一、关于OSPF的数据表—LSDB(链路状态数据库)
OSPF协议邻接关系间,沟通互传的信息为各种LSA;最终将本地收集到达的所有LSA集合在本地的LSDB表中;
LSA-链路状态通告—ospf协议在不同的网络环境下产生不同类别的LSA,用于携带传递不同的信息;
[r3]display ospf lsdb router 1.1.1.1 查看一条LSA的具体内容
类别 link-id
在所有类别的LSA中均存在以下信息
Type : Router 类别名 此处为1类
Ls id : 1.1.1.1 link-id 在目录的页面号,由于具体查看该LSA时输入
Adv rtr : 1.1.1.1 通告者(更新源)的RID
Ls age : 400 老化时间,单位S;触发马上归0;1800周期归0;最大老化3609;
Len : 60
Options : E
seq# : 80000003 棒棒糖序列号规则
chksum : 0xb2ee
传播半径 通告者(更新源) 携带的信息
LSA1 Router 单区域 本区域内所有运行OSPF协议(RID) 本地直连拓扑
LSA2 Network 单区域 单个MA网络中的DR(RID) 单个MA网段拓扑
LSA3 summary 整个OSPF域 ABR 域间路由
LSA4 asbr 除ASBR所在区域外的 ABR(与ASBR在同一区域) ASBR位置
整个ospf域
ASBR所在区域基于1类告知位置
LSA5 ase 整个OSPF域 ASBR 域外路由
LSA7 nssa 单个NSSA区域 ASBR 域外路由
Link-id 通告者
LSA1 Router 通告者的RID 本区域内部所有运行OSPF协议的是路由器
LSA2 Network DR的接口ip地址 单个MA网段中的DR
LSA3 summary 路由的目标网络号 ABR;在通过下一台ABR时,修改为新的ABR
LSA4 asbr ASBR’RID ABR;在通过下一台ABR时,修改为新的ABR
LSA5 ase 路由的目标网络号 ASBR
LSA7nssa 路由的目标网络号 ASBR,离开该区域进入其他区域将被转换为5类
二、OSPF的LSA优化(减少OSPF的LSA更新量)
1、汇总 - 减少骨干区域的LSA数量
2、特殊区域 –减少非骨干区域的LSA数量
【1】汇总
1)域间路由汇总 ——在ABR上将区域间传播的3类LSA进行汇总
[r1]ospf 1
[r1-ospf-1]area 2
本地通过区域2的1/2类LSA计算所得路由,在基于3类传递时方可汇总
[r1-ospf-1-area-0.0.0.2]abr-summary 5.5.4.0 255.255.254.0
只能在ABR上配置,在将A区域路由传递到B区域时进行汇总配置
2)域外路由汇总——在ASBR上,进行重发布,导入5/7类LSA进入OSPF域时,进行汇总
[r4]ospf 1
[r4-ospf-1]asbr-summary 99.1.0.0 255.255.252.0
【2】特殊区域
特殊区域——不能是骨干区域,不能存在虚链路
注:一旦配置特殊,该区域内所有设备均需要进行配置,否则无法建立邻居关系。
「1」不能存在ASBR
(1)末梢区域 stub – 该区域拒绝4、5的LSA进入,而是由连接骨干区域的ABR设备,向该区域发布一条3类的缺省路由;
[r5]ospf 1
[r5-ospf-1]area 2 将区域2配置为末梢区域
[r5-ospf-1-area-0.0.0.2]stub
(2)完全末梢区域 – 在末梢区域的基础上,进一步拒绝3类的LSA,仅保留一条3类的缺省路由进入
先将该区域配置为末梢区域,然后仅在ABR上定义完全即可
[r1]ospf 1
[r1-ospf-1]area 2
[r1-ospf-1-area-0.0.0.2]stub no-summary
[2] 存在ASBR
(1)NSSA – 非完全末梢区域 — 该区域将拒绝4/5的LSA;本NSSA所在区域ASBR产生的5类LSA,被7类传输,在通过该NSSA进入骨干区域时,被ARB转换回5类;
NSSA区域的作用不是抑制本地ASBR产生的信息,而是抑制该网络中其他区域ASBR产生的4/5类LSA;
华为:之后由该NSSA区域连接骨干区域的ABR向该NSSA区域发布一条7类的缺省路由;
Cisco:默认把一个区域配置为NSSA后,将不会自动产生缺省路由,需要在管理员确定网络无环的前提下,在手工添加缺省路由;
[r4]ospf 1
[r4-ospf-1]area 1
[r4-ospf-1-area-0.0.0.1]nssa
(2)完全NSSA – 在NSSA的基础上,进一步拒绝3类LSA;由连接骨干区域的ABR向该区域发布一条3类的缺省路由;本NSSA区域内部ASBR的路由基于7类传递,之后转换为5类进入骨干区域。
