H3C OSPF配置介绍

OSPF（Open Shortest Path First ，开放最短路径优先）是IEEE开发的一个基于链路状态的内部网关协议，目前在互联网上大量的使用。

配置OSPFP

[H3C]ospf [process-id]   #启动ospf进程，并指定进程ID，默认为1
[H3C-ospf-1]area [area-id]   #配置OSPF区域，单区域可不配骨干区域Area0 ；多区域必须配骨干区域Area 0
[H3C-ospf-1-area-0.0.0.0]network [address] [mask]   #宣告网段，使用精确的反掩码

[H3C]router id 1.1.1.1   #配置设备的Router ID
【可选】[H3C]ospf 1 router-id 1.1.1.1   #只配置OSPF协议的Router ID

[H3C]dis ospf peer   #显示OSPF邻居信息
[H3C]dis ospf interface   #显示OSPF接口信息
[H3C]dis ospf routing     #显示OSPF路由信息
[H3C]dis ospf verbose     #显示OSPF进程详细信息
[H3C]dis ospf statistics  #显示OSPF统计信息
[H3C]dis ospf lsdb        #显示OSPF的LSDB信息

OSPF单区域配置示例

OSPF多区域配置示例

[RTA]int loopback 0 
[RTA-GigabitEthernet0/0]ip add 10.0.0.1 24
[RTA]ospf 1 router-id 1.1.1.1
[RTA-ospf-1]area 0
[RTA-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
[RTA-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255

[RTB]int loopback 0 
[RTB-LoopBack0]ip add 2.2.2.2 255.255.255.255
[RTB]ospf 1 router-id 2.2.2.2
[RTB-ospf-1]area 0
[RTB-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
[RTB-ospf-1-area-0.0.0.0]qu
[RTB-ospf-1]area 1
[RTB-ospf-1-area-0.0.0.1]network 20.0.0.0 0.0.0.255

[RTC]int loopback 0 
[RTC-LoopBack0]ip add 3.3.3.3 255.255.255.255
[RTC]ospf 1 router-id 3.3.3.3
[RTC-ospf-1]area 1 
[RTC-ospf-1-area-0.0.0.1]network 20.0.0.0 0.0.0.255
[RTC-ospf-1-area-0.0.0.1]network 192.168.200.0 0.0.0.255

优化OSPF网络

配置OSPF接口的网络类型

配置OSPF接口的网络类型

[H3C-GigabitEthernet0/0]ospf network-type {broadcast | nbma | p2mp[unicast] | p2p[peer-addrss-check]}

配置OSPF接口的路由器优先级，默认为1。

[RTB-GigabitEthernet0/0]ospf dr-priority [priority]

配置OSPF接口开销

第一种方式，在接口视图下配置OSPF接口的开销值。
[H3C-GigabitEthernet0/0]ospf cost [value]   #仅对当前接口开销值进行了修改
第二种方式，在OSPF视图下配置OSPF接口参考带宽。
[H3C-ospf-1]bandwidth-reference [value]     #默认参考值为100M。
可以根据网络情况将参考带宽修改为1000M或者更大，推荐配置带宽参考值为网络中所有链路带宽中的最大值。

配置OSPF报文定时器

配置OSPF报文定时器，在接口视图下

配置OSPF引入缺省路由

在OSPF中引入缺省路由使用以下命令

[RTB-ospf-1]default-route-advertise {
always    #若当前路由表中没有缺省路由，使用此参数可产生一个描述缺省缺省路由的Type-5 LSA发布出去
permit-calculate-other   #
cost   #该缺省路由的度量值，取值范围0~16777214，如果没有指定将取default cost
route-policy   #
summary cost   #发布指定缺省路由的Type-3LSA，必须首先使能VPN，否则路由不能发布
type   #该Type-5 LSA的类型，取值范围1~2，若没有指定缺省类型将取default type命令配置的值
                                    }

配置OSPF引入缺省路由示例1

RTA作为ASBR希望可以引入缺省路由，由于在RTA手动添加了静态路由 0.0.0.0 0.0.0.0 192.168.0.1 ，所以在OSPF协协议中引入缺省路由的时候不需要always参数。

