OSPF扩展知识点-- -认证、过滤

【1】OSPF认证

1. 链路认证

//防止链路接入非法路由器

【1】明文认证

r11(config)#interface s0/1

r11(config-if)#ip ospf authentication

先开启接口明文认证需求，开启后该接口发出的OSPF数据包中，认证类型字段被修改，虽然没有认证秘钥，但依然要求邻居该参数必须一致

r12(config-if)#ip ospf authentication-key cisco123

认证明文秘钥，两端需一致

【2】密文认证

原理：路由器要传送的key、随机数、数据经过哈希运算生成key1，再加上数据和随机数一并发送给认证路由器，路由器收到数据和随机数再和自身的key哈希运算生成key2，对比key1和key2是否相同。

r11(config-if)#ip ospf authentication message-digest 密文需求

r11(config-if)#ip ospf message-digest-key 1 md5 cisco123 密文秘钥

2.区域认证

//防止区域内接入非法路由器(未授权)- - -路由器所有接口进行认证—强化版链路认证- - -每个路由器均要开启

【1】 明文认证

例：在R1上开启关于区域0 的明文或密文认证；实际就是在R1上所有属于区域0的接口，进行明文或密文认证认证类型字段修改；等于在R1的所有区域0接口配置接口认证中的需要开启；明文或密文秘钥需要到各个接口逐一配置；

r11(config)#router ospf 1

r11(config-router)#area 1 authentication 开启区域明文

r12(config-if)#ip ospf authentication-key cisco123

【2】 密文认证

r11(config)#router ospf 1

r11(config-router)#area 1 authentication message-digest 开启区域密文

r11(config-if)#ip ospf message-digest-key 1 md5 cisco123 密文秘钥

【2】虚链路

1.作用：

1. 连接远离骨干区域的普通区域
2. 缝合不连续的骨干域(可以用来做骨干区域的备份)

2.该图中

1. 虚链路通信不是使用环回进行，而是这两个路由器所在的SPF树中最近的两个接口，如果路由器之间有多条连接，则这个虚链路不一定固定，取决于距离的长短- - -这两个路由器采用单播
2. 使用真实链路连接或者使用tunnel的话，非法路由器属于area 0或者 area 2都行
3. 虚链路核心是使非法路由器成为ABR- - -属于area 0区域—因为如果属于area 2的话非法路由器不连接area 0区域，不能传递路由
4. area 0到area 2是直接传过去，而不是经过中间中转

5) 开启普通区域转发区域0的lsa- - 关闭做不了虚链路

3.用法：

r11(config-router)#area 1 virtual-link 4.4.4.4

area 1 为中间穿越的区域，4.4.4.4是对方的router-id,两边都要做虚链路

4.虚链路认证

r11(config)#router ospf 1

明文

r11(config-router)#area 1 virtual-link 4.4.4.4 authentication

r11(config-router)#area 1 virtual-link 4.4.4.4 authentication-key cisco123

密文

r11(config-router)#area 1 virtual-link 4.4.4.4 authentication message-digest

r11(config-router)#area 1 virtual-link 4.4.4.4 message-digest-key 1 md5 cisco123

【3】过滤

1.分发列表- - -是一种操作路由表显示路由条目的作用

//使用的时候不推荐，有局限性(本路由过滤的路由对下游设备不起作用)

注意：在ospf中不能使用out方向操作，因为链路状态ospf是使用LSA传播，而分发列表是对路由表进行操作，所以out方向不行

距离矢量in或out都行

r11(config)#access-list 1 deny host 1.1.1.1

r11(config)#access-list 1 permit any

r11(config-router)distribute-list 1 out e0/0

2.filter-list //只能针对三类lsa，并且在多ABR上都需要操作- - -因为三类会洪泛

r11(config)#ip prefix xx seq 5 deny 10.5.5.5/32

r11(config)#ip prefix xx seq 10 permit 0.0.0.0/0 le 32

r11(config-router)area 1 filter-list prefix xx in/out

3.route-map过滤

r11(config)#access-list 1 permit 10.1.1.1

r11(config)#route-map k deny 10

r11(config)#match ip address 1

r11(config)#route-map k permit 20

r11(config-router)#redstribute static stubs route-map k

【4】汇总的扩展

在进行域间路由汇总的同时，修改该汇总条目的cost值

r11(config-router)#area 1 range 10.1.0.0 255.255.252.0 cost 10

还可以被用于干涉选路，OSPF没有偏移列表；故可以让ABR在将被区域路由条目传递到其他区域时，使用汇总条目+cost值的方法来进行人为的度量修改

路由过滤，R1为ABR，不愿意将区域1中2.2.2.0/24的路由共享给区域0

r1(config)#router ospf 1

r1(config-router)#area 1 range 2.2.2.0 255.25.255.0 not-advertise

域外路由，也可以进行过滤

r1(config-router)#summary-address 4.4.4.0 255.255.255.0 ?

not-advertise Do not advertise or translate

传递过程中还可以修改标记，标记位用于做其他的策略

r1(config-router)#summary-address 4.4.4.0 255.255.255.0 tag ?

<0-4294967295> 32-bit tag value

r1(config)#interface e0/0

r1(config-if)#ip ospf cost 50

所有从该接口进入的路由条目，在之前的度量上叠加50

【5】收敛时间

修改接口hellotime，dead time自动4倍关系匹配；邻居间hello 和dead time必须完全一致；

r3(config)#interface tunnel 0

r3(config-if)#ip ospf hello-interval 10

r3(config-if)#ip ospf dead-interval 40

【6】缺省路由- - -三类缺省、五类缺省、七类缺省

1. 3类缺省：必须由特殊区域自动产生—末梢区域、完全末梢、完全NSSA
2. 5类缺省：从域外重发布进入到OSPF域；进行该缺省发布的设备，其路由表中必须先存在缺省路由–该路由的产生方式不关注

   r3(config)#router ospf 1

   r3(config-router)#default-information originate

   默认进入的缺省路由，为外部类型2；
   类型1—起始度量为1 ----叠加内部度量值
   类型2—起始度量为2-----不叠加内部度量值
   r9(config-router)#default-information originate metric-type 1 修改类型

3. 7类缺省：正常仅在普通的NSSA环境配置；因为普通NSSA不自动产生缺省路由；故需要在区域0和NSSA区域间的ABR上，向NSSA区域发布一条缺省路由；

r3(config)#router ospf 1

r3(config-router)#area 1 nssa default-information-originate

默认为N2-类型2；类型1叠加内部度量；类型2 不叠加；
r3(config-router)#area 1 nssa default-information-originate metric-type 1 修改类型

【7】五类和七类修改默认开销

五类：

r3(config-router)#default-information originate metric

七类：

r3(config-router)#area 1 nssa default-information-originate metric