OSPF的扩展配置
1.认证
(1)接口认证
1)接口明文认证
r11(config)#interface s0/1
r11(config-if)#ip ospf authentication
#先开启接口明文认证需求,开启后该接口发出的OSPF数据包中,认证类型字段被修改,虽然还没有认证秘钥,但依然要求邻居该参数必须一致
r12(config-if)#ip ospf authentication-key cisco123 认证明文秘钥,两端需一致
2)接口密文认证
r11(config)#interface s0/1
r11(config-if)#ip ospf authentication message-digest 密文需求
r11(config-if)#ip ospf message-digest-key 1 md5 cisco123 密文秘钥
(2)区域认证
例:在R1上开启关于区域0 的明文或密文认证;实际就是在R1上所有属于区域0的接口,进行明文或密文认证类型字段修改;等于在R1的所有区域0接口配置接口认证中的需要开启;明文或密文秘钥需要到各个接口逐一配置;
r11(config)#router ospf 1
r11(config-router)#area 1 authentication 区域明文
r11(config-router)#area 1 authentication message-digest 区域密文
(3)虚链路认证
r11(config)#router ospf 1
#明文认证
r11(config-router)#area 1 virtual-link 4.4.4.4 authentication
r11(config-router)#area 1 virtual-link 4.4.4.4 authentication-key cisco123
#密文认证
r11(config-router)#area 1 virtual-link 4.4.4.4 authentication message-digest
r11(config-router)#area 1 virtual-link 4.4.4.4 message-digest-key 1 md5 cisco123
2.汇总的扩展(一下规则大多数用于两个区域间存在多台ABR的前提)
(1)在进行域间路由汇总的同时,修改该汇总条目的cost值
r11(config-router)#area 1 range 10.1.0.0 255.255.252.0 cost 10
意义在于若两个区域间存在多台ABR时,默认它们将A区域汇总到B区域时,给定的起始度量为ABR到被汇总明细条目中最大的度量值;通过在汇总路由的同时进行cost修改,可以起到路径的干涉的作用;
还可以被用于干涉选路,OSPF没有偏移列表;故可以让ABR在将A区域路由传递B区域时,使用汇总条目+cost值的方法来进行人为的度量修改;
#R1为ABR,需要将1.1.1.0/24传输给其他区域
r1(config-router)#area 1 range 1.1.1.0 255.255.255.0 cost 10
(2)路由过滤
前提:若R1为ABR,不愿意将区域1中2.2.2.0/24的路由共享给区域0;
r1(config)#router ospf 1
r1(config-router)#area 1 range 2.2.2.0 255.25.255.0 not-advertise
域外路由,也可以进行过滤,假设R1为ASBR,4.4.4.0/24为其他协议的路由,需要重发布到OSPF中
r1(config-router)#summary-address 4.4.4.0 255.255.255.0 ?
not-advertise Do not advertise or translate
传递过程中还可以修改标记,标记位用于做其他的策略
r1(config-router)#summary-address 4.4.4.0 255.255.255.0 tag ?
<0-4294967295> 32-bit tag value
r1(config)#interface e0/0
r1(config-if)#ip ospf cost 50
所有从该接口进入(控制层面的入向)的路由条目,在之前的度量上再加50;
(3)LSDB的保护特性(12.4以上的IOS支持ospf 的最大工作半径是10000条LSA)
注: EIGRP的最大工作半径是100跳
设备缓存较少–能保存的路由条目数量较少,建议为末梢区域设备
若路由依然很多,超过本地缓存极限,将导致设备故障
r1(config)#router ospf 1
r1(config-router)#max-lsa 1000 100
最大LSA条目数 阀值
默认阀值为75%,此处修改为100%
到达阀值断开邻居关系
r1(config-router)#max-lsa 1000 100 ignore-time 5 断开邻居5分钟
r1(config-router)#max-lsa 100 warning-only 75 LAS到达100条的75%进行警告
注:1类LSA一台设备发出1条LSA包含所有信息;3/5类LSA一个信息为一条;
(4)收敛时间
修改接口hello time时,本地的dead time自动4倍关系匹配;邻居间hello 和dead time必须完全一致,否则无法建立邻居关系
r3(config)#interface tunnel 0
r3(config-if)#ip ospf hello-interval 10
r3(config-if)#ip ospf dead-interval 40
(5)缺省路由(3类缺省、5类缺省、7类缺省)
3类缺省:必须由特殊区域自动产生—末梢区域、完全末梢、完全NSSA
5类缺省:从域外重发布进入到OSPF域;进行该缺省发布的设备,其路由表中必须先存在缺省路由–该路由条目的产生方式不关注(手工配置–重发布—将本地路由表中通过非OSPF协议,或不同OSPF进程产生的缺省路由;重发布到另一个OSPF进程或OSPF协议中前提是本地路由表中一定要先有缺省路由)
r3(config)#router ospf 1
r3(config-router)#default-information originate
默认进入的缺省路由,为外部类型2;
类型1—起始度量为1 ----叠加内部度量值
类型2—起始度量为1-----不叠加内部度量值
r9(config-router)#default-information originate metric-type 1 修改类型
本地路由器表若没有缺省路由,正常无法重发布缺省到OSPF域,可以强制产生
r9(config-router)#default-information originate always
#默认为类型2;可以修改为类型1
7类缺省:正常仅在普通的NSSA环境配置;因为普通NSSA不自动产生缺省路由; 故需要在区域0和NSSA区域间的ABR上,向NSSA区域发布一条缺省路由;
r3(config)#router ospf 1
r3(config-router)#area 1 nssa default-information-originate
默认为N2-类型2;类型1叠加内部度量;类型2 不叠加;
r3(config-router)#area 1 nssa default-information-originate metric-type 1 修改类型
(6) 附录E (link-id相同的问题)
若一台ABR将两条3类LSA导入其他区域;同时这两条LSA的link-id相同;
假设:短掩码网段先进入,link-id正常显示;长掩码进入时link-id加反掩码
20.1.0.0/16–link-id 20.1.0.0
20.1.0.0/24–link-id 20.1.0.255
若长掩码先进入,再短掩码进入时,长掩码的信息被刷新为反掩码;
