保护"非骨干区域"
不受到外部链路或者其他区域的链路的影响,
设置为“特殊区域”
确保这些区域没有外部路由的LSA以及区域之间的路由的LSA,实现对这个区域的保护。
保护"骨干区域"
骨干区域是没有办法配置为“特殊区域”的
骨干区域也会受到外部链路或者其他区域的链路的影响
使用:汇总
对外部路由的LSA以及区域之间的路由的LSA做汇总
汇总概述
路由汇总的本质就是:
将很多的路由,变成很少的路由。只发汇总之后的路由,不发明细路由
对OSPF协议而言,汇总指的就是:
在OSPF邻居之间,发送大量LSA的时候,将大量的LSA“汇总”成数量很少的LSA。
汇总类型
3类LSA(summary)- 表示的是区域之间的OSPF路由【在该区域的ABR上配置】
该类型的LSA,只能由ABR产生
所以3类LSA汇总,只能在ABR上配置
拓扑
配置案例:
对R1上通过network方式宣告进入到12区域的路由,进行3类LSA汇总。
想汇总那个区域的路由就在该区域的ABR 设备上 - R2,并且是在 区域 12 中。
R1:
interface loopback 1
ip address 10.10.1.1 24
quit
interface loopback 2
ip address 10.10.2.2 24
quit
interface loopback 3
ip address 10.10.3.3 24
quit
interface loopback 4
ip address 10.10.4.4 24
quit
ospf 1
area 12
network 10.10.1.0 0.0.0.255
network 10.10.2.0 0.0.0.255
network 10.10.3.0 0.0.0.255
network 10.10.4.0 0.0.0.255
quit
quit
R2:
ospf 1
area 12
abr-summary 10.10.0.0 255.255.0.0
text
5/7类LSA - 表示 OSPF 的外部路由 【在ASBR上配置】
该类型的LSA,只能由ASBR产生
所以5类LSA汇总,只能在ASBR上配置
拓扑
配置案例:
R6上通过import-route 方式宣告的路由,进行5类LSA汇总。
5类LSA只能通过ASBR产生,所以汇总命令配置在 ASBR 上。
R6:
interface loopback 1
ip address 10.60.1.1 24
quit
interface loopback 2
ip address 10.60.2.2 24
quit
interface loopback 3
ip address 10.60.3.3 24
quit
interface loopback 4
ip address 10.60.4.4 24
quit
R6:
ospf 1
import-route direct //宣告外部路由
asbr-summary 10.60.0.0 255.255.0.0
text
汇总的好处
节省设备资源以及中间传输信息时候节省带宽
提高数据转发的速度
提高了网络的稳定性
OSPF安全认证
防止非法接入的路由器不能与骨干区域建立邻居关系
OSPF链路认证,即对运行OSPF协议的接口发送和接收的OSPF 报文进
行加密和认证
认证方式
链路认证
配置位置:接口中
只有配置了认证的接口 发送OSPF报文时 会加密 接收OSPF报文时会 检查密码
区域认证
配置位置:在区域中
设备所在区域的所有接口 都会 发送OSPF报文时 会加密 接收OSPF报文时会 检查密码
区域认证比链路认证,节省了很多工作量,少配置了很多命令;
同时启用了链路认证和区域认证,那么链路认证的优先级更高。
认证类型
明文类型
密文类型
认证配置原则:
认证模式必须一致
密码必须一致
key-id必须一致
链路认证:指的是在接口上配置认证的相关命令
拓扑
思路
如图配置接口IP地址和OSPF多区域网络
在属于区域0的链路上配置OSPF链路认证
R2-R3、R3-R4配置明文认证,R4和R5之间配置密文认证
配置
明文配置:
R2:
in g0/0/0
ospf authentication-mode simple HCIE
认证模式 明文 密码
q
R3:
in g0/0/1
ospf authentication-mode simple HCIE
in g0/0/0
ospf authentication-mode simple HCIP
q
R4:
in g0/0/1
ospf authentication-mode simple HCIP
q
密文配置:
in g0/0/0
ospf authentication-mode md5 10 HCIA
认证模式 密文 key-id 密码
q
R5:
in g0/0/1
ospf authentication-mode md5 10 HCIA
q
纯文本
区域认证:指的是在区域中配置认证的相关命令
配置命令:
R4:明文
ospf 1
area 0
authentication-mode simple cipher HCIA
quit
R4:密文
interface gi0/0/1
ospf authentication-mode md5 10 cipher HCIA
quit
一旦配置了这个认证,R4上属于区域 0 的接口(Gi0/0/0和Gi0/0/1)就都启用认证了:
即在这两个端口上发送 OSPF 报文的时候,都加密码;
在这个两个端口上接收 OSPF 报文的时候,都检查密码;
text
报文格式查询工具
