OSPF的安全认证和vritual-link(虚链路)

OSPF协议目录1．概述 (3)2．SPF算法 (3)3．OSPF协议原理 (5)3．1 自治系统的分区 (5)3．2 区域间路由 (6)3．3 Stub区和自治系统外路由 (6)3．4 DR和BDR (6)4．OSPF报文 (7)4．1 OSPF协议报文 (7)4．2OSPF包承载的内容 (9)5．OSPF协议的运行 (10)5．1Hello协议的运行 (10)5．2 DR和BDR的产生 (10)5．3链路状态数据库的同步 (11)5．4路由表的产生和查找 (11)1．概述OSPF协议是由Internet网络工程部(IETF)开发的一种内部网关协议(IGP)，即网关和路由器都在一个自治系统内部。

OSPF是一个链路状态协议或最短路径优先(SPF)协议。

虽然该协议依赖于IP环境以外的一些技术，但该协议专用于IP，而且还包括子网编址的功能。

该协议根据IP数据报中的目的IP地址来进行路由选择，一旦决定了如何为一个IP数据报选择路径，就将数据报发往所选择的路径中，不需要额外的包头，即不存在额外的封装。

该方法与许多网络不同，因为他们使用某种类型的内部网络报头对UDP进行封装以控制子网中的路由选择协议。

另外OSPF可以在很短的时间里使路由选择表收敛。

OSPF还能够防止出现回路，这种能力对于网状网络或使用多个网桥连接的不同局域网是非常重要的。

在运行OSPF 的每一个路由器中都维护一个描述自治系统拓扑结构的统一的数据库，该数据库由每一个路由器的局部状态信息（该路由器可用的接口信息、邻居信息）、路由器相连的网络状态信息（该网络所连接的路由器）、外部状态信息（该自治系统的外部路由信息）等组成。

每一个路由器在自治系统范围内扩散相应的状态信息。

所有的路由器并行运行同样的算法，根据该路由器的拓扑数据库构造出以它自己为根节点的最短路径树，该最短路径树的叶子节点是自治系统内部的其它路由器。

当到达同一目的路由器存在多条相同代价的路由时，OSPF能够实现在多条路径上分配流量。

华为路由器OSPF 虚链接的配置OSPf 虚链路（虚连接）的配置3.3.3.1ap ∈ai3・3・3・2R3I4.4.4.1GE 0/0/1 area51 I GEOooR44.4.4.2IoopbackO1.1.1.1目的：解决与骨干区域area0非直连区域的路由问题一、配置个端口地址Rl:<Huawei>sy[Huawei]undoinfo-centerenable[Huawei]sysnameRl[Rl]intIO[Rl-LoopBackO]ipaddl.l.l.l24[Rl-LoopBackO]intg0∕0∕0[Rl-GigabitEthernetO∕O∕O]ipadd2.2.2.124[Rl-GigabitEthernetO∕O∕O]quitR2:<Huawei>sy[Huawei]undoinfo-centerenable[Huawei]sysnameR2[R2]intg0∕0∕0[R2-GigabitEthernet0∕0∕0]ipadd2.2.2.224[R2-GigabitEthernetO∕O∕O]intgO/O/1[R2-GigabitEthernetO∕O∕l]ipadd33.3.124[R2-GigabitEthernetO∕O∕l]quitR3:<Huawei><Huawei>system-view[Huawei]undoinfo-centerenable[Huawei]sysnameR3[R3]intgO/O/O[R3-GigabitEthernetO∕O∕O]ipadd3.3.3.2[R3-GigabitEthernet O∕O∕O]intgO/O/1loopback05.5.5.1[R3-GigabitEthernetO∕O∕l]ipadd4.4.4.124[R3-GigabitEthernetO∕O∕l]quitR4:<Huawei>system-view[Huawei]undoinfo-centerenableInfo:Informationcenterisdisabled.[Huawei]sysnameR4[R4]intgO/O/O[R4-GigabitEthernet0∕0∕0]ipadd4.4.4.224[R4-GigabitEthernet0∕0∕0]intIO[R4-LoopBackO]ipadd5.5.5.124[R4-LoopBackO]quit二、配置多区域。

OSPF V2知识要点OSPF 版本2路由器通过LSA来获悉其他路由器和网络，LSA被扩散到整个网络，它存储在拓扑表（LSDB）中。

区域内的路由器保存该区域中所有链路和路由器的详细信息，但只保存有关其他区域中路由器和链路的摘要信息。

Cisco建议每个区域中的路由器不应超过50～100台。

DR/BDR的选举接口上的优先级、Router-id。

Ospf的进程号OSPF 进程号只起本地标识作用,而无其他意义,类似于WINDOWS任务管理器中的进程号Router-id 的选取：1，路由器选取它所有的Loopback接口上最高的IP地址2，如果没有配置IP地址的Loopback接口，那么将选取它所有的物理接口上最高的IP 地址，注意是所有物理接口，子接口不参与选取在CISCO路由器上，即使作为Router-id 的物理接口DOWN掉了或被删除了，OSPF也会继续使用原来的物理接口做为Router-id ，所以使用loopback接口的好处仅在于更好的控制router-id正常情况下,在同一个区域内,OSPF database是完全一模一样的(包括顺序,内容)OSPF中重分布其它路由协议时，如果要修改重分布的内容，必须no掉重打，不支持覆盖功能。

Area 0.0.1.2= Area 258 ( 0.0.1.2 = 256+2 )OSPF区域特征：减少路由条目；将区域内拓扑变化的影响限制在本地；将LSA扩散限制在区域内；要求采取层次网络设计。