配置OSPF引入缺省路由示例2

RTA需要引入缺省路由并在自治系统发布，由于没有手动在RTA配置静态路由，配置时需要使用always参数来使OSPF强制生成缺省路由。

配置OSPF高级特性

OSPF虚连接

在OSPF区域划分时，为了保证路由学习正常需注意两个规则：

• 骨干区域必须连续；
• 所有非骨干区域都必须和骨干区域相连接；

如果出现 骨干区域被分割 或 者非骨干区域无法和骨干区域保持连通 情况时，可以通过OSPF虚连接（Virtual Link）予以解决。

虚连接是指在两台ABR之间通过一个非骨干区域而建立一条逻辑连接通道。它的两端必须是ABR，而且必须在两端同时配置方可生效。为虚连接两端提供一条非骨干区域内部路由的区域称为传输区域（Transit Area）。 虚连接相当于在两个ABR之间形成了一个点到点的逻辑连接。在这个连接上和物理接口一样可以配置接口个各个参数， 如发送Hello报文间隔等。 虚连接建立后，两台ABR间通过单播方式直接传递OSPF协议报文。对于传输区域的路由器来说，虚连接所传输的协议报文时透明的，只是当做普通的IP报文来转发。

虚连接的另外一个作用是提供冗余的备份链路。当骨干区域因链路故障不能保持连通时，通过虚连接仍然可以保证骨干区域在逻辑上的连通性。

OSPF虚连接配置示例

dis ospf vlink   #显示OSPF虚连接信息

• router-id：虚连接邻居的路由器ID。
• dead seconds：失效时间间隔，取值范围为1~32768，单位为秒，缺省为40.
• hello seconds：接口发送hello报文的时间间隔，取值范围为1~8192，单位为秒，缺省值为10秒。
• hmac-md5：HMAC-MD5验证模式。
• md5：MD5验证模式。

OSPF的LSA和路由选择

• 使用较多的LSA类型有 1、2、3、4、5、7类：
  • 第一类LSA：描述区域内部与路由器直连的链路信息。
  • 第二类LSA：记录了广播者NBMA网段上所有路由器的Router ID。
  • 第三类LSA：将所连接区域内部的链路信息以子网的形式传播到邻居区域。
  • 第四类LSA：描述的目标网络是一个ASBR的Router ID。
  • 第五类LSA：描述到AS外部的路由信息。
  • 第七类LSA：只在NSSA区域内传播，描述到AS外部的路由信息。

OSPF选路原则

当存在多个路由信息源时，具有较高优先级的路由协议发现的路由成为当前路由，其中OSPF内部路由的协议优先级为10，外部路由协议优先级为150。

如果都是OSPF路由，那么将按照以下原则进行选路：

• 第一步：按照路由类型的优先级选择，优先级从高到地的顺序依次为：
  • 区域内路由（Intra Area）
  • 区域间路由（Inter Area）
  • 第一类外部路由（Type1 External）
  • 第二类外部路由（Type2 External）
• 第二步：在类型相同的情况下，选择路由开销值较小的路由。
• 第三步：如果路由类型和链路开销值都相同，那么这两条或者多条路由就形成等价路由。

OSPF特殊区域

OSPF中，除了常见的骨干区域和非骨干区域之外，还定义了如下的常见区域：

• Stub区域：在这个区域内，不允许注入第四类和第五类LSA。
• Totally Stub区域：是Stub区域的一种改进区域，也不允许第五类LSA注入，但是允许第七类LSA注入。
• 这些区域有如下优势：
  • 可减少区域内外部路由LSDB的规模，降低区域内部路由器路由表的大小和容量，并减少区域内路由器对于存储器的需求，降低设备的压力；
  • 网络的安全性有所增强；

配置Stub区域

• Stub区域是一些特定的区域，目的是为了减少区域中路由器的路由表规模以及路由信息传递的数量。
• Stub区域内不能存在ASBR
• 在配置OSPF区域成为Stub区域时，需注意的是：
  • 骨干区域不能配置成Stub区域；
  • Stub区域内不能存在ASBR，即自治系统外部的路由不能在本区域内传播；
  • 虚连接不能穿过Stub区域；
  • 区域内如果有多个ABR，可能会产生次优路由；

