学习报告之OSPF详解(二)03-09

OSPF详解（二）

十六、OSPF区域

1. 区域0：汇总每个区域的网络拓扑到其他区域。所有的域间通信量必须通过骨干区域，非骨干区域不能直接交换数据包。
2. 路由器类型：IR、BR、ABR、ASBR
3. IR:所有接口都属于同一区域的路由器。
4. BR:至少有一个接口是与骨干area0相连的路由器。Area0不一定是骨干区域，但骨干区域–定是area0,要成为骨干必须有一个邻接关系在里面
5. ABR:连接其他区域到骨干区域，至少一个接口属于骨干区域。
6. ASBR: OSPF域外部的通信量进入0SPF域的网络路由器。
7. 0SPF的虚链路：一条通过非骨干区域连接到骨干区域的链路。通过非骨干区域修复分段的骨干区域。它是逻辑通道，通过最优路径到达另一端。
   1)它必须配置带两台ABR之间。
   2)虚链路所经过的区域必须有全部路由选择信息。就是传送区域。
   3)传送区域不能是末梢区域。
   4)4虚链路是属于骨干区域的。

十七、LSA组步调

I0S11. 3之前:整个LSDB与LSRrefreshTime相关联(统一的计时器) ，每隔30分钟，路由器重发源与自己的所有LSA,不管这些LSA的老化时间。所以每隔30分钟，就产生一个区域通信量和CPU利用高峰。但让每个LSA有单独的计时器又是很浪费资源的。
一个折中的方案就是组步调，通过延迟重刷新时间，将这些LSA分组，每4min进行一- 次重刷新一组LSA。每4分钟一组!

命令:

timers lsa- group- pacing ?/timers pacing lsa- group ?

十八、OSPF特殊区域

1. Stubarea:不允许AS外部LSA通告在其内部进行泛洪扩散的区域，也不能有虚链路，无类型4和类型5!这区域的ABR向网络内通告一条summary LSA, 这条summaryLSA为缺省路由0.0.0.0。如果存在多余一个的ABR可能会产生次优路径。不存在ASBR,骨干区域不能为stub。
   1)Stub area 内Hello包中可选项E-bit被置0 (详见数据包可选项)。
   2)Stub area内的路由器不接受任何E- bit=1的hello包。这样就确保了
   3)stub area内 的路由器有相同的LSDB。
   4)Area area-id stub确保区域内所有路由器都配置此命令。否则无法建立邻居,一直 处于down状态
   5)Area area-id default-cost ?外部网络通告到stubABR.上的度量值!
2. Totally stubby area:阻塞类型3类型4和类型5。这样更节省内存，使用缺省路由到达除这个区域以外的所有目的地址!ABR只通告一条类型3的缺省路由，其他类型3不通告。
   Area area-id stub no-summary 只需要在ABR.上配置加上no-summary
3. NSSA:允许外部路由通告到0SPF自主系统内部，同时也保留自主系统其余部分的末梢区域特征。NSSA内的ASBR始发7类LSA通告那些外部网络地址。类型7会被ABR阻塞，被转换为5类。
   6)P-bit:NSSA的ASBR会设置或清除这个位。P-bit=1, NSSA的ABR收到后会将7类转为5类通告。P-bit=0, 不会7转5。就是不通告， 其他区域无法知道，只有一种情况P-bit=0就是NSSA区域的7)ABR进行重分布的时候。
   8)Area area-id nssa translate type7 suppress-fa (7转5后将FA字段变为0.0.0. 0, FA=forward address)
   9)Area area-id nssa defaul t-informat ion-origi nate向NSSA以类型7(N2)的方式注入一- 条默认路由。ABR上设置! (必须，否则没有缺省)Area area-id nssa no-redistribute如 果ABR也是ASBR这可以阻止ABR向NSSA内部通告类型7。
4. Totally NSSA :和NSSA相同只是在NSSA内部也没有类型3LSA。 只用在ABR上就可以。Area area-id nssa no- summary只会向NSSA内通告一个3类的缺省路由到NSSA区域.
5. 正常区域:有1类2类3类4类5类Stub area:有1类2类3类
6. Stub area:有1类2类3类
7. Totally stub:有1类2类3类只有缺省
8. NSSA:有1类2类3类7类
9. otally NSSA:有 1类2类3类只有缺省7类

