第三章 OSPF高级

第3章 OSPF高级

一、不规则区域

区域划分

OSPF为了适应中大型网络环境，设计了区域划分的规则：

1. 区域之间必须存在ABR设备（域间路由器）

1. 区域划分必须满足星型结构划分

而不规则区域便没有满足星型结构的划分。

非骨干区域

OSPF的不规则区域：不连续骨干，远离骨干的 非骨干区域。

解决方法

1. 物理连接一根线缆让远离骨干的非骨干区域直接连接到骨干区域中。

1. 通过构建VPN隧道的方式去连接一根虚拟线缆，将区域连接在一起。

配置

首先按照拓扑图进行基础的IP配置。

 # 配置环回接口模拟用户私网，域间路由器ABR不需要配置[R1-LoopBack0]ip address 192.168.1.1 255.255.255.0[R3-LoopBack0]ip address 192.168.3.1 255.255.255.0[R5-LoopBack0]ip address 192.168.5.1 255.255.255.0# 启动OSPF进程并进行范围宣告[R1-ospf-1-area-0.0.0.0]network 12.0.0.0 0.0.0.255[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255[R2-ospf-1-area-0.0.0.0]network 12.0.0.0 0.0.0.255[R2-ospf-1-area-0.0.0.1]network 23.0.0.0 0.0.0.255[R3-ospf-1-area-0.0.0.1]network 23.0.0.0 0.0.0.255[R3-ospf-1-area-0.0.0.1]network 34.0.0.0 0.0.0.255 [R3-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255[R4-ospf-1-area-0.0.0.1]network 34.0.0.0 0.0.0.255[R4-ospf-1-area-0.0.0.2]network 45.0.0.0 0.0.0.255[R5-ospf-1-area-0.0.0.2]network 45.0.0.0 0.0.0.255[R5-ospf-1-area-0.0.0.2]network 192.168.5.0 0.0.0.255# 检查OSPF路由表和邻居简表[R1]display ip routing-table protocol ospf[R1]display ospf peer brief

此时我们发现R5一条OSPF信息都没有接收到，因为区域2是非骨干区域，我们在R2和R4之间构建一根VPN虚拟隧道，将区域0和区域2连通。这里我们为了简便，选择GRE协议进行封装。

 # 建立隧道，注意源和目标IP为23和34网段IP[R2-Tunnel0/0/0]ip address 24.0.0.1 24[R2-Tunnel0/0/0]tunnel-protocol gre [R2-Tunnel0/0/0]source 23.0.0.1[R2-Tunnel0/0/0]destination 34.0.0.2# R4 同理配置[R4-Tunnel0/0/0]ip address 24.0.0.2 24[R4-Tunnel0/0/0]tunnel-protocol gre [R4-Tunnel0/0/0]source 34.0.0.2[R4-Tunnel0/0/0]destination 23.0.0.1# 范围宣告，注意宣告在区域0[R2-ospf-1-area-0.0.0.0]network 24.0.0.0 0.0.0.255[R4-ospf-1-area-0.0.0.0]network 24.0.0.0 0.0.0.255# 查询OSPF路由表检查[R2]display ip routing-table protocol ospf[R4]display ip routing-table protocol ospf

通过让没有连接到骨干区域的路由器，和区域0中的路由器连接隧道，并且将隧道宣告在区域0中，使得ABR设备合法化。那么在这里，R2和R4就是合法的ABR域间路由器。

但是这样做的话又会有新的问题：

• 问题1：会额外建立邻居关系，导致产生周期性的数据（hello报文），需要通过隧道封装占用额外的资源。

• 问题2：选路不佳，开销值太大（选择走构建的虚拟链路而非物理链路）。

  • 原因：域内路由>域间路由。隧道接口的开销值为1562，再加上R2到R1之间的开销值1就等于1563。

虚链路V-link

OSPF为了解决不规则区域的问题，专门提出了一个解决方案：V-link虚链路。

• 合法的ABR：同时属于多个区域，并且有接口宣告在区域0。

• 非法的ABR：同时属于多个区域，没有接口宣告在区域0。

而在上一个拓扑图中，很明显R2是合法的ABR，而R4是非法ABR。V-link永远属于区域 0，在合法和非法ABR之间进行配置。

命令

• 建立V-LINK链路，在建立V-LINK链路的设备所在的区域中配置。

• 注意：V-link peer 指定的是对端合法的ABR，同时合法的ABR设备也需要指定自身去认可的非法ABR设备。

  • vlink-peer [邻居设备RID]

• 查看虚链路V-link的信息

  • display ospf vlink

• 重定向，引入B协议的路由，使A协议获取到B协议的路由信息。也可以在同一协议的不同进程中进行，注意要进入A协议的进程中。

  • import-route [协议名] [进程号]

配置

这里我们对R2和R4分别进行配置，注意在区域1中配置。

 # 建立V-link链路，指定邻居ABR的RID，让双方之间互相认可[R2-ospf-1-area-0.0.0.1]vlink-peer 4.4.4.4[R4-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2​# 此时在R5中查看OSPF路由表，发现R5成功获取区域0和区域1的路由信息；而其他区域的设备也同样能够获取到区域2的信息[R5]display ip routing-table protocol ospf[R1]display ip routing-table protocol ospf​# 查看虚链路V-link信息[R2]display ospf vlink