LSA刷新时间：为确保数据库的准确性，OSPF每隔30分钟对每条LSA记录扩散一次。

Router ID：用于标识路由器、通告路由器、确认主从关系、选举DR用等。

什么时候更改RID必须清除OSPF进程？RID是在OSPF域中用于标识自己的身份ID，所以在邻居关系还没形成之前更改RID 是不需要清除OSPF进程的。

当新加入一台设备到MA网络中时，该设备会将自己的DR和BDR的地址设为0.0.0.0 设置等待计时器为40秒，（超时后宣告自己为DR）如果一个网络中的所有路由器都不具有选举DR的资格，那么网络中的所有路由器都不会相互建立邻接，停留在TWO-W AY状态ABR/ASBR：ABR：ABR是连接多个区域的路由器，并且有一端在区域0上，而且至少有一端在其它区域上。

OSPF协议下可用命令area OSPF area parametersArea area-id后可跟的参数:authentication Enable authentication可以设置认证message-digest Use message-digest authentication作用：在一个区域内使用md5 加密认证。

使用med 认证不仅安全可靠，而且更大的好处在于，可以定期更改密码，而不会出现断流情况。

default-cost Set the summary default-cost of a NSSA/stub area设置开销作用：Ospf 末梢到达外部的缺省度量值，值大小为0-16777215，缺省值为1,该值加到到达ABR 上的成本。

这个命令仅在ABR 上工作。

filter-list Filter networks between OSPF areas匹配前缀列表nssa Specify a NSSA area作用：将一个区域设置成NSSA 区，在NSSA 区域内ASBR 将始发类型7 的LSA 用来通告外部的网络。

用在ospfABR 以阻止ospf 区域间路由输入NSSA.也能在NSSA 产生一个OSPF 区域的缺省路由。

这使的NSSA 成为一个完全的存根区域。

通过Area area-id nssa default-infromation-orginate 将会在NSSA 区域内产生一条缺省路由no-summary产生一个NSSA的缺省路由，将阻止ospf 区域间路由。

总结：Area area-id nssa no-summary 将会在nssa 区域内产生一条缺省路由到达外部。

range Summarize routes matching address/mask (border routers only) sham-link Define a sham link and its parametersstub Specify a stub area作用:：将一个区域设置成stub 区，stub 将阻止类型5 的LSA.,当一个区域被设置成stub 以后，将会在ABR 上产生一条缺省路由代替处部路由。

OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interio r Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。

与RIP相对，OSPF是链路状态路由协议，而RIP是距离矢量路由协议。

一。

OSPF起源I E T F为了满足建造越来越大基于I P网络的需要，形成了一个工作组，专门用于开发开放式的、链路状态路由协议，以便用在大型、异构的I P网络中。

新的路由协议以已经取得一些成功的一系列私人的、和生产商相关的、最短路径优先( S P F )路由协议为基础，S P F在市场上广泛使用。

包括O S P F在内，所有的S P F路由协议基于一个数学算法—D i j k s t r a算法。

这个算法能使路由选择基于链路-状态，而不是距离向量。

O S P F由I E T F在2 0世纪8 0年代末期开发，O S P F是S P F类路由协议中的开放式版本。

最初的O S P F规范体现在RFC 11 3 1中。

这个第1版( O S P F版本1 )很快被进行了重大改进的版本所代替，这个新版本体现在RFC 1247文档中。

RFC 1247 OSPF称为O S P F版本2是为了明确指出其在稳定性和功能性方面的实质性改进。

这个O S P F版本有许多更新文档，每一个更新都是对开放标准的精心改进。

接下来的一些规范出现在RFC 1583、2 1 7 8和2 3 2 8中。

O S P F版本2的最新版体现在RFC 2328中。

最新版只会和由RFC 2138、1 5 8 3和1 2 4 7所规范的版本进行互操作。

链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。

OSPF 通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。

基本原理OSPF协议简介及特点OSPF是Open Shortest Path First（即“开放最短路由优先协议”）的缩写。

它是IETF （Internet Engineering Task Force）组织开发的一个基于链路状态的自治系统内部路由协议（IGP），用于在单一自治系统（Autonomous system，AS）内决策路由。

在IP 网络上，它通过收集和传递自治系统的链路状态来动态地发现并传播路由。

当前OSPF 协议使用的是第二版，最新的RFC 是2328。

为了弥补距离矢量协议的局限性和缺点从而发展出链路状态协议，OSPF 链路状态协议有以下优点：适应范围—— OSPF支持各种规模的网络，最多可支持几百台路由器。

最佳路径——OSPF是基于带宽来选择路径。

快速收敛——如果网络的拓扑结构发生变化，OSPF立即发送更新报文，使这一变化在自治系统中同步。

无自环——由于OSPF 通过收集到的链路状态用最短路径树算法计算路由，故从算法本身保证了不会生成自环路由。

子网掩码——由于OSPF 在描述路由时携带网段的掩码信息，所以OSPF 协议不受自然掩码的限制，对VLSM 和CIDR 提供很好的支持。

区域划分——OSPF 协议允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽。

等值路由——OSPF 支持到同一目的地址的多条等值路由。

路由分级——OSPF 使用4 类不同的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路由、第二类外部路由。

支持验证——它支持基于接口的报文验证以保证路由计算的安全性。

组播发送——OSPF在有组播发送能力的链路层上以组播地址发送协议报文，即达到了广播的作用，又最大程度的减少了对其他网络设备的干扰。

虚连接由于网络的拓扑结构复杂，有时无法满足每个区域必须和骨干区域直接相连的要求，如图1所示。

为解决此问题，OSPF 提出了虚连接的概念。