ospf在不同网络类型中的属性.docx

1、ospf在不同网络类型中的属性ospf支持broadcast、NBMA、P2P、P2MP 4种类型的网络，他们的差异主要在发送报文形式不同。因此在4种网络类型中设置ospf协议时，主要的区别就是体现在协议报文的发送形式上。具体配置流程：1、设置接口的网络层地址，使相邻节点网络可达 2、设置ospf基本功能 3、设置接口网络类型Huawei-GigabitEthernet0/0/2ospf network-type ?broadcast Specify OSPF broadcast network nbma Specify OSPF NBMA networkp2mp Specify OSPF p

2、oint-to-multipoint network p2p Specify OSPF point-to-point network默认情况下，接口的网络类型是根据物理接口类型而定的： 以太网接口的网络类型：广播串口和POS（封装PPP协议或DHLC协议时）接口的网络类型：P2P ATM和Frame-relay（帧中继）接口的网络类型：NBMA可根据实际情况设置接口的网络类型，但要考虑以下几个方面：1、如果同一网段内只有两台设备运行ospf协议，可（建议）将接口的网络类型改为P2P 2、如果接口的类型是广播，但在网络上有不支持组播地址的设备（路由器），可将接口的类型改为NBMA。3、如果接口的

3、类型是NBMA，且网络是全连通的，即任意两台路由器都直接可达。此时可以将接口类型改为broadcast，且不必再配置邻居路由器。4、如果接口的类型是NBMA，但网络不是全连通的，必须将接口类型改为P2MP。这样两台不能直接可达的路由器可以通过一台与两者都直接可达的路由器来交换路由信息。接口类型改为P2MP类型后，也不必再配置邻居路由器。在设置网络类型，要注意以下几个方面：1、P2MP类型必须是由其他的网络类型强制更改2、一般情况下，链路两端ospf接口的网络类型必须一致，否则不可用建立邻居关系3、当链路两端ospf接口一端是broadcast，另一端是P2P时，仍可以建立邻居关系，但互相学习不

4、到路由信息。 4、当链路两端ospf接口一端是P2MP，另一端是P2P时，仍可建立邻居关系，但互相学习不到路由信息。为了相互学习到路由信息，可在两端ospf接口上设置相同的hello报文发送间隔和邻居失效时间。在broadcast网络中可以通过ospf dr-priority 在接口视图下设置路由器的优先级，用于DR和BDR选举，其值越大，优先级越高。如果一台设备的接口优先级为0，则它不会被选举为DR或BDR。在NBMA网络中，也可以通过设置接口的优先级来影响DR和BDR的选举。1、设置P2MP网络属性默认情况下，P2MP网络上接口IP地址的子网掩码长度不一致的设备不可用建立邻居关系，但可以通

5、过设置设备间忽略对hello报文中网络掩码的检查来正常建立ospf建立邻居关系。Huawei-GigabitEthernet0/0/2ospf p2mp-mask-ignore在P2MP网络中，当两台路由器之间存在多条链路时，可通过对出方向的LSA进行过滤以减少LSA在某些链路上的传送，减少不必要的重传，节省带宽资源。Huawei-ospf-10filter-lsa-out peer 10.1.1.1 ?all Filter all types of LSAs #指定除grace-lsa之外的所有lsa进行过滤 ase Filter type-5 ASE LSAs nssa Filter ty

6、pe-7 NSSA LSAssummary Filter type-3 Summary LSAs2、设置NBMA网络属性1、设置接口网络类型为NBMANBMA网络必须是全连通的，所以网络中任意两台路由器之间都必须之间可达（无需经过其他中间路由器），如果这个要求无法满足，则必须通过命令强制将网络类型改为P2MP。2、设置NBMA网络发送轮询报文的时间间隔（可选，默认120s）在NBMA网络上，当邻居失效后，路由器将按设置的轮询时间间隔定期发送hello报文。 Huawei-GigabitEthernet0/0/1ospf timer poll 2003、设置NBMA网络的邻居可以通过设置NBMA