局限性

• 虚链路只能跨越一个区域，本质原因就是V-link指定的对象是一个设备的RID（不是IP地址）。

• 周期性的数据还是存在，因为V-Link也会建立邻居。

所以一般情况下，V-Link只作为临时的解决方案。

多进程双向重分布

即启动一个新的协议进程，强制将两个设备的信息进行共享。

ASBR：同时运行了两款协议或者同一款协议但是不同进程的设备。

配置

此时我们删除区域2和R4、R5的相关配置，在R4上启动一个新的OSPF进程，相当于R4成为了ASBR。

 ### 启动新的协议进程[R4]ospf 2 router-id 4.4.4.4# 进入新的进程区域并范围宣告网段[R4-ospf-2]area 0[R4-ospf-2-area-0.0.0.0]network 45.0.0.0 0.0.0.255# R5 同理配置[R5]ospf 2 router-id 5.5.5.5[R5-ospf-2]area 0[R5-ospf-2-area-0.0.0.0]network 45.0.0.0 0.0.0.255# 宣告环回网段[R5-ospf-2-area-0.0.0.0]network 192.168.5.0 0.0.0.255# 但是此时查看OSPF路由表发现R4只能获取R5的环回路由信息，而R5没有信息，因为R4左右两边是不同的协议进程，无法互通[R5]display ip routing-table protocol ospf

双向重分布

这里我们在R4（ASBR）的进程1中引入进程2的路由信息，注意要进行双向引入，在不同进程中引入对方的协议路由信息。

 ### 双向重定向[R4-ospf-1]import-route ospf 2[R4-ospf-2]import-route ospf 1​# 此时我们查表R1，成功获取到R5进程2的路由信息[R1]display ip routing-table protocol ospf

查看R1的OSPF表可以发现，链路路径的开销值都很小（Cost = 1），只不过是从其他协议学习/引入的路由信息，域外路由信息的优先级较高（可靠性较低）。

• O_ASE：域外路由信息，即从其他协议/进程学习（引入）过来的路由。

• Pre：优先级，在路径选择中选择优先级值小的路径通过。

  • 域外路由的优先级默认是150

  • 因为域外其他协议的情况不清楚，路由可靠性较低。

二、LSA通告

LSA的三元组唯一标识一条LSA通告，通过SPF（最短路径优先）算法计算得出路由，并将信息存储在LSDB中。

• LSA：链路状态通告（拓扑信息）

• LSDB：链路状态数据库

LSA三元组：

• Type：LSA类型

• Ls id：链路状态ID

• Adv rtr：通告路由器

LSA头部

所有LSA都有的公共部分称为LSA的头部。

• Type：类型字段（标注1条LSA的类型）

• LS ID：链路状态ID（标识符）

  • 相当于1条LSA的名字。

• Adv-router：通告路由器

  • 产生并通告这条LSA的设备的RID，表明该LSA是谁发的，必须靠LSA的三元组才能唯一的标识一条LSA。

• LS AGE：链路状态老化时间（1条LSA的老化时间）

  • 默认1条LSA的最大老化时间是1800s，等于OSPF周期更新的时间，当1条LSA老化时间达到1800s则会将该LSA从自身数据库中删除刷新。

  • MAX-AGE：最大老化时间

    • 当OSPF周期跟新机制出现问题可能导致不能即时刷新LSA，则等待最大老化时间直接删除。

• LEN：LSA的长度

  • 表示整个LSA的大小

• Options：可选项字段，E为特殊区域的标记

• SEQ：LSA的序列号

  • 主要用来做LSA的新旧判断

  • 序列号空间：

    • 直线型序列空间：新旧关系明显，但是空间容量有上限。

    • 循环型序列空间：序列号不停在空间循环，可以重复使用，但无法判断新旧关系

    • 棒棒糖型序列空间：分为棒棒糖的糖和棍，相当于将以上两种类型结合起来。延长了直线型空间的容量，但是在糖的部分仍然由循环性的问题。

  • OSPF序列号范围：0X80000001 ~ 0X7FFFFFF

    • 设备每发送一条LSA信息，序列号就会加1

    • 0X代表16进制，当序列号到达0X7FFFFFFE时，设备就知道后面没有序列号可用，会直接将LSA的老化时间设置为3600S，相当于清空整个OSPF网络设备中存储的LSA，之后会立刻重新发送一条内容完全一致的LSA，将序列号刷新为 0X80000001。

LSA类型

LSA的类型	LSID	ADV router通告路由器	携带参数	传递范围
Router ：type-1 LSA	通告路由器的RID	谁发的该LSA，ADV-router=该设备RID	拓扑信息	在区域内部传递
Network：type-2 LSA	DR的IP地址	DR所在路由器的RID	1类LSA的补充	在区域内部传递
Sum-Net：type-3 LSA	其他区域目标网段	本区域相连的ABR的RID	其他区域目标网段信息	单区域传递
Sum-Asbr：type-4 LSA	ASBR设备RID	本区域相连的ABR的RID	ASBR设备如何到（ADV-router）	除了和ASBR设备之间相连的区域
External：type-5 LSA	域外网段信息	ASBR设备的RID	域外网段信息	在整个OSPF网络传递
NSSA： type-7 LSA