十九、SPF的计算

1. 完整的SPF计算:以自己为根对目标网段的LSA进行详细的链路层计算和网络层计算，得出到达目的地的最佳路由。Area内是完整的SPF计算。
2. 部分SPF计算:计算到达area外的目的地。因为外部LSA和汇总LSA没有详细的链路状态信息(只路由可达信息)，只计算到ABR的SPF算法。

二十、OSPF建立邻接的过程

1. R1首先有效，发送hello给R2。 由于没有任何邻居所以邻居列表为空，DR/BDR为0.0.0.0
2. R2收到R1的hello后，将R1置为init,并发hello给R1,邻居列表加上R1的RID,并且DR/BDR为自己接口地址
3. R1收到R2hel lo看到自己RID于是2WAY,然后到EXStart, R1发空的DBD,序列号为X，I=1, M=1 (图打印错误), MS=1,声明自己为主。
4. R2收到DBD后将R1置为EXStart,响应一个DBD，序列号为Y，R2的RID更高，它把MS=1,声明自己为主
5. 主从协商完，R1将R2置Exchange,发送DBD给R2，序号为Y。MS=0, M=1, I=0
6. R2收到这个DBD后，将R1置Exchange, 发DBD给R1，序列号为Y+1.这个DBD包含了link state sumnary list中LSA头部。
7. R1收到后，返回一个序列号相同的DBD， 直至R2发出最后-一个DBD， M=0
8. exchange状态完成，但是R1请求列表中还有LSR，所以进入loading
9. R2收到最后一个DBD后，将R1置为FULL， 因为R2请求列表为空了
10. R1发送LSR,R2发送LSU,过程直到R1请求列表为空，R1把R2也转换到full

二十一、OSPF路由器

1. 目的类型
   1)网络条目:数据包所要转发的目的网络地址。
   2)路由器条目:到达ABR和ASBR路由器的路由。
   Show ip os border-routers查看ABR和ASBR路由器。这个内部的路由表中的所有目的地都是ABR和ASBR的路由器ID。
   注意：i=区域内路由， I=区域间路由路径类型(0 0IA E1/N1 E2/N2)
2. 路径类型(0、 0IA、 E1/N1、 E2/N2)
   3)0区域内路径:路由器在area内就可以到达的路径。
   4)0IA区域间路径:目的地在其他区域但是还属于0SPF自主域内。
   5)E1外部路径类型1:目的地只在OSPF自主域外的路径。当其他协议自主域的重分布到OSPF时，ASBR需要给这些通告的路由指定一一个代价值。(ASBR通 告的外部代价+内部路由器到ASBR的代价)
   6)E2外部路径类型2:目的地只在0SPF自主域外的路径。(只计算外部的开销，外部开销默认为20，BGP为1。 而且为默认设置)
3. 0SPF路由表的查找
   7)最长匹配原则。
   8)0路由>01A路由>E1路由>E2路由
   9)如果有多条等代价、等路径类型的路由器存在，可以负载均衡。Maximum- pashs (1-16)
   10)任何路由信息的发布必须经过骨干区域到达其他区域，所以非骨干区域不宜直接连接，否则应该在同-一个区域。
   11)如果一个路由器同时属于两个非骨干区域。那么它会就近选择一个区域访问骨千0。
   12)末节区域，对E1/E2可能有次优路径。
   13)完全末节区域，对E1/E2和0IA可能有次优。. NSSA对E1/E2可能有次优路径。
   14完全NSSA对E1/E2和0IA可能有次优路径。
4. 0SPF对E2外部路由的选路原则:
   15)都为E2类型的情况下，cost越小越优先。
   16)在cost相同的情况下，选择到ASBR的最优路径。
   17)如还相同则负载均衡。
5. 0SPF对E1外部路由的选路原则:
   18)1都为E1类型的情况下，cost越小越优先。
   19)如果有多条路径的处部代价+到ASBR代价相同则直接进行负载均衡。