如果使用Stub区域，区域内部的所有路由器都必须同时配置为Stub区域。在路由器交换Hello报文时，会检查Stub属性是否设置，如果有部分路由器没有配置Stub属性，就将无法和其他路由器建立邻居。

• 未配置Stub区域时，观察RTD的链路状态数据库如大图可以看到 具有第四类和第五类的LSA。
• 配置Stub区域后，观察RTD的链路状态数据库可以看到第四类和第五类LSA不存在了，取而代之的是新佳乐一条ABR产生的第三类LSA，LS ID是0.0.0.0，用来将数据转发到本OSPF自治系统之外的外部网络。

Totally Stub区域

为了进一步减少Stub区域中路由器的路由表规模以及路由信息传递的数量，可以将该区域配置为Totally Stub（完全Stub）区域。

从下方链路状态数据库可以观察到，第三类、第四类、和第五类LSA已经不存在，取而代之的是新增一条ABR产生的第三类LSA，LS ID是0.0.0.0，用来将数据转发到其他区域和自治系统之外的外部网络。

配置NSSA区域

NSSA（Not-So-Stubby Area）区域是Stub区域的变形，也不允许Type5 LSA类型注入，但是可以允许Type7 LSA注入。

NSSA区域产生的背景：

• 该区域存在一个ASBR，其产生的外部路由需要在整个OSPF域内扩散；
• 该区域不希望接收其他ASBR产生的额外路由；

要满足第一个条件，标准区域即可，但此时第二个条件不满足；要满足第二个条件，区域必须为Stub，但此时第一个条件又不满足；为了同时满足两个条件，OSPF设计了NSSA这个区域。

ABR会产生一条0.0.0.0/0的第七类LSA，在NSSA区域内传播。与Stub区域一样，虚连接也不能穿过NSSA区域。

从链路状态数据库中可以观察到，第四类和第五类LSA已经不存在，取而代之的是新增加了一条ABR产生的第七类LSA ，LS ID是0.0.0.0用来将数据转发到其他区域和自治系统之外的外部网络。

OSPF路由聚合

如上图，Area 1内有4条区域内路由192.168.0.0/24、192.168.1.0/24、192.168.2.0/24、192.168.3.0/24，如果此时在RTB配置路由聚合，将4条路由聚合成一条192.168.0.0/22，则RTB就只生成一条聚合后的LSA，并发布给Area 0中的其他路由器。 RTC作为ASBR，也可以配置聚合路由，将注入OSPF域内的4条外部路由进行聚合成192.168.4.0/22，并发布给Area 0 的其他路由器。

路由聚合是指ABR或ASBR将具有相同前缀的路由信息聚合，只发布聚合后路由到其他区域。AS被划分成不同区域后，区域间可以通过路由聚合来减少路由信息，减少路由表的规模，提高路由器的运算速度。

OSPF的聚合有两种：

• ABR聚合：ABR向其他区域发送路由信息，以网段为单位生成Type3 LSA。如果该区域中存在一些连续的网段，则可以将这些连续的网段聚合成一个网段。这样ABR只发送一条聚合后的LSA，所有属于聚合网段范围的LSA将不会再被单独发送出去，这样可以减少其他区域中LSDB。
• ASBR聚合：配置引入路由聚合后，如果本地路由器是自治系统边界路由器ASBR，将对引入的聚合地址范围内的Type5 LSA进行聚合。当配置了NSSA区域时，还可以对引入的聚合地址范围内的Type7 LSA进行聚合。

ABR配置聚合命令

abr-summary [ip地址] [掩码] {advertise | not-advertise} [cost cost]
#用于在ABR上配置一条聚合路由，在OSPF视图下使用
#{advertise | not-advertise} 是否发布这条聚合路由，默认发布
#cost ：该缺省路由的度量值