共有6类LSA：1、2、3、4、5、7。

• Router 1 类LSA：传递拓扑信息使用的LSA

  • 每一台运行了OSPF协议的设备都会发送1类LSA

• Network 2 类LSA：在以太网中存在的LSA，同样传递LSA

  • 是1类LSA的补充，补充了以太网中掩码和运行OSPF协议设备的RID。

  • 在以太网中仅靠1类LSA实际上并不能完整的获取到整个网络所有的拓扑信息。

  • 拓扑信息的主要参数：以太网配置的掩码 / 以太网中具体存在多少运行了OSPF协议的设备。

• Sum-Net 3 类LSA：链路状态ID（LSID）实际上就是区域之间传递的目标路由信息的网段

  • 在区域之间只有ABR设备同时属于多个区域，路由信息才能通过ABR设备在区域之间传递。

  • 在跨区域转发时，可能会经过多个区域的多个ABR设备转发，每经过一个ABR设备的转发都需要更改通告路由器的RID。

• Sum-Asbr 4 类LSA：辅助其他区域的路由器找到ASBR设备的位置。

  • 除了和ASBR设备相邻的区域之外，每经过一个区域的转发都会由本区域的ABR设备发送一条4类LSA，辅助其他区域的路由器找到ASBR设备的位置。

• External 5 类LSA：携带域外网段的路由信息

  • 因为不同协议开销值计算方法不一样，所以绝对不能直接使用源协议自带的Cost值，所以OSPF针对域外路由信息定义了种子度量值SeedCost。

  • 针对域外路由OSPF的Metric值设计了类型。

    • TYPE-1：种子度量值 + 设备到达ASBR的开销。

    • TYPE-2：所有设备到达目标网段开销均等于种子度量值，默认为类型2.

    • Forwarding Address：转发地址，在应对选路不佳情况下会重定向一个更加合理的IP地址。

• NSSA 7 类LSA 

LINK类型

根据OSPF接口网络类型关联

• Point-to-Point：点到点网络

• TransNet：传输网络

• StubNet：末梢网络

• Virtual：虚拟网络

开销值

Metric：实际上是ABR设备到达该网段的开销值。华为为了避免侵权重新起的名字。

Metric = 参考带宽（100） / 真实带宽，四舍五入原则。

OSPF协议最终加载路由表中的 COST = METIRC + 本设备到达ABR的开销 。

区域间访问过程

OSPF区域之间的访问过程：路由器想要访问其他区域的网段，首先必须利用1、2类LSA找到ABR设备所在的位置，之后通过自身的SPF算法计算得出去往ABR设备的最短路径，然后下一跳就根据最短路径自动获取，等到数据包来到ABR设备，ABR设备可以依靠自身获取到的该目标区域1、2类LSA，利用SPF算法得出去往该网段的最短路径。

命令

• 查看OSPF链路状态数据库指定RID查看特定的路由器的数据库信息。

  • display ospf lsdb

• 查看1类LSA信息

  • display ospf lsdb router [RID]

• 查看2类LSA信息，Link ID在LSDB表中查看

  • display ospf lsdb network [Link ID/DR的IP]

• 查看3类LSA信息

  • display ospf lsdb summary [其他区域目标网段]

• 查看4类LSA信息

  • display ospf lsdb asbr [ASBR的RID]

• 查看5类LSA信息

  • display ospf lsdb ase [域外网段]

  • 域外路由信息的种子度量值默认为1，可以在重发布时人为更改。

    • import-route rip cost [种子度量值]

  • 更改开销计算的类型（1或2），默认类型2。

    • import-route rip type [1/2]

  • 在重发布时对重发布的路由信息打上一个标记Tag，可以给相同Tag值的信息打包便于统一做策略。

    • import-route rip tag [标记值]

配置

1类LSA

首先进行基础的串口和环回IP配置以及OSPF协议配置。

 ### 基础配置[R1-Serial4/0/0]ip address 12.0.0.1 24[R1-LoopBack0]ip address 192.168.1.1 24[R2-Serial4/0/0]ip address 12.0.0.2 24[R2-LoopBack0]ip address 192.168.2.1 24### OSPF配置[R1]ospf 1 router-id 1.1.1.1[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255[R1-ospf-1-area-0.0.0.0]network 12.0.0.0 0.0.0.255[R2]ospf 1 router-id 2.2.2.2[R2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255[R2-ospf-1-area-0.0.0.0]network 12.0.0.0 0.0.0.255# 查看R1链路状态数据库信息[R1]display ospf lsdb​### 查看R1的1类LSA信息[R1]display ospf lsdb router 1.1.1.1

2类LSA

添加R3，并进行基础配置。

 # 基础配置以及OSPF配置[R2-GigabitEthernet0/0/0]ip address 23.0.0.1 24[R2-ospf-1-area-0.0.0.0]network 23.0.0.0 0.0.0.255[R3-LoopBack0]ip address 192.168.3.1 24[R3-GigabitEthernet0/0/0]ip address 23.0.0.2 24[R3-ospf-1-area-0.0.0.0]network 23.0.0.0 0.0.0.255[R3-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255# 此时在R1查看LSDB，发现新增了Network 2类LSA[R1]display ospf lsdb# 查看R2的1类LSA，发现也多了一段[R2]display ospf lsdb router 2.2.2.2​### 查看2类LSA，根据LinkID查找[R1]display ospf lsdb network 23.0.0.1

