一、OSPF协议
1、路由分类
-直连路由
-非直连路由
&:静态路由
&:动态路由
@:IGP:内部网关路由协议-在同一个AS内部使用的1(在企业内部或者数据中心内部使用)
-DV:距离矢量路由协议
-RIP(v1/v2)
-IGRP-思科私有协议
-EIGRP-思科私有协议
-LS:链路状态路由协议
** -OSPF:开放式最短路径优先
-ISIS : 中间系统到中间系统**
@:EGP:外部网关路由协议:在不同的AS之间使用(AS:自治系统)
** -BGP:边界网关协议**
2、OSPF是什么
-开放式最短路径优先
-版本:ospfv2(IPv4) 和ospfv3(IPv6)
-OSPF位于OSI参考模型的第三层,数据封装在IP报头的后面
-协议号是89
-场景:适用于中、大型网络规模,常见的场景有
&政企网,层次化的网络架构中
&数据中心内部,用于实现把不同的网段打通
-作用:便于大型网络中对路由的管理和维护
-优点:
▫基于SPF算法,以“累计链路开销”作为选路参考值
▫采用组播形式收发部分协议报文
▫支持区域划分
▫支持对等价路由进行负载分担
▫支持报文认证
3、OSPF的工作过程
-建立邻居表(邻接表):和小姐姐成为朋友
-同步数据库:交换个人信息(家庭住址)
-计算路由表:计算出从我们家到她家的最优的路径
4、OSPF基本配置
1)拓扑
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dlavYnqq-1684048533300)(https://secure2.wostatic.cn/static/7mj4K8R8PnsrtKtFZtJmC8/image.png?auth_key=1684048464-xs71QUKgqR1k3L8te4FM61-0-52119e66cd0df06526a2c60fff60c7e2)]](https://img-blog.csdnimg.cn/66079a94b7d34ecab92302fb1a3fda77.png)
2)需求:R1和R2建立邻居关系
3)配置思路:
-配置OSPF进程号
-配置OSPF router-id
-配置OSPF 区域号
-宣告网段到OSPF
4)配置步骤(命令)
R1的配置:
[R1]ospf 1 router-id 1.1.1.1 //指定进程号和router-id
[R1-ospf-1]area 0 //进入骨干区域0
[R1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //宣告直连网段
R2的配置:
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
5)验证邻居关系是否建立
[R1]display ospf peer brief //显示邻居表的简要信息
二、OSPF邻居表详解
1、OSPF邻居表
[R1]display ospf peer brief
OSPF **Process 1** with **Router ID** 1.1.1.1
Peer Statistic Information
----------------------------------------------------------------------------
**Area Id ** **Interface ** **Neighbor id ** ** State **
0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 Full
----------------------------------------------------------------------------
2、邻居表字段解析
**Process : 进程号**
1)作用:在同一个设备上,区分不同的ospf路由协议
2)通过不同的进程号的ospf 协议所学习到的路由信息是不会自动相互传递的,从而实现各个ospf 协议之间的隔离
3)ospf 进程号只在本地路由器起作用,不同的路由器的进程号,可以相同,也可以不同
4)进程号范围 <1-65535>,配置ospf的时候,如果没有手动指定进程号,默认值是1
**Router ID :**
1)ospf协议给路由器起的一个名字,格式类似于IP地址(点分十进制)但是不是IP地址
2)在ospf 网络中,router-id 是唯一的标识一台路由器
3)router-id 的生产方式
&:手动配置
[huawei] ospf 1 router-id 1.1.1.1 //手动指定的命令
备注:当路由器已经选择了router-id 后,我们手动配置的router-id 并不会生效,
这个主要是为了网络的稳定性
-如果已经有了router-id ,后来又自己手动指定的router-id ,我还想让他生效,怎么办?
重启ospf 进程,怎么重启:
<huawei> reset ospf process
<huawei> reset ospf 1 process
&:自动选举:**(那个接口先配置IP地址,那个接口的IP被选举为router-id)**
-如果配置ospf 协议的时候,没有手动指定router-id ,会进行自动选举
-首先选举本设备上的loopback接口的IP地址,
-如果本设备上有多个loopback接口怎么办,选择IP地址最大的那个
-如果没有配置loopback 接口怎么办,选举物理接口IP地址
-如果有多个物理接口的IP地址怎么办,选举IP地址最大的那个
**Area Id :区域号**
1)表示的是与对方设备建立邻居关系时,所使用的区域号
2)对于ospf 来说,这个区域号一定不能少
3)区域号的表示方式有两种
&: 十进制数: 0-4294967295
&:点分十进制: 0.0.0.0 - 255.255.255.255
4)区域分为两类:
&: 骨干区域: 0
&: 非骨干区域 : 不为 0
**Interface :**
-表示的是与对端建立邻居关系时,所使用的接口
** Neighbor id:**
-表示的是邻居的router-id (不是邻居的接口IP地址)
**State :**
-表示的是邻居的状态
**基于上面的拓扑而言:**
-我们在R1和R2上面都启用了ospf 协议
-并且我们通过network 192.168.10.0 0.0.0.255 进行了网段宣告
-所以 R1和R2才会在自己的g0/0/0 接口上,发送和接受ospf 报文
-R1和R2之间,通过发送hello 报文,接收hello 报文,比较hello 报文,建立邻居关系
-R1和R2之间,通过周期性(默认10秒)的发送hello报文,用于维护邻居关系
-R1和R2之间,如果在一段时间内(4倍的发送周期),收不到对方的hello报文,会认为邻居故障,会断开和邻居的关系
3、抓包分析:OSPF Header
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I0rp6QUr-1684048652735)(https://secure2.wostatic.cn/static/uRHs6RqQ85E78mcGJAZt6Z/image.png?auth_key=1684048483-ctDFKpNiyYkkg9U9yw147j-0-20d8bca17cc37e379fdc0e93819703fd)]](https://img-blog.csdnimg.cn/d0364d1b20844c67a3f9244c578f7ac4.png)
报文字段解析:
**OSPF Header 头部报文解析:**
**【 OSPF Version 】**
这个字段,指的是OSPF的版本
版本2——针对的是IPv4的网络
版本3——针对的是IPv6的网络
**【 Message Type 】**
消息类型
OSPF中,一共有五种报文:Hello、DD、LSR、LSU、LSAck
分别对应了1、2、3、4、5
**【 Packet Length 】**
报文的长度,不可修改
**【 Source OSPF Router 】**
发送这个Hello报文的路由器的Router ID
而在一个OSPF网络中,Router ID就是用来唯一标识一台路由器的
所以,不同路由器的Router ID不能相同
**【 Area ID 】**
发送这个Hello报文的接口,所在的区域
两台路由器,想要建立邻居,它们的互联接口,必须在同一个区域中
**【 Packet Checksum 】**
报文的校验和,用来校验报文是否完整
**【 Auth Type/Data 】**
这里指的是OSPF的认证
认证的类型必须相同,认证的密码必须一致OSPF Header 头部报文解析:
4、抓包分析:OSPF Hello Packet
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KoQH3JrM-1684048652739)(https://secure2.wostatic.cn/static/6ftzvkoVWoi3CCS14GqY1L/image.png?auth_key=1684048484-nSPfwCnzUBt6LUurjDRrqp-0-bf2e43467bf7f86595020825bb91643e)]](https://img-blog.csdnimg.cn/11bde2f9bf0d4d07a5dd2a7d45afd8ea.png)
OSPF Hello Packet 报文解析:
**【 Network Mask 】**
子网掩码
默认情况下:两个建立OSPF邻居的路由器,互联接口的掩码必须相同
**【 Hello Interval 】**
Hello时间间隔/Hello计时器/Hello时间
就是发送这个Hello报文的路由器,多长时间发一个Hello包
默认情况下:Hello时间为10秒
两台路由器,想要建立OSPF邻居,它们的Hello时间必须相同
** 【 Option 】**
特殊标记位
不同的区域类型的标记位也不同
想要建立OSPF邻居,Option位必须相同
**【 Router Priority 】**
DR优先级,用于DR选举
如果两台想要建立OSPF邻居的路由器,在互联接口上都配置了自己的DR优先级为0,那么,两台路由器都不会参加DR选举
而在需要DR的网络中,选举不出DR,邻居就无法继续建立
所以,两台设备DR优先级为0,在需要DR的网络中,邻居状态会卡在2-way
** 【 Router Dead Interval 】**
Dead时间/死亡时间
默认情况下:是Hello时间的4倍=40秒
Dead时间会随着Hello时间的改变而改变,但还是4倍关系
所以,我们如果更改Dead时间,一定要注意是否受Hello时间影响,
即:我们需要单独更改Dead时间(手动配置的Dead时间优先于默认情况——4倍Hello时间)
【Designated router 】 : DR :指定路由器
【backup Designated router】 :BDR :备份指定路由器
【Active Neighbor 】: 活跃的邻居,我认可的邻居
三、OSPF单区域实验
拓扑
需求
需求:PC1和PC2互联互通
配置步骤
1)配置ospf 进程号
2)配置ospf router-id
3)配置ospf区域号
4)宣告直连网段到ospf
配置命令
**** R1的配置:****
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
**** R2的配置:****
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
**验证与测试:**
PC1 ping PC2 可以通
display ip routing-table //能查看到ospf的路由条目