7、网络的邻居使整个网络达到全连通状态，这样ospf就可以看作是广播网络进行DR、BDR选举等。但由于无法通过广播hello报文的形式动态发现相邻设备，必须手动通过peer指定相邻设备的IP地址（需重复指定多台相邻设备）已经用于DR选举的优先级（两端的DR优先级（默认为1）要一致）Huawei-ospf-10peer 10.1.1.1 dr-priority 2 DR/BDR选举在一个广播型ospf网络中，一旦选举了DR和BDR后，区域内路由器仅与DR、BDR交互LSA，DRother之间不需要交互LSA。六、设置ospf的stub、totally stub、nssa、totally nssa区域

8、通常将位于AS边缘的一些非骨干区域配置成stub（totally stub）、nssa（totally nssa）、区域，可以缩减LSDB和路由表规模（不存在引入的外部路由，看见的是一条缺省路由）。当然，stub、totally stub、nssa、totally nssa区域都是一种可选配置属性。配置这些区域时要注意：1、骨干区域（area 0）不能不能配置成stub、totally stub、nssa、totally nssa区域 2、如果要将一个区域设置成stub、totally stub、nssa、totally nssa区域，则该区域中的所有路由器都要配置为stub、totally

9、stub、nssa、totally nssa区域属性。3、stub、totally stub、nssa、totally nssa区域内不能存在虚连接 4、stub区域内不能有ASBR,即自治系统外部的路由不能在stub区域内传播（即引入外部路由），且只有有一个abr。 NSSA区域可以有一个或多个ABR和ASBR，允许自治系统外部的路由通过type7 LSA在NSSA区域内传播，然后在NSSA区域的ABR上转换成type 5 LSA向其他ospf区域传播1、设置ospf的stub、totally stub区域1、设置当前区域为stub区域（需要在区域内的所有路由器上设置） Huawei-osp

10、f-1-area-0.0.0.5stub2、设置totally stub区域（也就是在ABR上禁止向stub区域内发送type 3 LSA）。 Huawei-ospf-1-area-0.0.0.5stub no-summary3、设置在stub区域的ABR上发送到stub区域缺省路由开销（必须在本地路由表已存在该缺省路由（abr自动生成）Huawei-ospf-1-area-0.0.0.5default-cost 152、设置ospf的NSSA/totally NSSA区域 1、设置当前区域为NSSA区域Huawei-ospf-12-area-0.0.0.10nssa ?default-rou

11、te-advertise Originate Type 7 default into NSSA areaflush-waiting-timer Flush waiting timerno-import-route No redistribution into this NSSA areano-summary Do not send summary LSA into NSSAset-n-bit Set n bit in DD packet in NSSA areasuppress-forwarding-address Suppress forwarding address for Transla

12、ted Type-5LSAstranslator-always Set NSSA translator role alwaystranslator-interval Configure NSSA translator interval valuezero-address-forwarding Allow zero forwarding address for Type-7 LSAs Please press ENTER to execute command 3、设置ABR上发送到NSSA区域的type 3 lsa的缺省路由开销 Huawei-ospf-1-area-0.0.0.10defaul

13、t-cost 15七、设置ospf安全功能在对安全性要求较高的网络中，可以通过配置GTSM（generalized ttl security mechanism ，通用ttl安全保护机制 ）以及ospf区域认证和接口认证来提高ospf网络的安全性。1、GTSM设置如果攻击者模拟真实的ospf协议单播报文对路由器不断发送报文，路由器在收到这些报文后发现目的IP是本设备的的地址，则会直接上送给控制层面的ospf协议处理，不辨其合法性。这样会导致设备控制层因忙于处理这些报文使系统繁忙，占用较多的CPU资源。可通过GTSM检查IP报头中的TTL 值是否在一个预先定义好的范围，对IP层以上业务进行保护。

14、 GTSM仅对单播报文有效，对组播无效，因为组播报文本身具有ttl值为255的限制。 GTSM不支持基于tunnel的邻居。 GTSM的实现机制：对于直连协议的邻居，将需要发出的单播协议报文的ttl值设定为255； 对于多跳的邻居则可以定义一个合理合理的ttl范围。使能了GTSM的设备会对收到的所有IP单播报文进行检查，对于没有通过策略的报文丢弃或上送控制平面，从而达到防止攻击的目的。具体配置：1、使能gtsm，并设置需要检测ttl的最大值 Huaweiospf valid-ttl-hops 5 ?vpn-instance VPN routing/forwarding InstancePlea

