网安 - 专业的网络安全产业、社区、知识平台

路由器三层路由防环之 - OSPF协议与IS-IS协议互引路由

一颗小胡椒2022-05-31 06:58:28

前言

动态路由协议OSPF与IS-IS,在现网有广泛的应用。

组网方案中经常涉及OSPF与IS-IS路由互引的场景。

如果在部署OSPF协议与IS-IS协议互引的设备上没有配置路由策略,或者配置路由策略不合理,可能会出现三层路由环路,导致业务受损。

01

   先看典型组网结构

如图1-1所示,DeviceA、DeviceB、DeviceC、DeviceD、DeviceE运行OSPF 1,DeviceD、DeviceE、DeviceF、DeviceG运行IS-IS 1。在DeviceD、DeviceE设备上,OSPF 1和IS-IS 1做路由的互相引入,且未配置引入路由策略,或者配置路由策略不合理,如匹配前缀错误、Tag值不匹配等,OSPF 1发布的路由,通过IS-IS 1重新发布回OSPF 1。由于新发布的路由的Cost值更小,成为优选路由,从而导致环路。

图 1-1 OSPF与IS-IS互引典型组网

本例中interface1,interface2,interface3分别代表GE0/1/0,GE0/2/0,GE0/3/0。

OSPF和IS-IS协议的接口开销值cost如图 1-1。

02

  环路产生原理

2.1 数据准备

为完成上述组网场景的配置,需准备如下数据:

2.2 环路原理详细介绍

各设备配置数据参见数据准备和互相引入时未配置引入策略错误示例。以DeviceA发布的路由10.0.0.1/32为例,形成稳定环路的过程可分为如下阶段:

阶段一:

如图1-2所示,DeviceA上OSPF 1通过配置import-route static type 1引入静态路由10.0.0.1,发布5类LSA,在OSPF 1进程域内洪泛。DeviceD和DeviceE的OSPF 1收到这条LSA后,会分别计算出到10.0.0.1的路由,其出接口为各自设备的interface1,cost值为21,路由优先级为150。此时DeviceD和DeviceE路由表中的OSPF 1到10.0.0.1的路由活跃。

图1-2 阶段一图示

阶段二:

DeviceD和DeviceE的IS-IS 1配置引入OSPF 1路由,且未配置引入路由策略,或者配置路由策略不合理。如图1-3所示,以DeviceE为例,在阶段一DeviceE路由表中的OSPF 1到10.0.0.1的路由活跃,此时会触发IS-IS 1引入OSPF 1到10.0.0.1的路由,生成携带此前缀信息的LSP,在IS-IS 1进程域中洪泛,DeviceD的IS-IS 1收到这条LSP后,会计算到10.0.0.1的路由,计算得到的路由优先级为15,优先于OSPF 1计算的路由,因此DeviceD路由表中到10.0.0.1的活跃路由由OSPF 1更新为IS-IS 1,此时出接口为interface2。

图1-3 阶段二图示

阶段三:

如图1-4所示,DeviceD的IS-IS 1到10.0.0.1的路由活跃后,触发OSPF 1引入IS-IS 1到10.0.0.1的路由,生成5类LSA并在OSPF 1进程域内洪泛。DeviceE的OSPF 1收到这条LSA后,重新计算到10.0.0.1的路由,得到的cost值为11,小于之前计算的cost值21,因此DeviceE上OSPF 1到10.0.0.1的路由更新为DeviceD发布的cost值更小的路由,此时出接口为interface2。

图1-4 阶段三图示

阶段四:

DeviceE设备10.0.0.1的路由更新后,因为还是OSPF 1的路由活跃,所以IS-IS 1引入OSPF 1路由的行为未受影响,会继续发布/更新LSP。

至此,形成稳定环路。假设流量从DeviceF注入,环路发生时的流量走向如图1-5所示。

图1-5 环路发生时的流量走向


此时在环路发生设备DeviceD和DeviceE设备上分别查询10.0.0.1路由的结果如下:

03

 导致环路的错误配置示例

3.1 互相引入时未配置引入策略错误示例

3.2 互相引入时指定的引入策略配置不合理错误示例

04

  防止环路的建议配置示例

4.1 Tag防环

配置思路:

配置协议互引的设备从IS-IS 1引入OSPF 1路由时,通过Tag过滤掉原IS-IS 1进程的路由,并继承cost值,从而防止路由环路。同时降低从OSPF 1引入的路由的优先级,使配置协议互引的另一台设备继续优选OSPF路由,以避免次优路径的发生。OSPF 1引入IS-IS 1路由时,通过Tag过滤掉原OSPF 1进程的路由。

以DeviceA的OSPF 1上引入10.0.0.1/32路由为例,关键配置如下:

分别在各台设备上查询到10.0.0.1/32路由,以检查配置结果:

05

总结与建议

以上仅列举了一种OSPF和IS-IS协议互引导致的环路问题,在具体组网方案中,一定还存在其他场景,资料中无法一一列举。以上建议配置需要根据现网场景精细化配置决定。但是只要在互引设备上通过合理规划,配置正确的路由策略,控制好路由的发布方向,就可以避免由于配置OSPF和IS-IS协议互引导致的环路问题。

is-isospf
本作品采用《CC 协议》,转载必须注明作者和本文链接
路由器三层路由防环之 - OSPF协议与IS-IS协议互引路由
2022-05-31 06:58:28
由于新发布的路由的Cost值更小,成为优选路由,从而导致环路。DeviceD和DeviceE的OSPF 1收到这条LSA后,会分别计算出到10.0.0.1的路由,其出接口为各自设备的interface1,cost值为21,路由优先级为150。
云计算网络信息安全防护思路探究
2021-11-30 13:06:31
云计算的发展及普及应用,降低了软硬件成本、提高了数据的可靠性,其业务按需快速定制, 时间快。但是由于云计算的开放及共享虚拟特性,使得存贮其上的信息必然面临信息安全的挑战。怎样才能使得云计算安全运行于互联网中是大家一直在探讨的问题。针对互联网环境中云计算运 行的传统及固有安全问题,我们进行了详细的阐述,并提出了科学、有效的信息安全防护方案,希 望对云计算运行以及互联网的健康发展起到积极作用。
路由器之间交互路由信息,需要通过路由吗?
2022-08-05 15:10:49
值得指出的是,即使是IS-IS协议,也要流经协议栈的网络层,而网络层同样有IS-IS路由表,网络层同样要依赖于这个IS-IS路由表提供路由服务。不工作在TCP/IP协议架构之上的IS-IS,查IS-IS路由表。路由协议不能没有路由表,但是路由表可以没有路由协议。这里进程之间的通信是指进程使用TCP/IP作为通信的桥梁。需要指出的是,路由协议产生的路由表,并不都是可以进入TCP/IP的全局路由表。
网络技术领域专业术语解释大全
2023-04-11 10:09:18
170条专业术语~收藏
170个网络技术领域专业术语解释
2023-04-10 10:01:26
它也能够是来自其它FDDI或CDDI集线器的主机端口的双重归属。结果,所有符合这些值的特殊连接的通信被理论上组成一个数据流径。一个数据流径能够代表在两个主机之间的一个单个TCP连接,或它能代表所有在两个子网络之间的通信。IPSec保护被应用到数据流径中。数据总线连接器命名格式是DB-x,x代表连接器内电线的数量。Db的单位根据基于10的对数的比率,典型地用瓦特来表示。
7种常用的MAC地址配置方法,你会几种?
2022-01-11 22:32:39
本文主要介绍MAC地址相关的7种配置示例。
SDN网络能替代TCP/IP吗?
2023-05-05 09:34:37
sdn 网络架构是否可以取代tcp/ip架构?1、sdn nfv不同于传统路由表选路规则,通过openflo
为何MPLS-TE需要导流操作?
2022-04-24 16:12:33
为什么MPLS-TE需要有引流的操作(自动路由,静态,tunne-policy),而LDP却不需要?MPLS
思科修复了 NX-OS 和 FXOS 软件中的 3 个高严重性 DOS 缺陷
2023-08-29 09:05:49
最新消息,思科修复了其产品中的多个缺陷,其中包括 NX-OS 和 FXOS 软件中的三个高严重性缺陷。攻击者可以利用这三个问题导致拒绝服务 (DoS) 情况。
PHP反序列化新手入门学习总结
2023-01-29 09:47:27
最近写了点反序列化的题,才疏学浅,希望对CTF新手有所帮助,有啥错误还请大师傅们批评指正。php反序列化简单理解首先我们需要理解什么是序列化,什么是反序列化?本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。
一颗小胡椒
暂无描述