OSPF（Open Shortest Path First，开放式最短路径优先）路由协议

为了弥补距离矢量路由协议的不足，IETF组织于20世纪80年代末开发了一种基于链路状态的内部网关协议OSPF（Open Shortest Path First，开放式最短路径优先）。OSPF作为基于链路状态的协议，具有收敛快、路由无环、扩展性好等特定。

案例：OSPF单区域配置

OSPF支持区域划分，区域是从逻辑上将路由器划分为不同的组，每个组用区域号标识。

1、基础配置

2、部署单区域OSPF网络

[Huawei]ospf 1 运行ospf，进程号为1
[Huawei-ospf-1]area 0 创建区域，输入区域的ID
指定运行ospf协议的接口和接口所属的区域，R1上有3个物理接口
[Huawei-ospf-1-area-0.0.0.0]network 172.16.10.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 172.16.20.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255

查看ospf接口通告，使用的进程是172.16.10.1

“type”是以太网默认的广播方式，“state”是接口当前的状态，DR状态表示被选举为DR

在R2和R3上完成相同的配置

3、检查ospf单区域的配置结果

dis ospf peer

dis ip routing-table protocol ospf

R1路由表已经拥有了去往所有其他网段的路由条目

案例：OSPF多区域配置

链路状态信息只在区域内部泛红，区域之间传递的只是路由条目而非链路状态信息，因此大大减少了路由器的负担。

1、基础配置

2、配置骨干区域路由器

在R1—R4上创建ospf进程

3、配置非骨干区域路由器

在R1和R3上创建并进入区域1视图，将与R5相连的接口进行通告

现在R5与R1和R3的ospf邻居关系建立正常，为full状态

dis ip routing-table protocol ospf

除ospf区域2内的路由之外，相关ospf路由条目都已经获得

dis ospf lsdb

关于其他区域的路由信息都是通过“sum-net”这类LSA获取，这类LSA是不参与本区域的SPF算法运算的。

案例：配置OSPF的认证

OSPF支持报文验证功能，只有通过验证的报文才能接收，否则不能正常建立邻居关系。

1、基础配置

2、搭建OSPF网络

此时测试R1与R6的连通性，发现无法连通

配置所有路由器的回环路由，再次测试，就可以连通了

3、配置OSPF区域明文认证

R1上OSPF的区域1指定使用simple认证模式，配置plain参数，可以使得在查看配置文件时，口令均以明文方式显示。如果没有，将以密文显示。

[Huawei]ospf
[Huawei-ospf-1]area 1
[Huawei-ospf-1-area-0.0.0.1]aut  
[Huawei-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei1
[Huawei-ospf-1-area-0.0.0.1]dis this

此时可以看到口令是明文显示，可以重新配置，去掉plain参数，将会是密文显示。

查看R1与R2的ospf邻居

dis ospf peer brief 

R1与R2邻居关系中断，因为目前仅仅在R1上配置了认证，导致两者认证不匹配，在R2上配置认证

R1与R2的邻居关系状态正常了。在R4上做相同配置

4、配置OSPF区域密文认证

R2上配置OSPF区域0认证，验证模式为md5，标识符为1，口令为huawei3

5、配置OSPF链路认证

用链路认证可以达到与OSPF认证相同的效果，如果用链路认证，需要在同一个OSPF的链路接口下都配置链路认证，设置验证模式和口令。采用区域认证，在同一区域，只需要在OSPF进程下的相应区域视图下配置一条命令来设置验证模式和口令。

R2接口1配置链路认证

等待一段时间之后，R2与R4之间的OSPF邻居信息消失了。

案例：OSPF被动接口配置

OSPF被动接口也称为抑制接口，成为被动接口之后，将不会接收和发送OSPF报文。

1、基础配置

2、搭建OSPF网络

在PC1的接口1抓包，可以看到PC所在的网关路由器R4在不停向这条线路发出OSPF的Hello报文，尝试发现邻居。对于PC而言，该报文是无用的，也是不安全的。

3、配置被动接口

通告配置被动接口来优化连接终端的网络，使得终端不再接收OSPF报文。

[Huawei]ospf
[Huawei-ospf-1]silen  
[Huawei-ospf-1]silent-interface g0/0/1

再次抓包会发现不会再有OSPF报文。

如果有多个接口需要设置为被动接口，只有个别接口不是被动接口，可以用下面的命令

silent-interface all
undo silent-interface g0/0/1

对其他路由器做相同的配置

4、验证被动接口

配置被动接口，该接口禁止接收和发送OSPF报文，假设两台路由器间OSPF链路的接口上也做该配置，会导致OSPF邻居无法建立。

给R5配置被动接口之后，R5的OSPF进来全部消失，查看OSPF路由条目，所有的路由条目也丢失

dis ip routing-table protocol ospf

查看R1上是否有R4接口1上所连网段的路由条目，此时其他邻居路由器仍然可以收到该网段的路由条目。

被动接口特性为只是不再收发任何OSPF协议报文，但是被动接口所在网段的直连路由条目如果已经OSPF中通告，那么也会被其他的OSPF邻居路由器接收。

案例：理解OSPF router-ID

一些动态路由协议要求使用router-id作为路由器的身份标识，如果在启动这些路由协议时没有指定router-id，则默认使用路由器全局下的路由管理router-id。

1、验证router id选举规则

查看当前设备上的router id，默认是0.0.0.0

dis router id

在R1上配置IP地址等信息，可以看到所有接口信息

此时设备上的全局router id 是10.0.1.254，而不是环回地址1.1.1.1.因为接口配置顺序会影响router-id的选举，设备上第一次配置的是物理接口的地址，会触发router-id的选举。

删除该接口地址之后，也会触发router-id的选举，按照环回接口优先的规则选择了1.1.1.1作为router id。

可以采用手动配置的方式强制指定router-id为1.1.1.1，这样配置的优点是，即使该地址现在已经不是R1的任何接口的地址，也可以修改成为router-id

2、基础配置

3、理解OSPF的router id

在所有路由器上配置OSPF协议，并运行在区域0，用ospf router id来配置ospf协议的私有router id，如果不配置，则默认使用全局下的router id。

设备全局下的router id和路由协议的router id不同，如果在路由协议中没有配置router id，就会默认使用路由器的全局router id，如果配置了，则可以和全局router id不一致。

一般建议采用环回接口地址作为路由协议的router id，因为环回接口是逻辑接口，比物理接口更加稳定。

现在修改R2的router id 为3.3.3.3，使得R3与R2的router id重叠，并重置协议的进程使得配置生效

可以看到R2与R3的邻居关系消失，PC1与PC2也不能连通

由此可知，OSPF建立直接邻居关系时，router id 一定不能重叠。

还原R2之前的配置，调整R4的router id 为3.3.3.3

此时R2有两个3.3.3.3的邻居，查看R2的路由表

dis ip routing-table protocol ospf