np学习——OSPF的典型配置案例

文章目录

案例1：OSPF单区域配置
案例2：Silent-Interface
案例3：OSPF的多区域配置
案例4：调整OSPF Cost值
案例5：OSPF的特殊区域
案例6：Virtual Link的配置
案例7：OSPF报文认证

案例1：OSPF单区域配置

基本的IP配置省略，下面是路由器R1的配置：

[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 172.17.12.0 0.0.0.3

上面的命令创建了OSPF进程1，并设置其router-ID为1.1.1.1，在GE0/0/0,GE0/0/1及GE0/0/2接口上激活OSPF。R2的配置如下：

[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.17.12.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0]network 172.16.255.0 0.0.0.255

上面的命令创建了OSPF进程1，并设置其router-ID为2.2.2.2，在GE0/0/2,Loopback0及GE0/0/2接口上激活OSPF。接着使用display ospf peer 查看R1d的邻居表。
       可以看到R1在Area0中发现了一个邻居，并且Router-ID为2.2.2.2，IP地址为172.17.12.2，状态为Full（全毗邻），对端为Master。在进行DR和BDR的选举时，R2胜出成为DR，R1为BDR，这是因为默认接口DR的优先级都为1但R2的Router-ID比较大。
       在R1上使用display ospf routing查看OSPF路由表，此表并非路由器的群居路由表，而是OSPF路由表。

       看以看到我们通过OSPF不仅学习到了正常的网段还学习到了R2的Loopback 0的地址。但是子网掩码却为32位而我们配置的时候为24位，这是因为OSPF将 Loopback接口视为一个末梢网络，而且在该网络中只连接着一个节点，因此无论该接口实际配置的网络掩码是多少，在OSPF Type-1 LSA中描述这个接口时，都以主机（网络掩码为255.255.255.255）的形式进行通告。在R2上使用display ospf lsdb router 2.2.2.2查看一下R2产生的Type-1 LSA。

       如果希望R2在其产生的Type-1 LSA中描述Loopack接口的实际网段信息，可以将该接口的OSPF网络类型修改为Broadcast(或者NBMA)，例如：

[R2]intface LoopBack 0
[R2-LoopBack0]ospf network-type broadcast

案例2：Silent-Interface

还是上个案例的拓扑，由于R1一旦在其接口上激活OSPF之后，它的三个接口便会周期性的发送Hello报文，尝试在这些接口上发现OSPF邻居，但是由于R1的G0/0/0和G0/0/1直连的两个网段并没有OSPF路由器，因此这些Hello报文其实给PC增加了负担。所以我们需要将这两个接口指定为Silent-Interface，禁止其收发Hello报文。具体配置如下：

[R1]ospf 1
[R1-ospf-1]silent-interface GigabitEthernet 0/0/0
[R1-ospf-1]silent-interface GigabitEthernet 0/0/1

使用display ospf brief查看接口的属性。

案例3：OSPF的多区域配置

R1的配置如下：

[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]network 172.16.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]network 172.16.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]q
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.0.3

R2的配置如下：

[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 2
[R2-ospf-1-area-0.0.0.2]network 172.16.9.0 0.0.0.255
[R2-ospf-1-area-0.0.0.2]network 172.16.10.0 0.0.0.255
[R2-ospf-1-area-0.0.0.2]q
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.16.0.4 0.0.0.3

Core-Router配置如下：

[Core-Router]ospf router-id 3.3.3.3
[Core-Router-ospf-1]area 0
[Core-Router-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.0.3
[Core-Router-ospf-1-area-0.0.0.0]network 172.16.0.4 0.0.0.3

配置完成后查看Core-Router的OSPF邻居表：

       可以看到Core-Router已与R1和R2建立了全毗邻的邻接关系。可以查看它的路由表。

       使用display ospf abr-asbr查看ABR和ASBR的信息。

案例4：调整OSPF Cost值

在四台路由器上都激活OSPF，R2和R2都会在其产生的Type-1、Type-2 LSA中描述192.168.100.0/24网段，并且所有的接口Cost都是缺省的，那么最终R3的路由表中,到达192.168.100.0/24的路由将会在R1及R2这两个下一跳执行等价负载分担，基础配置省略，查看R3的OSPF路由表：

如果我们希望R3的两条链路以主备的方式进行工作，即当网络正常时，R3将到达192.168.100.0/24的报文转发给R1，而当R1故障时，或者R1-R3之间的链路故障时，R3自动将上行流量切换到R2。实现这一功能的方法是调整OSPF接口的Cost值，可以将R3的G0/0/1的Cost值调大，这样R3计算路由时，会优选Cost值更小的。对R3的配置如下：

[R3]interface g0/0/1
[R3-GigabitEthernet0/0/1]ospf cost 100

使用display ospf interface g0/0/1可以查看该接口的OSPF参数。

再查看R3的OSPF路由。

已经达到预期效果。

案例5：OSPF的特殊区域

1.基础配置
R1的配置：

[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]network 10.1.12.0 0.0.0.255

R2的配置：

[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]network 10.1.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]q
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255

R3的配置：

[R3]ip route-static 10.3.1.0 24 NULL0
[R3]ip route-static 10.3.2.0 24 NULL0[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]q
[R3-ospf-1]import-route static