3类LSA

继续添加R4，进行基础配置。

 # 基础配置[R3-GigabitEthernet0/0/1]ip address 34.0.0.1 24[R4-LoopBack0]ip address 192.168.4.1 24[R4-GigabitEthernet0/0/0]ip address 34.0.0.2 24# 范围宣告，注意在区域1[R3-ospf-1-area-0.0.0.1]network 34.0.0.0 0.0.0.255[R4-ospf-1-area-0.0.0.1]network 34.0.0.0 0.0.0.255[R4-ospf-1-area-0.0.0.1]network 192.168.4.0 0.0.0.255# 此时在R4查看LSDB，发现新增了Sum-Net 3类LSA[R4]display ospf lsdb​### 查看3类LSA，这里选择查看12网段的信息[R4]display ospf lsdb summary 12.0.0.0

再次增加一个R5，进行基础配置。这里对开销值Metric进行探查。

 # 基础配置[R4-GigabitEthernet0/0/1]ip address 45.0.0.1 24[R4-ospf-1-area-0.0.0.1]network 45.0.0.0 0.0.0.255[R5-GigabitEthernet0/0/0]ip address 45.0.0.2 24[R5-ospf-1-area-0.0.0.1]network 45.0.0.0 0.0.0.255# 查看LSDB表发现Metric一直为1，实际上是ABR设备到网段的开销值[R5]display ospf lsdb

在R1左边新建一个R6，进行基础配置，注意OSPF进入区域2。

 # 基础配置[R1-GigabitEthernet0/0/0]ip address 16.0.0.1 24[R1-ospf-1-area-0.0.0.2]network 16.0.0.0 0.0.0.255[R6-GigabitEthernet0/0/0]ip address 16.0.0.2 24[R6]ospf 1 router-id 6.6.6.6[R6-ospf-1]area 2[R6-ospf-1-area-0.0.0.2]network 16.0.0.0 0.0.0.255​# 再次查看LSDB表，发现3类LSA的通告路由器都变成了R1[R6]display ospf lsdb

3类LSA在跨区域转发时，可能会经过多个区域的多个ABR设备转发，每经过一个ABR设备的转发都需要更改通告路由器的RID。

4类LSA

 # 根据ASBR设备的RID找到其他ASBR设备的位置[R1]display ospf lsdb asbr 5.5.5.5

5类LSA

在R5上新建一个172.16.1.0/24的RIP环回网段，那么此时R5相当于就是ASBR，同时具有OSPF和RIP协议。

 # 基础配置[R5-LoopBack0]ip address 172.16.1.1 24# RIP配置[R5-rip-1]version 2# 主类宣告网段[R5-rip-1]network 172.16.0.0​### 此时R4如果想要获取RIP的信息，就需要作重定向，注意要在ASBR中引入，即R5中[R5-ospf-1]import-route rip # 在R4中检查是否有学到RIP的路由，发现了O_ASE域外路由信息，成功引入[R4]display ip routing-table protocol ospf# 查看LSDB表，发现多出了External 5类LSA[R5]display ospf lsdb​### 发现无论多远的设备上到R5的开销值都为1，我们这里改变R5的开销计算类型[R5-ospf-1]import-route rip type 1# 修改完类型后在其他设备查看路由表发现开销值改变[R1]display ip routing-table protocol ospf​### 查看5类LSA，选择域外网段[R4]display ospf lsdb ase 172.16.0.0

三、OSPF优化

区域汇总

特殊区域

分为两大类4小类：Stub区域和NSSA区域。

• Stub末梢区域 和 Totolly-stub完全末梢区域

  • 配置条件：

    • 不能是骨干区域（区域0）

    • 不能存在虚链路V-link

    • 不能存在ASBR设备（双协议）

注意：一旦将区域配置为Stub区域，该区域设备将拒绝学习4类和5类LSA，同时由本区域的ABR设备生成一条3类缺省路由。

• NSSA非完全末梢区域和Totolly-NSSA完全的非完全末梢区域

  • 配置条件：

    • 不能是骨干区域（区域0）

    • 不能存在虚链路V-link

    • 必须存在ASBR设备

注意：一旦将区域配置为NSSA区域，该区域将拒绝学习4类和5类LSA信息，同时由本区域的ABR设备生成一条7类缺省路由。

因为NSSA区域拒绝了4类和5类LSA，导致域外路由信息无法直接引入（域外是5类LSA），所以必须由ABR设备进行5转7操作，之后因为普通区域（骨干区域0）不能配置特殊区域，导致这些区域不能识别7类LSA，所以本区域的ABR设备进行7转5操作。

命令

区域汇总

• 域间路由手工汇总

  • 配置位置是在该区域对应ABR设备的对应区域中配置，注意真实掩码要自己计算，必须为展开形式，不能为十进制。

  • 只有自己通告1-2类LSA计算出来的3类LSA才能被汇总。

    • abr-summary [汇总网段] [真实掩码]

