OSPF路由協議配置指南
OSPF通過路由器之間通告網絡接口的狀態來建立鏈路狀態數據庫,生成最短路徑樹,每個OSPF路由器使用這些最短路徑構造路由表。
1、OSPF網絡的特點:
ospf是一種鏈路狀態路由協議,與距離矢量路由協議相對,它使用區域邊界路由器和一個骨幹區域;ospf定義的網絡類型有:點到點、廣播、非廣播、點到多點等。
2、區域邊界路由器(ABR):
一個自治系統(AS)劃分爲多個區域(AREA),一個區域邊界路由器連接同一個自治系統中的兩個或者多個區域。
3、骨幹區域:
骨幹區域(Area 0)是一個與區域邊界路由器相連接的區域,通常一個區域到另一個區域只能經過骨幹區域。
4、ospf網絡中路由器的類型:
骨幹路由器、區域邊界路由器(ABR)、內部路由器、自治系統邊界路由器(ASBR)。
5 路由彙總:
由區域邊界路由器和自治系統邊界路由器產生的路由的集合,它將向鄰接的路由器通告。如果一個區域內的網絡編號是連續的,那麼區域邊界路有器和自治系統邊界路由器就能夠被配置成通告路由,彙總路由指定了網絡編號的範圍。路由彙總減少了鏈接狀態數據庫的大小。
6 區域的類型:
短禿區域(stub):一種外部路由不流進的區域。所謂外部路由是指任何非 OSPF發起的路由,例如一條由其他路由協議發佈的路由就是外部路由,外部路 由通常在一個ospf互聯網上泛洪式流過。如果一個區域只有一個出口,就幾乎沒有理由將大量路由流進該區域,只送一條缺省LSA路由到這個區域。通過該路 由。短禿區域可以到達本自治區域以外的終端。
完全短禿區域。除了不將外部路由泛洪進該區域外,甚至連ospf概要路由 也不進該區域。
7.有關csico路由器命令
指定使用OSPF協議 :router ospf process-id 1
指定與該路由器相連的網絡:
Network address wildcard-mask area area-id 2
指定與該路由器相鄰的節點地址 neighbor ip-address
注:
1) OSPF路由進程process-id必須指定範圍在1-65535,多個OSPF進程可以在同一個路由器上配置,但最好不這樣做。多個OSPF進程需要多個OSPF數據庫的副本,必須運行多個最短路徑算法的副本。process-id只在路由器內部起作用,不同路由器的 process-id可以不同。
2)wildcard-mask 是子網掩碼的反碼, 網絡區域ID area-id在0-4294967295內的十進制數,也可以是帶有IP地址格式的x.x.x.x。當網絡區域ID爲0或0.0.0.0時爲主幹域。不同網絡區域的路由器通過主幹域學習路由信息。
8.基本配置舉例:
Router1:
interface ethernet 0
ip address 192.1.0.129 255.255.255.192
interface serial 0
ip address 192.200.10.5 255.255.255.252
router ospf 100
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.128 0.0.0.63 area 1
Router2:
interface ethernet 0
ip address 192.1.0.65 255.255.255.192
interface serial 0
ip address 192.200.10.6 255.255.255.252
router ospf 200
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.64 0.0.0.63 area 2
Router3:
interface ethernet 0
ip address 192.1.0.130 255.255.255.192
router ospf 300
network 192.1.0.128 0.0.0.63 area 1
Router4:
interface ethernet 0
ip address 192.1.0.66 255.255.255.192
router ospf 400
network 192.1.0.64 0.0.0.63 area 1
相關調試命令:
debug ip ospf events
debug ip ospf packet
show ip ospf
show ip ospf database
show ip ospf interface
show ip ospf neighbor
show ip route
9.:使用身份驗證
爲了安全的原因,我們可以在相同OSPF區域的路由器上啓用身份驗證的功能,只有經過身份驗證的同一區域的路由器才能互相通告路由信息。
在默認情況下OSPF不使用區域驗證。通過兩種方法可啓用身份驗證功能,純文本身份驗證和消息摘要(md5)身份驗證。純文本身份驗證傳送的身份驗證口令爲純文本,它會被網絡探測器確定,所以不安全,不建議使用。而消息摘要(md5)身份驗證在傳輸身份驗證口令前,要對口令進行加密,所以一般建議使用此種方法進行身份驗證。
使用身份驗證時,區域內所有的路由器接口必須使用相同的身份驗證方法。爲起用身份驗證,必須在路由器接口配置模式下,爲區域的每個路由器接口配置口令。
相關的配置指令:
指定身份驗證 :area area-id authentication [message-digest]
使用純文本身份驗證:ip ospf authentication-key password
使用消息摘要(md5)身份驗證 :ip ospf message-digest-key keyid md5 key
以下列舉兩種驗證設置的示例,示例的網絡分佈及地址分配環境與以上基本配置舉例相同,只是在Router1和Router2的區域0上使用了身份驗證的功能。:
例1.使用純文本身份驗證
Router1:
interface ethernet 0
ip address 192.1.0.129 255.255.255.192
interface serial 0
ip address 192.200.10.5 255.255.255.252
ip ospf authentication-key cisco
router ospf 100
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.128 0.0.0.63 area 1
area 0 authentication
Router2:
interface ethernet 0
ip address 192.1.0.65 255.255.255.192
interface serial 0
ip address 192.200.10.6 255.255.255.252
ip ospf authentication-key cisco
router ospf 200
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.64 0.0.0.63 area 2
area 0 authentication
例2.消息摘要(md5)身份驗證:
Router1:
interface ethernet 0
ip address 192.1.0.129 255.255.255.192
interface serial 0
ip address 192.200.10.5 255.255.255.252
ip ospf message-digest-key 1 md5 cisco
router ospf 100
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.128 0.0.0.63 area 1
area 0 authentication message-digest
Router2:
interface ethernet 0
ip address 192.1.0.65 255.255.255.192
interface serial 0
ip address 192.200.10.6 255.255.255.252
ip ospf message-digest-key 1 md5 cisco
router ospf 200
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.64 0.0.0.63 area 2
area 0 authentication message-digest
相關調試命令:
debug ip ospf adj
debug ip ospf events