Huawei Info+ - 报文格式查询 - Info Finder(企业网) - Huawei
OSPF不规则区域解决方案:
不规则:非骨干没有与骨干区域相连,无法通信
根本原因:没有路由
可以用静态路由与动态路由解决
使用OSPF解决思路:
OSPF内部路由:
改造OSPF区域扩容34区域
OSPF区域路由:
OSPF之间传递的是LSA 是制作路由条目的原料
3类LSA 表示区域之间的路由信息
3类LSA只能由ARB产生
ABR是同时连接骨干区域与非骨干区域的设备
可以想办法将区域12的R2设备变成ARB
解决方案 - 铺设线路(配置IP/宣告进区域0) / 虚链路 / GRE隧道
OSPF外部路由:
通过import route 宣告区域12的路由
在同一个路由器上,运行多个OSPF进程,然后彼此之间相互导入
将区域12的R2设备变成ARB
解决方案1:铺设线路
时间长-成本高
解决方案2:虚链路
特点:
没有接口,不需要配置IP地址。
不需要在 OSPF 协议中通过 network 命令进行宣告
两个设备之间的邻居关系就永远 属于 OSPF 区域 0
拓扑
配置
在R2和R5之间配置虚链路的时候,必须确保R2和R5所在的区域 34 的邻居都是 Full
在虚链路的配置命令后面跟的是对方设备的 router-id ,不是接口IP地址
R2:
ospf 1 router-id 2.2.2.2
area 34
vlink-peer 5.5.5.5
quit
R5:
ospf 1 router-id 5.5.5.5
area 34
vlink-peer 2.2.2.2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
查看虚链路建立的 OSPF 邻居关系:
display ospf vlink
查看R2的设备角色时候真的变成了 ABR:
display ospf brief
纯文本
缺点:
虚链路所穿越的中间区域,不能是“特殊区域”,也不能是“骨干区域”
该块暂时无法转换。
解决方案3:GRE隧道
思路
1在R2和R5之间,建立一个虚拟的通道 - GRE 隧道
为了让R2 和 R5 建立的隧道更加稳定,所以我们在R2和R5上建立一个loopback接口
然后宣告进入到 区域 34,确保这两个回环口的互通。
2为该隧道配置一个IP地址,并将这个网段宣告进入到 OSPF 区域 0
3让 R2 和 R5 通过 隧道建立一个区域 0 的 OSPF 邻居关系。
配置
-----------------------
先让R2与R5的loopback接口互通
R2:
interface LoopBack 1
ip add 10.10.25.2 24
Q
ospf
area 34
network 10.10.25.0 0.0.0.255
q
R5:
interface LoopBack 1
ip add 10.10.25.5 24
Q
ospf
area 34
network 10.10.25.0 0.0.0.255
q
-------------------------------------
GRE隧道配置:
R2:
interface Tunnel0/0/25 //创建隧道
tunnel-protocol gre //选择GRE协议(挖隧道的工具)
source 10.10.25.2 //从R2loopback接口地址为源
destination 10.10.25.5 //到R5loopback接口地址为目标
ip address 192.168.25.2 24 //隧道挖通后配置IP地址
Q
ospf 1
area 0
network 192.168.25.0 0.0.0.255 //将隧道接口网段宣告进区域0
q
R5:
interface Tunnel0/0/25
tunnel-protocol gre
source 10.10.25.5
destination 10.10.25.2
ip address 192.168.25.5 255.255.255.0
Q
ospf 1
area 0
network 192.168.25.0 0.0.0.255
q
<R2>display ip interface brief
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 192.168.23.2/24 up up
GigabitEthernet0/0/1 192.168.12.2/24 up up
GigabitEthernet0/0/2 unassigned down down
LoopBack0 10.10.2.2/24 up up(s)
NULL0 unassigned up up(s)
Tunnel0/0/25 192.168.25.2/24 up up
检查R2是否有区域0的邻居R5:
<R2>display ospf peer brief
OSPF Process 1 with Router ID 2.2.2.2
Peer Statistic Information
----------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 Tunnel0/0/25 5.5.5.5 Full
0.0.0.12 GigabitEthernet0/0/1 1.1.1.1 Full
0.0.0.234 GigabitEthernet0/0/0 3.3.3.3 Full
----------------------------------------------------------------------------