• 域外路由手工汇总

  • 配置位置是在ASBR设备的协议进程中配置。

  • 汇总实质是对3类和5类LSA进行汇总。

    • asbr-summary [汇总网段] [真实掩码]

首先都要进入对应的区域。

• Stub末梢区域

  • 配置进入对应的区域执行命令。

  • [R1-ospf-1-area-0.0.0.0]stub

• Totolly-stub完全末梢区域

  • 配置位置只需要在ABR设备上配置。

  • [R1-ospf-1-area-0.0.0.2]stub no-summary

• NSSA非完全末梢区域

  • 配置进入对应的区域执行命令。

  • [R3-ospf-1-area-0.0.0.1]nssa

• Totolly-NSSA完全的非完全末梢区域

  • 配置位置只需要在ABR设备上配置。

  • [R3-ospf-1-area-0.0.0.1]nssa no-summary

注意：

• 因为特殊区域的标记会影响建邻居，所以必须该特殊区域的设备都需要配置，否则无法建邻（标记不同）。

• 一旦将区域配置为stub区域，该区域将拒绝学习4类和5类LSA。

• 一旦将区域配置为nssa区域，该区域将拒绝学习4类和5类LSA，同时由本区域的ABR设备生成一条7类缺省路由。

• 只有Totoly区域才会拒绝3类LSA，只需要在ABR设备上进行配置，同区域的其他设备只用配置普通的特殊区域即可。

• ABR设备拒绝3类LSA之后也会生成一条3类LSA，之后该区域的设备会学习3类缺省，因为选路规则是 域内>域间>域外。

配置

手工汇总

我们在R6上新建两个环回接口，将IP设置为1.1.1.1/24和1.1.2.1/24。

 # 环回接口[R6-LoopBack0]ip address 1.1.1.1 24[R6-LoopBack1]ip address 1.1.2.1 24# 范围宣告[R6-ospf-1-area-0.0.0.2]network 1.1.1.0 0.0.0.255[R6-ospf-1-area-0.0.0.2]network 1.1.2.0 0.0.0.255​### 在ABR设备R1上对区域2的两个网段进行域内路由汇总，真实掩码需要计算[R1-ospf-1-area-0.0.0.2]abr-summary 1.1.0.0 255.255.252.0# 在R2查看路由表，发现网段成功汇总[R2]display ip routing-table protocol ospf

这里汇总的1.0和2.0两个网段，前22位二进制数相同，所以相同位数即为合并之后的网络位：22

1.1.1.0/24 展开：1.1.000000 01.00000000

1.1.2.0/24 展开：1.1.000000 10.00000000

合并：1.1.0.0/22 展开：1.1.0.0 / 255.255.252.0

注意：只有自己通告1-2类LSA计算出来的3类LSA才能被汇总，所以这里只能在R1上对区域2的网段进行汇总，不能在R3上。

 # 在R5上新建环回网段并宣告，rip是主类宣告，只用宣告大的网段即可[R5-LoopBack1]ip address 172.16.2.1 24[R5-rip-1]network 172.16.0.0# 在R4上查看，确认有两个环回网段的路由<R4>display ip routing-table protocol ospf​### 域外路由汇总[R5-ospf-1]asbr-summary 172.16.0.0 255.255.252.0# 在区域0的设备中查看路由表，发现汇总成功<R2>display ip routing-table protocol ospf

Stub区域

 ### 配置Stub区域，注意要进入对应的区域[R6-ospf-1-area-0.0.0.2]stub# 此时查看R6邻居表发现没有任何信息，因为R6是特殊区域，标记和R1不同，必须将R1也设置为Stub区域[R6]display ospf peer brief# 配置R1特殊区域后，再次查看邻居表发现成功和R1建邻[R1-ospf-1-area-0.0.0.2]stub# 查看LSDB表发现4类和5类LSA都没有了，即拒绝了域外路由信息，但是同区域的ABR设备R1同时生成了一条3类的缺省路由来访问域外路由[R6]display ospf lsdb

Totolly-Stub区域

普通的Stub只拒绝了域外的路由信息，完全的Stub区域会将域内的其他区域路由信息也给拒绝，即将3类LSA也给拒绝，且只需要在ABR上配置完全区域。

 ### 在ABR上配置完全Stub区域[R1-ospf-1-area-0.0.0.2]stub no-summary# 查看LSDB表发现3类LSA信息都被R1给拒绝了，只剩下指向ABR设备R1的3类的缺省路由[R6]display ospf lsdb

NSSA区域

因为NSSA区域必需存在ASBR设备，所以我们选择在ASBR设备R5所在的区域进行配置，注意ASBR所在区域的设备都要配置特殊区域。

 ### 区域1设备全部配置NSSA区域[R3-ospf-1-area-0.0.0.1]nssa[R4-ospf-1-area-0.0.0.1]nssa[R5-ospf-1-area-0.0.0.1]nssa# 查看LSDB表，发现多出了NSSA 7类LSA，并且拒绝了4类和5类LSA信息，同时由本区域的ABR设备R3生成一条7类缺省路由来访问域外路由[R4]display ospf lsdb

