本文講述了思科CCNP認(rèn)證OSPF之認(rèn)證、虛鏈路及過(guò)濾。分享給大家供大家參考，具體如下：

認(rèn)證

1：鏈路認(rèn)證 //防止鏈路接入非法路由器（無(wú)授權(quán)），在鏈路的所有設(shè)備都需要開(kāi)啟
1> 明文認(rèn)證 //不安全
在IOS15.2的版本中的配置：
 

int e0/0 //進(jìn)入需要做認(rèn)證的接口
ip ospf authentication //開(kāi)啟明文認(rèn)證
ip ospf authentication key-chain k //k為key-chain的名字，自行決定
key chain k
key 1
key-string cisco //輸入明文認(rèn)證的密鑰

在IOS15.4版本中的配置：
 

int e0/0 //進(jìn)入需要認(rèn)證的接口
ip ospf authentication //開(kāi)啟明文認(rèn)證
ip ospf authentication-key cisco //（密鑰，可不寫）將密鑰進(jìn)行比對(duì)，若比對(duì)成功則認(rèn)證成功。

PS：開(kāi)啟明文認(rèn)證后，本地的hello包中認(rèn)證類型的字段發(fā)生變化。未認(rèn)證時(shí)為0，開(kāi)啟認(rèn)證后將0置位為1。做認(rèn)證的鄰居間必須保持一致。若僅鏈路的一端開(kāi)啟認(rèn)證，則整條鏈路的路由不互通。 同時(shí)明文認(rèn)證若僅開(kāi)啟認(rèn)證，不輸入密鑰，則喪失了認(rèn)證的安全性，容易被他人竊取數(shù)據(jù)。

2> md5認(rèn)證 //安全
 

int e0/0 //進(jìn)入需要做md5認(rèn)證的接口
ip ospf authentication message-digest //開(kāi)啟認(rèn)證
ip ospf authentication message-digest-key 1 md5 cisco //輸入密鑰
 

PS：與明文認(rèn)證一樣，鄰居間的md5認(rèn)證密鑰必須保持一致，否則不能進(jìn)行通信。

2：區(qū)域認(rèn)證 //防止區(qū)域接入非法路由器，區(qū)域內(nèi)所有設(shè)備都需要開(kāi)啟
1> 明文認(rèn)證
 

router ospf 1
area 0 authentication
int e0/0
ip ospf authentication-key cisco //接口寫入認(rèn)證密鑰

2> md5認(rèn)證
 

router ospf 1
area 0 authentication message-digest //區(qū)域0開(kāi)啟md5認(rèn)證
int e0/0
ip ospf message-digest-key 1 md5 cisco //接口寫入md5認(rèn)證密鑰

PS：在路由器上開(kāi)啟關(guān)于某個(gè)區(qū)域的明文或密文認(rèn)證，實(shí)際上是將該路由上工作與此區(qū)域的接口修改認(rèn)證類型字段為明文或密文，密鑰需要在各個(gè)接口逐一配置。

虛鏈路

ABR為OSPF中骨干區(qū)域與普通區(qū)域交界處的路由器。只有把虛鏈路劃分到骨干區(qū)域中，才能讓未與骨干區(qū)域直接相連接的區(qū)域存在ABR以發(fā)送路由信息。
做虛鏈路的兩個(gè)路由器使用距離最近的兩個(gè)接口進(jìn)行通信，采用單播建鄰，單播的源是本路由器上離對(duì)方最近的接口，單播的目的是對(duì)方路由器離自己最近的接口。
虛鏈路實(shí)際上是不存在的，但拓?fù)鋱D中存在虛鏈路。
開(kāi)啟了虛鏈路認(rèn)證時(shí)，做虛鏈路的兩個(gè)路由器也需要做認(rèn)證。
 

1> 虛鏈路的認(rèn)證

明文認(rèn)證：
 

router ospf 1
area 1 virtual-link 4.4.4.4 authentication
area 1 virtual-link 4.4.4.4 authentication-key cisco

密文認(rèn)證：
 

router ospf 1
area 1 virtual-link 4.4.4.4 authentication message-digest
area 1 virtual-link 4.4.4.4 message-digest-key 1 md5 cisco

