OSPF的擴展配置
1.認證
(1)接口認證
1)接口明文認證
r11(config)#interface s0/1
r11(config-if)#ip ospf authentication
#先開啓接口明文認證需求,開啓後該接口發出的OSPF數據包中,認證類型字段被修改,雖然還沒有認證祕鑰,但依然要求鄰居該參數必須一致
r12(config-if)#ip ospf authentication-key cisco123 認證明文祕鑰,兩端需一致
2)接口密文認證
r11(config)#interface s0/1
r11(config-if)#ip ospf authentication message-digest 密文需求
r11(config-if)#ip ospf message-digest-key 1 md5 cisco123 密文祕鑰
(2)區域認證
例:在R1上開啓關於區域0 的明文或密文認證;實際就是在R1上所有屬於區域0的接口,進行明文或密文認證類型字段修改;等於在R1的所有區域0接口配置接口認證中的需要開啓;明文或密文祕鑰需要到各個接口逐一配置;
r11(config)#router ospf 1
r11(config-router)#area 1 authentication 區域明文
r11(config-router)#area 1 authentication message-digest 區域密文
(3)虛鏈路認證
r11(config)#router ospf 1
#明文認證
r11(config-router)#area 1 virtual-link 4.4.4.4 authentication
r11(config-router)#area 1 virtual-link 4.4.4.4 authentication-key cisco123
#密文認證
r11(config-router)#area 1 virtual-link 4.4.4.4 authentication message-digest
r11(config-router)#area 1 virtual-link 4.4.4.4 message-digest-key 1 md5 cisco123
2.彙總的擴展(一下規則大多數用於兩個區域間存在多臺ABR的前提)
(1)在進行域間路由彙總的同時,修改該彙總條目的cost值
r11(config-router)#area 1 range 10.1.0.0 255.255.252.0 cost 10
意義在於若兩個區域間存在多臺ABR時,默認它們將A區域彙總到B區域時,給定的起始度量爲ABR到被彙總明細條目中最大的度量值;通過在彙總路由的同時進行cost修改,可以起到路徑的干涉的作用;
還可以被用於干涉選路,OSPF沒有偏移列表;故可以讓ABR在將A區域路由傳遞B區域時,使用匯總條目+cost值的方法來進行人爲的度量修改;
#R1爲ABR,需要將1.1.1.0/24傳輸給其他區域
r1(config-router)#area 1 range 1.1.1.0 255.255.255.0 cost 10
(2)路由過濾
前提:若R1爲ABR,不願意將區域1中2.2.2.0/24的路由共享給區域0;
r1(config)#router ospf 1
r1(config-router)#area 1 range 2.2.2.0 255.25.255.0 not-advertise
域外路由,也可以進行過濾,假設R1爲ASBR,4.4.4.0/24爲其他協議的路由,需要重發布到OSPF中
r1(config-router)#summary-address 4.4.4.0 255.255.255.0 ?
not-advertise Do not advertise or translate
傳遞過程中還可以修改標記,標記位用於做其他的策略
r1(config-router)#summary-address 4.4.4.0 255.255.255.0 tag ?
<0-4294967295> 32-bit tag value
r1(config)#interface e0/0
r1(config-if)#ip ospf cost 50
所有從該接口進入(控制層面的入向)的路由條目,在之前的度量上再加50;
(3)LSDB的保護特性(12.4以上的IOS支持ospf 的最大工作半徑是10000條LSA)
注: EIGRP的最大工作半徑是100跳
設備緩存較少–能保存的路由條目數量較少,建議爲末梢區域設備
若路由依然很多,超過本地緩存極限,將導致設備故障
r1(config)#router ospf 1
r1(config-router)#max-lsa 1000 100
最大LSA條目數 閥值
默認閥值爲75%,此處修改爲100%
到達閥值斷開鄰居關係
r1(config-router)#max-lsa 1000 100 ignore-time 5 斷開鄰居5分鐘
r1(config-router)#max-lsa 100 warning-only 75 LAS到達100條的75%進行警告
注:1類LSA一臺設備發出1條LSA包含所有信息;3/5類LSA一個信息爲一條;
(4)收斂時間
修改接口hello time時,本地的dead time自動4倍關係匹配;鄰居間hello 和dead time必須完全一致,否則無法建立鄰居關係
r3(config)#interface tunnel 0
r3(config-if)#ip ospf hello-interval 10
r3(config-if)#ip ospf dead-interval 40
(5)缺省路由(3類缺省、5類缺省、7類缺省)
3類缺省:必須由特殊區域自動產生—末梢區域、完全末梢、完全NSSA
5類缺省:從域外重發布進入到OSPF域;進行該缺省發佈的設備,其路由表中必須先存在缺省路由–該路由條目的產生方式不關注(手工配置–重發布—將本地路由表中通過非OSPF協議,或不同OSPF進程產生的缺省路由;重發布到另一個OSPF進程或OSPF協議中前提是本地路由表中一定要先有缺省路由)
r3(config)#router ospf 1
r3(config-router)#default-information originate
默認進入的缺省路由,爲外部類型2;
類型1—起始度量爲1 ----疊加內部度量值
類型2—起始度量爲1-----不疊加內部度量值
r9(config-router)#default-information originate metric-type 1 修改類型
本地路由器表若沒有缺省路由,正常無法重發布缺省到OSPF域,可以強制產生
r9(config-router)#default-information originate always
#默認爲類型2;可以修改爲類型1
7類缺省:正常僅在普通的NSSA環境配置;因爲普通NSSA不自動產生缺省路由; 故需要在區域0和NSSA區域間的ABR上,向NSSA區域發佈一條缺省路由;
r3(config)#router ospf 1
r3(config-router)#area 1 nssa default-information-originate
默認爲N2-類型2;類型1疊加內部度量;類型2 不疊加;
r3(config-router)#area 1 nssa default-information-originate metric-type 1 修改類型
(6) 附錄E (link-id相同的問題)
若一臺ABR將兩條3類LSA導入其他區域;同時這兩條LSA的link-id相同;
假設:短掩碼網段先進入,link-id正常顯示;長掩碼進入時link-id加反掩碼
20.1.0.0/16–link-id 20.1.0.0
20.1.0.0/24–link-id 20.1.0.255
若長掩碼先進入,再短掩碼進入時,長掩碼的信息被刷新爲反掩碼;