四、OSPF的工作过程
OSPF工作过程:三张表:建立邻居表、同步数据库、计算路由表
-建立邻居表:成为朋友,交换个人基本信息
hello报文:建立邻居关系和维护邻居关系
打招呼:你好,我是小红
您好,我是小兰
你好,小兰,我是小红,我和你是朋友
你好,小红,我是小兰,我和你是朋友
周期性发送hello ,用于维护邻居关系(朋友关系)
-同步数据库:把秘密分享给对方(我有有多少邻居,邻居特点,住址)
DD报文:用于描述数据库摘要信息
小红家:有蔬菜 小兰家:有肉
黄瓜 猪肉
LSR报文:用于请求对方数据库中的LSA(链路状态通告)
小红:兰姐,我想要你家的猪肉
小兰:红妹,我想要你家的黄瓜
LSU报文:根据对方的请求,更新信息,传递LSA
小兰:红妹,猪肉发了,你查收一下
小红:兰姐,黄瓜发了,你查收一下
LSACK:报文收到对方的更新信息(LSA)进行确认
小红:兰姐,你的猪肉,我收到了,谢谢你
小兰:红妹,你的黄瓜,我收到了,谢谢你
-计算路由表:根据得到的信息构建一张地图,根据地图导航最优路径
五、报文类型
-Hello 用于发现、建立、维护邻居关系
-DD 用于描述数据库摘要信息(发菜单)
-LSR 请求数据库中没有的LSA信息
-LSU 根据对方的请求信息,更新给对方
-LSack 收到对方的更新信息后,进行确认
六、OSPF路由角色
- 骨干路由器:路由器只要有一个接口在骨干区域
- 非骨干路由器:路由器的所有接口都在非骨干区域
- ABR(区域边界路由器) 同时连接着骨干区域和非骨干区域的路由器
- ASBR(自治系统边界路由器)具有产生外部路由能力的路由器
七、OSPF区域
1、区域划分:
OSPF适用于大型网络,采用分层设计,分为骨干区域和非骨干区域。
2、OSPF 骨干区域
区域号为0,表示的就是“骨干区域”
3、OSPF 非骨干区域
区域号不为0,表示的就是“非骨干区域”
4、非骨干区域必须和骨干区域“直接”相连,能实现“区域之间的互通”
5、OSPF 区域的表示
通过十进制表示,例如区域 0、1、2、3等
通过点分十进制表示,例如区域 0.0.0.0 、0.0.0.1、0.0.0.2等
八、OSPF多区域实验案例
拓扑
需求
实现全网互联互通
配置步骤
1)配置PC接口IP地址
2)配置路由器的接口IP地址
3)配置OSPF
-创建ospf 进程 和 router-id
-配置ospf 区域id
-宣告直连网段进ospf
4)验证结果
配置命令
**第一步:配置PC接口IP地址
第二步:配置路由器接口IP地址
第三步:配置OSPF:**
**R1配置:**
ospf 1 router-id 1.1.1.1
area 0.0.0.12
network 192.168.1.0 0.0.0.255
network 192.168.12.0 0.0.0.255
**R2配置:**
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.23.0 0.0.0.255
area 0.0.0.12
network 192.168.12.0 0.0.0.255
**R3配置:**
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 192.168.23.0 0.0.0.255
network 192.168.34.0 0.0.0.255
**R4配置: **
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.34.0 0.0.0.255
network 192.168.45.0 0.0.0.255
**R5配置:**
ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 192.168.45.0 0.0.0.255
area 0.0.0.56
network 192.168.56.0 0.0.0.255
**R6配置:**
ospf 1 router-id 6.6.6.6
area 0.0.0.56
network 192.168.2.0 0.0.0.255
network 192.168.56.0 0.0.0.255
**第四步:验证结果**
display ospf peer brief //查看邻居表简要信息
<R1>display ip routing-table protocol ospf
PC1 ping PC2 验证结果
九、邻居建立失败的原因
1、邻居建立失败的原因有那些?
1)两台路由器router-id 不能相同,才能建立邻居关系
2)两台路由器互联接口的Area id 必须相同,才能建立邻居关系
3)两台路由器的接口的IP地址的子网掩码必须一致,才可以建立邻居关系
4)两台路由器接口的Hello 时间必须一致,才能建立邻居关系
5)两台路由器接口的Dead时间必须一致,才能建立邻居关系
6)两台路由器的优先级不能全为0 (全为0可以建立邻居,无法建立邻接)
7) 认证类型必须相同(才能建立邻居关系)
8) 认证密码必须相同(才能建立邻居关系)
9)特殊标记位必须相同(才能建立邻居关系)
实验1:两台路由器的router-id 不能相同,如果相同,不能建立邻居关系
1)修改R1路由器的的router-id 为2.2.2.2 让R1的router-id 和R2的router-id 相同
2)配置命令
[R1]ospf 1 router-id 2.2.2.2 //修改R1的router-id 为2.2.2.2
<R1>reset ospf process //重启ospf 进程
3)验证:无法建立邻居关系
<R1>dis ospf peer br
OSPF Process 1 with Router ID 2.2.2.2
Peer Statistic Information
----------------------------------------------------------------------------
Area Id Interface Neighbor id State
----------------------------------------------------------------------------
4)结论: 两台路由器的router-id 不能相同,如果相同无法建立邻居关系
5)备注:验证完成,记得恢复配置,把R1的router-id 在改回1.1.1.1
实验2: 两台路由器互联的接口所在的Area id 必须相同,如果不同,无法建立邻居关系
1)修改R1路由器的的Area id 为2 让R1的Area id 和R2的Area id 不相同
2)配置命令
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area 0]undo network 192.168.10.0 0.0.0.255
[R1-ospf-1-area 0]area 2
[R1-ospf-1-area 0]network 192.168.10.0 0.0.0.255
3)验证:无法建立邻居关系
<R1>display ospf peer brief
OSPF Process 1 with Router ID 1.1.1.1
Peer Statistic Information
Area Id Interface Neighbor id State
4)结论:两台路由器互联的接口所在的Area id 必须相同,如果不同,无法建立邻居关系
5)备注:验证完成,记得恢复配置,把R1的192.1680.10.0/24 网段重新在area 0 中宣告
实验3:(广播型网络)两台路由器互联接口的IP地址的子网掩码必须一致
1)修改R1路由器的接口IP地址的子网掩码,让R1的g0/0/0口和R2的g0/0/0口的IP地址掩码不一致
2)配置命令
[R1]interface g0/0/0
[R1-G0/0/0]undo ip address
[R1-G0/0/0]ip address 192.168.10.1 25
3)验证:无法建立邻居关系
<R1>display ospf peer brief
OSPF Process 1 with Router ID 1.1.1.1
Peer Statistic Information
Area Id Interface Neighbor id State
4)结论:两台路由器互联接口的IP地址的子网掩码必须一致
解释:
接口网络类型为Broadcast(广播类型)时,OSPF发HELLO报文发现邻居时,会检查一些参数,而子网掩码是其中一个要检查的参数。当双方的子网掩码不一致时,收到对方发来的HELLO报文不会接受,直接丢弃,从而导致不能正确建立邻居关系
如果网络类型是p2p,路由器不会对Netmask进行检查
5)备注:验证完成后,记得恢复配置,把R1的g0/0/0口的IP地址的掩码恢复为24
特殊情况:接口IP地址的子网掩码不一致,也建立了邻居关系(网络类型是P2P)
1)配置命令:
[R1]interface g0/0/0
[R1-G0/0/0]undo ip address
[R1-G0/0/0]ip address 192.168.10.1 25
[R1-G0/0/0]ospf network-type p2p
[R1]interface g0/0/0
[R1-G0/0/0]undo ip address
[R1-G0/0/0]ip address 192.168.10.2 24
[R1-G0/0/0]ospf network-type p2p
2)结论:在P2P网络中,接口的掩码不一致,也可以建立邻居关系
3)备注:验证完成后,记得恢复配置,把接口的掩码和两台路由器的接口的网络类型在改回来
实验4:两台路由器接口的Hello 时间必须一致
1)修改R1路由器接口的hello时间,让R1接口的Hello时间和R2的不一致
2)配置命令
先查看R1的hello时间:
[R1]dis ospf int g0/0/0
OSPF Process 1 with Router ID 1.1.1.1
Interfaces
Interface: 192.168.10.1 (GigabitEthernet0/0/0)
Cost: 1 State: DR Type: Broadcast MTU: 1500
Priority: 1
Designated Router: 192.168.10.1
Backup Designated Router: 192.168.10.2
Timers: Hello 10 , Dead 40 , Poll 120 , Retransmit 5 , Transmit Delay 1
修改R1的接口的hello时间
[R1]interface g0/0/0
[R1-g0/0/0]ospf timer hello 5
再次验证R1的hello 时间
[R1-GigabitEthernet0/0/0]dis ospf int g0/0/0
OSPF Process 1 with Router ID 1.1.1.1
Interfaces
Interface: 192.168.10.1 (GigabitEthernet0/0/0)
Cost: 1 State: DR Type: Broadcast MTU: 1500
Priority: 1
Designated Router: 192.168.10.1
Backup Designated Router: 192.168.10.2
Timers: Hello 5 , Dead 20 , Poll 120 , Retransmit 5 , Transmit Delay 1
3)验证:修改为hello时间为5秒后,dead 也跟着变为20秒, 验证结果无法建立邻居关系
那么到底是因为hello时间改变无法建立邻居关系,还是dead 时间改变无法建立邻居关系呢?
