OSPF扩展
1、OSPF的扩展配置:
1)认证
①接口认证
[r3]interface GigabitEthernet 0/0/1 在直连邻居的接口上配置即可
[r3-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cisco123 密文认证,key编号1,密码为cisco123,密码直接以MD5值传递;
②区域认证
[r3]ospf 1
[r3-ospf-1]area 0
[r3-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher 123456
//注:配置完成后,该设备所有属于区域0的接口全部基于该秘钥认证
③虚链路认证——在虚链路建立后,进行配置即可
[r3]ospf 1
[r3-ospf-1]area 1
[r3-ospf-1-area-0.0.0.1]vlink-peer 对端非法ABR的RID md5 1 cipher 123456
2)被动接口(沉默接口)——用于连接PC终端的接口,仅接收不发送路由协议信息
切记不能配置于连接邻居的接口,否则无法建立邻居关系;
[r3]ospf 1
[r3-ospf-1]silent-interface GigabitEthernet 0/0/0
3)加快收敛(修改计时器)——OSPF的hello time 为10或30s;dead time为hello time的4倍;
修改本端的hello time,本端的dead time自动4倍关系匹配;直连邻居间hello time和dead time必须完全一致,否则无法建立邻居关系;
改小计时器可以加快收敛速度,但将增加对网络资源占用;故修改时不宜修改过小,维持原有的倍数关系;
[r3]interface GigabitEthernet 0/0/1
[r3-GigabitEthernet0/0/1]ospf timer hello 5
4)缺省路由——3类的缺省、5类的缺省、7类缺省
①3类缺省
配置特殊区域后自动生成;将一个非骨干区域配置为末梢、完全末梢、完全NSSA区域后,该区域连接到骨干区域的ABR将向该区域发送
②5类缺省
在边界路由器上,本地路由表中通过其他协议或OSPF的其他进程生成了缺省路由条目(前提),之后使用重发布机制将该条目重发布到ospf的协议中来;
[r4]ospf 1
[r4-ospf-1]default-route-advertise //重发布本地路由表中通过其他方式产生的缺省路由进OSPF
5类LSA默认导入路由为类型2,起始度量为1;
[r4-ospf-1]default-route-advertise type 1 cost 10 修改类型和起始度量
若本地路由表中没有缺省条目,也可以让设备强制向内网发送一条5类缺省
[r4-ospf-1]default-route-advertise always //默认为类型2,cost值为1
[r4-ospf-1]default-route-advertise always type 1 cost 10 修改类型和起源度量
默认所有的5类LSA基于类型2传递:
类型1:目前的总cost值
类型2:仅显示起始cost值(也称为种子度量值)
③7类缺省
普通的NSSA区域,该区域连接骨干区域的ABR,将向该区域自动发布7类缺省;也可在NSSA区域内手动生成出7类缺省
[r4]ospf 1
[r4-ospf-1]area 1
[r4-ospf-1-area-0.0.0.1]nssa default-route-advertise //默认为类型2 ,起始度量为1;
注:若同一台设备同时接受到多条不同类型的缺省时;
优选顺序:内部优于外部,类型1优于类型2,最后比度量;
2、OSPF的扩展知识
1)附录E——link-id相同的问题
若一台ABR将两条3类LSA导入其他区域;同时这两条LSA的link-id相同(实际不同掩码长度);
解决方法:
①短掩码网段先进入,link-id正常显示,长掩码再进入时link-id加反掩码
20.1.0.0/16–link-id 20.1.0.0
20.1.0.0/24–link-id 20.1.0.255
②若长掩码先进入,再短掩码进入时,长掩码的信息会被刷新为反掩码;
2)OSPF选路规则
①AD(管理距离)无关的第一种情况
r2(config)#router ospf 1
r2(config-router)#distance 109 1.1.1.1 0.0.0.0
本地从RID为1.1.1.1的设备处学习到路由条目,管理距离修改109;
一台路由器从两个OSPF邻居处学习到了两条相同的路由时,仅比较度量值,不关注管理距离;因为仅针对一台邻居进行管理距离修改的结果是要么两台都被改,要么修改失败;-关注IOS版本—有时修改RID大路由器管理距离生效,有时需要修改RID小的设备;
