OSPF配置小知识,你get到了吗?
基本配置
01
修改OSPF接口优先级( 0-255 )
取值范围为0-255 ,默认为1 ,优先级为0的OSPF接口在任何情况下都不具备选举资格
DR不会因为新加入的接口在其HELLO分组中报告了更高的优先级而放弃其地位,这是DR的非抢占性。
02
修改 OSPF接口cost
OSPF使用cost作为metric ( 10E81带宽)
03
配置OSPF定时器
在缺省的情况下,失效时间间隔是HellO时间间隔的4倍
04
配置LSDB过载保护
当LSA的个数超过定义的这个阀值,将会……
XXX 为LSA最大个数
yy 为百分比,默认75%
waning-only 超过最大值,只是警告(仍然收发LSA)。默认关闭
Ignore-time 超过所定义的最大值后,超过多长时间,路由器才进入ignore状态。默认5分钟。
lgnore状态下会清除所有邻居及LSA,不会尝试去建立邻居
Ignore-count 默认5次,超过这个次数,则OSPF永远处于ignore状态,除非手工重启ospf进程
Reset-time 默认10分钟, ignore多长时间,脱离ignore状态
注入默认路由
●OSPF 默认路由注入方式一: default-information originate
CO本地必须有一条默认路由,该默认路由可以是静态的,也可以是通过其他动态路由协议获取到的,同时搭配上default-information originate ,即可向OSPF域中注入OE类型的默认路由,且该默认路由在CO本地这条默认失效后也随之DOWN掉。
●OSPF 默认路由注入方式二 : default-information originate always
本地无需任何形式的默认路由,使用default-information originate always将始终向OSPF域中注入一条默认路由,并且该默认路由只要CO还UP ,则不会DOWN。
●使用 Redistribute方式尝试从其他动态路由协议注入默认路由是徒劳的
R1、R2跑OSPF;R2、R3跑EIGRP:
首先R2.上配置ip route 0.0.0.0 0.0.0.0 10.1.23.3 ,并将静态路由重发布进OSPF ,默认路由重发布失败。其次R3.上向R2传递EIGRP默认路由及3.0网络,然后在R2.上将EIGRP重发布进OSPF ,发现R3.上3.0网络及R2、R3 之间的链路所在网段都被重发布进OSPF ,但是默认路由重发布失败。
由此可见,使用重发布的方式,无法将本地的静态默认路由或从其他协议学习到的默认路由注入OSPF
路由汇总
01
区域间路由汇总
注意该area range只对1类、2类LSA产生作用,对3类LSA是不起作用对,也就是对0 IA是无法汇;总的,只对本区域内始发的路由起作用,并且必须配置在ABR.上,产生的汇总路由将传递给其他区域。
配置如下:
另外一点,产生的这条汇总路由, metric是多少呢?譬如area2内,由R4传递给ABR R3的明细路由;如果cost各不相等,那么R3产生的这条汇总路由的metric即为这些明细路由中, cost最小的那个值再加上R3;路由入接口的cost,两者之和就是R3产生的汇总路由的metric。
02
外部路由汇总
对重发布进OSPF域的外部路由,需使用上述命令进行汇总,且注意配置的路由器必须是引入这些外部路由的那台ASBR。
另外,当在NSSA中外部路由时,这些7类的LSA在穿越NSSA的ABR时,由ABR进行7转5,这些5类LSA的路由,由于是由NSSA的ABR产生的,这时候此台ABR就有点ASBR的味道了,因此,亦可使用此命令针对这些路由进行汇总。
03
关于汇总路由的防环问题
许多路由协议在手工汇总后,在执行汇总的Router的路由表里会出现-条指向NULLO的路由:
如果没有这个机制,看看会发生什么:
R3、R4都有默认路由出去, R3作为ABR ,将area2 内172.16.0.0子网进行汇总,将汇总路由传递给了骨干区域。此时R4下某个子网里,有PC在扫描-个不存在的子网内的IP ,如172.16.222.0/24 ,这些数据包会被默认路由匹配一路传递到R2 ,而R2上由于收到R3传递过来的汇总路由,因此又把这些数据包丢回去给R3,R3又丢回R2,如此反复,直到报文TTL为0。
OSPF为了解决这个问题,在进行汇总时, OSPF在R3上(汇总路由的产生地)会在本地自动产生一条指向
Virtual-link
OSPF规定每个区域都必须与区域0相连,当出现了以上情况,可以在区域1中建立一条虚连接来过渡。
虚链路用hello包建立,单播。- -旦建立, hello将不再发送。凡是通过虚链路学到的LSA ,都会标DNA ,表示永远不老化。
例如在R2上看到的部分LSDB :
R2上的邻居表
虚链路的网络类型是p2p ;中转区域不能是stub区域;另外vI只是一-种临时或者割接的手段,不建议运用在常规网络的实施当中。
注意:虚连接是作为主干区域的一部分,因此如果在area 0上配置了验证,那么virtual-link也要做。
如上图, area0开启了认证,那么由于R2、R3之间的虚链路在此前已经建立,所以暂时不受影响(不超时),但重启OSPF后,邻居关系则无法建立,此时需要分别在R2及R3上开启虚链路认证,例如R2上的配置:
当然,如果area0不验证,虚链路.上自己做认证,那验证的范围就仅在虚链路上Virtual-link具有可传递性。
OSPF认证
一共三种,链路认证、区域认证、虚链路认证,每种认证都支持明文及MD5认证
01
链路(接口)认证
明文认证:
密文认证:
上图中,R2配置了2个key,R2会将key1及key2给R1,R1使用key1与R2完成认证,当R1配置上key2cisco后,R1 R2之间会自动切换到使用cisco密钥进行认证,并且邻居关系不受影响, key1也就不用了。
02
区域认证
一旦给某区域开启认证,则属于给区域的所有接口都要配置密钥(不要求所有的密码-致,只需要直连接口双方一致),这种验证方式相当于区域内的所有接]都开启接C I验证。
明文认证:
密文认证:
如果区域0开启了认证,则虚链路也要起认证,只要虚链路路由器上area 0 authentication
下图中,R1及R2启用了区域验证后, R1及R2的s0/0口都要配置key ,而R2的loopback接口没有接任何邻居,仅是一个末梢网段,因此该接口即使不配置验证key , R1仍然能学习到关于该接口的LSA ,因此也能学习到该loopback的路由
03
虚链路的认证
明文认证:
MD5认证:
LSA的过滤
调整管理距离
第一条命令能根据路由更新源并用ACL匹配路由条目进行设置AD ;这个路由更新源IP对于OSPF来说,指的就
是OSPF的routerID。
第二条命令中的inter -area针对的是0 IA路由, intra-area 针对的是本区域内的路由
如上图, R2能学习到邻居R1 ( routerlD1.1.1.1 )发来的路由,如果希望在R2修改来自R1的路由的AD值使用distance 222 1.1.1.1 0.0.0.0 ,可行,使用distance 222 10.1.12.1 0.0.0.0,无效,因此这个更新源IP ,对于OSPF而言,实际上就是OSPF ROUTER ID