ABR配置聚合路由

如上图所示Area1内有两条192路由，在RTB配置了路由聚合，则RTB只生成一条聚合后的LSA并发布给Area 0中的其他路由器。

ASBR配置聚合命令

asbr-summary [ip地址] [掩码] {not-advertise | nssa-only | tag | cost}
#在ospf视图下配置，在ASBR上配置一条聚合路由
#not-advertise：不发布这条静态路由
#nssa-only：设置Type-7 LSA的P比特位不置位
#cost ：该缺省路由的度量值

ASBR配置聚合路由

OSPF安全特性

OSPF作为路由协议，他并不保护通过网络的数据报文，仅仅对OSPF本身进行保护，以及对OSPF路由进行过滤。

常见的OSPF安全特性主要有以下几方面：

• 协议报文验证：OSPF支持报文验证功能，只有通过验证的OSPF报文才能被接受并正常建立邻居关系。
• 禁止端口发送OSPF报文：禁止后将成为被动接口（Passive interface），不再发送Hello报文。
• 过滤计算出的路由：可以设置路由信息的过滤条件。经过SPF计算后，只有通过过滤条件的路由信息才可以加入路由表。
• 过滤Type3 LSA：可以设置第三类LSA的过滤条件，只有通过过滤的才能被接收或者发送。

配置OSPF报文验证

• 配置OSPF区域验证时，一个区域中所有路由器的验证模式和验证密码必须一致，配置OSPF接口验证时，同一个网段内的路由器需要配置相同的接口验证模式和口令。
• 验证模式可以分为两种：
  • Simple：使用这种方法，设备将会在链路上直接发送预配置的验证密码。接收者比较报文中的验证密码是否与本地相同，相同则接收，不同则丢弃。
  • MD5：使用这种方法，根据预配置的密钥生成一个散列值，在链路上发送的仅仅是这个散列值。接收者处理报文时根据自己的密钥生成一个散列值并与收到的比较，若相同接收，否则丢弃。
• 接口视图下配置OSPF接口的验证模式（简单验证）

  ospf authentication-mode simple {cipher [密码] | plain [密码]}
  #cipher：表示输入的密码为密文
  #plain ：表示输入的密码为明文

配置禁止接口发送OSPF报文

为了使OSPF路由信息不被其他路由器获得，可以禁止接口发送OSPF报文。

silent-interface {接口 | all}
#在OSPF视图下配置禁止发送OSPF报文
#all只所有接口

配置过滤OSPF的路由和LSA

RTB收到了LSA更新报文，3条新增的网段0.0、1.0、2.0被包含在LSA更新报文内。RTB更新LSDB将3条路由加入，经SPF计算准备加入时被定义的过滤规则过滤后仅加入192.168.0.0/24。

配置OSPF对于计算出的路由进行过滤：

filter-policy {
acl-number [gateway prefix-list-name] 
gateway prefix-list-name
prefix-list prefix-list-name [gateway prefix-list-name]
route-policy route-policy-name}  import

• acl-number：用于过滤路由信息的地址的基本或高级访问控制列表编号。
• gateway prefix-list-name：指定的地址前缀列表，基于要加入到路由表的路由信息的下一跳进行过滤。
• prefix-list prefix-list-name：指定的地址前缀列表，基于目的地址对接收的路由信息进行过滤。
• router-policy route-policy-name：指定路由策略名，基于路由策略对接收的路由信息进行过滤。

如上图，RTA向RTB发送了3条LSA，处于安全考虑RTB路由表中只能存在192.168.0.0/24这条路由。

配置Type3 LSA进行过滤规则

filter {acl-number 
prefix-list prefix-list-name
route-policy router-policy-name
{export | import}
} 

• acl-number：指定的基本或高级访问控制列表，对进出本区域的Type-3 LSA进行过滤。
• prefix-list-name：指定的地址前缀列表，对进出本区域的Type3 LSA进行过滤。
• route-policy-name：指定路由策略，对进出本区域的Type3 LSA进行过滤。
• export：对ABR向其他区域发布的Type3 LSA进行过滤。
• import：对ABR向本区域发布的Type3 LSA进行过滤。

如上图所示，RTA向RTB发送 3条路由，出于安全考虑，RTB只能向RTC发送1条192.168.0.0/24的LSA。