上述R3的配置命令中，前两条命令的意思时给R3上创建两条静态黑洞路由，这两条路由没有实际的意义，只是为了方便R3将其引入OSPF，import-route static 命令将静态路由引入OSPF。使用display ospf lsdb查看R1的LSDB：

可以看到R1的LSDB中存在Type-1(Router)、Type-2(Network)、Type-3(Sum-Net)及Type-4(Sum-Asbr)和Type-5(External) LSA。此时R1拥有到达全网段的路由！
2.将Area1配置为Stub区域，观察路由及LSA的变化。
R1的配置：

[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]stub

R2的配置：

[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]stub

查看R1路由表的变化：

路由表变得非常的精简，因为R2会阻挡Type-4,Type-5 LSA进入该区域。另外R2会向Area1下发一条使用Type-3 LSA描述的默认路由，使得Area1内的路由器能够使用这条默认路由、通过R2访问OSPF域外的网络。再观察一下R1的LSDB:

LSDB也变得精简了！
3.将Area1配置为Totally-Stub区域，观察路由及LSA的变化。
为了进一步减少Area 1内的LSA泛洪，则可以将OSPF区域间的路由也阻挡掉。修改R2的OSPF配置：

[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]stub no-summary

no-summary 的意思是阻挡Summary LSA进入该区域。这样Area1就变成了Totally-Stub区域，查看R1的路由表：

路由表只剩下默认路由了，查看R1的LSDB：

LSDB变得更加精简了。
4.将Area 1配置为NSSA，并在R1上引入少量外部路由。
现在R1接着一个非OSPF的网络，他需要将少量外部路由引入OSPF，从而让域内的OSPF路由器能够获取到相应的外部路由，但是又希望保持Area1的Stub区域特性，那么可以将Area1配置为NSSA。修改R1的配置：

[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]undo stub
[R1-ospf-1-area-0.0.0.1]nssa

在R1上创建一条静态黑洞路由，然后将其引入到OSPF:

[R1]ip route-static 10.1.1.0 24 NULL0
[R1]ospf 1
[R1-ospf-1]import-route static

修改R2的配置：

[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]undo stub
[R2-ospf-1-area-0.0.0.1]nssa

NSSA的ABR R2将阻挡Type-4,Type-5 LSA进入该区域，这与stub区域是一样的，此外Area1又被允许在该区域产生Type-7 LSA用于描述这些外部路由，这些LSA只在Area1内泛洪。R2将会收到Type-7 LSA，并用它计算路由，同时，他还会向Area0中注入Type-5 LSA用于描述10.。1.1.0/24路由，也就是将Type-7 LSA转化为Type-5 LSA，注入到Area0。查看R1的LSDB:

       可以看到有两条Type-7 LSA，一条是R1产生的，一条是R2自动产生的，是一条默认路由。查看R1的路由表：

查看R3的LSDB:

       有三条Type-5 LSA用来描述外不路由。其中前两条是自己产生的，另外一条是R2产生的。
5.将Area1配置为Totally NSSA，进一步阻挡Type-3 LSA。
       接着上一步配置修改R2的配置：

[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]nssa no-summary

查看R1的LSDB:

可以看到现在已经只剩一条描述默认路由的Type-3 LSA。

案例6：Virtual Link的配置

基础IP配置和OSPF配置省略。对于R3来说到达192.168.2.0/24网段有两条链路可以走，本应该选择Cost较小的192.168.23.0/24网段，但是事实却不是这样！查看R3的OSPF路由表：

可以看到R3却选择了一条Cost值较大的192.168.13.0/24网段，这是因为R3是一台ABR，它不能够使用自己在非0区域中收到的Type-3 LSA来计算区域间路由，所以无论路径Cost如何，R3将始终选择R1到达192.168.2.0/24。那么如何解决这一问题呢？最简单的方法就是在R2及R3之间跨越Area23建立一条Virtual Link，使得R2能够借助这条Virtual Link直接将Type-1 LSA发送给R3。R2的关键配置如下：

[R2]ospf 1
[R2-ospf-1]area 23
[R2-ospf-1-area-0.0.0.23]vlink-peer 3.3.3.3

R3的关键配置如下：

[R3]ospf 1
[R3-ospf-1]area 23
[R3-ospf-1-area-0.0.0.23]vlink-peer 2.2.2.2

使用dis ospf vlink命令查看Virtual Link的相关信息：

再次查看R3的OSPF路由表：

192.168.2.0/24的路由的下一跳变成了192.168.23.2。

案例7：OSPF报文认证

OSPF支持两种报文认证方式：区域认证及接口认证。给上面运行了OSPF的拓扑图配置认证。为保证Area0的安全性，需在Area0开启区域认证，使用MD5的验证方式，密码为Huawei123。R3与R4之间开启OSPF接口认证，使用明文密码HWArea1。先配置区域认证，R1的关键配置如下：

[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher Huawei123

R2的关键配置如下：

[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher Huawei123

R3的关键配置如下：

[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher Huawei123

在配置接口认证,R的关键配置如下：

[R3]interface g0/0/2
[R3-GigabitEthernet0/0/2]ospf authentication-mode simple cipher HWArea1

R4的关键配置如下：

[R4]int g0/0/2
[R4-GigabitEthernet0/0/2]ospf authentication-mode simple cipher HWArea1

配置完成后，R3，R4将基于接口认证建立邻居关系。