4)在次配置
[R1]interface g0/0/0
[R1-g0/0/0]ospf timer dead 40
备注:现在两端的的hello时间不一致,但是dead 时间一致,能否建立邻居关系呢?
5)再次验证
-验证两端的hello时间不一致, dead 时间一致,无法建立邻居关系
6)结论:两台路由器接口的Hello 时间必须一致,才能建立邻居关系
7)备注:验证完成后,记得恢复配置,把接口的hello时间改回来
实验5:两台路由器接口的Dead时间必须一致
思考:如何hello时间一致,而dead 时间不一致能否建立邻居呢
1)修改R1路由器接口的Dead时间,让R1接口的Dead时间和R2的不一致
2)配置命令:
[R1]interface g0/0/0
[R1-g0/0/0]ospf timer dead 50
[R1-GigabitEthernet0/0/0]dis ospf int g0/0/0
OSPF Process 1 with Router ID 1.1.1.1
Interfaces
Interface: 192.168.10.1 (GigabitEthernet0/0/0)
Cost: 1 State: DR Type: Broadcast MTU: 1500
Priority: 1
Designated Router: 192.168.10.1
Backup Designated Router: 192.168.10.2
Timers: Hello 10 , Dead 50 , Poll 120 , Retransmit 5 , Transmit Delay 1
3)验证:hello 时间一致,dead 时间不一致,无法建立邻居关系
4)结论:两台路由器接口的Dead时间必须一致,才能建立邻居关系
5)备注:验证完成后,记得恢复配置,把接口的dead时间改回来
实验6:两台路由器的优先级不能全为0,全为0可以建立邻居,无法建立邻接
1)修改路由器的优先级:链路两端的设备的优先级不能全为0 (特殊情况-P2P)
2)修改R1的g0/0/0的优先级为0,R2的g0/0/0的优先级不做修改,还是默认值1
3)配置命令
[R1]interface g0/0/0
[R1-g0/0/0]ip address 192.168.10.1 255.255.255.0
[R1-g0/0/0]ospf dr-priority 0
备注:R1接口优先级改为0,R2不做更改
4)验证:当链路两端设备接口的优先级一个为0 ,一个为1 的时候,可以建立邻居关系
5)我们继续实验
[R2]interface g0/0/0
[R2-g0/0/0]ip address 192.168.10.1 255.255.255.0
[R2-g0/0/0]ospf dr-priority 0
备注:R1和R2两台路由器的接口的优先级都为0
6)验证:链路两端的设备接口的优先级全为0,无法建立邻接,因为都链路两端的接口都变成DR-other(躺平-永远放弃了成为DR的机会)
当链路两端都是DR-other 的时候,邻居关系会永久的停留在2-way的状态,不会达到full 的状态
[R1]dis ospf peer br
OSPF Process 1 with Router ID 1.1.1.1
Peer Statistic Information
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 2-Way
7)结论:当两端的路由器的接口优先级都为0,邻居关系无法full,永远停留在2-way状态
8)验证完成后,记得恢复配置,把接口的优先级改回1
备注:
&4:两端OSPF接口的网络类型是否一致。
一般情况下,链路两端的OSPF接口的网络类型必须一致,否则双方不能正常建立起OSPF邻居关系。
-当链路两端的OSPF接口的网络类型一端是广播网而另一端是P2P时,双方仍可以正常的建立起邻居关系,但互相学不到路由信息。
&1: 修改设备的认证类型:认证类型必须相同(才能建立邻居关系)
&2:修改设备的密码认证:认证密码必须相同(才能建立邻居关系)
&3:特殊标记位不同:特殊标记位必须相同(才能建立邻居关系)
十、OSPF状态机 (7种状态)
- Down:邻居会话的初始阶段,表明还没有收到来自邻居路由器的Hello数据包。准备发送hello报文
- Attempt:该状态仅发生在NBMA网络中
- Init:接收到邻居发来的hello报文,但是该hello报文中没有自己的router id
- Two-way:接收到的hello报文中,有自己的router-id
- Exstart: 交互第一个dd,报文,确认主从关系,保证传输可靠
- Exchange:交互数据库描述信息
- Loading:数据库同步
- Full:完全邻接状态
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wtAPYv0H-1684049154530)(https://secure2.wostatic.cn/static/tBbijvWsv666KTnnk6nfvK/image.png?auth_key=1684049141-tLzDNjTGL4GaJhnYPMMML3-0-601fa34f65b407ed871feddc0ec66587)]](https://img-blog.csdnimg.cn/7a262415520f44e7aca2be3f386b5b76.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3CzyUfpy-1684049154533)(https://secure2.wostatic.cn/static/nBNd5cE4sMMoFHzJbHAbke/image.png?auth_key=1684049141-sj8NY8Rob1rYyNVdJvk7CD-0-7747415e49e2413eaa6552b348dcca33)]](https://img-blog.csdnimg.cn/1f12b395818c4cf6b100bace419119f6.png)
•DD报文部分字段解释
▫I:当发送连续多个DD报文时,如果这是第一个DD报文,则置为1,否则置为0。
▫M (More):当发送连续多个DD报文时,如果这是最后一个DD报文,则置为0。否则置为1,表示后面还有其他的DD报文。
▫MS (Master/Slave):当两台OSPF路由器交换DD报文时,首先需要确定双方的主从关系,RouterID大的一方会成为Master。当值为1时表示发送方为Master。
▫DD sequence number:DD报文序列号。主从双方利用序列号来保证DD报文传输的可靠性和完整性。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-auccrzci-1684049154534)(https://secure2.wostatic.cn/static/eUvF9FdLUZTNofNxbdVrHN/image.png?auth_key=1684049141-ajZL4uP7rNcswzFakH9yk4-0-5b00d01ac7ede7eade7db067299a28cb)]](https://img-blog.csdnimg.cn/a2b0ba7da736468f9d509bd0e5e07859.png)
•R1开始向R2发送LSR报文,请求那些在Exchange状态下通过DD报文发现的、并且在本地LSDB中没有的链路状态信息。
•R2向R1发送LSU报文,LSU报文中包含了那些被请求的链路状态的详细信息。R1在完成LSU报文的接收之后,且没有其他待请求的LSA后,会将邻居状态从Loading变为Full。
R1向R2发送LSAck报文,作为对LSU报文的确认
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-atwior3v-1684049154536)(https://secure2.wostatic.cn/static/fgqDVBhM4vv5VQKRTV5BXM/image.png?auth_key=1684049141-sDvWYGiyxbD2ociGmYWeWd-0-d80c95d92d2dab777dc05e1467a5c3ae)]](https://img-blog.csdnimg.cn/24ae49876da14b1dbad9d63255eebb00.png)
十一、OSPF网络类型
为什么要有网络类型?
因为OSPF运行在不同的链路层就会有不同的问题,比如运行在以太网,默认为广播的网络环境下,就会存在共享网段中邻居数量多的问题,占用设备资源的问题,所以有了多种网络类型来适应不同的网络环境。
分类
- 广播类型(Broadcast)
数据链路层协议为以太网时,OSPF默认的网络类型为广播
- 非广播类型(NBMA)
当链路层协议是fr时,国内都已经不用了,OSPF运行在这个网络环境中,默认使用NBMA的网络类型 (不常见)
- 点到点(P2P)
数据链路层运行的协议为PPP或者HDLC时,默认的网络类型为P2P
- 点到多点(P2MP)
点到多点就是多个点到点(不常见)
十二、DR与BDR
1、说明
-在ospf 数据库中,包含很多的链路状态信息:LSA(链路状态通告),这些LSA中,有本设备生成的LSA,也有从邻居哪里学来的LSA
-每一个ospf 路由器,都是利用自己数据库中的这些LSA的来计算路由条目,然后将最好的路由放到路由表中,形成第三张表,路由表
-路由器之间,通过ospf 建立邻居关系,互相分享自己的数据库条目(LSA)的过程,称为数据库同步
-在OSPF邻居之间,同步数据库的时候,大概可以分类这两种情况
&1:一个网段中(1根网线上,不是一个ospf网络中),只有两台设备,并且互为邻居,这种情况下,数据库同步非常的高效
&2:一个网段中,存在多个设备,并且互为邻居,这种情况下,数据库同步就非常复杂,同步的非常慢
所以在广播型网络中建立邻居,就有可能很复杂
公式:n(n-1)/2
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1u5hcTr2-1684049286778)(https://secure2.wostatic.cn/static/tBpXLghx7g4Nccjwo5rJUd/image.png?auth_key=1684049274-o3kr85v3PRo519etsjnP5S-0-ba795d8dd1c4bf6020badd8ee6979426)]](https://img-blog.csdnimg.cn/f40b49e30561442580d39e6a7ab51e10.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-934ILZqt-1684049286779)(https://secure2.wostatic.cn/static/rZdy6enUsX2EsDuSDefceK/image.png?auth_key=1684049274-rWLNjB3irfuTjonwrfS8at-0-7b8459304feea6f205e6320c75e98ee8)]](https://img-blog.csdnimg.cn/b430fda2abee4bf49fa62aae5bd35663.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-92eiycth-1684049286780)(https://secure2.wostatic.cn/static/cjYYcQ42aCedJg3qXwhQWP/image.png?auth_key=1684049274-bGmNvSXLE3PHX9wQGQZCV2-0-7abe22003f753884e0b3d1210a4b8f32)]](https://img-blog.csdnimg.cn/3a8ff2a594e74d28ae6e03ca6eed00e2.png)
- 为什么要有DR/BDR?