先将该区域配置为NSSA,然后仅在ABR上配置完全即可
[r3-ospf-1-area-0.0.0.1]nssa no-summary
切记:NSSA在华为体系中自动生成7类缺省;完全NSSA在华为和cisco体系中均自动3类缺省;此时一定需要关注网络连接ISP的位置,否则可能导致环路出现;
三、OSPF的扩展配置
1)手工认证
认证就是在ospf邻居间的所有数据包中携带秘钥;两端秘钥相同,意味着身份合法;
【1】接口认证——在和邻居直连的接口上配置身份秘钥;两端若编号和密码不同将无法建立邻居关系
[r1-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 123456
【2】区域认证
[r1]ospf 1
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher 123456
在R1这台设备,所有宣告在区域0的接口上配置了认证
【3】虚链路认证——在虚链路的两端进行配置
[r1-ospf-1-area-0.0.0.1]vlink-peer 4.4.4.4 md5 1 cipher 123456
2)加快收敛
加快收敛——修改OSPF协议的计时器
hello time10s或者30s dead time为hello time4倍
OSPF要求邻居间hello time和dead time一致,否则无法建立邻居关系;
修改本端的hello time,本端的dead time自动4被关系匹配
修改时需要两端一致,且hello time不易修改的过小;–过大占用链路资源
若hello time10s,一般不建议修改;hello time为30s时可以酌情考虑修改
[r1-GigabitEthernet0/0/1]ospf timer hello 5
3)沉默接口(被动接口)
沉默接口(被动接口)——用于连接PC用户的接口,不得用于连接路由器邻居的接口;
仅接收不发送路由协议的数据包
[r1]ospf 1
[r1-ospf-1]silent-interface GigabitEthernet 0/0/0
4)缺省路由 3类 5类 7类
3类缺省—特殊区域自动产生 末梢、完全末梢、完全NSSA 普通NSSA产生7类缺省;
5类缺省—从域外重发布进入到OSPF的缺省路由
比如连接ISP的边界路由器,需要手工静态一条缺省路由指向isp,这样该路由器的路由表中就存在一条非OSPF的缺省路由;可以让该OSPF路由器,重发布这条缺省进入OSPF域
[r1]ospf 1
[r1-ospf-1]default-route-advertise 把R1设备上,路由表中的其他协议或其他进程产生的缺省路由,导入到本OSPF域;
[r1-ospf-1]default-route-advertise always 让本地R1强制向该OSPF域发布一条缺省路由;无论R1本地路由表有没有缺省
7类缺省: 普通NSSA自动产生一条7类缺省;
在NSSA区域手工配置
该设备通过其他方式获取一条缺省路由,之后通过该命令导入到本地的NSSA区域
[r3-ospf-1-area-0.0.0.1]nssa default-route-advertise
四、作业
1、要求:
1、R4为ISP,其上只能配置IP地址;R4与其他所有直连设备间使用公有IP
2、R3-R5/6/7为MGRE环境,R3为中心站点
3、整个OSPF环境IP地址为10.0.0.0/24
4、所有设备均可访问R4的环回
5、减少LSA的更新量,加快收敛,保障更新安全
6、全网可达
2、解:
1)拓扑规划
2)IP地址规划及环回地址配置
对R4:
[r4]int g0/0/0
[r4-GigabitEthernet0/0/0]ip add 200.1.34.2 24
[r4-GigabitEthernet0/0/0]int g0/0/1
[r4-GigabitEthernet0/0/1]ip add 200.1.54.2 24
[r4-GigabitEthernet0/0/1]int g0/0/2
[r4-GigabitEthernet0/0/2]ip add 200.1.64.2 24
[r4-GigabitEthernet0/0/2]int g0/0/3
[r4-GigabitEthernet0/0/3]ip add 200.1.74.2 24
[r4]interface LoopBack 0
[r4-LoopBack0]ip add 4.4.4.4 32
对R3:
[r3]int g0/0/1
[r3-GigabitEthernet0/0/1]ip add 200.1.34.1 24
