OSPF的选路原则

OSPF路由类型2014年8月8日14:09分区第二天下午的第1页OE1与OE2的区别2010年12月30日20:05分区第二天下午的第2页OSPF选路原则2014年8月8日16:38分区第二天下午的第3页注意：1.不管哪种协议。管理距离都是对路由器自身来说的，只在本地有效。R1(config)#routerospf110R1(config-router)#distance121（对本路由器所有路由都有效,改动范围太大，通常不建议这样做，而且是有问题的。）方法1、不好的方法--改所有路由的ADR1(config-router)#distance1214.4.4.4（在OSPF中，这是RID）0.0.0.0（把路由器4.4.4.4通告的全部OSPF路由AD改为121）方法2、好的方法--缩小范围access-list2permit2.2.2.0R1(config-router)#distance1212.2.2.20.0.0.02（只把4.4.4.4通告的2.2.2.0路由将AD改为121，对4.4.4.4通告的其它路由AD不变，注意这里是路由条目的始发路由器）方法3、最好的方法--进一步缩小范围修改管理距离2014年11月29日21:16分区第二天下午的第4页修改COST有3个方法：1、通过一条命令直接改动接口的COST值(可以是loopback)R1(config)#inters0/0R1(config-if)#ipospfcost10//直接修改COST值1-655352、修改OSPF中COST值计算公式的分子例如：在COST公式中修改分子R1(config-router)#auto-costreference-bandwidth1000（单位Mbps10的6次方）3、更改种子metric修改cost值2014年11月29日21:18分区第二天下午的第5页＜OSPF特殊区域＞在OSPF中共有四类特殊区域，都是用来对OSPF做优化的。可以减少一个区域中的LSA3LSA4和LSA5。1、Stub不能存在ASBR2、TotallyStub不能存在ASBR3、NSSA可以存在ASBR4、TotallyNSSA可以存在ASBROSPF特殊区域2014年8月8日14:11分区第二天下午的第6页＜Stub＞·将某区域设为Stub可阻止LSA4/5进入Stub区域，缩小了区域内路由器的LSDB，降低内存消耗。Stub2014年8月8日14:11分区第二天下午的第7页内路由器的LSDB，降低内存消耗。·Stub区域中，ABR会发出一条LSA3默认路由（0.0.0.0）给Stub区域的其他路由器。默认的SeedCost＝1·配置Stub区域的注意点：1、必须将Stub区域的所有路由器都配成Stub。2、Stub区域不能用作虚链路的中转区域。3、Stub区域中不能出现ASBR。4、Area0不能配成Stub。·hello报文中有一个stubareaflag，也叫E位，所有的stub路由器会将这一位置为0，路由器建邻居的时候，将比较这一位，要求必须匹配。分区第二天下午的第8页＜TotallyStubby＞Cisco私有·更加缩小区域内路由器的LSDB，在Stub基础上，又阻止LSA3。（阻止LSA3/4/5）Totallystub2014年8月8日14:12分区第二天下午的第9页LSA3。（阻止LSA3/4/5）·也会由ABR发出一条LSA3默认路由给Stub区域内的其他路由器。配置步骤：先配置出一个STUB区域，然后在ABR上打上以下命令：routerospf110area2stubno-summary//（只需在ABR上做）分区第二天下午的第10页＜NSSA（Not-So-StubbyAreas）＞·NSSA区域和Stub区域一样会阻止LSA4/5。·NSSA区域打破了Stub区域的规则，可以存在ASBR。·ASBR会引入外部路由，是以LSA7引入的，只有NSSA区域中才会现LSA7。·NSSA区域的边界ABR会将LSA7转成LSA5，传播到其他区域。NSSA2014年8月8日14:12分区第二天下午的第11页·NSSA区域的边界ABR会将LSA7转成LSA5，传播到其他区域。Stub区域不能用作虚链路的中转区域。必须将区域的所有路由器都配成nssa配置命令：routerospf110area2nssa注意：NSSA区域不会自动产生默认路由，要手动下发一条routerospf110area2nssadefault-information-originate下发的是ON类型路由还可改动默认路由的metric类型，metric值routerospf110area2default-cost6//（在ABR上做，改SeedCost=6）area2nssadefault-information-originatemetric6metric-type1分区第二天下午的第12页totallyNSSAarea也是CISCO私有特性--TotallyNSSA，能阻止LSA3/4/5，并且由ABR产生LSA3默认路由传播到NSSA其他路由器R2(config-router)#area2nssano-summary//把三类的LSA也干掉，同时也下发一条三类的默认路由。