CCNP―OSPF特殊区域 身份认证

1、OSPF特殊区域目的：减少LSA的泛洪1.STUB区域 过滤4/5类LSA 如果有多个ABR的时候 若需要负载均衡 需要考虑COST值 STUB区域不能出现ASBR所有配置完成后 我们在R3上将RIP重分发进OSPF 在R4上查看查看R4的数据库我们把R1配置为STUB区域为了就是过滤掉4/5类LSA注意 ：配置特殊区域的时候 需要在区域内的所有路由器上做 否则邻居DOWN在R4和R2配置为stub区域后 在R4上看下路由表v产生了一条指向R2的三类默认路由 由此 配置了STUB区域以后 STUB的ABR会下放一条三类的默认路由 使外部区域还是可达的 此默认路由的Seed值为1 当有多个ABR

2、的时候 更改Seed值来控制选路 进程下2.Totally Stub 过滤3/4/5类LSA只需要在ABR上设置因为是ABR去过滤三类LSA 不是区域内其他路由器去过滤 看下R4的路由表只有一条默认路由 更方便了3.NSSA(Not-So-Stubby Areas区域: NSSA区域可以存在ASBR 过滤4/5类LSA 这时候有个问题 既然NSSA区域过滤4/5类LSA 而又可连接ASBR 那其他区域怎么知道域外路由？ NSSA区域过滤的是远端的5类LSA 也就是上图 如果R4也是ASBR NSSA区域过滤的是他的路由 而本地的域外路由 为了不被过滤 改成了7类LSA 其实跟5类LSA没区别

3、只是不被过滤 改了个叫法因为7类的LSA只能存在于NSSA区域 当7类LSA穿越NSSA区域的ABR的时候 7类5类 NSSA区域和STUB区域的区别就是 NSSA区域的ABR不会主动去下放默认路由 造成的结果就是NSSA区域内路由不能访问远端的域外路由 在NSSA区域注入默认路由产生一条7类的N2默认路由在R4上看一下R1是ASBR 这也就严格定义了ASBR的形式 只要能够产生5类LSA的路由器 都叫ASBR 此图来说 R1 R3都是ASBR4.Totally NSSA 过滤3/4/5类LSA 命令此区域会自动下放3类的默认路由当R1连接的也有外部路由的时候 因为R1的特殊位置 和R3一样

4、7类LSA会也会将此外部路由通告给所有的area2的路由器 但这完全没有必要 因为R1已经通告了默认路由 再增加路由器的路由条目毫无用处 可以使用以下命令 过滤掉R1过来的这种特殊的外部路由 注意 过滤和发布默认一定要一起配套做在R1做 单做一条毫无意义任意一种即可(default-information-originate只是下放一条7类默认路由 no-summary是过滤掉其他三类LSA 并下放一条三类默认路由 两条命令 只用一条即可 效果都一样 总结OSPF四种区域：作用 是否下放默认路由Stub 过滤4/5类LSA 是(LSA3Seed Cost=1Totally Stub 过滤3/4

5、/5类LSA 是(LSA3Seed Cost=1NSSA 过滤4/5类LSA 否(defult-in:LSA7 Cost=1Totally NSSA 过滤3/4/5类LSA 是(no-summary:LSA3 Cost=1不规则区域1.远离area 0 2. 分隔的area 0解决方法：1.OSPF多进程双向重分布思想 正常情况下 area3的路由其他区域不可能学习到 只有连接此区域的R3 R5能学习到 在R3上 分别启用两个OSPF进程 100和200 在100中 我们通告13网段 在200中 我们通告35网段 然后双向重分布 这样就把area3的路由当做外部路由注入到OSPF区域中 达到解

6、决OSPF不规则区域的问题在R1上看下效果2.Tunnel 跨越area2打通一条连接area0和area3的隧道 因为是垮区域 需要源和目标都有到达对方的路由 以可以互访为前提 相当于将图变形为命令如下：另一端Tunnel源和目标端口ip相反 其他一样看下R5的路由表三类LSA通告的路由3.Virtual Links(虚电路 类似于Tunnel的思想 在R1 R3之间建立虚电路看下R3的邻居表很明显的标识是通过虚电路起来的 一旦虚链路起来以后 会抑制HELLO包的发送 这里又出现个问题 写命令的时候写的是对方的RID 但是并没有RID的路由 怎么找到的呢在这里 因为都在同一区域 双方已知对方的RID通过查看本地的LSDB 找到路由 通过一类LSA1. 链路认证(明文：(密文2. 区域认证(明文：(密文3. 虚电路认证(明文：(密文在哪启用密钥 在哪声明链路 接口 接口区域 接口 进程虚电路 进程 进程当R1 R3之间连接的虚电路