二十二、按需链路上的OSPF

1. 0SPF具有抑制hello数据包和LSA重刷新的能力，以便链路不是永久的有效。按需链路最初会执行LSDB同步，之后只会激活这条链路去泛洪有变化的LSA,这些变化包括:
   1)LSA可选字段产生变化
   2)在老化时间达到时收到了LSA通告的新实例
   3)LSA头部的长度字段发生了变化
   4)LSA的内容发生了变化，不包括头部、校验和或序列号
2. 按需链路上OSPF的LSA数据包的修改:
   5)1由于OSPF没有周期性的重复刷新，当LSA到达maxage不会被宣布无效。它通过指定DoNotAge位来完成。 通过DoNotAge位置1, LSA:洪到链路对端，age对端会增加一个InfTransDe lay指定的秒数，当这条LSA被安装如LSDB中不会再老化。
   6)所有路由器必须能支持DoNotAge位， 因此在所有LSA中增加一个DC位，通过设置此标志，其他路由器就知道该路由器支持按需链路.上的0SPF。
   Ip ospf demand-circuit
3. 在按需链路上配置0SPF的注意事项:
   7)只有在区域的LSDB中所有LSA设置了DC位， 设置了DoNotAge位的LSA才被允许进入该区域。
   8)按需链路0SPF的所在区域内所有路由器都必须支持在按需链路.上的0SPF。
   9)如果按需链路0SPF在非末节区域实现，那所有非末节区域必须支持按需链路上的0SPF。DC位是在类型5LSA实现的。
   10)应该把按需链路0SPF的区域限制在stub、 totally stub、NSSA、 totallyNSSA。这样可以限制LSA数量， 也可以取消在所有router支持DC。
   11)如果DC上有VC,那么此VC被认为按需链路。6 :按需链路的0SPF丧失了稳定性。
   12)重刷新可以在两端路由器除按需链路的所有接口发生，这有可能导致两端LSA序列号不同。

二十三、数据包的可选项

1. DC-bit:当始发路由器支持按需链路上的OSPF时，该比特置1
2. EA-bit:始发路由器具有接受和转发外部属性LSA时该比特置1
3. N-bit (NP-bit):只用在hello中，置1则支持NSSA外部属性
4. LSA,置0则不接受和发送NSSA外部LSA,链路两端设置不一致无法形成邻居，当N=1则E=0, N=0则E=1。
5. P -bit:只用在ENSSA外部头部。用来告诉NSSA区域的ABR把类型7转为类型5。
6. MC-bit:当始发路由器支持IP组播，该位被设置，用于MOSPF
7. E-bit:始发路由器具有接收AS外部LSA (5类)能力时，此位置1。非stub区域一般都设置此比特。不一-致无法形成邻居。
8. T-bit:当路由器支持TOS时，该比特被置1 (后被MT位替换掉)
9. L-bit:当0SPF包包含0SPF LLS data block时此位置1，一般都置1，新版本几乎所有hello/DD包都包含这个信息。
10. 0-bit:当始发路由器支持0paque LSA (类型9、10、11)置1。
11. MT-bit:置1表示路由器支持多拓扑(不广泛使用，只有理论)
12. DN-bit:避免MPLS VPN环路，在类型3设置DN位后接收路由器不能在0SPF路由计算中使用该LSA.从VPN一个客户端的一个PE学到的路由不能重分布回另一个PE。跨域无效，就是ASBR会删除此位信息。解决方法tag field(5类防环)

二十四、配置OSPF的注意事项

1. 路由进程只在本地有效。当只有一个区域时，不一定是骨干0
   1)passsive-interfack在OSPF中为不收不发hello,将接口被动无法形成邻居。
   2)passsive-interfack在RIP中为只收不发(组播或广播更新)，可以配置单播发送更新。
   3)passsive- interfack在EIGRP中为不收不发hello,将接口被动无法形成邻居。
   4)passsive-interfack在ISIS中为不收不发hello (将接口被动会在接口上执行no ip routerisis),但是还会通告该接口网络,而且是没有链路开销的通告。
2. OSPF的network命令是从第一条开始往下按顺序执行。(特性: network命令排列深度优先)
3. 如果0SPF不能发现一个有效的IP地址做他的RID, 那OSPF不会启动。
4. OSPF把loopback看成末梢网络，loopback接 口的地址被看成是一个主机路由。
5. OSPF使用一个接口IP当做RID,但是这个接口不一定需要运行0SPF。
6. OSPF将辅助地址当成末梢网络，从而不会再这些网络发hello包，因此辅助地址无法建邻居。