还可改动默认路由的metric值routerospf110area2default-cost6//（在ABR上做，改SeedCost=6）TotallyNSSA2014年8月8日14:13分区第二天下午的第13页area2default-cost6//（在ABR上做，改SeedCost=6）分区第二天下午的第14页场景二：不连续的area0OSPF区域连接问题2014年8月8日14:35分区第二天下午的第15页虚链路：最简单的方法，只需在区域的两台边界路由器上配就可以了不能在特殊区域建立虚链路。一般不建议使用，使用不当会出现环路。R1:R2:routerospf110routerospf110area1virtual-link2.2.2.2area1virtual-link1.1.1.1（中转区域）（对方Router-ID）showipospfvirtual-linksVirtuallink2014年8月8日14:38分区第二天下午的第16页需要写一条静态路由O*E20.0.0.0/0[110/1]//以外部路由的形式下发默认路由，metric值默认为1方法一：方法二：还可在下发默认路由时指定metric的类型和metric值routerospf11default-informationoriginatealwaysmetric-type1metric3下发默认路由2014年8月8日14:27分区第二天下午的第17页default-informationoriginatealwaysmetric-type1metric3分区第二天下午的第18页只能在ABR上做，用来将一个区域的路由传递到另一个区域时进行汇总。routerospf110areaXX（路由始发area）range172.16.32.0255.255.224.0cost65在做汇总时指定cost值为64只能在起源区域的ABR上汇总，或者range只能在１－２类形成3类ＬＳＡ发出时才能做。３类变为３类发出时不能汇总。原区域号：原来在area1,往area0做汇总，则为area110.1.0.0255.255.0.0用于将外部路由重分布进OSPF时进行汇总，只能在ASBR上做routerospf110summary-address172.16.0.0255.255.0.0//在ASBR上做，谁产生的5类LSA谁做汇总。本地也会产生特殊路由来防环O172.16.0.0/16isasummary,00:00:04,Null0路由汇总2014年8月8日14:29分区第二天下午的第19页·分3种认证1、接口认证2、Area认证3、Virtual-Link认证·OSPF即能做明文认证，也能做MD5认证OSPF认证2014年8月8日16:05分区第二天下午的第20页Link：用于同一链路上的路由器之间，在接口下做明文认证ints1/0ipospfauthentication-keywolf//配明文密码ipospfauthentication//启动明文认证密文认证ints1/0ipospfmessage-digest-key1md5wolf//配密文密码ipospfauthenticationmessage-digest//启动密文认证注意：在MD5验证中，两边的KEY号必须一致接口认证2014年8月8日16:25分区第二天下午的第21页Area：第一步：接口下配密码ints1/0ipospfmessage-digest-key1md5wolf//配密文密码第二步：进程下启用routerospf110area0authenticationMessage-digest//启动密文认证注意：区域内的所有路由器都要开启认证。两台路由器相连的链路的密码要匹配。接口认证优于区域认证。区域认证2014年8月8日16:26分区第二天下午的第22页Virtual-Link：routerospf110area2virtual-link2.2.2.2message-digest-key1md5wolf//配密码area2virtual-link2.2.2.2authenticationmessage-digest//启动MD5认证在有虚链路的情况下，如果Area0启动认证，起了Virtual-Link的两台路由器上也要启动区域认证。注意：虚电路上只在刚开始建立邻居关系的时候发送hello包，之后不再发送hello包。所以做这个试验之后要重置邻居关系，或制造一次更新就可以看到效果了。Virtuallink认证2014年8月8日16:30分区第二天下午的第23页