- 共享网络中,邻居关系数量多,重复发送协议报文,占用网络资源,同步信息效率低
-
什么是DR/BDR
理解:DR就是班长,BDR就是副班长,其他同学只和班长和副班长建立邻居,同学之间不需要建立邻居,从而减少了维护邻居的数量
-
DR的作用
-减少邻接关系,降低设备负担
-减少OSPF协议流量
-加快数据库同步
-
DR的选举原则
-比较接口优先级,越大约优, 默认优先级为1,如果优先级相同
-则比较Router-id,越大越优
-
DR的特点
-不能抢占
-每个网段中DR只有一个,BDR可以没有,DR必须有一个,如果没有DR,邻居将会一直卡在To-way状态
-当DR优先级为0时,不参加DR选举,直接变成DR-other
-
路由器的接口角色
-DR:指定路由器
-BDR:备份指定路由器
-DR-Other
注意:D是接口的概念,不是路由器的概念,我们可以说这个接口是不是DR或者BDR,不能说这个路由器是不是DR路由器或者BDR路由器。
2、修改接口的DR优先级
[R1]dis ospf int g0/0/0
OSPF Process 1 with Router ID 1.1.1.1
Interfaces
Interface: 192.168.10.1 (GigabitEthernet0/0/0)
接口状态:DR 类型 :广播
Cost: 1 State: DR Type: Broadcast MTU: 1500
Priority: 1 //DR的优先级,默认为1
Designated Router: 192.168.10.1 //DR是10.1(本端接口)
Backup Designated Router: 192.168.10.2 //BDR是10.2(对端接口)
Timers: Hello 10 , Dead 40 , Poll 120 , Retransmit 5 , Transmit Delay 1
[R2-G0/0/0]ospf dr-priority 100 //修改接口的优先级为100
<R1>reset ospf process
<R2>reset ospf process
备注:修改接口的优先级后(优先级调大后),需要重启ospf进程后,才可以成为DR
因为DR很重要,所有他要求稳定性
[R2-G0/0/0]ospf dr-priority 0 //修改接口的优先级为0
备注:接口的优先级改为0,接口的状态立即转为DR-other
十三、链路状态数据库(LSDB)
1、LSDB
作用:存储各种类型的LSA
LSA概念:链路状态通告信息
LSA作用:计算路由的原材料
2、LSA分类:
1类LSA:Router-LSA
2类LSA:Network-LSA
3类LSA:Network-summary-LSA
4类LSA: ASBR-summary-LSA
5类LSA:AS-external-LSA
7类LSA:NSSA LSA
3、分析OSPF数据库结构
<R1>**display ospf lsdb**
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 34 36 80000010 1
Router 1.1.1.1 1.1.1.1 31 36 80000016 1
Network 192.168.12.2 2.2.2.2 31 32 80000003 0
** 解析:**
-LSDB:链路状态数据库
作用:存储LSA
-LSA:链路状态通告
作用:计算路由信息的必备“原材料”
-LSA的结构:
&:Type:类型:表示的是LSA的各种类型, 包含1、2、3、4、5、7(其他的LSA的类型,在IE中会讲解)
&:LinkState ID:名字:表示的LSA的名字
&:AdvRouter :通告路由器:表示的是产生这个LSA的路由器的router-id
&:Age:年龄:表示的是LSA的存活时间或者老化时间,最大时间是3600S
&:Len:长度,表示的是LSA的大小(单位是字节)
&:Sequence :序列号:表示的LSA的新旧程度,数值越大表示越新
**备注:唯一的标识一个LSA的3个特别重要的字段分别是**
-类型:Type
-名字:LinkState ID
-通告路由器:AdvRouter
十四、1、2、3类LSA解析
实验案例
拓扑
需求
(1)企业核心机房,连接不同楼宇,实现不同楼宇互通;
(2)企业核心机房设置为OSPF骨干区域;
(3)其他办公楼宇为非骨干区域,通过路由器与核心机房互联互通
配置步骤
1)配置接口信息
- 配置PC的IP地址
- 配置路由器的接口
2)配置OSPF单区域
- 创建ospf进程,定义router-id
- 指定相应区域
- 宣告网段进入ospf
3)配置OSPF多区域
4)宣告业务网段
5)验证信息
pc1 ping pc2进行连通性测试
配置命令
第一步:配置PC接口IP地址
第二步:配置路由器接口IP地址
第三步:配置OSPF:
**R1配置:**
interface GigabitEthernet0/0/0
ip address 192.168.12.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.1.254 255.255.255.0
#
ospf 1 router-id 1.1.1.1
area 0.0.0.12
network 192.168.1.0 0.0.0.255
network 192.168.12.0 0.0.0.255
**R2配置:**
interface GigabitEthernet0/0/0
ip address 192.168.23.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.12.2 255.255.255.0
#
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.23.0 0.0.0.255
area 0.0.0.12
network 192.168.12.0 0.0.0.255
**R3配置:**
#
interface GigabitEthernet0/0/0
ip address 192.168.34.3 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.23.3 255.255.255.0
#
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 192.168.23.0 0.0.0.255
network 192.168.34.0 0.0.0.255
**R4配置:**
#
interface GigabitEthernet0/0/0
ip address 192.168.45.4 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.34.4 255.255.255.0
#
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.34.0 0.0.0.255
network 192.168.45.0 0.0.0.255
**R5配置:**
interface GigabitEthernet0/0/0
ip address 192.168.56.5 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.45.5 255.255.255.0
#
ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 192.168.45.0 0.0.0.255
area 0.0.0.56
network 192.168.56.0 0.0.0.255
**R6配置**
#
interface GigabitEthernet0/0/1
ip address 192.168.56.6 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.2.254 255.255.255.0
#
ospf 1 router-id 6.6.6.6
area 0.0.0.56
network 192.168.2.0 0.0.0.255
network 192.168.56.0 0.0.0.255
**测试与验证:**
PC1 ping PC2
****常用查询命令****
display ip interface brief //查看接口IP地址
display ospf interface //查看DR/BDR信息
display ospf interface g0/0/0 //查看接口OSPF信息
display ospf lsdb //查看ospf数据库信息
display ospf brief //查看ospf简要信息
display ospf routing //查看ospf协议路由表
display ip routing-table //查看IP核心路由表
display ospf peer brief //查看邻居表
LSA字段解析
类型(Type):指示本LSA的类型。
名字(LinkState ID):不同的LSA,对该字段的定义不同。
通告路由器(AdvRouter):产生该LSA的路由器的RouterID。
LSAge(链路状态老化时间):此字段表示LSA已经生存的时间,单位是秒。
Options(可选项):每一个bit都对应了OSPF所支持的某种特性。
LSSequence Number(链路状态序列号):当LSA每次有新的实例产生时,序列号就会增加。
LSChecksum(校验和):用于保证数据的完整性和准确性。
Length:是一个包含LSA头部在内的LSA的总长度值。
备注:
LSA的三元组:链路状态类型、链路状态ID、通告路由器三元组唯一地标识了一个LSA。
判断LSA新旧:链路状态老化时间、链路状态序列号 、校验和用于判断LSA的新旧
1类LSA
类型:(Type):Router-LSA
名字:(LinkState ID):路由器的Router-id
通告路由器:(AdvRouter):区域内每一台路由器都会产生一个1类LSA
特点:每一个运行OSPF协议的路由器,都会在这台路由器所处的区域中生成一个1类的LSA
传递范围:只能在区域内传递
作用:区域内的自我介绍(我是谁,我连着谁,我用哪个接口连的),用来计算区域内的路由及拓扑信息
查询命令:
<R1>dis ospf lsdb router
<R1>dis ospf lsdb router 1.1.1.1
LSA字段解析:参考
**先修改网络类型:将区域12内接口的网络类型改为P-2-P**
[R1-G0/0/0]ospf network-type p2p
[R2-G0/0/1]ospf network-type p2p
[R1]**dis ospf lsdb router 1.1.1.1**
OSPF Process 1 with Router ID 1.1.1.1
Area: 0.0.0.12
Link State Database
Type : Router //类型:我是1类的LSA
Ls id : 1.1.1.1 //名字:我的名字的ID是 1.1.1.1
Adv rtr : 1.1.1.1 //通告(生产)我的路由器的router-id是1.1.1.1
Ls age : 50 //我已经活了50秒了
Len : 60 //我的大小是60字节
Options : E //可选项,每一个置位表示了OSPF的一个功能
seq# : 80000015 //链路状态序列号,LSA更新时,序号+1,
chksum : 0xbafc //校验和,确定LSA的准备性和完整性
Link count: 3 //链路有3条
* Link ID: 2.2.2.2 //我连接的邻居叫2.2.2.2
Data : 192.168.12.1 //我用12.1连接的邻居
Link Type: P-2-P //链路类型是P2P (描述拓扑信息)
Metric : 1 //开销值是1
* Link ID: 192.168.12.0 //我接口的IP地址网段是192.168.12.0
Data : 255.255.255.0 //我接口的IP地址网段的掩码/24
Link Type: StubNet //链路类型是stubnet(描述网段信息)
Metric : 1
Priority : Low //ospf收敛优先级:低
* Link ID: 192.168.1.0 //我接口的IP地址网段是192.168.1.0
Data : 255.255.255.0 //我接口的IP地址网段的掩码/24
Link Type: StubNet //链路类型是stubnet(描述网段信息)
Metric : 1 //开销值是1
Priority : Low
**先修改网络类型:将区域12内接口的网络类型改为广播网络(BMA)**
[R1-G0/0/0]ospf network-type broadcast
[R2-G0/0/1]ospf network-type broadcast
<R1>**display ospf lsdb router 1.1.1.1**
OSPF Process 1 with Router ID 1.1.1.1
Area: 0.0.0.12
Link State Database
Type : Router
Ls id : 1.1.1.1
Adv rtr : 1.1.1.1
Ls age : 1694
Len : 48
Options : E
seq# : 8000001a
chksum : 0x5375