这个过程相当于是R5作为ASBR设备将RIP协议的信息给引入区域1，并将5类LSA转为7类LSA进行5转7操作，但是因为普通区域不能配置特殊区域，无法识别7类LSA，所以在将7类LSA通过R3传入骨干区域0的时候，R3又进行了一次7转5操作，此时R3相当于一个特殊的ASBR设备。

Totolly-NSSA区域

 ### 在ABR上配置完全NSSA区域[R3-ospf-1-area-0.0.0.1]nssa no-summary# 此时在区域1设备上查看LSDB表发现3类LSA信息都被拒绝，只剩下指向ABR设备R3的3类缺省路由# 因为选路规则是 域内>域间>域外[R4]display ospf lsdb

四、实验

OSPF综合

要求：

1. R4为ISP，其上只能配置IP地址；R4与其他所有直连设备间均使用公有IP

2. R3-R5/6/7为MGRE环境，R3为中心站点；

3. 整个OSPF环境IP基于172.16.0.0/16划分；

4. 所有设备均可访问R4的环回（配置NAT）；

5. 减少LSA的更新量（汇总+特殊区域），加快收敛（修改hello时间），保障更新安全（认证）；

6. 全网可达

子网划分

图中一共有6个区域，相当于最终需要汇总为6个网段，那么我们就将 172.16.0.0/16 借3位 分成 23=8个网段。

借3位分成6个网段：

172.16.000 00000.0 / 19 172.16.001 00000.0 / 19

172.16.010 00000.0 / 19 172.16.011 00000.0 / 19

172.16.100 00000.0 / 19 172.16.101 00000.0 / 19

172.16.110 00000.0 / 19 172.16.111 00000.0 / 19

即：

区域0：172.16.0.0 / 19 区域1：172.16.32.0 / 19

区域2：172.16.64.0 / 19 区域3：172.16.96.0 / 19

区域4：172.16.128.0 / 19 RIP：172.16.160.0 / 19

剩余2个网段：172.16.192.0/19 172.16.224.0/19

区域分配：

我们这里选择将每个区域的网段掩码规定为24，即再借5位，刚好网络位一共24位 172.16.00000000.0 / 24，区域需要几个就划分几个IP。

• 区域0：172.16.0.0/19

  • P2P骨干链路 172.16.0.0 / 24（借6位）

    • 172.16.0.0/30 172.16.0.4/30 172.16.0.8/30

  • MA骨干链路 172.16.1.0 / 24（借5位）

    • 172.16.1.0/29 172.16.1.8/29 172.16.1.16/29

  • 用户 172.16.2.0/24 172.16.3.0/24 172.16.4.0/24

• 区域1：172.16.32.0/19

  • P2P骨干链路 172.16.32.0 / 24

    • 172.16.32.0/30 172.16.32.4/30 172.16.32.8/30

  • MA骨干链路 172.16.33.0 / 24

    • 172.16.33.0/29 172.16.33.8/29 172.16.33.16/29

  • 用户 172.16.34.0/24 172.16.35.0/24

• 区域2：172.16.64.0 / 19

  • P2P骨干链路 172.16.64.0 / 24

    • 172.16.64.0/30 172.16.64.4/30 172.16.64.8/30

  • MA骨干链路 172.16.65.0 / 24

    • 172.16.65.0/29 172.16.65.8/29 172.16.65.16/29

  • 用户 172.16.66.0/24 172.16.67.0/24

• 区域3：172.16.96.0 / 19

  • P2P骨干链路 172.16.96.0 / 24

    • 172.16.96.0/30 172.16.96.4/30 172.16.96.8/30

  • MA骨干链路 172.16.97.0 / 24

    • 172.16.97.0/29 172.16.97.8/29 172.16.97.16/29

  • 用户 172.16.98.0/24 172.16.99.0/24

• 区域4：172.16.128.0 / 19

  • P2P骨干链路 172.16.128.0 / 24

    • 172.16.128.0/30 172.16.128.4/30 172.16.128.8/30

  • MA骨干链路 172.16.129.0 / 24

    • 172.16.129.0/29 172.16.129.8/29 172.16.129.16/29

  • 用户 172.16.130.0/24 172.16.131.0/24

• RIP：172.16.160.0 / 19

  • 没有链路只给用户（环回）

    • 172.16.160.0/24 172.16.161.0/24

MGRE环境

公网连通

 # 公网IP配置[R3-Serial4/0/0]ip address 34.0.0.1 24[R5-Serial4/0/0]ip address 45.0.0.1 24[R6-Serial4/0/0]ip address 46.0.0.1 24[R7-GigabitEthernet0/0/0]ip address 47.0.0.1 24# ISP配置[ISP-Serial4/0/0]ip address 34.0.0.2 24[ISP-Serial4/0/1]ip address 45.0.0.2 24[ISP-Serial3/0/0]ip address 46.0.0.2 24[ISP-GigabitEthernet0/0/0]ip address 47.0.0.2 24# 环回配置[ISP-LoopBack0]ip address 100.0.0.1 24[R5-LoopBack0]ip address 172.16.2.1 24[R6-LoopBack0]ip address 172.16.3.1 24[R7-LoopBack0]ip address 172.16.4.1 24​### 在边界设备上配置私网与公网的缺省路由，保证公网连通性[R3]ip route-static 0.0.0.0 0 34.0.0.2[R5]ip route-static 0.0.0.0 0 45.0.0.2[R6]ip route-static 0.0.0.0 0 46.0.0.2[R7]ip route-static 0.0.0.0 0 47.0.0.2

