OSPFv2穿越防火墙

Question

我的网络。https://imgur.com/a/5QI1NNq

所以我的问题是，在上面的3黄色上。子网络，我使用静态路由，但在互联网的另一边(蓝色字段)，我使用了Ospfv2。在紫色，绿色，黄色和服务器部分。

我知道你不应该通过防火墙/互联网使用OSPF。我不知道为什么。我不知道是否使用GRE (通用封装)。

如果我这样说是对的，“当路由器发送信息时，具有断续链路的ospf网络可以增加流量。ospf中缺乏可缩放性，这使得它无法在internet上进行路由？”

一般情况下:我不知道为什么我不应该使用Ospf通过互联网/防火墙。

我还想知道，为什么子网更喜欢静态路由：

Answer 1

一般情况下:我不知道为什么我不应该使用Ospf通过互联网/防火墙。

当然也有例外，但一般来说，如果流量不受信任，那么路由就是不可信的。换句话说，如果我在防火墙的不可信端，那么您可能希望过滤我的通信量，以确保我不会发送恶意流量。

如果是这样的话，你为什么要相信我的路由信息？我可以给你发送坏路线，欺骗网络，或者黑洞流量。OSPF假设路由源是可信的，但在这里，情况并非如此。

如果我这样说是对的，“当路由器发送信息时，具有断续链路的ospf网络可以增加流量。ospf中缺乏可扩展性，这使得它不适合在internet上进行路由？”

这可能是25年前带宽非常有限时的一个担忧，但现在网络的速度要大得多，以至于OSPF流量相对于可用带宽来说是微不足道的。

同样，维护状态表、淹没更新和计算最短路径在Internet规模上也是行不通的。OSPF需要太多的处理和太多的内存。此外，Internet的拓扑结构也不能很好地适应OSPFs的区域层次结构。

但真正的原因是，OSPF假设到达目的地的最佳路径是最低成本(最高带宽)路径。在不同组织之间的互联网上，这是不正确的。选择路径是出于其他原因，如货币成本、对等协议或其他管理原因。OSPF不允许您以这种方式控制路由。BGP为您提供了更多的管理控制权，可以控制您所宣传的路线(前缀)、您从他人那里接受的路由(前缀)以及您如何评估首选的路由(前缀)。

Answer 2

我有使用静态和OSPF路由模式的冗余ASA的生产经验，但不是在VPN配置中。

运行静态路由的一对ASA几乎可以立即失效，包括同步它们的套接字状态表。用户很难注意到故障转移。

但是OSPF不会在ASA对中执行HA故障转移。被动式ASA没有OSPF邻居。当故障转移发生时，您将遭受大约30秒的网络中断，直到OSPF邻居重新建立。

在您的情况下，网络命中也可能影响您的VPN隧道(虽然我没有这方面的经验)。备份ASA上缺乏路由也使得监视和维护该box...inconvenient。

在我的网络设计中，“edge”ASA通常使用静态路由，因为静态路由易于配置。我有时将OSPF用于“窒息点”ASA，因为手动设置静态路由是不可维护的。幸运的是，作为故障转移很少，我能够(暂时)接受偶尔的网络攻击。

对于阻塞点ASA情况，另一种选择是将ASA对部署为第2层防火墙，在两侧路由器之间运行OSPF。快速恢复HA故障转移！

编辑:这也是事实，ASA缺少一些更“深奥”的OSPF功能和配置选项。让您真正的路由器成为您指定的路由器，并保持您的OSPF配置简单周围的ASA。如果这些流量导致的CPU尖峰导致OSPF邻居重置，那么您将度过糟糕的一天。如果拓扑结构足够简单，使其易于维护，则静态路由更可靠。