Link count: 2
* Link ID: 192.168.12.2 //我连接的DR是192.168.12.2
Data : 192.168.12.1 //我的接口IP地址是192.168.12.1
Link Type: TransNet //链路类型是transnet (描述广播网络的拓扑信息)
Metric : 1 //开销值
* Link ID: 192.168.1.0 //我接口的IP地址网段是192.168.1.0
Data : 255.255.255.0 //我接口的IP地址网段的掩码/24
Link Type: StubNet //链路类型是stubnet(描述网段信息)
Metric : 1
Priority : Low
<R1>**dis ospf lsdb router 2.2.2.2**
OSPF Process 1 with Router ID 1.1.1.1
Area: 0.0.0.12
Link State Database
Type : Router
Ls id : 2.2.2.2
Adv rtr : 2.2.2.2
Ls age : 699
Len : 36
Options : ABR E
seq# : 80000018
chksum : 0xfd3e
Link count: 1
* Link ID: 192.168.12.2 //我连接的DR是192.168.12.2 (DR是一个伪节点)
Data : 192.168.12.2 //我的接口IP地址是192.168.12.2
Link Type: TransNet //链路类型是transnet (描述广播网络的拓扑信息)
Metric : 1
备注:广播型网络中的1类LSA,只描述了网络的拓扑信息,并没有描述网段和掩码信息
2类LSA
类型:Network-LSA、
名字(LinkState ID):DR接口的IP地址
通告路由器:DR接口所在的那个设备的Router-id
传递范围:只能在区域内传递
作用:补全DR所在网段的掩码信息,同时记录了该网段内所有与DR建立邻接关系的OSPF路由器,描述完善了区域内的拓扑信息
查询命令:
<R1>dis ospf lsdb network
<R1>dis ospf lsdb network 192.168.12.2
[R1]dis ospf lsdb network 192.168.12.2
OSPF Process 1 with Router ID 1.1.1.1
Area: 0.0.0.12
Link State Database
Type : Network //我的类型是network :2类lsa
Ls id : 192.168.12.2 //我的名字是12.2 (DR-接口IP地址)
Adv rtr : 2.2.2.2 //生成我的设备是DR接口所在的那台设备(2.2.2.2)
Ls age : 1419
Len : 32
Options : E
seq# : 80000004
chksum : 0x6b60
Net mask : 255.255.255.0 //网络掩码
Priority : Low
Attached Router 2.2.2.2 //描述的是拓扑信息
Attached Router 1.1.1.1 //描述的是拓扑信息
3类LSA
类型: Network-summary-LSA
名字:LinkState : 区域之间的路由的网段
通告路由器:本区域中的ABR路由器的router-id
传递范围:3类的LSA仅仅在区域内传播,
3类LSA在传播的过程中,每经过一个ABR设备, (通告路由器)都会变化一次,变成所有经过的那台ABR的 Router-id
唯一的标识一个LSA的三元组是,LSA类型、LSA名字、LSA通告路由器,所以3类LSA在传递过程经过一台ABR设备,通告路由器就变成这台ABR的router-id ,所以,三元组中的LSA通告路由器发送变化,我们就不认为条目是同一个3类LSA了
作用:将区域内的1、2类LSA计算出来的路由,变成3类在其他区域泛洪,实现区域与区域之间的通信
查询命令:
<R1>dis ospf lsdb summary
<R1>dis ospf lsdb summary 192.168.56.0
<R1>dis ospf lsdb summary 192.168.56.0
OSPF Process 1 with Router ID 1.1.1.1
Area: 0.0.0.12
Link State Database
Type : Sum-Net //我是3类LSA
Ls id : 192.168.56.0 //我是其他区域的192.168.56.0网段
Adv rtr : 2.2.2.2 //在12区域通告我的路由器是2.2.2.2(ABR设备)
Ls age : 840
Len : 28
Options : E
seq# : 80000009
chksum : 0x2b7c
Net mask : 255.255.255.0 //掩码是24
Tos 0 metric: 4 //开销值是4
Priority : Low
十五、4、5类LSA解析
实验案例
拓扑
需求
实现PC1和PC3互联互通
配置步骤
1)配置接口信息
- 配置PC的IP地址
- 配置路由器的接口
2)配置OSPF单区域
- 创建ospf进程,定义router-id
- 指定相应区域
- 宣告网段进入ospf
3)配置OSPF多区域
4) R6配置去往PC3的静态路由
5)R7上配置去往PC1、PC2的静态路由
6)R6上在OSPF进程下引入外部路由
7) 业务连通性测试
- pc1 ping pc3进行连通性测试
配置命令
第一步:配置PC接口IP地址
第二步:配置路由器接口IP地址
第三步:配置OSPF:
****R1配置:****
interface GigabitEthernet0/0/0
ip address 192.168.12.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.1.254 255.255.255.0
#
ospf 1 router-id 1.1.1.1
area 0.0.0.12
network 192.168.1.0 0.0.0.255
network 192.168.12.0 0.0.0.255
****R2配置:****
interface GigabitEthernet0/0/0
ip address 192.168.23.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.12.2 255.255.255.0
#
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.23.0 0.0.0.255
area 0.0.0.12
network 192.168.12.0 0.0.0.255
****R3配置:****
#
interface GigabitEthernet0/0/0
ip address 192.168.34.3 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.23.3 255.255.255.0
#
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 192.168.23.0 0.0.0.255
network 192.168.34.0 0.0.0.255
****R4配置:****
#
interface GigabitEthernet0/0/0
ip address 192.168.45.4 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.34.4 255.255.255.0
#
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.34.0 0.0.0.255
network 192.168.45.0 0.0.0.255
****R5配置:****
interface GigabitEthernet0/0/0
ip address 192.168.56.5 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.45.5 255.255.255.0
#
ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 192.168.45.0 0.0.0.255
area 0.0.0.56
network 192.168.56.0 0.0.0.255
****R6配置****
#
interface GigabitEthernet0/0/1
ip address 192.168.56.6 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.2.254 255.255.255.0
#
ospf 1 router-id 6.6.6.6
area 0.0.0.56
network 192.168.2.0 0.0.0.255
network 192.168.56.0 0.0.0.255
**第四步:R6配置去往PC3的静态路由**
****R6配置****
#
interface GigabitEthernet0/0/0
ip address 192.168.67.6 255.255.255.0
#
ip route-static 192.168.3.0 24 192.168.67.7
**第五步:R7配置去往PC1/PC2的静态路由**
****R7配置****
interface GigabitEthernet0/0/0
ip address 192.168.67.7 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.3.254 255.255.255.0
#
ip route-static 192.168.0.0 16 192.168.67.6
**第六步:R6上在OSPF进程下引入静态路由**
****R6配置****
ospf 1 router-id 6.6.6.6
import-route static
**第七步:验证与测试**
PC1可以访问PC3
4类LSA
类型:ASBR-summary-LSA
名字:ASBR的router-id 6.6.6.6
通告的路由器:ABR的router-id 5.5.5.5
传递范围:在同一区域内传输,每经过一台ABR后通告路由器发生改变(-4类的LSA在传输的过程中,每经过一个ABR,通告的路由器都会发生变化,变成所经过的那个ABR的router-id)
作用:在不同的区域传递ASBR的router-id, 带你找到ASBR所在的位置,主要目的是为了配合5类的LSA,计算外部路由的
特性:最初始的4类的LSA 是由和ASBR那台设备在同一个区域的ABR设备自动产生的
查询命令:
dis ospf lsdb asbr
dis ospf lsdb asbr 6.6.6.6
<R1>display ospf lsdb
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Area: 0.0.0.12
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 693 36 80000022 1
Router 1.1.1.1 1.1.1.1 699 36 8000001F 1
Network 192.168.12.2 2.2.2.2 693 32 8000000D 0
Sum-Net 192.168.45.0 2.2.2.2 1290 28 8000000F 3
Sum-Net 192.168.23.0 2.2.2.2 1548 28 8000000F 1
Sum-Net 192.168.56.0 2.2.2.2 1146 28 8000000F 4
Sum-Net 192.168.34.0 2.2.2.2 1381 28 8000000F 2
Sum-Net 192.168.2.0 2.2.2.2 1758 28 80000015 5
** Sum-Asbr 6.6.6.6 2.2.2.2 817 28 80000005 4**
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 192.168.3.0 6.6.6.6 820 36 80000005 1
** ****<R1>dis ospf lsdb asbr 6.6.6.6**
OSPF Process 1 with Router ID 1.1.1.1
Area: 0.0.0.12
Link State Database
Type : Sum-Asbr //我是4类LSA
Ls id : 6.6.6.6 //我的名字是ASBR的router-id
Adv rtr : 2.2.2.2 //在区域12通告我的路由器是2.2.2.2 (ABR)
Ls age : 1100
Len : 28
Options : E
seq# : 80000006
chksum : 0x2a09
Tos 0 metric: 4
5类LSA
类型:AS-external-LSA
名字:引入外部路由的网段
通告的路由器:ASBR的router-id
传递范围:在整个OSPF内传输
作用:用于通告外部路由
特点:只有ASBR可以产生5类的LSA
5类的LSA可以传输到OSPF网络中的任何地方,在传输的过程中,LSA没有任何变化