15、se press ENTER to execute command 2、设置未匹配gtsm策略报文的缺省动作 Huaweigtsm default-action ?drop Default action is drop # 丢弃 pass Default action is pass # 通过3、打开单板的log信息开关（只记录丢弃动作log信息）Huaweigtsm log drop-packet all2、安全认证设置为了拒绝非法ospf报文进入，ospf支持报文认证功能，使只有通过认证的报文才能被接收，否则不能正常建立邻居。路由器支持两种认证方式： 1、区域认证使用区域认证时，一个区域中

16、所有的路由器在该区域下的认证模式和密码必须一致 具体配置Huawei-ospf-1-area-0.0.0.1authentication-mode ? hmac-md5 Use HMAC-MD5 algorithm keychain Keychain authentication mode md5 Use MD5 algorithmsimple Simple authentication mode 2、接口认证Huawei-GigabitEthernet0/0/2ospf authentication-mode ? hmac-md5 Use HMAC-MD5 algorithm keychai

17、n Keychain authentication mode md5 Use MD5 algorithm null Use null authenticationsimple Simple authentication mode八、调整ospf路由选择在复杂网络环境下，可通过调整ospf的功能参数来达到灵活组网、优化网络负载分担。 1、设置ospf的接口开销ospf接口开销影响路由选择，开销值越小，优先级越高，越能成为路由。 ospf链路开销可以手动指定，也可以根据接口带宽自动计算链路状态路由协议（ospf、is-is）的接口开销也即链路开销，是二层概念，是指接口所在链路的开销，主要依据接口带

18、宽确定。如果链路两端接口的带宽不一致，则以带宽低的接口为准计算接口开销。路由开销等于所经过的链路开销之和。同一路由器上的不同接口之间的链路开销为0.具体配置Huawei-GigabitEthernet0/0/3ospf cost 20 # 直接设置开销值 或Huawei-ospf-2bandwidth-reference 1024 # 通过计算接口带宽所得开销值 2、设置等价路由当网络中存在多条路由协议发现的到达同一目的地的路由，且这几条路由的开销值也相同时，则这些路由就是等价路由，可以实现负载分担。在ospf中可以设置最大的等价路由条数。 1、设置最大等价路由数量Huawei-ospf-2m

19、aximum load-balancing 3 2、设置路由数量的负载分担优先级 Huawei-ospf-3nexthop 10.1.1.1 weight 23、设置ospf 路由选择规则ospfv2在发展过程中，经过了几次大的修改，其中影响最大的是RFC1583和RFC2328这两个版本。在这两个版本中，在计算外部路由时的规则不一样，可能会导致路由环路。为了避免路由环路的发生，在最新的RFC2328中提出了对RFC1583兼容特性，使能RFC1583兼容特性后，ospf采用RFC1583的路由计算规则。具体配置Huawei-ospf-2rfc1583 compatible默认情况下，ospf

20、支持RFC 1283定义的规则，但如果ospf域的其他设备配置的是RFC2328选路规则，则需要通过undo rfc1583 compatible 设置成RFC2328定义的规则。4设置抑制接口接收和发送ospf报文通过抑制接口接收和发送的ospf报文，使得路由信息不被某一网络中的其他路由器获得，且使本地路由器不接收网络中其他路由器发布的路由更新信息，从而达到优先保证某条路由的目的。假如本地路由器有一条到达某个目的地的路由，但通过其他区域的路由通过或引入外部路由，可能还有其他更佳的路由到达同一目的地。这时为了使本路由器上的这条路由最终生效，就可以设置对应接口为抑制状态。具体配置Huawei-o

21、spf-10silent-interface GigabitEthernet 0/0/2 将允许ospf协议的接口指定为silent状态后，该接口的直连路由仍可以通过ospf协议发布出去，但接口的hello报文发送和接受都将被阻塞，接口无法与其他设备建立邻居关系，其他ospf报文就更无法发送和接收了。本命令只对本进程已经使能的ospf接口起作用，对其他进程的接口不起作用。九、设置ospf路由信息发布和接收1、设置ospf引入外部路由当ospf网络中的设备需要访问运行其他协议网络中的设备时，需要将其他协议的路由引入ospf进程中。 仅可在连接了其他AS的ASBR上设置尽管ospf是一个无环路的路

