OSPF的扩展知识点

一、OSPF的扩展配置

【1】认证

(1)接口认证

1.接口明文

R1(config)#interface s0/1

R1(config-if)#ip ospf authentication

先开启接口明文认证需求,开启后该接口发出的OSPF数据包中,认证类型字段被修改,虽然没有认证秘钥,但依然要求邻居该参数必须一致

R1(config-if)#ip ospf authentication-key cisco123  //明文认证秘钥,两端需一致

2.接口密文

R1(config-if)#ip ospf authentication message-digest    //密文需求

R1(config-if)#ip ospf message-digest-key 1 md5 cisco123   //密文秘钥

(2)区域认证

例:在R1上开启关于区域0 的明文或密文认证;实际就是在R1上所有属于区域0的接口,进行明文或密文认证认证类型字段修改;等于在R1的所有区域0接口配置接口认证中的需要开启;明文或密文秘钥需要到各个接口逐一配置。

R1(config)#router ospf 1

R1(config-router)#area 1 authentication   //区域明文

R1(config-router)#area 1 authentication message-digest   //区域密文

(3)虚链路认证

R1(config)#router ospf 1

明文:

R1(config-router)#area 1 virtual-link 4.4.4.4 authentication

R1(config-router)#area 1 virtual-link 4.4.4.4 authentication-key cisco123

密文:

R1(config-router)#area 1 virtual-link 4.4.4.4 authentication message-digest

R1(config-router)#area 1 virtual-link 4.4.4.4 message-digest-key 1  md5 cisco123

【2】汇总的扩展

以下规则大多用于两个区域间存在多台ABR的前提

(1)在进行域间路由汇总的同时,修改该汇总条目的cost值;

R1(config-router)#area 1 range 10.1.0.0 255.255.252.0 cost 10

意义在于若两个区域间存在多台ABR时,默认它们将A区域汇总到B区域时,给定的起始度量为ABR到被汇总明细条目中最大的度量值;在汇总路由的同时进行cost值的修改,可以起到路径的干涉的作用;

(2)还可以被用于干涉选路,OSPF没有偏移列表;故可以让ABR在将被区域路由条目传递到其他区域时,使用汇总条目+cost值的方法来进行人为的度量修改;

(3)R1为ABR,需要将1.1.1.0/24传输给其他区域

R1(config-router)#area 1 range 1.1.1.0 255.255.255.0 cost 10

(4)路由过滤,R1为ABR,不愿意将区域1中2.2.2.0/24的路由共享给区域0;

R1(config)#router ospf 1

R1(config-router)#area 1 range 2.2.2.0 255.25.255.0 not-advertise

(5)域外路由,也可以进行过滤

R1(config-router)#summary-address 4.4.4.0 255.255.255.0 ?

  not-advertise  Do not advertise or translate

(6)传递过程中还可以修改标记,标记位用于做其他的策略

r1(config-router)#summary-address 4.4.4.0 255.255.255.0 tag ?

  <0-4294967295>  32-bit tag value

(7)所有从该接口进入的路由条目,在之前的度量上叠加50;

R1(config)#interface e0/0

R1(config-if)#ip ospf cost 50

【3】LSDB的保护特性--12.4以上的IOS支持

设备缓存较少--能保存的路由条目数量较少,建议为末梢区域设备

若路由依然很多,超过本地缓存极限,将导致设备故障

R1(config)#router ospf 1

R1(config-router)#max-lsa   1000            100

                                     最大LSA条目数  阀值

默认阀值为75%,此处修改为100%

到达阀值断开邻居关系

R1(config-router)#max-lsa 1000 100 ignore-time 5  断开邻居5分钟

R1(config-router)#max-lsa 100 warning-only 75  LAS到达100条的75%进行警告

注:1类LSA为一台设备包含所有信息;3/5类LSA一个信息为一条路由条目。

【4】收敛时间

修改接口hellotime时,本地的dead time自动4倍关系匹配;邻居间hello 和dead time必须完全一致;

R1(config)#interface tunnel 0

R1(config-if)#ip ospf hello-interval 10

R1(config-if)#ip ospf dead-interval 40

【5】缺省路由:3类缺省、5类缺省、7类缺省

3类缺省:必须由特殊区域自动产生---末梢区域、完全末梢区域、完全NSSA区域

5类缺省:从其他区域重发布进入到OSPF域;进行该缺省发布的设备,其路由表中必须先存在缺省路由--该缺省路由条目的产生方式不关注

R1(config)#router ospf 1

R1(config-router)#default-information originate

本地路由器表若没有缺省路由,正常无法重发布缺省到OSPF域,可以强制产生

R1(config-router)#default-information originate always

默认为类型2;可以修改为类型1

 

默认进入的缺省路由,为外部类型2;

类型1---起始度量为1 ----叠加内部度量值

类型2---起始度量为2-----不叠加内部度量值

R1(config-router)#default-information originate metric-type 1 修改类型

7类缺省:正常仅在普通的NSSA环境配置;因为普通NSSA不自动产生缺省路由;

故需要在区域0和NSSA区域间的ABR上,向NSSA区域发布一条7类缺省路由。

R1(config)#router ospf 1

R1(config-router)#area 1 nssa default-information-originate

默认为N2-类型2;类型1叠加内部度量;类型2 不叠加;