5类的LSA不属于任何一个区域
查询命令:
dis ospf lsdb ase
dis ospf lsdb ase 192.168.3.0
<R1>dis ospf lsdb
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Area: 0.0.0.12
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 1069 36 80000023 1
Router 1.1.1.1 1.1.1.1 1075 36 80000020 1
Network 192.168.12.2 2.2.2.2 1069 32 8000000E 0
Sum-Net 192.168.45.0 2.2.2.2 1666 28 80000010 3
Sum-Net 192.168.23.0 2.2.2.2 124 28 80000011 1
Sum-Net 192.168.56.0 2.2.2.2 1522 28 80000010 4
Sum-Net 192.168.34.0 2.2.2.2 1757 28 80000010 2
Sum-Net 192.168.2.0 2.2.2.2 1758 28 80000015 5
Sum-Asbr 6.6.6.6 2.2.2.2 1193 28 80000006 4
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
** External 192.168.3.0 6.6.6.6 1196 36 80000006 1**
<R1>display ospf lsdb ase 192.168.3.0
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Type : External //我是5类的LSA
Ls id : 192.168.3.0 //我引入的外部路由网段是192.168.3.0
Adv rtr : 6.6.6.6 //我的通告路由器是ASBR-6.6.6.6
Ls age : 1678
Len : 36
Options : E
seq# : 80000006
chksum : 0x83c5
Net mask : 255.255.255.0
TOS 0 Metric: 1
E type : 2
Forwarding Address : 0.0.0.0
Tag : 1
Priority : Low
十六、特殊区域
OSPF区域划分
1)区域类型
-骨干区域
-非骨干区域
&:普通区域
&:特殊区域
@:stub area :末梢区域
@:Totally stub area :完全的末梢区域
@:NSSA :not so stub area : 不那么末梢的区域
@: Totally NSSA :完全的NSSA
特殊区域的作用
1.保护一个区域不受来自外部链路不稳定的影响
2.减少数据库和路由表规模,减少路由信息数量,降低设备压力
Stub区域的特点:
-作用:保护一个区域不受来自外部链路的影响,避免外部路由对路由器带宽和存储资源的消耗,缩减LSDB和路由表的规模,减少路由信息数量,降低设备负载
-不接收,4类和5类的LSA
-只接收,1类,2类,3类的LSA
-stub 区域的ABR会自动生成一条默认的3类的LSA,帮助这个区域和外部通信
-特点:骨干区域(区域号为0)不可以设置为stub
-如果要将一个区域做成stub 区域,这个区域的所有设备都要配置为stub 区域
-stub 区域自身不支持外部路由的引入
-stub 区域内不能存在ASBR,即自治系统外部的路由不能在本区域内传播
-stub区域中不能存在虚连接
Stub实验和配置命令
拓扑
需求
将区域12设置为Stub区域,使区域12的路由设备不受外部链路影响(不接收4/5类LSA)降低区域12(末梢区域)设备压力,还能让区域12的PC1与外部PC3通信
配置步骤
1)配置接口信息
-
配置PC的IP地址
-
配置路由器的接口
2)配置OSPF单区域
-
创建ospf进程,定义router-id
-
指定相应区域
-
宣告网段进入ospf
3)配置OSPF多区域
4 ) R6配置去往PC3的静态路由
5)R7上配置去往PC1、PC2的静态路由
6)R6上在OSPF进程下引入外部路由
7)将区域12设置为stub区域
8) 验证stub区域特性,验证业务连通性
- pc1 ping pc3进行连通性测试
配置命令
第一步:配置PC接口IP地址
第二步:配置路由器接口IP地址
第三步:配置OSPF:
****R1配置:****
interface GigabitEthernet0/0/0
ip address 192.168.12.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.1.254 255.255.255.0
#
ospf 1 router-id 1.1.1.1
area 0.0.0.12
network 192.168.1.0 0.0.0.255
network 192.168.12.0 0.0.0.255
****R2配置:****
interface GigabitEthernet0/0/0
ip address 192.168.23.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.12.2 255.255.255.0
#
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.23.0 0.0.0.255
area 0.0.0.12
network 192.168.12.0 0.0.0.255
****R3配置:****
#
interface GigabitEthernet0/0/0
ip address 192.168.34.3 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.23.3 255.255.255.0
#
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 192.168.23.0 0.0.0.255
network 192.168.34.0 0.0.0.255
****R4配置:****
#
interface GigabitEthernet0/0/0
ip address 192.168.45.4 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.34.4 255.255.255.0
#
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.34.0 0.0.0.255
network 192.168.45.0 0.0.0.255
****R5配置:****
interface GigabitEthernet0/0/0
ip address 192.168.56.5 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.45.5 255.255.255.0
#
ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 192.168.45.0 0.0.0.255
area 0.0.0.56
network 192.168.56.0 0.0.0.255
****R6配置****
#
interface GigabitEthernet0/0/1
ip address 192.168.56.6 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.2.254 255.255.255.0
#
ospf 1 router-id 6.6.6.6
area 0.0.0.56
network 192.168.2.0 0.0.0.255
network 192.168.56.0 0.0.0.255
**第四步:R6配置去往PC3的静态路由**
****R6配置****
#
interface GigabitEthernet0/0/0
ip address 192.168.67.6 255.255.255.0
#
ip route-static 192.168.3.0 24 192.168.67.7
**第五步:R7配置去往PC1/PC2的静态路由**
****R7配置****
interface GigabitEthernet0/0/0
ip address 192.168.67.7 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.3.254 255.255.255.0
#
ip route-static 192.168.0.0 16 192.168.67.6
**第六步:R6上在OSPF进程下引入静态路由**
****R6配置****
ospf 1 router-id 6.6.6.6
import-route static
**第七步:**stub区域的配置命令****
[R1]ospf 1
[R1-ospf-1]area 12
[R1-ospf-1-area 0.0.0.12]stub
[R2]ospf 1
[R2-ospf-1]area 12
[R2-ospf-1-area 0.0.0.12]stub
****备注:区域12没有配置stub区域前,数据库是这样的****
<R1>dis ospf lsdb
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Area: 0.0.0.12
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 1644 36 80000025 1
Router 1.1.1.1 1.1.1.1 1651 36 80000022 1
Network 192.168.12.2 2.2.2.2 1644 32 80000010 0
Sum-Net 192.168.45.0 2.2.2.2 442 28 80000013 3
Sum-Net 192.168.23.0 2.2.2.2 700 28 80000013 1
Sum-Net 192.168.56.0 2.2.2.2 298 28 80000013 4
Sum-Net 192.168.34.0 2.2.2.2 533 28 80000013 2
Sum-Net 192.168.2.0 2.2.2.2 1758 28 80000015 5
Sum-Asbr 6.6.6.6 2.2.2.2 1769 28 80000008 4
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 192.168.3.0 6.6.6.6 1773 36 80000008 1
** ****第八步:测试与验证:验证stub区域的特点**
** 备注:区域12配置stub区域后,数据库是这样的
备注:没有4类的LSA了,没有5类LSA了,但是多了一个默认的3类的LSA**
[R1]dis ospf lsdb
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Area: 0.0.0.12
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 6 36 80000005 1
Router 1.1.1.1 1.1.1.1 7 36 80000004 1
Network 192.168.12.2 2.2.2.2 7 32 80000002 0
** Sum-Net 0.0.0.0 2.2.2.2 49 28 80000001 1**
Sum-Net 192.168.45.0 2.2.2.2 49 28 80000001 3
Sum-Net 192.168.23.0 2.2.2.2 49 28 80000001 1
Sum-Net 192.168.56.0 2.2.2.2 49 28 80000001 4
Sum-Net 192.168.34.0 2.2.2.2 49 28 80000001 2
**[R1]****dis ip routing-table protocol ospf **
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
Destinations : 5 Routes : 5
OSPF routing table status : <Active>
Destinations : 5 Routes : 5
Destination/Mask Proto Pre Cost NextHop Interface
**0.0.0.0/0 OSPF 10 2 192.168.12.2 GigabitEthernet0/0/0**
192.168.23.0/24 OSPF 10 2 192.168.12.2 GigabitEthernet0/0/0
192.168.34.0/24 OSPF 10 3 192.168.12.2 GigabitEthernet0/0/0
192.168.45.0/24 OSPF 10 4 192.168.12.2 GigabitEthernet0/0/0
192.168.56.0/24 OSPF 10 5 192.168.12.2 GigabitEthernet0/0/0
**第八步:验证与测试,stub区域的PC1 和外部PC3 可以互通**
PC1可以访问PC3
