OSPF高级特性
一, OSPF不规则区域类型
产生原因:区域划分不合理,导致的问题
类型
- 非骨干区域无法和骨干区域保持连通
- 骨干区域被分割
造成后果:非骨干区域没和骨干区域相连,导致ABR将不会帮忙转发区域间的路由信息;非骨干区域无法和骨干区域保持连通
解决办法
-
使用虚连接
解决方法:通过在一个中间区域的2个ABR上配置虚连接来使两端的区域实现逻辑上的连接,比如途中的中间区域就是area1 ,在R2和R4上配置虚连接即可
命令:在区域视图下:vlink-peer 1.1.1.1(对端路由器的router id)
特征:
只能在两个区域的边界路由器上配置
中间区域的区域视图下配置
只能穿越一个区域
注意:虚连接不能穿越stub区域,ASBR,NSSA区域 -
使用多进程双向重发布
重发布:在运行不同协议或不同进程的边界设(ASBR — 自治系统边界路由器,协议边界路由器)上,将一种协议按照另一种协议的规则发布出去
R4充当ASBR的角色,在其上运行两个OSPF协议。然后利用重发布进行共享。
[R4-ospf-1]import-route ospf 2
[R4-ospf-2]import-route ospf 1
二, 特殊区域
定义:
特殊区域是指人为定义的一些区域,它们在逻辑中一般处于OSPF区域的边缘,只与骨干区域相连接
分类:
1. STUB区域
- 定义:末梢区域,是用于区域中路由器性能较低,目的是为了减少区域中路由器的路由表规模以及路由信息传递的数量,不希望接收大量的AS以外路由的场景
- 特征:
不接受4类5类LSA;
不允许出现ASBR;
区域0不能配置为stub区域;
虽然拒绝学习域外路由信息,但依然有访问域外路由的需求,故会由ABR设备自动下发一条指向区域的3类缺省; - 命令:[r5-ospf-1-area-0.0.0.2]stub
2. totally stub区域
- 定义:完全末梢区域,拒绝学习域外和其他区域的路由信息
- 特征:
不接受3、4、5类LSA:
不允许出现ASBR:
区域0不能被配置为totally stub区域:
虽然拒绝学习域外路由信息,但依旧有访问域外路由的的需求,故会由ABR设备自动下发一条指向骨干区域的3类缺省; - 命令:[r5-ospf-1-area-0.0.0.2]stub no-summary
3. NSSA区域(Not-So-stubby Area)
- 定义:非纯末梢区域,是stub区域的变形,拒绝学习区域外(主要是5类)路由信息,但需要引入后面的域外路由信息
- 特征:
不接受4、5类LSA;
本区域引入的外部路由以7类LSA存在;
本区域ABR会把引入的7类LSA转化为5类LSA通告给其他区域;
华三中默认缺省需要手动,华为中为自动下发,均为7类LSA(命令:nssa default-router-advertise) - 命令:[r5-ospf-1-area-0.0.0.2]nssa
4. totally NSSA区域
- 定义:完全非纯末梢区域
- 特征:
不接受3、4、5类LSA
本区域引入的外部路由以7类LSA存在
本区域的ABR会把引入的7类LSA转换为5类 LSA通告给其他区域
本区域默认路由由ABR发送3类LSA产生
区域0不能被配置为totally NSSA区域 - 命令:[r5-ospf-1-area-0.0.0.2]nssa no-summary
- 特殊区域的条件:不能是骨干区域;不能存在虚链路;
三, OSPF路由聚合
- OSPF路由只能手动聚合LSA,将具有相同前缀的路由信息聚合后发布到其他区域
- 聚合条件:针对3类、5类、7类LSA;OSPF路由只能手动聚合(LSA)
聚合类型:
-
ABR聚合(3类)
把一个区域的LSA聚合后发布到相邻区域;
在传入区域的区域试图配置:命令:[r1-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0
ABR聚合不会影响ABR本机的路由,只会影响相邻区域的下游路由器的路由;
ABR 聚合后,会在ABR本机上产生一条该聚合的黑洞路由,来防止环路出现;(华三) -
ASBR聚合(5类、7类)
把引入的AS外部路由聚合后发布到OSPF内部;
在协议视图配置.命令:[r4-ospf-1]asbr-summary 172.16.0.0 255.255.252.0
只对5类、7类的LSA 进行聚合;
ASBR聚合不会影响ASBR本机的路由,只会影响OSPF内部的其他路由器;
ASBR 聚合后,会在ASBR本机上产生一条该聚合的黑洞路由,来防止环路出现;(华三)
注:使用聚合实现路由过滤,在聚合后加入not-advertise参数
四, OSPF的安全特性
1. OSPF报文验证:
- 区域验证模式:在区域配置一致的密码才能同一个区域。[r3-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher 123456
- 接口验证模式:链路两端的接口必须配置一致的密码才能建立邻居关系。[r5-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456
- 虚链路认证(本质接口认证):[r4-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3 md5 1 cipher 123456
- 注:接口认证高于区域认证,只要接口验证通过,区域验证哪怕认证失败,也不影响邻接关系建立
2. 禁止端口发送OSPF报文
为了使OSPF路由信息不被其他路由器获得,配置静默接口:[r5-ospf-1]silent-interface GigabitEthernet 0/0/2
3. 路由过滤
- 特点:影响本机及下游路由器的OSPF表的学习,过滤本机及下游路由器的LSDB表中的LSA,在协议视图下配置进方向
- 在传入区域的区域视图下配置出方向,不影响本机OSPF表的学习,但影响下游路由器OSPF表的学习,过滤本机及下游路由器的LSDB表中的LSA
- 过滤5类/7类LSA:
[r4-ospf-1]asbr-summary 172.16.0.0 255.255.252.0 not-advertise
ASBR聚合不会影响ASBR本机的路由,只会影响OSPF内部的其他路由器
五, 加快收敛
-
- 修改hello时间:[r5-GigabitEthernet0/0/0]ospf timer hello 5
-
- 修改死亡时间:[r1-GigabitEthernet0/0/0]ospf timer dead 20
-
- 其他计时器:
重传时间默认5S:[r5-GigabitEthernet0/0/0]ospf timer retransmit ?
INTEGER<1-3600> Second(s)
- 其他计时器:
六, 缺省路由
(1)3类缺省:自动下发,优先级10
(2)5类缺省:手工配置,优先级150
命令:[r2-ospf-1]default-route-advertise — 相当于将本设备上通过其他方式学到的缺省路由,重发布到OSPF网络当中
(3)7类缺省:
自动下发,通过配置特殊区域自动下发,优先级150
手工下发,优先级150
命令:[r2-ospf-1]default-route-advertise always — 在设备上没有其他网络学来缺省信息时,可以强制下发一条7类缺省。
七, 路由控制
1. 优先级
[r3-ospf-1]preference 50 — 修改OSPF路由默认优先级,只影响本机OSPF路由的学习
[r3-ospf-1]preference ase 100 — 修改域外导入的路由的默认优先级。
2. 开销值
[r3-ospf-1]bandwidth-reference 1000 — 修改参考带宽需要将所有OSPF网络中的设备都改成相同的。
[r3-GigabitEthernet0/0/0]undo negotiation auto — 关闭自动协商
[r3-GigabitEthernet0/0/0]speed 10—修改接口真实传输速率
[r3-GigabitEthernet0/0/0]ospf cost 1000 — 修改接口开销值
八, OSPF防环
区域间防环:牢记区分划分原则,就可避免环路
区域内防环:OSPF区域内部计算出的路由信息是不会存在环路的,这主要得益于OSPF使用的算法 — SPF(最短路径优先)算法。