(1)接口认证
1.接口明文
R1(config)#interface s0/1
R1(config-if)#ip ospf authentication
先开启接口明文认证需求,开启后该接口发出的OSPF数据包中,认证类型字段被修改,虽然没有认证秘钥,但依然要求邻居该参数必须一致
R1(config-if)#ip ospf authentication-key cisco123 //明文认证秘钥,两端需一致
2.接口密文
R1(config-if)#ip ospf authentication message-digest //密文需求
R1(config-if)#ip ospf message-digest-key 1 md5 cisco123 //密文秘钥
(2)区域认证
例:在R1上开启关于区域0 的明文或密文认证;实际就是在R1上所有属于区域0的接口,进行明文或密文认证认证类型字段修改;等于在R1的所有区域0接口配置接口认证中的需要开启;明文或密文秘钥需要到各个接口逐一配置。
R1(config)#router ospf 1
R1(config-router)#area 1 authentication //区域明文
R1(config-router)#area 1 authentication message-digest //区域密文
(3)虚链路认证
R1(config)#router ospf 1
明文:
R1(config-router)#area 1 virtual-link 4.4.4.4 authentication
R1(config-router)#area 1 virtual-link 4.4.4.4 authentication-key cisco123
密文:
R1(config-router)#area 1 virtual-link 4.4.4.4 authentication message-digest
R1(config-router)#area 1 virtual-link 4.4.4.4 message-digest-key 1 md5 cisco123
以下规则大多用于两个区域间存在多台ABR的前提
(1)在进行域间路由汇总的同时,修改该汇总条目的cost值;
R1(config-router)#area 1 range 10.1.0.0 255.255.252.0 cost 10
意义在于若两个区域间存在多台ABR时,默认它们将A区域汇总到B区域时,给定的起始度量为ABR到被汇总明细条目中最大的度量值;在汇总路由的同时进行cost值的修改,可以起到路径的干涉的作用;
(2)还可以被用于干涉选路,OSPF没有偏移列表;故可以让ABR在将被区域路由条目传递到其他区域时,使用汇总条目+cost值的方法来进行人为的度量修改;
(3)R1为ABR,需要将1.1.1.0/24传输给其他区域
R1(config-router)#area 1 range 1.1.1.0 255.255.255.0 cost 10
(4)路由过滤,R1为ABR,不愿意将区域1中2.2.2.0/24的路由共享给区域0;
R1(config)#router ospf 1
R1(config-router)#area 1 range 2.2.2.0 255.25.255.0 not-advertise
(5)域外路由,也可以进行过滤
R1(config-router)#summary-address 4.4.4.0 255.255.255.0 ?
not-advertise Do not advertise or translate
(6)传递过程中还可以修改标记,标记位用于做其他的策略
r1(config-router)#summary-address 4.4.4.0 255.255.255.0 tag ?
<0-4294967295> 32-bit tag value
(7)所有从该接口进入的路由条目,在之前的度量上叠加50;
R1(config)#interface e0/0
R1(config-if)#ip ospf cost 50
设备缓存较少--能保存的路由条目数量较少,建议为末梢区域设备
若路由依然很多,超过本地缓存极限,将导致设备故障
R1(config)#router ospf 1
R1(config-router)#max-lsa 1000 100
最大LSA条目数 阀值
默认阀值为75%,此处修改为100%
到达阀值断开邻居关系
R1(config-router)#max-lsa 1000 100 ignore-time 5 断开邻居5分钟
R1(config-router)#max-lsa 100 warning-only 75 LAS到达100条的75%进行警告
注:1类LSA为一台设备包含所有信息;3/5类LSA一个信息为一条路由条目。
修改接口hellotime时,本地的dead time自动4倍关系匹配;邻居间hello 和dead time必须完全一致;
R1(config)#interface tunnel 0
R1(config-if)#ip ospf hello-interval 10
R1(config-if)#ip ospf dead-interval 40
3类缺省:必须由特殊区域自动产生---末梢区域、完全末梢区域、完全NSSA区域
5类缺省:从其他区域重发布进入到OSPF域;进行该缺省发布的设备,其路由表中必须先存在缺省路由--该缺省路由条目的产生方式不关注
R1(config)#router ospf 1
R1(config-router)#default-information originate
本地路由器表若没有缺省路由,正常无法重发布缺省到OSPF域,可以强制产生