2> 虛鏈路的用法
 

（1）連接遠(yuǎn)離骨干區(qū)域的普通區(qū)域
 

如上圖所示，區(qū)域2與骨干區(qū)域0為非直接連接，使用虛鏈路的方法，在router 1和router 5上進(jìn)行操作，并將虛鏈路劃分至骨干區(qū)域，則router 5為骨干區(qū)域與area 2的ABR，可將區(qū)域2與骨干區(qū)域做連接。
 

（2）縫合不連續(xù)的骨干區(qū)域（可以用于骨干區(qū)域的備份設(shè)置）
 

如上圖，若router 8, router 9和router 10之間的線路斷掉，在router 8與router 10上做虛鏈路，則router 8,10 11之間正常通信，即通過(guò)虛鏈路來(lái)縫合不連續(xù)的骨干區(qū)域。

PS：capability transit //開(kāi)啟普通區(qū)域轉(zhuǎn)發(fā)區(qū)域0的LSA，默認(rèn)開(kāi)啟。若關(guān)閉則不能使用虛鏈路。

過(guò)濾

1：分發(fā)列表——是一種操作路由表顯示路由條目的做法 //使用時(shí)不太推薦，存在局限性（本路由器過(guò)濾的路由不會(huì)影響下游路由器）
 

router ospf 1
distribute-list 1 in e0/0 //在ospf中不能使用out操作，在距離矢量中可以使用
access-list 1 deny host 10.5.5.5 //不讓10.5.5.5出現(xiàn)在路由表中
access-list 1 permit any

2：filter-list //只能針對(duì)3類LSA，并且在所有ABR上都需要操作
 

router ospf 1
area 1 filter-list prefix xx out
ip prefix-list xx seq 5 deny 10.5.5.5/32
ip prefix-list xx seq 15 permit 0.0.0.0/0 le 32

3：area x range xx not-advertise //通過(guò)匯總不通告來(lái)過(guò)濾明細(xì)路由（匯總和明細(xì)都不通告）

4：重發(fā)布的過(guò)濾：在重發(fā)布的時(shí)候與router-map來(lái)過(guò)濾

修改默認(rèn)路由的開(kāi)銷：

1：default-metric //可以修改stub區(qū)域默認(rèn)三類的開(kāi)銷
2：default-information originate metric //修改7類默認(rèn)路由的開(kāi)銷
3：area 1 nssa default-information-originate metric //修改nssa區(qū)域的默認(rèn)路由開(kāi)銷

OSPF解決廣域網(wǎng)規(guī)劃問(wèn)題

要求： 

如圖，未斷線時(shí)，R4-R0的線路為左側(cè)紅色線路，R4-R1的線路為右側(cè)紅色線路。
 

當(dāng)斷掉R4-R2之間的線路時(shí)，R4-R0的線路要求為藍(lán)色線路；當(dāng)斷掉R2-R0之間的線路時(shí)，R4-R0的線路要求為黃色線路。

解決方案：

1：當(dāng)R2-R0之間的線路斷掉時(shí)，R4-R3-R2-R0與R4-R3-R1-R0兩條線路負(fù)載均衡，在不影響未斷線路時(shí)選路的結(jié)果的情況下，則需要將R1-R0線路的metric值加大以干涉選路且不影響原始線路。
2：當(dāng)R4-R2之間的線路斷掉時(shí)，要求的線路R4-R2-R3-R1-R0的線路劣于R4-R3-R1-R0線路。
1> 在R3上做R0環(huán)回的匯總。由于路由表優(yōu)先查看明細(xì)路由，做匯總之后，R2會(huì)給R4下方明細(xì)路由，則成功干涉選路且不影響原始線路。
2> 在R4上寫一條R0環(huán)回的靜態(tài)直接指向R2，則R4會(huì)優(yōu)先選擇R4-R2線路，成功干涉選路且不影響原始線路。

消除靜態(tài)所產(chǎn)生的環(huán)路

ip route 10.10.1.1 255.255.255.255 10.1.34.3 track 1 //如果track 1 監(jiān)控成功那么路由生效，否則失效。
track 1 ip sla 1 //定義一個(gè)track 監(jiān)控，監(jiān)控對(duì)象是sla探針
track 1 ip sla 1 //定義一個(gè)sla探針
icmp-echo 10.1.13.3 //定義一個(gè)ping探針
ip sla schedule 1 life forever start-time now //設(shè)置探針的生效時(shí)間，開(kāi)始時(shí)間必須設(shè)置。

最新評(píng)論