• OSPF扩展配置

1. 手工认证

【1】接口认证 -- 直连的邻居间，设定认证口令，进行身份核实，同时对双方交互的数据进行加密保护

[r9-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 123456

邻居间认证模式、编号、密码必须完全一致

【2】区域认证--实际在该设备上所有属于同一区域的接口进行了接口认证配置；（批量操作命令）

[r1]ospf 1

[r1-ospf-1]area  1

[r1-ospf-1-area-0.0.0.1]authentication-mode md5 1 cipher 123456

【3】虚链路认证

[r1-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3 md5 1 cipher 123456

1. 加快收敛--ospf的hello time 默认为10或30s；dead time为hello time 的4倍；邻居间hello、dead time必须完全一致，否则无法建立邻居关系

修改本端的hello time，本端的dead time自动4倍关系匹配；不易修改的过小；

[r2-GigabitEthernet0/0/0]ospf timer hello 10

1. 沉默接口-- 仅接收不发送路由协议信息；配置于被宣告的连接用户终端接口，不能配置于连接邻居的骨干接口，否则无法建立邻居关系

[r5]ospf 1

[r5-ospf-1]silent-interface GigabitEthernet 0/0/2

1. 缺省路由

1. 自动产生缺省   3类、5类、7类

3类缺省-- 特殊区域产生  末梢  完全末梢  完全NSSA  这三种特殊区域在配置完成后，连接骨干区域的ABR将向该区域发布3类缺省

5类缺省为手工配置产生； 

7类缺省--特殊区域产生  NSSA、完全NSSA均产生；但完全NSSA也产生3类缺省，3类优于7类；

1. 手工配置产生 ---- 5类缺省 

[r9]ospf 2

[r9-ospf-2]default-route-advertise  将本地路由表中无论何种来源产生的缺省路由，重发布到本地的OSPF进程2中，让其他与本地进程2在一个ospf域中的路由器，产生5类缺省，指向R9；

注：以上命令若本地路由表中没有缺省，将无效；

[r9]ospf 1

[r9-ospf-1]default-route-advertise always   该指令为本地强制向邻接发送5类缺省路由，无论本地路由表是否存在缺省；

<r10>display  ospf routing   查看本地接收和发送的所有ospf路由信息

5和7类的LSA路由会存在一个类型1、类型2 的区别；

类型2（默认）仅显示种子（起始）度量

类型1显示整段路径的总度量；

[r9-ospf-2]default-route-advertise type 1  重发布缺省时，修改为类型1；

类型2的路由，虽然仅显示起始度量，但实际选路时依然基于总度量选择；

类型1优于类型2；

总结：无论类型1还是类型2，在选路均基于实际本地到达ASBR的距离来选路；因为重发布将清除原有协议的度量，故ospf默认的选路规则将可能选中非最佳路径；通过修改重发布过程中修改度量类型为1，实现快速人工干预；

OSPF的缺省注意事项：由于OSPF的特殊区域可以自动产生缺省路由指向骨干0区域；故ISP在网络中的位置将决定，网络是否会因为缺省路由产生环路；若ISP连接骨干区域，那么所有的非骨干可以正常定义为各种特殊区域；若ISP处于某个非骨干，或非骨干连接的其他协议，那么对应的该非骨干区域不能配置为任何特殊区域，必须手工进行优化管理；

二、OSPF的扩展知识点

「1」附录E --- link-id相同的问题

若一台ABR将两条3类LSA导入其他区域;或者一台ASBR将两条5/7类导入OSFP域；

同时这两条LSA的link-id会相同；

假设：短掩码网段先进入，link-id正常显示；长掩码进入时link-id加反掩码

20.1.0.0/16--link-id  20.1.0.0  

20.1.0.0/24--link-id  20.1.0.255  

若长掩码先进入，再短掩码进入时，长掩码的信息被刷新为反掩码；

「2」OSPF选路规则

1. AD（管理距离）无关的一种情况：

r2(config)#router ospf 1

r2(config-router)#distance 109 1.1.1.1 0.0.0.0

本地从RID为1.1.1.1的设备处学习到路由条目，管理距离修改109；

一台路由器从两个OSPF邻居处学习到了两条相同的路由时，仅比较度量值，不关注管理距离；因为仅针对一台邻居进行管理距离修改的结果是要么两台都被改，要么修改失败；-关注IOS版本---有时修改RID大路由器管理距离生效，有时需要修改RID小的设备；

1. AD（管理距离）无关的第二种情况 O  IA 3类

O IA 与 O IA路由相遇，到达相同目标的两条3类路由，这两条路由均通过非骨干传递，仅关注cost值，不关注管理距离；

若一条通过骨干区域传递，另一条同过非骨干区域传递--非骨干传递的路由无效

OSPF的区域水平分割：区域标号为A的3类LSA，不能回到区域A；

先比类型-à 区域àcost

1. OE 与OE   E为5类    N 为7类   默认所有重发布进入路由条目均为类型2，类型2在路由表中cost值不会显示沿途的累加，仅显示起始度量；

  