22、由协议，但这是针对域内路由和域间路由而言的，而对引入的外部路由环路没有很好的防范机制，所以在设置引入外部路由时一定要慎重，防止引起环路。引入外部路由时不能引入缺省路由 具体配置：Huawei-ospf-1import-route ?bgp Border Gateway Protocol (BGP) routes direct Connected routesisis Intermediate System to Intermediate System (IS-IS) routes limit Limit the number of routes imported into OSPF ospf

23、Open Shortest Path First (OSPF) routes rip Routing Information Protocol (RIP) routes static Static routesunr User Network Routes -Huawei-ospf-1import-route rip ? INTEGER Process ID cost Set cost route-policy Route policytag Specify route tagtype Metric type of the imported external routes Please pre

24、ss ENTER to execute command统一设置引入外部路由时的缺省参数（） Huawei-ospf-1default ?cost Cost assigned to the ASE or NSSA LSA generated when importing anexternalroute；limitNumberofASEorNSSALS；tagSpecifyroutetag；typeMetrictypeoftheimpor；inherit-metric#引入路由的开销值为；2、设置ospf将缺省路由通告到ospf区域；在ospf实际组网应用中，区域边界或自治系统边界；ospf缺省路

25、由通常应用于下面两种情况；1、由Aexternal routelimit Number of ASE or NSSA LSAs calculated at a time when importing external routetag Specify route tagtype Metric type of the imported external routesinherit-metric #引入路由的开销值为路由自带的开销值2、设置ospf将缺省路由通告到ospf区域在ospf实际组网应用中，区域边界或自治系统边界通常都是由多个路由器组成的多出口冗余备份或者负载分担。此时为了减少路由表的容

26、量，可以配置缺省路由来保证网络的高可用性。ospf缺省路由通常应用于下面两种情况1、由ABR发布type3 LSA，用来指导区域内的ABR路由器进行区域之间报文的转发 2、ASBR发布type5或type7 LSA，用来进行域外（AS）报文转发 当路由器无精确匹配的路由时，就通过缺省路由进行报文转发。 type3 LSA缺省路由优先级要高于type5或type7 LSA路由。ospf缺省路由的发布方式取决于引入该缺省路由的区域类型，如下图。产生条件发布方式产生LSA类型通过default-route-advertise配置ASBR发布type 5 lsa自动产生ABRtype 3 lsa通过N

27、SSAdefault-route-NSSA区域ASBR发布type 7 lsaadvertise配置abr自动产生，asbr上有缺省路由时产type 3或type 7完全NSSA区域ABR或asbr发布生lsa具体配置：将缺省路由通告到ospf路由区域（可选） Huawei-ospf-2default-route-advertise ?always Always advertise default route cost OSPF default costpermit-calculate-other Always permit the local router to calculate the

28、default routes advertised by other routers route-policy Route policysummary Distribute a default routetype Set OSPF metric type for the default routes-Huawei-ospf-2default-route-advertise route-policy 1 ?always Always advertise default route cost OSPF default cost match-any Match any routepermit-cal

29、culate-other Always permit the local router to calculate the default routes advertised by other routers type Set OSPF metric type for the default routes区域类型普通区域stub区域泛洪范围普通区域stub区域NSSA区域NSSA区域3、设置ospf路由聚合当ospf网络规模较大时，设置路由聚合可以有效减少路由表中的条目，减小对系统资源的占用。配置路由聚合后，如果聚合的IP范围内的某条链路频繁UP和down，该变化不会通告到聚合外的IP地址范围外

30、的设备，可以避免网络中的路由震荡，提高网络的稳定性。仅可在允许ospf协议的ABR和ASBR上配置路由聚合。不能聚合不同区域中的路由。设置路由聚合后，ABR和ASBR本地的ospf路由表是保存不变的，仍为各网段的明细路由，但是向区域内其他设备通告时，是以一条聚合路由进行通告，这样区域内其他路由器上的ospf路由表中只有这一条聚合路由达到对应聚合网段的路由。具体配置：-在ABR上配置-Huawei-ospf-2-area-0.0.0.2abr-summary 10.10.0.0 255.255.0.0 ?advertise Advertise this summary (default) # 同时向被聚合区域和其他区域发布这条聚合路由。 cost