Totally Stub区域的特点:
-
不学习和接受,3类、4类、5类的LSA
-
允许学习和接受,1类和2类的LSA
-
特殊区域的ABR路由器配置stub no-summary
-
区域的ABR会自动产生一条默认的3类的LSA,帮助转发数据
-
特点:骨干区域(区域号为0)不可以设置为stub
-
如果要将一个区域做成stub 区域,这个区域的所有设备都要配置为stub 区域
-
区域自身不支持外部路由的引入
-
区域内不能存在ASBR,即自治系统外部的路由不能在本区域内传播
-
区域中不能存在虚连接
**Totally stub区域的配置命令**
[R1]ospf 1
[R1-ospf-1]area 12
[R1-ospf-1-area 0.0.0.12]stub
[R2]ospf 1
[R2-ospf-1]area 12
[R2-ospf-1-area 0.0.0.12]stub no-summary
**备注:区域12只配置了stub区域,没有配置Totally stub 时,数据库是这样的**
[R1]dis ospf lsdb
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Area: 0.0.0.12
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 6 36 80000005 1
Router 1.1.1.1 1.1.1.1 7 36 80000004 1
Network 192.168.12.2 2.2.2.2 7 32 80000002 0
Sum-Net 0.0.0.0 2.2.2.2 49 28 80000001 1
Sum-Net 192.168.45.0 2.2.2.2 49 28 80000001 3
Sum-Net 192.168.23.0 2.2.2.2 49 28 80000001 1
Sum-Net 192.168.56.0 2.2.2.2 49 28 80000001 4
Sum-Net 192.168.34.0 2.2.2.2 49 28 80000001 2
Sum-Net 192.168.2.0 2.2.2.2 1758 28 80000015 5
**备注:区域12配置了Totally stub 后,数据库是这样的**
<R1>dis ospf lsdb
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Area: 0.0.0.12
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 387 36 80000006 1
Router 1.1.1.1 1.1.1.1 383 36 80000009 1
Network 192.168.12.2 2.2.2.2 383 32 80000002 0
** Sum-Net 0.0.0.0 2.2.2.2 1092 28 80000001 1**
NSSA区域的特点:
-作用:保护一个区域不受来自外部链路的影响,避免外部路由对路由器带宽和存储资源的消耗,缩减LSDB数据库的规模,减少路由表信息数量,降低设备负载,但是nssa自己区域的设备又可以引入外部路由
-该区域允许接受1类,2类,3类,7类的LSA
-该区域不学习和接受,4类,5类LSA
-NSSA区域的ABR会自动产生表示默认路由的7类的LSA
-NSSA区域的ABR会自动的将7类的LSA转成5类的LSA
-7类的LSA只能在特殊区域NSSA内部传播
-该区域会通过ABR生产成一条默认的7类LSA,用于访问外部网络
-该区域不能设置在骨干区域
NSSA实验和配置命令
拓扑
需求
需求:PC2和PC5互通
配置思路和配置命令
3)配置思路:
第一步:先让R1能够和PC5互通,要先配置静态路由
[R1] ip route-static 192.168.4.0 24 192.168.18.8
第二步:在R8上写去往PC1/PC2的路由
[R8]ip route-static 192.168.0.0 16 192.168.18.1
第三步:在R1中的ospf中引入静态路由到ospf 网络中
[R1]ospf 1
[R1-ospf-1] import-route static
备注:配置完成后,查看验证,发现并没有成功引入外部路由
原因:R1所在的区域是stub区域,所以R1不会产生5类的LSA,
我们的目标既然是PC2和PC5 互通,又要保护区域12,不受外部影响,保证OSPF网络的稳定性,那么我们就需要做到两点
第一:区域12 不受外部路由的影响
第二:区域12 还能引入外部路由
所以我们就要配置NSSA
4)NSSA配置命令
[R2-ospf-1]area 12
[R2-ospf-1-area-0.0.0.12]undo stub
[R2-ospf-1-area-0.0.0.12]nssa
[R1]ospf 1
[R1-ospf-1]area 12
[R1-ospf-1-area-0.0.0.12]undo stub
[R1-ospf-1-area-0.0.0.12]nssa
5)LSDB数据库查询验证:
[R1]dis ospf lsdb
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Area: 0.0.0.12
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 6 36 80000005 1
Router 1.1.1.1 1.1.1.1 7 36 80000004 1
Network 192.168.12.2 2.2.2.2 7 32 80000002 0
Sum-Net 192.168.45.0 2.2.2.2 49 28 80000001 3
Sum-Net 192.168.23.0 2.2.2.2 49 28 80000001 1
Sum-Net 192.168.56.0 2.2.2.2 49 28 80000001 4
Sum-Net 192.168.34.0 2.2.2.2 49 28 80000001 2
Sum-Net 192.168.2.0 2.2.2.2 1758 28 80000015 5
NSSA 192.168.4.0 1.1.1.1 70 36 80000001 1
NSSA 0.0.0.0 2.2.2.2 66 36 80000001 1
6)路由表查询验证:(在R6中也查一下去往192.168.4.0的路由信息)
[R1]dis ip routing-table 192.168.2.1
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 O_NSSA 150 1 192.168.12.2 GigabitEthernet0/0/0
7)验证测试:
PC2访问PC5,发现可以互联互通
Totally NSSA区域的特点:
-
作用:保护一个区域不受来自外部链路的影响,避免外部路由对路由器带宽和存储资源的消耗,缩减LSDB数据库的规模,减少路由表信息数量,降低设备负载,但是NSSA自己区域的设备又可以引入外部路由
-
该区域不接收3类,4类和5类的lSA
-
该区域接收,1类,2类、7类的LSA
-
特殊区域的ABR路由器需要配置nssa no-summary
-
该区域会通过ABR生产成一条默认的3类LSA和7类LSA用于访问外部网络
-
该区域的ABR会自动的将7类的LSA转成5类的LSA
-
7类的LSA只能在特殊区域NSSA内部传播
-
该区域不能设置在骨干区域
Totally NSSA 配置命令:
**备注:在区域12的ABR中配置nssa no-summary**
[R2] ospf 1
[R2-ospf-1]area 12
[R2-ospf-1-area-0.0.0.12]nssa no-summary
[R1] ospf 1
[R1-ospf-1]area 12
[R1-ospf-1-area-0.0.0.12]nssa
3)验证lsdb 数据库
[R1]dis ospf lsdb
OSPF Process 1 with Router ID 1.1.1.1
Link State Database
Area: 0.0.0.12
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 6 36 80000005 1
Router 1.1.1.1 1.1.1.1 7 36 80000004 1
Network 192.168.12.2 2.2.2.2 7 32 80000002 0
Sum-Net 0.0.0.0 2.2.2.2 45 28 80000001 1
NSSA 192.168.4.0 1.1.1.1 812 36 80000001 1
NSSA 0.0.0.0 2.2.2.2 808 36 80000001 1
特殊区域总结
-
-
Stub与Totally stub区域的区别:
stub不接受外部LSA
totally stub 不接受外部路由,也不接受其他区域间LSA
-
-
2.Stub与Nssa区别:
stub区域本身不支持外部路由引入
nssa区域可以支持外部路由的引入,通过7类LSA形式在NSSA区域传递外部路由
-
3.NSSA区域说明:
1). NSSA是Stub区域的一个变形,它和Stub区域有许多相似的地方。
2). NSSA区域不允许存在Type5 LSA。
3). NSSA区域允许引入自治系统外部路由,携带这些外部路由信息的Type7 LSA由NSSA的ASBR产生,仅在本NSSA内传播
4). 当Type7 LSA到达NSSA的ABR时,由ABR将Type7 LSA转换成Type5 LSA,泛洪到整个OSPF域中。
7类LSA解析
-类型:NSSA
-名字:LinkState ID : 外部路由的网段
-产生的路由器:AdvRouter : NSSA区域的ASBR的Router-id
-作用:用于通告NSSA区域的外部路由
-查询命令:
[R1]display ospf lsdb nssa
[R1]display ospf lsdb nssa 192.168.4.0
十七、路由汇总
1.概念:
将多条具有相同前缀的路由信息聚合成一条,通告到其他区域
2.作用:
- 减少维护的数据库规模
- 减少路由表维护数量
- 减少其他区域不稳定链路的影响
区域间路由汇总
概述
位置:在ABR上配置
作用:用于聚合在区域之间的路由
特点:ABR只发送聚合后的路由到其他区域
配置
需求:
1)企业内部运营OSPF多区域
2)降低区域12不稳定链路对区域0的影响
拓扑:
配置命令:
区域间路由汇总:
AR1配置:
第一步:配置接口信息
interface LoopBack0
ip address 10.10.1.1 255.255.255.0
#
interface LoopBack1
ip address 10.10.2.2 255.255.255.0
#
interface LoopBack2
ip address 10.10.3.3 255.255.255.0
#
interface LoopBack3
ip address 10.10.4.4 255.255.255.0
第二步:宣告路由
ospf 1 router-id 1.1.1.1
area 0.0.0.12
network 192.168.12.0 0.0.0.255
network 10.10.1.0 0.0.0.255
network 10.10.2.0 0.0.0.255
network 10.10.3.0 0.0.0.255
network 10.10.4.0 0.0.0.255
第三步:在R2-ABR中配置汇总信息
ospf 2 router-id 2.2.2.2
area 0.0.0.12
abr-summary 10.10.0.0 255.255.0.0
外部路由汇总
概述
位置:在ASBR上配置
作用:用于聚合OSPF外部引入的路由
特点:ASBR只发送聚合后的路由到其他区域
配置
1)需求:
1)企业内部运营OSPF多区域
2)降低区域12不稳定链路对区域0的影响
2)拓扑:
3)配置步骤:
外部路由汇总:
AR6配置:
第一步:配置接口信息
interface LoopBack0
ip address 10.60.1.1 255.255.255.0
#
interface LoopBack1
ip address 10.60.2.2 255.255.255.0
#
interface LoopBack2
ip address 10.60.3.3 255.255.255.0
#
interface LoopBack3
ip address 10.60.4.4 255.255.255.0
第二步:引入外部路由
ospf 1 router-id 6.6.6.6
import-route direct
area 0.0.0.56
network 192.168.56.0 0.0.0.255
第三步:在ASBR上配置汇总信息
ospf 1 router-id 6.6.6.6
import-route direct
asbr-summary 10.60.0.0 255.255.0.0
十八、OSPF外部路由的2种度量值
| Type | 描述 | 开销计算 |
| Metric-Type-1 | 可信程度高 | AS内部开销+AS外部开销 |
| Metric-Type-2 (缺省) | 可信程度低,AS外部开销远大于AS内部开销 | AS外部开销 |
- 怎样查看一台OSPF路由器是否为ABR(ASBR)?