二十五、OSPF LSDB的过程保护

1. 如果设备运行在一个很大的OSPF路由选择域，而有的设备并没有很强大的内存，那么可以在这台设备配置LSDB的过载保护。命令如下:
   1)Max-lsa ? (OSPF进 程可在LSDB中存储的不是自己的LSA的最大数量)
   2)可选<1-100> threshold-percentage:达到MAX LSA多大比例后发出警告(默认75%)
   3)可选超过MAX -LSA后只发出警告! (默认禁用)
   4)可选<ignore-time 1-17895 分钟>超过MAX- LSA后忽略所有邻居的时间(默认5分钟)
   5)可选<ignore- count 1-65534> 可以连续进入忽略状态的次数( 默认为5次，超过后永久性关闭)
   6)可选<rest-time 235791分钟>多长时间后i gnore-count重置为0 (默认10分钟)

二十六、OSPF的路由汇总

1. 路由汇总对0SPF路由选择进程占用的内存、带宽、CPU周期、有直接影响。
2. 不进行汇总所有的LSA都会传播到主干中，导致不必要的网络数据流和路由器开销。因为每当LSA通告后，所有路由器都会用SPF算法进行最短路径计算，每收到一-次计算一次。
3. 汇总后可以减小运算，而且某条链路出现故障，拓扑变化不会传播到主干，这样区域外其他地方将不会发生LSA扩散。
4. 如果这个子网地址被汇总后包含在一个汇总地址中，那么单独的子网和它的稳定性就不再被通告出去了。0SPF中任何汇总范围内更精确的地址都会被抑制!
5. 两种汇总路由的度量值都来源于汇总的明细路由中的最小度量值!
6. 区域间汇总时，ABR只能汇总相连区域的路由。ABR连接areal、 area2它 不能汇总area3的路
7. 区域间路由汇总:区域之间的路由汇总，配置在ABR上。不能汇总(类型5)和类型3)Area ? Range x.x.x.x x.x.x.x (advertise/not-advertise)cost ?汇总路由度量。(advert ise/not-advert ise) ABR是否通告汇总的0IA路由
8. OSPF汇总后不会自动产生Null口的路由，需要手动配置(用来避免路由黑洞和路由环路)
9. Discard- router internal ABR汇 总后产生null口路由。无论何时在配置汇总时都应该确认是否为这个汇总地址增加了null路由，也可以用静态路由创建。
10. 部路由汇总:汇总从其他路由选择域注入到OSPF中的路由，配置在ASBR上。
11. Summary . address x.x.x.x X.x.x.x (not-adverti seASBR不通告汇总的外部路由) tag(标记)外部汇总路由会自动产生nul 1路由(默认执行discard-router external)