[r3-GigabitEthernet0/0/1]int g0/0/0
[r3-GigabitEthernet0/0/0]ip add 10.1.123.3 24
[r3]interface LoopBack 0
[r3-LoopBack0]ip add 10.0.3.1 32
对R5:
[r5]int loo0
[r5-LoopBack0]ip add 10.0.5.1 32
[r5]int g0/0/0
[r5-GigabitEthernet0/0/0]ip add 200.1.45.1 24
对R6:
[r6]int loo 0
[r6-LoopBack0]ip add 10.0.6.1 32
[r6]int g0/0/0
[r6-GigabitEthernet0/0/0]ip add 200.1.46.1 24
[r6-GigabitEthernet0/0/0]int g0/0/1
[r6-GigabitEthernet0/0/1]ip add 10.2.116.6 24
对R7:
[r7]int loo 0
[r7-LoopBack0]ip add 10.0.7.1 32
[r7]int g0/0/0
[r7-GigabitEthernet0/0/0]ip add 200.1.47.1 24
[r7-GigabitEthernet0/0/0]int g0/0/1
[r7-GigabitEthernet0/0/1]ip add 10.3.78.7 24
对R1:
[r1]int loo 0
[r1-LoopBack0]ip add 10.1.1.1 32
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 10.1.123.1 24
对R2:
[r2]int loo 0
[r2-LoopBack0]ip add 10.1.123.2 24
对R8:
[r8]int loo0
[r8-LoopBack0]ip add 10.3.8.1 32
[r8]int g0/0/0
[r8-GigabitEthernet0/0/0]ip add 10.3.78.8 24
[r8-GigabitEthernet0/0/0]int g0/0/1
[r8-GigabitEthernet0/0/1]ip add 10.3.89.8 24
对R9:
[r9]int loo0
[r9-LoopBack0]ip add 10.4.9.1 24
[r9]int g0/0/0
[r9-GigabitEthernet0/0/0]ip add 10.3.89.9 24
[r9-GigabitEthernet0/0/0]int g 0/0/1
[r9-GigabitEthernet0/0/1]ip add 10.4.109.9 24
对R10:
[r10]int loo0
[r10-LoopBack0]ip add 10.4.10.1 32
[r10]int g0/0/0
[r10-GigabitEthernet0/0/0]ip add 10.4.109.10 24
对R11:
[r11]int loo 0
[r11-LoopBack0]ip add 10.2.11.1 32
[r11]int g0/0/0
[r11-GigabitEthernet0/0/0]ip add 10.2.116.11 24
[r11-GigabitEthernet0/0/0]int g0/0/1
[r11-GigabitEthernet0/0/1]ip add 10.2.112.11 24
对R12:
[r12]int loo0
[r12-LoopBack0]ip add 10.8.1.1 32
[r12-LoopBack0]ip add 10.8.2.2 32
3)配置area0中的静态路由
[r3]ip route-static 0.0.0.0 0 200.1.34.2
[r5]ip route-static 0.0.0.0 0 200.1.45.2
[r6]ip route-static 0.0.0.0 0 200.1.46.2
[r7]ip route-static 0.0.0.0 0 200.1.47.2
4)搭建MGRE环境
如R3、R5相关配置为例
[r3]int tun 0/0/0
[r3-Tunnel0/0/0]ip add 10.0.30.3 24
[r3-Tunnel0/0/0]tunnel-protocol gre p2mp
[r3-Tunnel0/0/0]source g0/0/1
[r3-Tunnel0/0/0]nhrp network-id 1
[r3-Tunnel0/0/0]nhrp entry multicast dynamic