中心&分支配置

这里将R3作为中心路由器。

 ###  中心配置[R3-Tunnel0/0/0]ip address 172.16.1.1 29[R3-Tunnel0/0/0]tunnel-protocol gre p2mp[R3-Tunnel0/0/0]source 34.0.0.1[R3-Tunnel0/0/0]nhrp network-id 100​# R5、R6、R7 同理配置[R5-Tunnel0/0/0]ip address 172.16.1.2 29[R6-Tunnel0/0/0]ip address 172.16.1.3 29[R7-Tunnel0/0/0]ip address 172.16.1.4 29...​### 分支注册[R5-Tunnel0/0/0]nhrp entry 172.16.1.1 34.0.0.1 register​### 中心开启伪广播[R3-Tunnel0/0/0]nhrp entry multicast dynamic # 依次进行连通测试[R3]ping -a 172.16.1.1 172.16.1.2[R3]ping -a 172.16.1.1 172.16.1.3 ...

OSPF环境

配置基础IP和环回路由，注意主机位全1和全0的网段不能使用。

 ### 区域1# 有交换机，不是P2P网络，使用MA网段[R1-GigabitEthernet0/0/0]ip address 172.16.33.1 29[R2-GigabitEthernet0/0/0]ip address 172.16.33.2 29[R3-GigabitEthernet0/0/0]ip address 172.16.33.3 29[R1-LoopBack0]ip address 172.16.34.1 24[R2-LoopBack0]ip address 172.16.35.1 24[R3-LoopBack0]ip address 172.16.36.1 24### 区域2# 使用P2P网段，注意R11左右为两个大的P2P网段[R6-GigabitEthernet0/0/0]ip address 172.16.64.1 30[R11-GigabitEthernet0/0/0]ip address 172.16.64.2 30[R11-GigabitEthernet0/0/1]ip address 172.16.64.5 30[R12-GigabitEthernet0/0/0]ip address 172.16.64.6 30[R11-LoopBack0]ip address 172.16.66.1 24### 区域3 # 使用P2P网段[R7-GigabitEthernet0/0/1]ip address 172.16.96.1 30[R8-GigabitEthernet0/0/0]ip address 172.16.96.2 30[R8-GigabitEthernet0/0/1]ip address 172.16.96.5 30[R9-GigabitEthernet0/0/0]ip address 172.16.96.6 30[R8-LoopBack0]ip address 172.16.98.1 24# 区域4# 使用P2P网段[R9-GigabitEthernet0/0/1]ip address 172.16.128.1 30[R10-GigabitEthernet0/0/0]ip address 172.16.128.2 30[R9-LoopBack0]ip address 172.16.130.1 24[R10-LoopBack0]ip address 172.16.131.1 24### RIP[R12-LoopBack0]ip address 172.16.160.1 24[R12-LoopBack1]ip address 172.16.161.1 24

区域0

 # 精准宣告# 可以先查看接口表，检查哪些私网IP需要宣告[R3]display ip interface brief# R3只用宣告隧道接口，串口IP是公网，环回在区域1[R3-ospf-1-area-0.0.0.0]network 172.16.1.1 0.0.0.0# R5、R6、R7宣告环回和隧道接口[R5-ospf-1-area-0.0.0.0]network 172.16.2.1 0.0.0.0[R5-ospf-1-area-0.0.0.0]network 172.16.1.2 0.0.0.0[R6-ospf-1-area-0.0.0.0]network 172.16.3.1 0.0.0.0[R6-ospf-1-area-0.0.0.0]network 172.16.1.3 0.0.0.0[R7-ospf-1-area-0.0.0.0]network 172.16.4.1 0.0.0.0[R7-ospf-1-area-0.0.0.0]network 172.16.1.4 0.0.0.0

区域1

 # 范围宣告大的网段32.0，因为R1、R2只在区域1中# 反掩码[R1-ospf-1-area-0.0.0.1]network 172.16.32.0 0.0.31.255[R2-ospf-1-area-0.0.0.1]network 172.16.32.0 0.0.31.255​# 在R3中无法这样宣告，因为R3是ABR设备# 精准宣告，直接反掩码全0锁死IP，避免宣告到区域0[R3-ospf-1-area-0.0.0.1]network 172.16.33.3 0.0.0.0[R3-ospf-1-area-0.0.0.1]network 172.16.36.1 0.0.0.0# 配置完后检查邻居表是否完整，发现R3区域0邻居只有R5，因为网络类型为p2p[R1]display ospf peer brief ...# 修改网络类型，区域0的设备都要修改[R3-Tunnel0/0/0]ospf network-type p2mp...# 再次查看R3邻居表，发现成功获取区域0的信息[R3]display ospf peer brief

区域2

 # 精准宣告[R6-ospf-1-area-0.0.0.2]network 172.16.64.1 0.0.0.0# R11只在区域2中，进行范围宣告[R11]ospf 1 router-id 11.1.1.1[R11-ospf-1-area-0.0.0.2]network 172.16.64.0 0.0.31.255# R12是ASBR设备，也可以这样范围宣告[R12]ospf 1 router-id 12.1.1.1[R12-ospf-1-area-0.0.0.2]network 172.16.64.0 0.0.31.255# 检测连通性[R1]ping -a 172.16.34.1 172.16.64.6