R1(config-router)#area 1 nssa default-information-originate metric-type 1 修改类型

【6】被动接口:只接收不发送路由协议,用于连接用户的接口

R1(config)#router ospf 1

R1(config-router)#passive-interface serial 1/1

二、附录E --- link-id相同的问题

若一台ABR将两条3类LSA导入其他区域;同时这两条LSA的link-id(本条LSA所包含路由条目的网络号)相同;

假设:短掩码网段先进入,link-id正常显示;长掩码进入时link-id加反掩码

20.1.0.0/16--link-id  20.1.0.0

20.1.0.0/24--link-id  20.1.0.255

若长掩码先进入,在短掩码进入时,长掩码的信息被刷新为反掩码;

三、OSPF选路规则

1、AD(管理距离)无关的一种情况:

R1(config)#router ospf 1

R1(config-router)#distance 109 1.1.1.1 0.0.0.0

本地从RID为1.1.1.1的设备处学习到路由条目,管理距离修改109;

一台路由器从两个OSPF邻居处学习到了两条相同的路由时,仅比较度量值,不关注管理距离;因为仅针对一台邻居进行管理距离修改的结果是要么两台都被改,要么修改失败;-关注IOS版本---有时修改RID大路由器管理距离生效,有时需要修改RID小的设备;

2、AD(管理距离)无关的第二种情况

O IA 与 O IA路由相遇,到达相同目标的两条3类路由,这两条路由均通过非骨干传递,仅关注cost值,不关注管理距离;

若一条通过骨干区域传递,另一条同过非骨干区域传递--非骨干传递的路由无效

OSPF的水平分割:区域标号为A的3类LSA,不能回到区域A;

3、OE 与OE或ON与ON相遇

两条均为OE2或者均为N2,起始度量相同; 关注沿途的累加度量 (OE2路由在表中度量默认不显示内部度量,仅显示起始度量)

两条均为OE2或者均为N2,起始度量不同;优先起始度量小的路径;

注:以上设计是便于管理员快速干涉选路;

OE1路由仅比较总度量(起始度量+沿途累加),仅修改起始度量不一定能干涉选路,必须在修改或使得总度量产生区别才能干涉选路;

4、拓扑优于路由   1/2LSA计算所得路由优于3/4/5/7类计算所得

     内部优于外部   3类优于4/5/7类

     类型1优于类型2  E1优于E2,N1优于N2,E1优于N2,N1优于E2;

E1与N1相遇,或E2与N2相遇,先比总度量(起始+沿途)小优;度量一致5类优于7类

5、FA-转发地址

正常OSPF区域收到的5类LSA不存在FA值;

产生FA的条件:

1、5类LSA ---- 假设R9为ASBR,S0/0口工作的OSPF中,S0/1口工作在非ospf协议或不同ospf进程中;且S0/1也宣告在和S0/0相同的OSPF进程中,同时该接口的工作方式为广播型;

将在5类LSA中出现FA地址,地址为R9连接R10网段中R10的接口ip;R9与R10间运行的是EIGRP协议

意义在于让R9前端的OSPF设备,能清楚的知道域外的下一跳拓扑结构,更好的避免环路;

2、7类LSA---必然出现FA地址

假设R9为ASBR,S0/0口工作的OSPF中,S0/1口工作在非ospf协议或不同进程中;

S0/1接口未宣告到OSPF中---FA地址为R9上最后宣告的环回地址(个别IOS也可能是最大环回接口IP地址);若R9没有环回接口,FA地址为R9上最后宣告的物理接口地址(个别IOS也可能是最大的物理接口IP地址)。

若R9的S0/1也工作OSPF协议中,S0/1接口工作方式为广播,那么FA地址为R10接口IP;

S0/1的工作方式为点到点,那么FA地址为R9的S0/1接口IP

切记:在FA地址出现后,4类LSA无效;人为过滤掉4类LSA,依然可达域外;

      当4类LSA存在,却人为过滤了到达FA地址的路由,那么将无法访问域外;

      一旦出现FA地址,所有的选路计算均基于FA地址进行;

 针对存在FA的5/7类路由,4类LSA无意义,仅递归到FA地址;若FA地址被策略过滤导致不可达;路由表中的度量是到FA地址的度量,不是到ASBR的度量;

6、NP位+E位   P位被加密,故抓包时看不见P位

正常NSSA区域内的1类LSA中,N=1,E=0---标识该区域转发7类LSA,不转发5类

非NSSA区域E=1,N=0---标识可以转发5类,不能转发7类

P位为1---标识该区域将执行7类转5类;  P为0---标识该区域不能7类转5类;

 

区域0连接到两个非骨干区域,这两个非骨干假设为区域1和区域2;区域1/2同时连接外部协议,且同时进行了重发布配置;区域1为NSSA区域,区域2为非NSSA区域;那么此时的区域1,P位=0不能进行7转5;故骨干区域只能收到从区域2来的外部路由;

若区域1和区域2均为NSSA区域,那么ABR的RID大区域进行7转5,另一个区域不转。

故骨干区域只能收到从一个区域传递的外部路由。

 

 

 posted on 2019-04-17 18:28  嚴∞帅  阅读(104)  评论(0编辑  收藏  举报