- display ospf brief
<R1>display ospf brief
OSPF Process 1 with Router ID 1.1.1.1
OSPF Protocol Information
RouterID: 1.1.1.1 **Border Router: AREA**
- display ospf lsdb router x.x.x.x
<R1>display ospf lsdb router 1.1.1.1
OSPF Process 1 with Router ID 1.1.1.1
Area: 0.0.0.0
Link State Database
Type : Router
Ls id : 1.1.1.1
Adv rtr : 1.1.1.1
Ls age : 1659
Len : 36
** Options : ABR** E
- display ospf abr-asbr
<R1>display ospf abr-asbr
OSPF Process 1 with Router ID 1.1.1.1
Routing Table to ABR and ASBR
RtType Destination Area Cost Nexthop Type
Intra-area 2.2.2.2 0.0.0.0 1 **192.168.12.2 ABR **
-
怎样确定两条LSA是相同的
如果两条LSA,它们的Type、LS ID、Adv rtr相同
则,这两条LSA就相同 -
如何判断一条LSA的新旧
- 先看序列号
LSA中的Sequece Number (seq#)
序列号越大,越新 - 序列号相同,看校验和
LSA中的checksum(chksum)
校验和越大,越新 - 校验和也相同,看Ls age
- 如果LSA的Age是3600秒,表示最新,因为该年龄到达最大老化时间,意味着,该LSA应该消失了
- 如果LSA的Age没有到3600秒,就要看这两条LSA的Age间隔是否小于15分钟
如果小于15分钟,意味着一样新
如果大于15分钟,Age越小越新
- 先看序列号
-
关于LSA的3600秒
-
说明
3600秒的LSA,意味着:删除对应的5类LSA,从而撤销OSPF的外部路由
如果我们要撤销OSPF的外部路由,这个3600秒的LSA,它的序列号,跟已经存在的LSA的序列相同,序列号不变! -
LSA的更新
- 周期性更新
产生LSA的路由器,每1800秒,产生一个新的LSA,序列号+1 - 触发性更新
比如ASBR的OSPF进程中undo import-route,触发更新3600秒的LSA
- 周期性更新
-
OSPF 认证
- 分类
链路认证
区域认证 - 优先级
接口认证优先于区域认证 - 配置方法
接口认证(接口视图下)
interface GigabitEthernet 0/0/0
ospf authentication-mode
区域认证(OSPF进程下区域视图下)
ospf 1
area 0
authentication-mode - 命令解释
authentication-mode + 认证类型+key ID +存储是否加密 + 密码
认证类型、key ID、密码必须相同!!!两端才可以建立OSPF邻居 - 传输加密和本地加密
authentication-mode + 认证类型+key ID //这里配置的是传输加密
认证类型有:MD5、HMAC-MD5、Keychian、simple
- 分类
本地存储是否加密 //cipher(加密)/ plain(不加密)
- 关于NULL认证
接口视图下:
interface GigabitEthernet 0/0/0
ospf authentication-mode null //null认证也是一种认证方式,也叫空认证,而不是不认证!!!!
经过eNSP实验得知:
建立OSPF邻居的两台路由器,一台配置了NULL认证,另外一台没有配置任何OSPF认证,两台设备仍然可以建立OSPF邻接关系(FULL的关系)
十九、安全认证
1. 认证概述
为什么要有认证?
防止非法路由器接入企业内网的ospf路由器,保护内网安全
2. 认证方式
认证方式分为接口认证和区域认证,接口认证和区域认证没有本质的区别,接口认证是当区域内链路过多的情况下,接口认证配置较为繁琐,容易出错,此时可以采用区域认证,配置量更少。
3. 认证位置
- 接口认证
- 区域认证
注:如果同时配置了接口认证和区域认证,则接口人证优先于区域认证
3. 认证模式
认证报文携带在hello报文中,通过hello包进行协商,所有认证模式和认证密码两端必须一致,如果认证方式或认证密码协商不一致,会导致邻居关系建立失败
认证模式分为:
- simple 明文认证,密码在传输过程中是明文的,抓包可见
- MD5 密文认证,密码在传输的过程中是加密的,抓包不可见
4. 配置认证:
注意:simple/md5:表示OSPF报文在传输过程中是否加密 邻居两端必须一致
cipher/plain:表示秘钥信息在本地存储是否加密 邻居两端可以不一致
- 接口认证
需求:
- 企业内部运营OSPF多区域
- 禁止区域0内有非法用户接入
- AR2与AR3、AR3与AR4接口下配置明文认证、AR4与AR5接口下配置密文认证
拓扑:
配置命令:
接口认证配置:(邻居设备的认证类型、认证密码必须一致,如何不一致邻居会断开)
**AR2和AR3之间配置simple 认证模式:**
**AR2:**
interface GigabitEthernet0/0/0
ip address 192.168.23.2 255.255.255.0
ospf authentication-mode simple cipher hcip
**AR3: **
interface GigabitEthernet0/0/1
ip address 192.168.23.3 255.255.255.0
ospf authentication-mode simple cipher hcip
**AR3和AR4之间配置simple 认证模式:**
**AR3: **
interface GigabitEthernet0/0/0
ip address 192.168.34.3 255.255.255.0
ospf authentication-mode simple cipher hcip
**AR4:**
interface GigabitEthernet0/0/1
ip address 192.168.34.4 255.255.255.0
ospf authentication-mode simple cipher hcip
**AR4和AR5之间配置md5 认证模式:**
**AR4:**
interface GigabitEthernet0/0/0
ip address 192.168.45.4 255.255.255.0
ospf authentication-mode md5 1 cipher hcip
**AR5:**
interface GigabitEthernet0/0/1
ip address 192.168.45.5 255.255.255.0
ospf authentication-mode md5 1 cipher hcip
- 区域认证
需求:
-
企业内部运营OSPF多区域
-
禁止区域12内有非法用户接入,要求认证密码不可见,本地存储秘钥信息显示加密
拓扑:
配置命令:
实验一:配置区域认证
1)OSPF区域认证配置:
AR2:
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.23.0 0.0.0.255
area 0.0.0.12
authentication-mode md5 1 cipher hcie
AR1:
ospf 1 router-id 1.1.1.1
area 0.0.0.12
authentication-mode md5 1 cipher hcie
network 192.168.12.0 0.0.0.255
实验二:验证接口认证优先于区域认证:
1)OSPF区域12认证配置:
AR2:
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.23.0 0.0.0.255
area 0.0.0.12
authentication-mode md5 1 cipher hcie
AR1:
ospf 1 router-id 1.1.1.1
area 0.0.0.12
authentication-mode md5 1 cipher hcie
network 192.168.12.0 0.0.0.255
区域认证配置成功后,邻居关系正常,现在修改接口认证模式不一致,
如果邻居断开说明接口认证优先于区域认证
2)配置R1的区域12的接口认证模式为明文
interface GigabitEthernet0/0/0
ip address 192.168.12.1 255.255.255.0
ospf authentication-mode simple plain ntd
配置R2的区域12的接口认证模式为密文
interface GigabitEthernet0/0/1
ip address 192.168.12.2 255.255.255.0
ospf authentication-mode md5 1 plain 345
经验证发现,当接口认证不一致时,邻居断开,结论同时配置了接口认证和区域认证,
接口认证优先于区域认证
246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
