或接收

4. filter-policy命令创建一个路由过滤器

5. 路由过滤器是一组精准控制路由器在路由更新中发送或者接收哪些路由的规则

6. 通过使用在OSPF路由更新中抑制所有路由的路由过滤器来创建【伪】静默接口

7. 该命令可用于所有的IP路由选择协议

配置举例

[Huawei] acl 2001

[Huawei-acl-basic-2001] rule deny source 10.1.1.0 0.0.0.255

[Huawei-acl-basic-2001] rule permit source any

[Huawei] ospf 1

[Huawei-ospf-1] filter-policy 2001 import

扩展

1. Filter-Policy 在配合ACL时，permit 的作用为匹配某个条件后执行某个动作。

2. Filter-Policy 在单协议下使用时，只能将过滤设置在入方向import 。原理：先保证所有设备的数据库同步，后再决定是否将路由放入路由表中。

3. Filter-Policy 在ASBR上调用时，即多协议下，需要将过滤设置在出方向export 。原理：从外部协议引入时（如IS-IS），包含ACL匹配到的路由（如acl 2001），在注入进内部协议时（如OSPF），过滤掉该路由。

[AR3] ospf 1
[AR3-ospf-1]filter-policy 200l export isis 1

路由选择工具

ACL

ACL基本定义

ACL（Access Control List，访问控制列表）是由一系列permit或deny语句组成的、有序规则的列表。它是一个匹配工具，能够对报文进行匹配和区分。

ACL的核心功能

1. 流量匹配与分类：ACL能够匹配IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素

2. 访问控制：通过匹配报文的相关字段实现对报文的分类和控制

3. 网络安全保障：达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的

ACL的组成结构

1. ACL编号：每个ACL都需要分配一个编号，用来标识ACL，不同分类的ACL编号范围不同

2. 规则：由若干条"permit/deny"语句组成，每条语句就是该ACL的一条规则

3. 规则编号：每条规则都有一个相应的编号，用来标识ACL规则，范围是0～4294967294

4. 动作：每条规则中的permit或deny，就是与这条规则相对应的处理动作

ACL的主要分类

基于规则定义方式的分类

1. 基本ACL（编号范围：2000-2999）：仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则

2. 高级ACL（编号范围：3000-3999）：可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则

3. 二层ACL（编号范围：4000-4999）：使用报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、二层协议类型等

4. 用户自定义ACL（编号范围：5000-5999）：使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则

5. 用户ACL（编号范围：6000-6999）：既可使用IPv4报文的源IP地址或源UCL组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则

基于标识方法的分类

1. 数字型ACL：传统的ACL标识方法，创建ACL时指定一个唯一的数字标识该ACL

2. 命名型ACL：通过名称代替编号来标识ACL

ACL的应用场景

1. 流量过滤：在Traffic-filter中被调用，实现对网络流量的精确控制

2. 路由策略：作为路由匹配工具，能够对路由进行匹配和区分

3. NAT（网络地址转换）：在NAT中被调用

4. 防火墙策略：在防火墙的策略部署中被调用

5. QoS（服务质量）：在QoS中被调用，保障关键业务带宽

6. 网络安全：防止未授权访问，保护网络资源安全

ACL的基本配置示例

创建基本ACL

# 创建数字型基本ACL

acl number 2000 match-order config

# 或创建命名型基本ACL

acl name my-acl basic match-order config

配置基本ACL规则

# 进入ACL视图

acl number 2000

# 配置规则

rule 5 deny source 10.1.1.1 0

rule 10 deny source 10.1.1.2 0

rule 15 permit source 10.1.1.0 0.0.0.255

应用ACL到接口

# 在接口入方向应用ACL进行流量过滤

interface GigabitEthernet0/0/1

  traffic-filter inbound acl 2000

ACL的工作原理

1. 顺序匹配：ACL规则按照规则编号从小到大进行排序和匹配[2]

2. 首次匹配原则：报文按顺序与ACL规则进行匹配，一旦匹配上某条规则，则执行该规则的动作，不再继续匹配后续规则[9]

3. 默认允许：如果报文没有匹配上任何规则，则执行默认的允许动作

介绍

1. 应用于路由器接口的指令列表，用于指定哪些数据报文可以接收转发，哪些数据报文需要被拒绝

2. 读取第二层、第三层及第四层头部中的信息

3. 根据预先定义好的规则对报文进行过滤

思考

IP Prefix

基本概念

IP Prefix（IP前缀）是指IP地址的网络部分，用于标识一个网络或子网。在IPv4中，IP前缀通常表示为"网络地址/掩码长度"的格式，例如192.168.1.0/24。在IPv6中，IP前缀同样采用类似的表示方法，如2001:0DB8:6101:0001::/64。

结构组成

IPv4地址前缀结构

IPv4地址使用点隔开的4段十进制数加上掩码来表示，例如192.168.1.1/24。其中：

1. 网络地址部分：标识网络或子网

2. 掩码长度：表示网络部分的位数

IPv6地址前缀结构

一个IPv6地址可以分为如下两部分：

1. 网络前缀：n bit，相当于IPv4地址中的网络ID

2. 接口标识：(128-n) bit，相当于IPv4地址中的主机ID

例如：2001:0DB8:6101:0001:5ED9:98FF:FECA:A298/64，其中前64位为网络前缀，后64位为接口标识。

简介

1. 实现高级访问控制功能

2. 语法较前者简单易懂

关键字: less-equal、greater-equal

取值范围

less-equal: 【length】 至【less-equal-value】greater-equal: 【greater-equal-value】 至32

Length < greater-equal-value < less-equal-value ≤ 32

配置示例

[Huawei] ip ip-prefix xxx index 10 permit 10.1.1.0 24

解析：仅允许10.1.1.0/24的路由匹配permit，实现精准匹配

[Huawei] ip ip-prefix xxx index 10 permit 10.1.1.0 24 less-equal 32

解析：掩码范围在24至32之间的10.1.1.0路由匹配permit

[Huawei] ip ip-prefix xxx index 10 permit 10.1.1.0 24 greater-equal 26

解析：掩码范围在26至32之间的10.1.1.0路由匹配permit

[Huawei] ip ip-prefix xxx index 10 permit 10.1.1.0 24 greater-equal 26 less-equal 32

解析：掩码范围在26至32之间的10.1.1.0路由匹配permit

[Huawei] ip ip-prefix xxx index 10 permit 0.0.0.0 0 greater-equal 8 less-equal 32

解析：所有掩码长度在8至32之间的路由均可被permit

[Huawei] ip ip-prefix xxx index 10 permit 0.0.0.0 0 less-equal 32

解析：所有路由均可被permit

[Huawei] ip ip-prefix xxx index 10 0.0.0.0 1 greater-equal 8 less-equal 24

解析：匹配所有A类地址及掩码不大于24的子网路由

[Huawei] ip ip-prefix xxx index 10 128.0.0.0 2 greater-equal 2 less-equal 32

解析：匹配所有B类地址【包括超网路由及所有子网路由】