R1(config-router)#default-information originate always
默认为类型2;可以修改为类型1
默认进入的缺省路由,为外部类型2;
类型1---起始度量为1 ----叠加内部度量值
类型2---起始度量为2-----不叠加内部度量值
R1(config-router)#default-information originate metric-type 1 修改类型
7类缺省:正常仅在普通的NSSA环境配置;因为普通NSSA不自动产生缺省路由;
故需要在区域0和NSSA区域间的ABR上,向NSSA区域发布一条7类缺省路由。
R1(config)#router ospf 1
R1(config-router)#area 1 nssa default-information-originate
默认为N2-类型2;类型1叠加内部度量;类型2 不叠加;
R1(config-router)#area 1 nssa default-information-originate metric-type 1 修改类型
R1(config)#router ospf 1
R1(config-router)#passive-interface serial 1/1
若一台ABR将两条3类LSA导入其他区域;同时这两条LSA的link-id(本条LSA所包含路由条目的网络号)相同;
假设:短掩码网段先进入,link-id正常显示;长掩码进入时link-id加反掩码
20.1.0.0/16--link-id 20.1.0.0
20.1.0.0/24--link-id 20.1.0.255
若长掩码先进入,在短掩码进入时,长掩码的信息被刷新为反掩码;
1、AD(管理距离)无关的一种情况:
R1(config)#router ospf 1
R1(config-router)#distance 109 1.1.1.1 0.0.0.0
本地从RID为1.1.1.1的设备处学习到路由条目,管理距离修改109;
一台路由器从两个OSPF邻居处学习到了两条相同的路由时,仅比较度量值,不关注管理距离;因为仅针对一台邻居进行管理距离修改的结果是要么两台都被改,要么修改失败;-关注IOS版本---有时修改RID大路由器管理距离生效,有时需要修改RID小的设备;
2、AD(管理距离)无关的第二种情况
O IA 与 O IA路由相遇,到达相同目标的两条3类路由,这两条路由均通过非骨干传递,仅关注cost值,不关注管理距离;
若一条通过骨干区域传递,另一条同过非骨干区域传递--非骨干传递的路由无效
OSPF的水平分割:区域标号为A的3类LSA,不能回到区域A;
3、OE 与OE或ON与ON相遇
两条均为OE2或者均为N2,起始度量相同; 关注沿途的累加度量 (OE2路由在表中度量默认不显示内部度量,仅显示起始度量)
两条均为OE2或者均为N2,起始度量不同;优先起始度量小的路径;
注:以上设计是便于管理员快速干涉选路;
OE1路由仅比较总度量(起始度量+沿途累加),仅修改起始度量不一定能干涉选路,必须在修改或使得总度量产生区别才能干涉选路;
4、拓扑优于路由 1/2LSA计算所得路由优于3/4/5/7类计算所得
内部优于外部 3类优于4/5/7类
类型1优于类型2 E1优于E2,N1优于N2,E1优于N2,N1优于E2;
E1与N1相遇,或E2与N2相遇,先比总度量(起始+沿途)小优;度量一致5类优于7类
5、FA-转发地址
正常OSPF区域收到的5类LSA不存在FA值;
产生FA的条件:
1、5类LSA ---- 假设R9为ASBR,S0/0口工作的OSPF中,S0/1口工作在非ospf协议或不同ospf进程中;且S0/1也宣告在和S0/0相同的OSPF进程中,同时该接口的工作方式为广播型;
将在5类LSA中出现FA地址,地址为R9连接R10网段中R10的接口ip;R9与R10间运行的是EIGRP协议
意义在于让R9前端的OSPF设备,能清楚的知道域外的下一跳拓扑结构,更好的避免环路;
2、7类LSA---必然出现FA地址
假设R9为ASBR,S0/0口工作的OSPF中,S0/1口工作在非ospf协议或不同进程中;
S0/1接口未宣告到OSPF中---FA地址为R9上最后宣告的环回地址(个别IOS也可能是最大环回接口IP地址);若R9没有环回接口,FA地址为R9上最后宣告的物理接口地址(个别IOS也可能是最大的物理接口IP地址)
若R9的S0/1也工作OSPF协议中,S0/1接口工作方式为广播,那么FA地址为R10接口IP;
S0/1的工作方式为点到点,那么FA地址为R9的S0/1接口IP
切记:在FA地址出现后,4类LSA无效;人为过滤掉4类LSA,依然可达域外;
当4类LSA存在,却人为过滤了到达FA地址的路由,那么将无法访问域外;
一旦出现FA地址,所有的选路计算均基于FA地址进行;
针对存在FA的5/7类路由,4类LSA无意义,仅递归到FA地址;若FA地址被策略过滤导致不可达;路由表中的度量是到FA地址的度量,不是到ASBR的度量;
6、NP位+E位 P位被加密,故抓包时看不见P位
正常NSSA区域内的1类LSA中,N=1,E=0---标识该区域转发7类LSA,不转发5类
非NSSA区域E=1,N=0---标识可以转发5类,不能转发7类
P位为1---标识该区域将执行7类转5类; P为0---标识该区域不能7类转5类;
区域0连接到两个非骨干区域,这两个非骨干假设为区域1和区域2;区域1/2同时连接外部协议,且同时进行了重发布配置;区域1为NSSA区域,区域2为非NSSA区域;那么此时的区域1,P位=0不能进行7转5;故骨干区域只能收到从区域2来的外部路由;
若区域1和区域2均为NSSA区域,那么ABR的RID大区域进行7转5,另一个区域不转。
故骨干区域只能收到从一个区域传递的外部路由。