[r3-Tunnel0/0/0]nhrp authentication cipher 123123
[r5]int tun 0/0/0
[r5-Tunnel0/0/0]ip add 10.0.30.5 24
[r5-Tunnel0/0/0]tunnel-protocol gre p2mp
[r5-Tunnel0/0/0]source g0/0/1
[r5-Tunnel0/0/0]gre key 123123
[r5-Tunnel0/0/0]nhrp network-id 1
[r5-Tunnel0/0/0]nhrp authentication cipher 123123
[r5-Tunnel0/0/0]nhrp entry 10.0.30.3 200.1.34.1 register
5)建立邻居关系
MGRE中,R3/5/6/7是无法全部建邻的,tunnel口工作方式默认使用点到点,需要更改路由器的工作方式。
修改配置,需要将R3/5/6/7都要改成一样的工作方式。
干预DR/BDR选举,中心到站点结构要把R3这个DR控制在中心,要求R5、R6、R7放弃选举。
[r3]int t0/0/0
[r3]-Tunnel0/0/0]ospf network-type broadcast
[r5]int t0/0/0
[r5]-Tunnel0/0/0]ospf network-type broadcast
[r5]-Tunnel0/0/0]ospf dr-priority 0
[r6]int t0/0/0
[r6]-Tunnel0/0/0]ospf network-type broadcast
[r6]-Tunnel0/0/0]ospf dr-priority 0
[r7]int t0/0/0
[r7]-Tunnel0/0/0]ospf network-type broadcast
[r7]-Tunnel0/0/0]ospf dr-priority 0
6)减少LSA(汇总/特殊区域)
(1)先完成汇总,把非骨干区域各汇成一条路由发送给骨干区域。
对于R5而言,3类路由代表区域1/2/3,5类代表区域4和RIP,先将area1/2/3汇总。
[r3]ospf 1
[r3-ospf-1]area 1
[r3-ospf-1-area-0.0.0.1]abr-summary 10.1.0.0 255.255.0.0
[r6]ospf 1
[r6-ospf-1]area 2
[r6-ospf-1-area-0.0.0.2]abr-summary 10.2.0.0 255.255.0.0
[r7]ospf 1
[r7-ospf-1]area 3
[r7-ospf-1-area-0.0.0.3]abr-summary 10.3.0.0 255.255.0.0
[r9]ospf 1
[r9-ospf-1]asbr-summary 10.4.0.0 255.255.0.0
[r12]ospf 1
[r12-ospf-1]asbr-summary 10.8.0.0 255.255.0.0
(2)调特殊区域
【1】完全末梢区域调配
area1 调成完全末梢区域,则R1、R2彻底不学3、4、5类路由表,改成3类缺省。
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]stub
[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]stub
[R3]ospf 1
[R3-ospf-1]area 1`在这里插入代码片`
[R3-ospf-1-area-0.0.0.1]stub no-summary
【2】area2调成完全NSSA(左边全部不学,右边一条7类缺省传到area0)
[R6]ospf 1
[R6-ospf-1]area 2
[R6-ospf-1-area-0.0.0.2]nssa no-summary
[R11]ospf 1
[R11-ospf-1]area 2
[R11-ospf-1-area-0.0.0.2]nssa
[R12]ospf 1
[R12-ospf-1]area 2
[R12-ospf-1-area-0.0.0.2]nssa
【3】area3调成完全NSSA(配置同上)
R9中出现一条3类缺省
[R9]ospf 2
[R9-ospf-2]default-route-advertise
7)R3、R6、R7做nat
以R3为例,R6/7配置相同。
[R3]acl 2000
[R3-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]nat outbound 2000