HCIP Day 5

ospf扩展配置：

1.认证 – 在直连的邻居或邻接间。配置身份核实密钥，保障邻居邻接间的数据沟通安全性

1）接口认证：
在直连连接的接口上配置
【r6-g0/0/1】ospf authentication-mode md5 1 cipher 123456
两端的模式、编号、密钥必须完全一样

2）区域认证：
ospf 1
area 1
authentication-mode md5 1 cipher 123456
将该路由器r1，所有属于区域1的接口全部进行认证

3）虚链路认证：
【r10-ospf-1-area-0.0.0.4】vlink-peer 9.9.9.9 md5 1 cipher 123456

2.沉默接口
用于路由器连接PC终端设备的接口，这些接口为全网可达，会在路由协议中被宣告，故这些接口也会周期向下方的终端发送路由协议信息，造成资源占用和安全问题，故这些接口需要关闭发送RIP/OSPF等协议数据包行为-沉默接口（被动接口）

不可配置到路由器与路由器相连的骨干接口，否则将导致邻居间无法收发路由信息，无法建立邻居关系
ospf 1
silent-interface g0/0/2

3.加快收敛
通过修改邻居间hello和dead time，可实现加快收敛，但频率过高后也会占用更多硬件资源，故hello时间为10s时，不太建议再加快；hello时间为30s时可酌情修改，邻居间的hello，dead time必须完全一致，否则无法建立邻居关系

修改本端的hello time，本端的dead time会自动被关系匹配，对端时间不变，需要手工将两端配置完全一致
int g0/0/0
ospf timer hello 10

4.缺省路由
1）3类缺省（特殊区域自动产生）-- 末梢、完全末梢、NSSA、完全NSSA
末梢、完全末梢、完全NSSA这三种特殊区域，会在配置完成后，由该区域连接骨干区域的ABR向该区域内部发送

华为设备：NSSA和完全NSSA，会在配置完成后，由该区域连接骨干区域的ABR向内部发布7类的缺省路由

因此完全NSSA将拥有3类和7类两种缺省，内部优于外部，故会信任3类

2）5类缺省 – 外部路由，重发布产生的
本地路由器的路由表中，存在任意方式产生的缺省路由后，通过专门的指令，将其重发布到OSPF协议中
ospf 1
default-route-advertise 将本地路由表中通过其他方式获取的缺省路由，重发布到内部的OSPF协议中（默认导入类型2路由）

ospf 1
default-route-advertise always 强制重发布缺省路由 – 即便本地路由表中没有缺省路由，也强制向内部发布一条缺省路由（默认导入类型2路由）

ospf 1
default-route-advertise type 1 修改为类型1

3）7类路由 – NSSA或完全NSSA，自动由该区域连接骨干的ABR发出，但完全NSSA中还会产生3类缺省，故完全NSSA中7类缺省无意义
默认5类一样也是类型2
ospf 1
area 3
nssa default-route-advertise 手工产生7类缺省，前提是在NSSA区域中

若一台设备同时学习到的多条不同类别的缺省路由：
内部优于外部（3类优于5/7类）
若均为5类或均为7类，类型1优于类型2（类型相同，比较优先级，优先级相同比较cost值，完全一致则负载均衡）
若5、7类相遇，类型1优于类型2（类型相同，比较优先级，优先级相同，比较cost值，完全一致则5类优于7类）