OSPF的协议特性

路由汇总的概念

l 路由汇总( Route Aggregation ),又称路由聚合(Route Summarization),指的是把一组明细路由汇聚成一条汇总路由条目的操作

l 路由汇总能够减少路由条目数量、减小路由表规模,从而减轻路由器的资源消耗

l RIP、BGP等协议支持自动或者手工路由汇总,但OSPF仅支持手工路由汇总

l OSPF支持两种汇总:

Ø 部署在ABR上,域间路由汇总

Ø 部署在ASBR上,域外路由汇总

OSPF汇总路由的防环

l 条件:R3将R5下的三个子网汇总成172.16.0.0/16传递给R2,R3\R4\R5存在默认路由

l 环路产生:R5下存在攻击PC,持续扫描一个不存在的子网内的IP(如172.16.11.0/24),数据包被默认路由匹配一路传递到R2,而R2上由于存在R3传递来的汇总路由(172.16.0.0/16),因此又把这些数据包丢回给R3,R3又丢回R2,如此反复,直到报文TTL为0,此时路由环路出现。

l 解决方法:OSPF为了解决这个问题,在执行路由汇总时,会在本地自动产生一条指向Null0的路由,这样一来当再有类似事件发生,数据包将在R3这就被丢弃(匹配Null0路由)

虚链路的应用场景

l 虚链路( Virtual-link )是骨干区域(Area0)的一段延伸

l 通过部署虚链路可以解决某个区域没有与Area0直接相连而产生的问题,或者area 0不连贯的问题

l 在所要穿越的区域的两台ABR上,分别进行如下配置:

area+穿越的区域的ID+ virtual-link +对端router-id

OSPF的认证

加密方式分为明文认证与加密认证

Ø **明文认证:**密码在报文中可见

Ø **密文认证:**密码在报文中不可见

验证方式分为接口认证与区域认证

Ø **接口认证:**仅针对一条链路上进行验证

Ø **区域认证:**将路由器上属于某个特定区域的接口全都激活相应的验证方式当OSPF区域中有配置虚链路时,针对接口认证与区域认证也需要相应配置才可建立邻居

明文认证的配置

l 简单密码身份验证(明文)

Ø 接口认证

Router(config-if)# ip ospf   authentication-key password

Router(config-if)# ip ospf   authentication

Ø 区域认证

Router(config-if)# ip ospf authentication-key password

Router(config-router)# area area-id authentication

密文认证的配置

l MD5身份验证(密文)

Ø 接口认证

Router(config-if)# ip ospf message-digest-key key-id md5 key

Router(config-if)# Ip ospf authentication message-diges

Ø 区域认证

Router(config-if)# ip ospf message-digest-key key-id md5 key

Router(config-router)# area 0 authentication messae-digest

在虚链路上配置报文验证(明文)

Router(config-router)#area 穿越的区域的ID virtual-link 目的IP authentication-key key

Router(config-router)#area 穿越的区域的ID virtual-link 目的IP authentication

当区域0开启验证时,虚链路也需要配置密码

Router(config-router)#area 0 authentication

Router(config-router)#area 穿越的区域的ID virtual-link 目的IP authentication-key  key

Router(config-router)#area 穿越的区域的ID virtual-link 目的IP authentication

OSPF的链路优化

在连接终端的接口上将端口设置为passive-interface,停止hello报文的发送,减少终端的负担

Router(config-router)#passive-interface 终端接口

l 汇聚交换机上所有的三层接口宣告入OSPF,大量VLAN的用户都会收到不必要的Hello报文

l 汇聚交换机先将所有接口设置为被动接口,并将G0/24接口取消被动接口特性

Router(config-router)#passive-interface defualt

Router(config-router)#no passive-interface  G0/24(上联其他区域的端口)
相关推荐
长安11083 小时前
前后端、网关、协议方面补充
网络
hzyyyyyyyu6 小时前
隧道技术-tcp封装icmp出网
网络·网络协议·tcp/ip
南猿北者6 小时前
docker Network(网络)
网络·docker·容器
Hacker_Nightrain7 小时前
网络安全CTF比赛规则
网络·安全·web安全
网络安全指导员8 小时前
恶意PDF文档分析记录
网络·安全·web安全·pdf
co0t9 小时前
计算机网络(11)和流量控制补充
服务器·网络·计算机网络
白总Server9 小时前
JVM解说
网络·jvm·物联网·安全·web安全·架构·数据库架构
清尘沐歌9 小时前
有什么好用的 WebSocket 调试工具吗?
网络·websocket·网络协议
Li_0304069 小时前
Java第十四天(实训学习整理资料(十三)Java网络编程)
java·网络·笔记·学习·计算机网络
Tony聊跨境10 小时前
什么是 ISP:了解互联网服务提供商的作用
网络·人工智能·isp