np學習——OSPF的典型配置案例

案例1：OSPF單區域配置

       基本的IP配置省略，下面是路由器R1的配置：

[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 172.17.12.0 0.0.0.3

       上面的命令創建了OSPF進程1，並設置其router-ID爲1.1.1.1，在GE0/0/0,GE0/0/1及GE0/0/2接口上激活OSPF。R2的配置如下：

[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.17.12.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0]network 172.16.255.0 0.0.0.255

       上面的命令創建了OSPF進程1，並設置其router-ID爲2.2.2.2，在GE0/0/2,Loopback0及GE0/0/2接口上激活OSPF。接着使用display ospf peer 查看R1d的鄰居表。 
       可以看到R1在Area0中發現了一個鄰居，並且Router-ID爲2.2.2.2，IP地址爲172.17.12.2，狀態爲Full（全毗鄰），對端爲Master。在進行DR和BDR的選舉時，R2勝出成爲DR，R1爲BDR，這是因爲默認接口DR的優先級都爲1但R2的Router-ID比較大。
       在R1上使用display ospf routing查看OSPF路由表，此表並非路由器的羣居路由表，而是OSPF路由表。
       
       看以看到我們通過OSPF不僅學習到了正常的網段還學習到了R2的Loopback 0的地址。但是子網掩碼卻爲32位而我們配置的時候爲24位，這是因爲OSPF將 Loopback接口視爲一個末梢網絡，而且在該網絡中只連接着一個節點，因此無論該接口實際配置的網絡掩碼是多少，在OSPF Type-1 LSA中描述這個接口時，都以主機（網絡掩碼爲255.255.255.255）的形式進行通告。在R2上使用display ospf lsdb router 2.2.2.2查看一下R2產生的Type-1 LSA。
       
       如果希望R2在其產生的Type-1 LSA中描述Loopack接口的實際網段信息，可以將該接口的OSPF網絡類型修改爲Broadcast(或者NBMA)，例如：

[R2]intface LoopBack 0
[R2-LoopBack0]ospf network-type broadcast

案例2：Silent-Interface

       還是上個案例的拓撲，由於R1一旦在其接口上激活OSPF之後，它的三個接口便會週期性的發送Hello報文，嘗試在這些接口上發現OSPF鄰居，但是由於R1的G0/0/0和G0/0/1直連的兩個網段並沒有OSPF路由器，因此這些Hello報文其實給PC增加了負擔。所以我們需要將這兩個接口指定爲Silent-Interface，禁止其收發Hello報文。具體配置如下：

[R1]ospf 1
[R1-ospf-1]silent-interface GigabitEthernet 0/0/0
[R1-ospf-1]silent-interface GigabitEthernet 0/0/1

       使用display ospf brief查看接口的屬性。

案例3：OSPF的多區域配置

       
R1的配置如下：

[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]network 172.16.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]network 172.16.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]q
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.0.3

R2的配置如下：

[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 2
[R2-ospf-1-area-0.0.0.2]network 172.16.9.0 0.0.0.255
[R2-ospf-1-area-0.0.0.2]network 172.16.10.0 0.0.0.255
[R2-ospf-1-area-0.0.0.2]q
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.16.0.4 0.0.0.3

Core-Router配置如下：

[Core-Router]ospf router-id 3.3.3.3
[Core-Router-ospf-1]area 0
[Core-Router-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.0.3
[Core-Router-ospf-1-area-0.0.0.0]network 172.16.0.4 0.0.0.3

       配置完成後查看Core-Router的OSPF鄰居表：
       
       可以看到Core-Router已與R1和R2建立了全毗鄰的鄰接關係。可以查看它的路由表。
       
       使用display ospf abr-asbr查看ABR和ASBR的信息。
       

案例4：調整OSPF Cost值

       在四臺路由器上都激活OSPF，R2和R2都會在其產生的Type-1、Type-2 LSA中描述192.168.100.0/24網段，並且所有的接口Cost都是缺省的，那麼最終R3的路由表中,到達192.168.100.0/24的路由將會在R1及R2這兩個下一跳執行等價負載分擔，基礎配置省略，查看R3的OSPF路由表：

       如果我們希望R3的兩條鏈路以主備的方式進行工作，即當網絡正常時，R3將到達192.168.100.0/24的報文轉發給R1，而當R1故障時，或者R1-R3之間的鏈路故障時，R3自動將上行流量切換到R2。實現這一功能的方法是調整OSPF接口的Cost值，可以將R3的G0/0/1的Cost值調大，這樣R3計算路由時，會優選Cost值更小的。對R3的配置如下：

[R3]interface g0/0/1
[R3-GigabitEthernet0/0/1]ospf cost 100

使用display ospf interface g0/0/1可以查看該接口的OSPF參數。

再查看R3的OSPF路由。

已經達到預期效果。

案例5：OSPF的特殊區域

1.基礎配置

R1的配置：

[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]network 10.1.12.0 0.0.0.255

R2的配置：

[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]network 10.1.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]q
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255

R3的配置：

[R3]ip route-static 10.3.1.0 24 NULL0
[R3]ip route-static 10.3.2.0 24 NULL0

[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]q
[R3-ospf-1]import-route static 

       上述R3的配置命令中，前兩條命令的意思時給R3上創建兩條靜態黑洞路由，這兩條路由沒有實際的意義，只是爲了方便R3將其引入OSPF，import-route static 命令將靜態路由引入OSPF。使用display ospf lsdb查看R1的LSDB：