两条均为OE2或者均为N2，起始度量相同； 关注沿途的累加度量 （OE2路由在表中度量默认不显示内部度量，仅显示起始度量）

两条均为OE2或者均为N2，起始度量不同；优先起始度量小的路径；

注：以上设计是便于管理员快速干涉选路；

OE1路由仅比较总度量（起始度量+沿途累加），仅修改起始度量不一定能干涉选路，必须在修改后使得总度量产生区别才能干涉选路；

1. 拓扑优于路由   1/2LSA计算所得路由优于3/4/5/7类计算所得

内部优于外部   3类优于4/5/7类

类型1优于类型2  E1优于E2，N1优于N2，E1优于N2，N1优于E2；

E1与N1相遇，或E2与N2相遇，先比总度量（起始+沿途）小优；度量一致5类优于7类

重发布进入ospf的路由条目，无论5或7类LSA，均存在一个类型号；默认为类型2，类型2路由仅显示起始度量；修改为类型1后将显示实际总度量；

类型2虽然仅显示起始度量，但在选路时，实际比较的是总度量； 

【3】FA-转发地址

正常OSPF区域收到的5类LSA不存在FA值；

产生FA的条件：

1、5类LSA ---- 假设R2为ASBR，g0/0口工作的OSPF中，g0/1口工作在非ospf协议或不同ospf进程中；若g0/1也同时宣告在和g0/0相同的OSPF进程中，同时该接口的工作方式为广播型；

将在5类LSA中出现FA地址，地址为R2连接R3网段中R3的接口ip；

2、7类LSA---必然出现FA地址

假设R9为ASBR，S0/0口工作的OSPF中，S0/1口工作在非ospf协议或不同进程中；

S0/1未运行OSPF--FA地址为R9上最后宣告的环回地址（个别IOS也可能是最大环回接口ip地址），若R9没有环回接口；FA地址为R9上最后宣告的物理接口地址（个别IOS也可能是最大的物理接口ip地址）

R9的S0/1也工作OSPF协议中，S0/1接口工作方式为广播，那么FA地址为R10接口ip；

S0/1的工作方式为点到点，那么FA地址为R9的s0/1口ip

切记：在FA地址出现后，4类LSA无效；人为过滤掉4类LSA，依然可达域外；

      当4类LSA存在，却人为过滤了到达FA地址的路由，那么将无法访问域外；

      一旦出现FA地址，所有的选路计算均基于FA地址进行；

 1、针对存在FA的5/7类路由，4类LSA无意义，仅递归到FA地址；若FA地址被策略过滤导致不可达；

 2、路由表中的度量是到FA地址的度量，不是到ASBR的度量；

【4】NP位+E位   P位被加密，故抓包时看不见P位；

正常NSSA区域内的hello包中，N=1    E=0  标识该区域转发7类LSA，不转发5类

非NSSA区域E=1 N=0 标识可以转发5类，不能转发7类

P位为1，标识该区域将执行7类转5类；  P为0，不能7转5；

区域0连接到两个非骨干区域，这两个非骨干假设为区域1和区域2；区域1/2同时连接同一个外部协议，且同时进行了重发布配置；区域1为NSSA区域，区域2为非NSSA区域；那么此时的区域1，P位=0不能进行7转5；故骨干区域只能收到从区域2来的外部路由；

若NSSA和非NSSA均将同一条域外路由向内部传递，仅非NSSA区域可以实现；

若区域1和区域2均为NSSA区域，那么ABR的RID大区域进行7转5，另一个区域不转，

故同一条域外路由，骨干区域只能收到从一个区域传递的外部路由；若以上条件中，两个区域均为非NSSA区域，那么P位无效，故两个区域的路由均回进入骨干区域；

【5】OSPF状态机

1、点到点网络类型   down -->init -- >（前提为可以建立邻接）exstart -->exchange-->若查看邻接的DBD目录后发现不用进行LSA直接进入full  若查看后需要进行查询、应答先进入loading，在查询应答完后再进入full；

2、MA网络类型  down -->init -- >2way-->（前提为可以建立邻接，通过DR/BDR选举后来判断）exstart -->exchange-->若查看邻接的DBD目录后发现不用进行LSA直接进入full  若查看后需要进行查询、应答先进入loading，在查询应答完后再进入full；

3、当hello time较大时，状态机在down和init之间将出现尝试等待状态；

【6】SFP算法 –OSPF防环机制

1. 在同一个区域每台路由具有一致的LSDB
2. 每台路由器以自己为根计算到达每个目标的最短路径（最小cost值）
3. 必须区域划分--

优势-1）域间汇总减少路由条目数量

1. 汇总路由是在所有明细路由均消失后才删除，网络更稳定
2. 区域划分后不同类别的LSA传播范围不同，控制更新量

总结：观看OSPF防环文档

过程--基于本地LSDB(1/2类LSA)生成--生成有向图--基于有向图来进行最短路径树生成

最短路径树，关注本地LINK-ID的LSA开始--》基于该LSA内提及到点到点或传输网络信息,加载小cost到树形结构中，再查看link-id递归到下一条信息；基于所有点到点和传输网络信息生成最短路径树主干；

然后用树中每台设备的末梢网络信息补充路由表，完成收敛；