OSPF(开放最短路径优先协议)

五、OSPF高级功能

1、Passive-interface

将接口配置为被动,只是禁止通过它建立邻居,但路由器仍会将相关网络通告给OSPF邻居。

 

2、下发默认路由

第一种方式:

ip  route  0.0.0.0  0.0.0.0  出接口

default-information  originate

此时路由表象为 O*E2  0.0.0.0/0  [110/1]

 

第二种方式:

default-information originate always     没有默认路由时强制下发

在ABR或ASBR上启用,整个OSPF区域都收到,metric默认值永远为1,不累加。

 

3、路由汇总

优点:

减少路由条目数;

使拓扑变化的影响局限在一个小范围内;

减少了LSA 3和LSA 5的泛洪

配置:

area * range x.x.x.x   (域间汇总,在ABR上配置)

summary-address x.x.x.x  (域×××总,在ASBR上配置)

手动配置汇总时,将创建一条指向null0接口的路由,以避免环路。如果同一区域有多个ABR,要做汇总,必须都做

 

4、OSPF虚链路

在OSPF中,要求所有非骨干区域都要与骨干区域相连,通过虚链路,可以将不连续的Area0连接起来;将区域通过中转区域连接到Area0,如图:

CCNP理论之OSPF协议(三)_第1张图片

配置:

area [经过的区域] virtual-link [对端RID]

show ip ospf virtual-links

在建立虚链路时,修改虚链路的Hello时间会导致虚链路邻居无法建立,物理连接的邻居还是存在的,虚链路UP,但无法学习到路由,因此hello及dead时间必须匹配。

DNS:虚链路只在建立邻居时发送Hello包,当邻居建立后,不再发送hello包,并且LSA是触发更新且不老化,这个特性称为DNS(DoNotAge)

 

5、OSPF的特殊区域

①Stub(末节)

可缩小区域中的LSDB,降低内存消耗,阻止LSA 4、LSA 5进入stub区域。ABR会发出一条默认路由给stub区域的其他路由器。seed cost=1

配置stub的要求:

①将区域内的路由器都配置成stub

②stub中不能出现ASBR

③Area 0不能配置成stub

④虚链路不能穿越stub

⑤不能再接其他区域

 

area * stub

area * default-cost *  (在ABR上,同时有2个ABR时,修改此值实现选路)

 

②Totally Stub(完全末节)

阻止LSA3、LSA4、LSA5,ABR发出一条默认路由给stub区域的其他路由器,seed cost=1.

area * stub no-summary    (只需在ABR上配置 )

 

③NSSA(Not-so-stub area)

----NSSA区域打破了stub区域的规则,可以存在ASBR

----ASBR以LSA7引入外部路由

----阻止LSA4、LSA5

----ABR将LSA7转成LSA5,传播到其他区域

----NSSA区域不会自动下发默认路由,需要手动下发

area * nssa

area * default-information-originate  (在ABR上配置,由ABR产生一条LSA7默认路由传播到NSSA区域其他路由器,seed cost=1,不根据链路累加,路由表象为O*N2)

 

area * default-cost *  (修改下发默认路由的seed cost值)

area * nssa default-information-originate metric * metric-type 1 (将N2类型的路由该改为N1)

 

④Totally NSSA

阻止LSA3、LSA4和LSA5,由ABR产生LSA3默认路由传播到NSSA其他路由器,seed cost=1

area * nssa no-summary

 

6、OSPF身份验证

验证分为Link/Area/Virtual-link 3中认证,支持明文和密文加密

①Link:用于同一链路上的路由器之间,在接口下配置

明文

ip ospf authentication

ip ospf authentication-key *

密文

ip ospf authentication message-digest

ip ospf message-digest-key * md5 [密码]          两边的key号必须一致,哈希时会用到key号

 

②Area:区域认证

area * authentication message-digest

ip ospf message-digest-key * md5 [密码]           接口下调用

区域内所有路由器都要开启认证。

 

③Virtual-link:虚链路认证

area * virtual-link [RID] authentication message-digest

area * virtual-link [RID] message-digest-key * md5 [密码]

如果Area0启用认证,在virtual-link上也要启用认证,明文密文均可。

=============================================================