二十七、OSPF的认证

1. 通过对邻居进行身份验证，路由器将对收到的每个路由选择更新分组的信源进行身份识别。
2. 默认情况下，OSPF使用身份认证方法为null, OSPF支持简单密码身份认证和MD5身份认证。
3. 3OSPF的MD5身份认证，在每个0SPF分组中加入一个不递减的序列号，防止重放攻
4. 如果配置了区域认证，那么必须在整个区域配置认证。
5. OSPF的认证信息在0SPF头部，所以不管哪种OSPF包都包含认证信息。每个包都含认证信息。
6. 不管是区域认证还是接口认证，密码类型必须和认证方式相匹配。
7. 设备间认证类型优于区域认证类型。
8. 配置认证后不配置认证密码也可以建立邻接关系。如果要配置，链路上所有路由器都要配置。
9. 只有在配置相应的认证类型后，认证密码才生效。
10. 简单密码的更换需要中断邻接关系，MD5方式可以无缝的切换密码。
11. 0SPF的简单认证(区域认证)
    1)Area 0 authentication在区域间启用了简单认证
    2)Ip ospf authentication key在区域内相应接口配置接口密码。所分配口令不必整个区域- .致，但是一对路由器之间必须相同。
12. 0SPF的简单认证(设备间认证)
    3)Ip ospf authentication 在设备内启用简单认证
    4)Ip ospf authentication-key在区域内相应接口配置接口密码。也不必区域内一致。
    5)OSPF的MD5认正它会用OSPF数据包内容和密码计算- 个hash值，这个hash值、key-id、和一个不变小的序列号一起传送，拥有相同口令的路由器会计算出相同的hash值。
13. OSPF的MD5认证(区域认证)
    6)Area 0 authent icat ion message-digest在区域内启用了MD5认证
    7)Ip ospf message-digest-key key-id (1-255) md5 password 在区域内相应接口配置接口密码。所分配口令不必整个区域-致，但是一-对路由器之间必须相同。
    8)Key-id=0说明没有认证密码。设备两端key- id和密码不一致不能认证成功
    9)如果同时配置明文认证和MD5认证，MD5认证优于明文认证，明文不起作用!
    10)如配置了多个key-id,优先使用最后配置的-个key-id。0SPF总是优先使用最后配置的key-id,并且如果收到-一个新的key- id,它就会停止发送旧的key-id.4
    10)在相邻路由器上，同样的key- id必须对应相同的密钥值。
14. OSPF的MD5认证(设备间认证)
    11)Ip ospf authent icat ion message-digest在 设备间启用MD5认证
    12)Ip ospf message- digest-key key-id (1-255) md5 password 特点同上(下面是KID切换实例)
    13)路由器A和B使用key-id 10进行数据包的交换。这时管理员给A路由器配置了新的key-id 9。
    14)A路由器用新的key-id 9给B路由器发hello包。B路由器收到后如果存在key-id 9那么就停止发送key-id 10，开始发送key-id 9. 这样两端都启用了新的密钥。 H-ma
    15)B路由器收到后如果没有key-id9,它继续发送key-id10,而A路由器每次都发送2个hello包分别为key-id 9和key-id 10。直到B路由器成功的切换掉key-id 10。

二十八、OSPF的虚链路

1. 用于连接分段的骨干区域或将一 -个区域通过中转区域连接到骨干区域。
2. 应该只将虚链路作为临时的解决方案或备用连接，而不应将其作为一种主干设计。
3. 它在两个ABR之间建立逻辑通道，类似于0SPF的邻接关系，但他们不必直接相连。
4. 在虚链路上单播发hello.邻居建立起来后hel lo被抑制，虛链路通告的LSA的DNA (DoNotAge选项被设置，因此不会老化。而且没有每30min的泛洪，因为它被当成DC按需电路。
5. 虚链路所经过的区域叫transit area,它必须拥有完整的路由信息。它不能为stub区域
6. 虚链路配置在两个ABR之间。虚链路的cost也是从出接口累加的，虚链路的网络类型为P2P
7. 虚链路是属于骨干区域0的一个接口。
8. Area area-id virtual-link router-id (area- id传输区域router- id对端的RID)
9. virtual-link属 于骨千0区域，所以配 置骨干0区域认证时候，virtual-link 也需配置密码。
10. Virtual-link只是骨千0的一一个链路，所以它与骨干0区域其他链路配置认证无异
11. 简单设备认证
    Area area-id virtual-link router- id authentication
12. area area-id virtual-link router- id authent icat ion-key
13. MD5设备认证
    area area-id virtual-link router- id authent icat ion message-digesti
    area area-id virtual-link router- id message-digest-key ? md5 ?