区域3

 # 精准宣告[R7-ospf-1-area-0.0.0.3]network 172.16.96.1 0.0.0.0[R9-ospf-1-area-0.0.0.3]network 172.16.96.6 0.0.0.0# R8只在区域3中，进行范围宣告[R8-ospf-1-area-0.0.0.3]network 172.16.96.0 0.0.31.255# 检测连通性[R1]ping -a 172.16.34.1 172.16.96.6

RIP

 ### 主类宣告[R12-rip-1]network 172.16.0.0​### 引入RIP协议[R12-ospf-1]import-route rip​# 查看路由表，发现成功获取[R1]display ip routing-table protocol ospf# 检测连通性，域外成功连通[R1]ping -a 172.16.34.1 172.16.161.1

多进程双向重发布

因为区域4是远离骨干的区域，所以我们选择在ASBR设备R9的进程1中引入进程2的路由信息，注意要进行双向引入，在不同进程中引入对方的协议路由信息。

 # OSPF进程1[R9-ospf-1-area-0.0.0.3]network 172.16.96.6 0.0.0.0# 新建OSPF进程2[R9]ospf 2 router-id 9.9.9.9[R9-ospf-2-area-0.0.0.0]network 172.16.128.0 0.0.31.255[R10-ospf-2-area-0.0.0.0]network 172.16.128.0 0.0.31.255### 重发布[R9-ospf-1]import-route ospf 2# 这里可以双向重发布，但是我们选择用其他方法，以下操作先不执行[R9-ospf-2]import-route ospf 1

OSPF优化

手工汇总

注意在ABR上进行汇总，真实掩码要自行计算，即 真实掩码19 = 255.255.111 00000.0 = 255.255.224.0

 ### ABR设备域间汇总### 区域1[R3-ospf-1-area-0.0.0.1]abr-summary 172.16.32.0 255.255.224.0​### 区域2[R6-ospf-1-area-0.0.0.2]abr-summary 172.16.64.0 255.255.224.0​### 区域3[R7-ospf-1-area-0.0.0.3]abr-summary 172.16.96.0 255.255.224.0​### ASBR设备域外汇总### 区域4[R9-ospf-1]asbr-summary 172.16.128.0 255.255.224.0​### RIP[R12-ospf-1]asbr-summary 172.16.160.0 255.255.224.0​# 在区域0查看LSDB表和路由表发现成功汇总[R5]display ospf lsdb[R5]display ip routing-table protocol ospf

特殊区域

配置特殊区域，拒绝4类、5类LSA减少路由数量和更新量，同时生成指向骨干区域的缺省路由访问公网。

 ### 区域1配置Stub末梢区域[R1-ospf-1-area-0.0.0.1]stub[R2-ospf-1-area-0.0.0.1]stub​### ABR上配置完全末梢区域，拒绝3类LSA并生成3类缺省[R3-ospf-1-area-0.0.0.1]stub no-summary​### 区域2、3、4配置NSSA非完全末梢区域[R8-ospf-1-area-0.0.0.3]nssa[R9-ospf-1-area-0.0.0.3]nssa[R11-ospf-1-area-0.0.0.2]nssa[R12-ospf-1-area-0.0.0.2]nssa​### ASBR上配置完全的非完全末梢区域，生成7类缺省[R6-ospf-1-area-0.0.0.2]nssa no-summary[R7-ospf-1-area-0.0.0.3]nssa no-summary​# 查看LSDB表发现配置成功[R8]display ospf lsdb[R11]display ospf lsdb

此时R10仍不能向上访问，在ASBR设备R9上向其他设备宣传默认路由，在R10生成一条到其他区域的缺省路由并层层转发。

 ### 下发缺省路由[R9-ospf-2]default-route-advertise​# 查看路由表发现成功生成缺省[R10]display ip routing-table protocol ospf# 发现生成5类缺省[R10]display ospf lsdb# 检测连通性，发现成功连通[R10]ping -a 172.16.131.1 172.16.34.1

加快收敛

 ### 减少hello时间，这里设置为10s[R1-GigabitEthernet0/0/0]ospf timer hello 10[R2-GigabitEthernet0/0/0]ospf timer hello 10

安全认证

选择安全性高的MD5加密认证，注意要配置认证就全都配置，否则无法建立邻居。

 ### MD5加密认证，编号KEY为1# 接口认证[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456[R2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456​### ABR上配置区域认证[R3-ospf-1-area-0.0.0.1]authentication-mode md5 1 cipher 123456# 查看邻居表[R3]display ospf peer brief

环回访问

 ### 在ABR上抓取流量[R3]acl 2000[R3-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255[R6-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255[R7-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255​### 在出接口配置NAT[R3-Serial4/0/0]nat outbound 2000[R6-Serial4/0/0]nat outbound 2000[R7-GigabitEthernet0/0/0]nat outbound 2000# 连通性测试，均成功连通[R1]ping 100.0.0.1[R8]ping 100.0.0.1[R11]ping 100.0.0.1...