评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何为OSPF开放安全策略
OSPF邻接关系的建立过程如图8-3所示。
OSPF根据链路层协议类型,将网络分为四种类型。在不同类型网络中,建立邻接关系的过程中发送OSPF报文的方式也不同。对某一种网络类型来说,只要建立邻接关系的任何一个环节使用了单播报文,就需要开放安全策略。因此,当网络类型是Broadcast、NBMA和P2MP时,都需要开放安全策略。
表8-5 OSPF报文发送方式
网络类型 |
Hello |
DD |
LSR |
LSU |
LSAck |
需要安全策略 |
|---|---|---|---|---|---|---|
Broadcast |
组播 |
单播 |
单播 |
组播 |
组播 |
是 |
P2P |
组播 |
组播 |
组播 |
组播 |
组播 |
否 |
NBMA |
单播 |
单播 |
单播 |
单播 |
单播 |
是 |
P2MP |
组播 |
单播 |
单播 |
单播 |
单播 |
是 |
考虑到OSPF邻接关系建立的过程中,邻接双方都需要主动发出OSPF报文,因此,你需要开放双向安全策略。在防火墙参与路由计算的场景下,安全策略的源/目的安全区域是Local(设备自身)和接口所连接的区域。OSPFv3跟OSPF类似,两者的协议号都是89。
表8-6 安全策略示例-OSPF
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|
101 |
Allow ospf out |
local |
untrust |
10.1.1.10/24 |
10.1.2.10/24 |
ospf (89) |
permit |
102 |
Allow ospf in |
untrust |
local |
10.1.2.10/24 |
10.1.1.10/24 |
ospf (89) |
permit |
未配置安全策略,或者安全策略配置错误,DD报文没有成功交换,不能建立OSPF邻接关系,邻接状态将停留在ExStart状态。