二十九、默认路由

1. Default-information originate {always/ metric/metric-typel
2. 向区域内以5类通告默认路由。通告路由器会变成ASBR。
3. 如果没有always选项，那么路由表里面必须有一条缺省的静态路由才能向内通告，always选项不管有没有这条路由都会向OSPF区域内通告默认路由
4. Metric的缺省为1，可以指定向内通告的缺省路由的度量!
5. Metric- type指定类型，缺省通告为E2类型。

三十、重分布的默认度量

1. Default- metric cost
2. 重分布到0SPF的路由，如果redistribute没 有指定度量值的话可以用以上命令分配一个度量值。该度量值不会影响redistribute命令指定的度量值( redistribute的优于default-metric)。
3. Default-metric cost 对于重分布直连路由无效。
4. redistribute进0SPF的路由条目缺省metric: BGP为1，其他为20。

三十一、管理距离

1. 用来修改本地路由选择表中所有OSPF路由的管理距离。
2. Distance ?也可以更改external/inter-area/ intra-area这些类型路由的本地管理
3. Distance ? Source wildcard ACL可以控制来自哪个源的路由条目的本地管理距离。后面还可以加访问挖制列表控制。

三十二、过滤路由

1. Distribute-list ? (acl/route- map/prefix) In 阻L:OSPF将LSDB中的LSA放进路
2. Distribute-list ? In interface- type number阻止从该接口接收的LSA放入路由表
3. 由于该命令只是控制本地路由表的安装，所以不会影响其他路由器的路由表。
4. 对于距离矢量协议(RIP/EIGRP) 该命令可以控制路由表条目从某个接口的发送(out)和接收(in)。但是链路状态协议发送的不是路由条目而是LSA信息，所以该命令在OSPF上只能控制本地路由表。而out参数在OSPF中没有意义，除非过滤从距离矢量协议重分布进0SPF的路由表项!
5. Distribute-list ? 0ut eigrp 1控制从eigrp进程重分布进OSPF的过滤列表，只out有效
6. ISIS协议里面没有该命令。BGP的使用和其他距离矢量协议相同，而且可以在nei ghbor后使用。
7. MOSPF-LSA：Cisco路由器并不支持MOSPF,但缺省情况下会接收类型6的LSA并会产生syslogIgnore lsa mospf 这条命令可以阻止SYSL0G的产生!
8. 等价负载均衡：Maximum-paths 1-16 默认可以在4条链路负载均衡最大16条!默认情况下0SPF只支持等价

三十三、OSPF timers

1. Timers throttle spf delay interval
2. De lay:收到拓扑变化到开始用SPF算法计算最短路径的时间间隔。默认为5S。
3. Interval:连续的使用SPF算法计算的间隔。缺省为10S。这个间隔可以有效的防止网络上的抖动接口导致的频繁的发送LSA拓扑变化而进行SPF计算。

三十四、阻止LSA的扩散

1. 默认情况下，路由器收到LSA的时候会向除收到该LSA的接口外的其他所有接口扩散。Ip ospf database-filter all out用于阻止LSA在使用该命令的接口扩散。
2. Neighbor x. x.x. x database-filter all out用来防止LSA在非广播网络上泛洪到邻居。
3. 缺省情况下每30min就会更新一次LSA,如果LSA没变化，说明网络很稳定，在网络稳定的情况下每30min一次的LSA重扩散是多余的，我们可以让LSA带DNA位一起发送，同时也抑制了定期更新，只有发生变化时LSA才被重扩散。
4. Ip ospf flood-reduction 使用时邻居关系会被重置。

三十五、Clear commands

1. Clear ip ospf ospf-id conuters (int, neighbor/清空邻居状态变换计数器。
2. Clear ip ospf process重启OSPF进程。
3. Clear ip ospf redistribute 清除重分布进0SPF的路由条目。

三十六：OSPF常用的查看命令

1. 查看（router-id）路由器通过的路由条目Show ip ospf database adv-router router-id
2. 查看有自己通告的LSA信息Show ip ospf database self-originate
3. 查看接口上待泛洪排队列的LSA列表Show ip ospf floot-list
4. 查看路由器在接口上的请求LSA的情况Show ip ospf request-list
5. 显示等待重传的LSA列表Show ip ospf reteansmission
6. 显示在路由器上已经配置了的汇聚地址Show ip ospf summary-address
7. 显示一个OSPF邻接关系形成的过程Debug ip ospf adj
8. 显示OSPF的SPF的计算过程Debug ip ospf spf
9. 显示OSPF的事件（邻接关系形成、SPF算法、DR的选举、LSA扩散等）Debug ip ospf evevt