一般来说：我不知道为什么我不应该通过互联网/防火墙使用 Ospf。

也有例外，但一般来说，如果流量不受信任，那么路由就是不受信任的。换句话说，如果我在防火墙的不受信任的一侧，大概你想过滤我的流量以确保我不会发送恶意流量。

如果是这样，那你为什么要相信我的路由信息​​？我可以向您发送不良路线、欺骗网络或黑洞流量。OSPF 假定路由源是可信的，但在这里，情况并非如此。

如果我这样说是否正确“具有间歇性链接的 ospf 网络可以在每次路由器发送信息时增加流量。ospf 缺乏可扩展性使其不适合通过 Internet 路由？

在 25 年前带宽非常有限时，这可能是一个问题，但现在网络速度要快得多，以至于 OSPF 流量相对于可用带宽而言微不足道。

同样，维护状态表、泛洪更新和计算最短路径在 Internet 规模上也行不通。OSPF 需要太多的处理和太多的内存。此外，Internet 拓扑不太适合 OSPF 区域层次结构。

但真正的原因是因为 OSPF 假定到达目的地的最佳路径是成本最低（最高带宽）的路径。在不同组织之间的 Internet 上，情况并非如此。出于其他原因选择路径，例如货币成本、对等协议或其他管理原因。OSPF 不允许您以这种方式控制路由。BGP 为您提供了更多的管理控制，以控制您发布的路由（前缀）、您从其他人那里接受的路由以及您如何评估首选路由。

我有使用静态和 OSPF 路由的路由模式下冗余 ASA 的生产经验，但在 VPN 配置中没有。

一对运行静态路由的 ASA 几乎可以立即进行故障转移，包括同步其套接字状态表。用户很难注意到故障转移。

但 OSPF 不会在 ASA 对中执行 HA 故障切换。被动 ASA 没有 OSPF 邻居。发生故障转移时，您将遭受约 30 秒的网络中断，直到 OSPF 邻居重新建立。

在您的情况下，网络命中也可能会影响您的 VPN 隧道（尽管我没有这方面的经验）。备份 ASA 上缺少路由也使得该盒子的监控和维护......不方便。

在我的网络设计中，“边缘”ASA 通常使用静态路由，因为静态路由很容易配置。我有时将 OSPF 用于“阻塞点”ASA，因为手动设置静态路由是不可维护的。幸运的是，ASA 故障转移非常少见，以至于我能够（暂时）接受偶尔的网络攻击。

阻塞点 ASA 情况的另一种选择是将 ASA 对部署为第 2 层防火墙，在两侧的路由器之间运行 OSPF。快速 HA 故障转移已恢复！

编辑：ASA 也确实缺少一些更“深奥”的 OSPF 功能和配置选项。让您的真实路由器成为您的指定路由器，并让您的 OSPF 配置在 ASA 周围保持简单。ASA 也容易因流量而受到 CPU 峰值的影响：如果这些流量导致的 CPU 峰值导致 OSPF 邻居重置，您将度过糟糕的一天。如果拓扑足够简单以使其可维护，则静态路由更可靠。