②AD(管理距离)无关的第二种情况(O IA 3类)
O IA 与 O IA路由相遇,到达相同目标的两条3类路由,这两条路由均通过非骨干传递,仅关注cost值,不关注管理距离;
若一条通过骨干区域传递,另一条同过非骨干区域传递–非骨干传递的路由无效
OSPF的区域水平分割:区域标号为A的3类LSA,不能回到区域A;
先比类型—>区域(骨干/非骨干)—>cost
③OE 与 OE
E为5类,N 为7类,默认所有重发布进入路由条目均为类型2,类型2在路由表中cost值不会显示沿途的累加,仅显示起始度量;
两条均为OE2或者均为N2,起始度量相同; 关注沿途的累加度量 (OE2路由在表中度量默认不显示内部度量,仅显示起始度量)
两条均为OE2或者均为N2,起始度量不同;优先起始度量小的路径;
注:以上设计是便于管理员快速干涉选路;
OE1路由仅比较总度量(起始度量+沿途累加),仅修改起始度量不一定能干涉选路,必须在修改或使得总度量产生区别才能干涉选路;
④拓扑优于路由——1/2LSA计算所得路由优于3/4/5/7类计算所得
内部优于外部——3类优于4/5/7类;
类型1优于类型2(5类和7类)——E1优于E2,N1优于N2,E1优于N2,N1优于E2;
E1与N1相遇,或E2与N2相遇,先比总度量(起始+沿途)小优;
度量一致5类优于7类;
3)FA——转发地址
正常OSPF区域收到的5类LSA不存在FA值;
产生FA的条件:
①5类LSA ---- 假设R2为ASBR,g0/0口工作的OSPF中,g0/1口工作在非ospf协议或不同ospf进程中;若g0/1也同时宣告在和g0/0相同的OSPF进程中,同时该接口的工作方式为广播型;
将在5类LSA中出现FA地址,地址为R2连接R3网段中R3的接口ip;
③7类LSA—必然出现FA地址
假设R9为ASBR,S0/0口工作的OSPF中,S0/1口工作在非ospf协议或不同进程中;
S0/1未运行OSPF–FA地址为R9上最后宣告的环回地址(个别IOS也可能是最大环回接口ip地址),若R9没有环回接口;FA地址为R9上最后宣告的物理接口地址(个别IOS也可能是最大的物理接口ip地址)
R9的S0/1也工作OSPF协议中,S0/1接口工作方式为广播,那么FA地址为R10接口ip;
S0/1的工作方式为点到点,那么FA地址为R9的s0/1口的接口ip
切记:在FA地址出现后,4类LSA无效;人为过滤掉4类LSA,依然可达域外;
当4类LSA存在,却人为过滤了到达FA地址的路由,那么将无法访问域外;
一旦出现FA地址,所有的选路计算均基于FA地址进行,不需要再验算到ASBR的距离;
1)针对存在FA的5/7类路由,4类LSA无意义,仅递归到FA地址;若FA地址被策略过滤导致不可达;
2)路由表中的度量是到FA地址的度量,不是到ASBR的度量;
4)NP位+E位 P位被加密,故抓包时看不见P位;
正常NSSA区域内的1类LSA中,N=1 E=0 标识该区域转发7类LSA,不转发5类
非NSSA区域E=1 N=0 标识可以转发5类,不能转发7类
P位为1,标识该区域将执行7类转5类; P为0,不能7转5;
区域0连接到两个非骨干区域,这两个非骨干假设为区域1和区域2;区域1/2同时连接外部协议,且同时进行了重发布配置;区域1为NSSA区域,区域2为非NSSA区域;那么此时的区域1,P位=0不能进行7转5;故骨干区域只能收到从区域2来的外部路由;
若NSSA和非NSSA均将同一条域外路由向内部传递,仅非NSSA区域可以实现;
若区域1和区域2均为NSSA区域,那么ABR的RID大的非骨干区域进行7转5,另一个区域不转,
故同一条域外路由,骨干区域只能收到从一个非骨干区域传递的外部路由;
若以上条件中,两个区域均为非NSSA区域,那么P位无效,此时的两个非骨干区域的路由均会进入骨干区域;
5)SFP算法 –OSPF防环机制
①在同一个区域每台路由具有一致的LSDB
②每台路由器以自己为根计算到达每个目标的最短路径(最小cost值)
③必须区域划分--
优势:
①域间汇总减少路由条目数量
②汇总路由是在所有明细路由均消失后才删除,网络更稳定
③区域划分后不同类别的LSA传播范围不同,控制更新量
6)过程
基于本地LSDB(1/2类LSA)生成;
生成有向图;
基于有向图来进行最短路径树生成最短路径树,关注本地LINK-ID的LSA开始;
基于该LSA内提及到点到点或传输网络信息再查看link-id递归到下一条信息;
基于所有点到点和传输网络信息生成最短路径树主干;
用树中每台设备的末梢网络信息补充路由表,完成收敛。
474
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
