CCNP理论之OSPF协议（三）

OSPF（开放最短路径优先协议）

五、OSPF高级功能

1、Passive-interface

将接口配置为被动，只是禁止通过它建立邻居，但路由器仍会将相关网络通告给OSPF邻居。

2、下发默认路由

第一种方式：

ip  route  0.0.0.0  0.0.0.0  出接口

default-information  originate

此时路由表象为 O*E2  0.0.0.0/0  [110/1]

第二种方式：

default-information originate always     没有默认路由时强制下发

在ABR或ASBR上启用，整个OSPF区域都收到，metric默认值永远为1，不累加。

3、路由汇总

优点：

减少路由条目数；

使拓扑变化的影响局限在一个小范围内；

减少了LSA 3和LSA 5的泛洪

配置：

<config-router>area * range x.x.x.x   (域间汇总，在ABR上配置)

<config-router>summary-address x.x.x.x  (域外汇总，在ASBR上配置)

手动配置汇总时，将创建一条指向null0接口的路由，以避免环路。如果同一区域有多个ABR，要做汇总，必须都做

4、OSPF虚链路

在OSPF中，要求所有非骨干区域都要与骨干区域相连，通过虚链路，可以将不连续的Area0连接起来；将区域通过中转区域连接到Area0，如图：

配置：

<config-router>area [经过的区域] virtual-link [对端RID]

show ip ospf virtual-links

在建立虚链路时，修改虚链路的Hello时间会导致虚链路邻居无法建立，物理连接的邻居还是存在的，虚链路UP，但无法学习到路由，因此hello及dead时间必须匹配。

DNS：虚链路只在建立邻居时发送Hello包，当邻居建立后，不再发送hello包，并且LSA是触发更新且不老化，这个特性称为DNS（DoNotAge）

5、OSPF的特殊区域

①Stub（末节）

可缩小区域中的LSDB，降低内存消耗，阻止LSA 4、LSA 5进入stub区域。ABR会发出一条默认路由给stub区域的其他路由器。seed cost=1

配置stub的要求：

①将区域内的路由器都配置成stub

②stub中不能出现ASBR

③Area 0不能配置成stub

④虚链路不能穿越stub

⑤不能再接其他区域

<config-router>area * stub

<config-router>area * default-cost *  (在ABR上，同时有2个ABR时，修改此值实现选路)

②Totally Stub(完全末节)

阻止LSA3、LSA4、LSA5，ABR发出一条默认路由给stub区域的其他路由器，seed cost=1.

<config-router>area * stub no-summary    (只需在ABR上配置)

③NSSA（Not-so-stub area）

----NSSA区域打破了stub区域的规则，可以存在ASBR

----ASBR以LSA7引入外部路由

----阻止LSA4、LSA5

----ABR将LSA7转成LSA5，传播到其他区域

----NSSA区域不会自动下发默认路由，需要手动下发

<config-router>area * nssa

<config-router>area * default-information-originate  (在ABR上配置，由ABR产生一条LSA7默认路由传播到NSSA区域其他路由器，seed cost=1，不根据链路累加，路由表象为O*N2)

<config-router>area * default-cost *  (修改下发默认路由的seed cost值)

<config-router>area * nssa default-information-originate metric * metric-type 1 (将N2类型的路由该改为N1)

④Totally NSSA

阻止LSA3、LSA4和LSA5，由ABR产生LSA3默认路由传播到NSSA其他路由器，seed cost=1

<config-router>area * nssa no-summary

6、OSPF身份验证

验证分为Link/Area/Virtual-link 3中认证，支持明文和密文加密 www.it165.net

①Link：用于同一链路上的路由器之间，在接口下配置

明文

<if>ip ospf authentication

<if>ip ospf authentication-key *

密文

<if>ip ospf authentication message-digest

<if>ip ospf message-digest-key * md5 [密码]          两边的key号必须一致，哈希时会用到key号

②Area：区域认证

<config-router>area * authentication message-digest

<if>ip ospf message-digest-key * md5 [密码]           接口下调用

区域内所有路由器都要开启认证。

③Virtual-link：虚链路认证

<config-router>area * virtual-link [RID] authentication message-digest

<config-router>area * virtual-link [RID] message-digest-key * md5 [密码]

如果Area0启用认证，在virtual-link上也要启用认证，明文密文均可。