       可以看到R1的LSDB中存在Type-1(Router)、Type-2(Network)、Type-3(Sum-Net)及Type-4(Sum-Asbr)和Type-5(External) LSA。此時R1擁有到達全網段的路由！

2.將Area1配置爲Stub區域，觀察路由及LSA的變化。

R1的配置：

[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]stub 

R2的配置：

[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]stub 

查看R1路由表的變化：

       路由表變得非常的精簡，因爲R2會阻擋Type-4,Type-5 LSA進入該區域。另外R2會向Area1下發一條使用Type-3 LSA描述的默認路由，使得Area1內的路由器能夠使用這條默認路由、通過R2訪問OSPF域外的網絡。再觀察一下R1的LSDB:

LSDB也變得精簡了！

3.將Area1配置爲Totally-Stub區域，觀察路由及LSA的變化。

       爲了進一步減少Area 1內的LSA泛洪，則可以將OSPF區域間的路由也阻擋掉。修改R2的OSPF配置：

[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]stub no-summary 

       no-summary 的意思是阻擋Summary LSA進入該區域。這樣Area1就變成了Totally-Stub區域，查看R1的路由表：

路由表只剩下默認路由了，查看R1的LSDB：

LSDB變得更加精簡了。

4.將Area 1配置爲NSSA，並在R1上引入少量外部路由。

       現在R1接着一個非OSPF的網絡，他需要將少量外部路由引入OSPF，從而讓域內的OSPF路由器能夠獲取到相應的外部路由，但是又希望保持Area1的Stub區域特性，那麼可以將Area1配置爲NSSA。修改R1的配置：

[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]undo stub 
[R1-ospf-1-area-0.0.0.1]nssa  

在R1上創建一條靜態黑洞路由，然後將其引入到OSPF:

[R1]ip route-static 10.1.1.0 24 NULL0
[R1]ospf 1
[R1-ospf-1]import-route static 

修改R2的配置：

[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]undo stub 
[R2-ospf-1-area-0.0.0.1]nssa 

       NSSA的ABR R2將阻擋Type-4,Type-5 LSA進入該區域，這與stub區域是一樣的，此外Area1又被允許在該區域產生Type-7 LSA用於描述這些外部路由，這些LSA只在Area1內泛洪。R2將會收到Type-7 LSA，並用它計算路由，同時，他還會向Area0中注入Type-5 LSA用於描述10.。1.1.0/24路由，也就是將Type-7 LSA轉化爲Type-5 LSA，注入到Area0。查看R1的LSDB:

       可以看到有兩條Type-7 LSA，一條是R1產生的，一條是R2自動產生的，是一條默認路由。查看R1的路由表：

查看R3的LSDB:

       有三條Type-5 LSA用來描述外不路由。其中前兩條是自己產生的，另外一條是R2產生的。
5.將Area1配置爲Totally NSSA，進一步阻擋Type-3 LSA。
       接着上一步配置修改R2的配置：

[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]nssa no-summary 

查看R1的LSDB:

       可以看到現在已經只剩一條描述默認路由的Type-3 LSA。

案例6：Virtual Link的配置

       基礎IP配置和OSPF配置省略。對於R3來說到達192.168.2.0/24網段有兩條鏈路可以走，本應該選擇Cost較小的192.168.23.0/24網段，但是事實卻不是這樣！查看R3的OSPF路由表：

       可以看到R3卻選擇了一條Cost值較大的192.168.13.0/24網段，這是因爲R3是一臺ABR，它不能夠使用自己在非0區域中收到的Type-3 LSA來計算區域間路由，所以無論路徑Cost如何，R3將始終選擇R1到達192.168.2.0/24。那麼如何解決這一問題呢？最簡單的方法就是在R2及R3之間跨越Area23建立一條Virtual Link，使得R2能夠藉助這條Virtual Link直接將Type-1 LSA發送給R3。R2的關鍵配置如下：

[R2]ospf 1	
[R2-ospf-1]area 23
[R2-ospf-1-area-0.0.0.23]vlink-peer 3.3.3.3

R3的關鍵配置如下：

[R3]ospf 1
[R3-ospf-1]area 23
[R3-ospf-1-area-0.0.0.23]vlink-peer 2.2.2.2

使用dis ospf vlink命令查看Virtual Link的相關信息：

再次查看R3的OSPF路由表：

192.168.2.0/24的路由的下一跳變成了192.168.23.2。

案例7：OSPF報文認證

       OSPF支持兩種報文認證方式：區域認證及接口認證。給上面運行了OSPF的拓撲圖配置認證。爲保證Area0的安全性，需在Area0開啓區域認證，使用MD5的驗證方式，密碼爲Huawei123。R3與R4之間開啓OSPF接口認證，使用明文密碼HWArea1。先配置區域認證，R1的關鍵配置如下：

[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher Huawei123

R2的關鍵配置如下：

[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher Huawei123

R3的關鍵配置如下：

[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher Huawei123

在配置接口認證,R的關鍵配置如下：

[R3]interface g0/0/2	
[R3-GigabitEthernet0/0/2]ospf authentication-mode simple cipher HWArea1

R4的關鍵配置如下：

[R4]int g0/0/2
[R4-GigabitEthernet0/0/2]ospf authentication-mode simple cipher HWArea1

配置完成後，R3，R4將基於接口認證建立鄰居關係。