OSPF路由协议应用

静态路由再发布到OSPF中大型网络中经常遇到使用OSPF路由协议，比如：市级单位中心7513作核心设备使用OSPF 协议与上级省级单位相联采用OSPF协议，下属县级单位联接3745、3600、2600等接入路由.大型网络中经常遇到使用OSPF路由协议，比如：市级单位中心7513作核心设备使用 OSPF协议与上级省级单位相联采用OSPF协议，下属县级单位联接3745、3600、2600等接 入路由，同样使用OSPF协议，而在下一级，则使用1721等低档次的路由设备连接所一级的 单位，由于1721的CPU处理能力有限当使用OSPF路由协议时，全网上百台路由并且这些路 由会在上级分给的一个区域里，CPU利用率很高，处理速度很慢，所以我们在这一级使用静 态路由协议，所以在3745、3600、2600等县机级单位会涉及到，静态路由再发布到OSPF 中，所以我们会使用命令：router(config)#router ospf 100router(config-router)#redistrbute static实际工程中，使用这个命令之后，有个别的地方怎么也不通，后来经过试着使用其后面的参 数SUBNETS，问题解决了。原来静态路由再发布到OSPF中后面有很多参数，一定要注意。 静态路由再发布到OSPF中参数：me trie、rou te-map、subne ts、tag Metric:任选参数，用于规定被再发布路由的度量值。缺省为20, E1为1，E2为2。 Route-map :任选参数,标识一个配置过的路由映像，该路由映像备用来过滤从前面指定的源 路由选择协议向当前路由协议的路由输入。Subnets:任选参数，规定子网路由也应该被再发布。Tag:任选的32 bit十进制值，附加于外部路由。OSPF协议相关的漏洞和防范措施OSPF的安全机制比起RIP协议安全的多，但是，其中LSA的几个组成部分也可以通过捕获和 重新注入OSPF信息包被修改，JiNao小组开发了一个FREEBSDdivertsocket的LINUX实现 并在它们的测试中使用到。OSPF使用协议类型89,因此你可以使用nmap协议扫描来判断OSPF，除非网络通过配 置访问列表来不响应这些类型的查询。如下所示： roottest #nmap-sO-rout er.ip.address.252Int eres ti ngpr ot ocolson( rout er.ip.address.252):ProtocolStateName89openospfigpOSPF由于内建几个安全机制所以比起RIP协议安全的多，但是，其中LSA的几个组成部分 也可以通过捕获和重新注入OSPF信息包被修改，JiNao小组开发了一个FREEBSDdivertsocket的LINUX实现并在它们的测试中使用到。OSPF可以被配置成没有认证机制，或者使用明文密码认证，或者MD5,这样如果攻击者能获 得一定程度的访问，如他们可以使用如dsniff等工具来监视OSPF信息包和或者明文密码， 这个攻击者可以运行divertsocket或者其他可能的各种类型ARP欺骗工具来重定向通信。建立OSPF交互关系adjacencyOSPF路由协议通过建立交互关系来交换路由信息，但是并不是所有相邻的路由器会建立 OSPF交互关系。本文将OSPF建立adjacency的过程简要介绍一下。OSPF路由协议通过建立交互关系来交换路由信息，但是并不是所有相邻的路由器会建 立OSPF交互关系。下面将OSPF建立adjacency的过程简要介绍一下。OSPF协议OSPF协议是通过Hello协议数据包来建立及维护相邻关系的，同时也用其来保证相邻 路由器之间的双向通信。OSPF路由器会周期性地发送Hello数据包，当这个路由器看到自 身被列于其它路由器的Hello数据包里时，这两个路由器之间会建立起双向通信。在多接入 的环境中，Hello数据包还用于发现指定路由器DR,通过DR来控制与哪些路由器建立交互 关系。两个OSPF路由器建立双向通信这后的第二个步骤是进行数据库的同步，数据库同步是所有 链路状态路由协议的最大的共性。在OSPF路由协议中，数据库同步关系仅仅在建立交互关 系的路由器之间保持。OSPF的数据库同步是通过OSPF数据库描述数据包(Database Description Packets)来进 行的。OSPF路由器周期性地产生数据库描述数据包，该数据包是有序的，即附带有序列号, 并将这些数据包对相邻路由器广播。相邻路由器可以根据数据库描述数据包的序列号与自身 数据库的数据作比较，若发现接收到的数据比数据库内的数据序列号大，则相邻路由器会针 对序列号较大的数据发出请求，并用请求得到的数据来更新其链路状态数据库。我们可以将OSPF相邻路由器从发送Hello数据包，建立数据库同步至建立完全的OSPF交互 关系的过程分成几个不同的状态，分别为：Down:这是OSPF建立交互关系的初始化状态，表示在一定时间之内没有接收到从某一相邻 路由器发送来的信息。在非广播性的网络环境内，OSPF路由器还可能对处于Down状态的路 由器发送Hello数据包。Attempt：该状态仅在NBMA环境，例如帧中继、X.25或ATM环境中有效，表示在一定时间 内没有接收到某一相邻路由器的信息，但是OSPF路由器仍必须通过以一个较低的频率向该 相邻路由器发送Hello数据包来保持联系。Init：在该状态时，OSPF路由器已经接收到相邻路由器发送来的Hello数据包，但自身的 IP地址并没有出现在该Hello数据包内，也就是说，双方的双向通信还没有建立起来。 2-Way：这个状态可以说是建立交互方式真正的开始步骤。在这个状态，路由器看到自身已 经处于相邻路由器的Hello数据包内，双向通信已经建立。指定路由器及备份指定路由器的 选择正是在这个状态完成的。在这个状态，OSPF路由器还可以根据其中的一个路由器是否 指定路由器或是根据链路是否点对点或虚拟链路来决定是否建立交互关系。Exs tar t：这个状态是建立交互状态的第一个步骤。在这个状态，路由器要决定用于数据交 换的初始的数据库描述数据包的序列号，以保证路由器得到的永远是最新的链路状态信息。 同时，在这个状态路由器还必须决定路由器之间的主备关系，处于主控地位的路由器会向处 于备份地位的路由器请求链路状态信息。Exchange:在这个状态，路由器向相邻的OSPF路由器发送数据库描述数据包来交换链路状 态信息，每一个数据包都有一个数据包序列号。在这个状态，路由器还有可能向相邻路由器 发送链路状态请求数据包来请求其相应数据。从这个状态开始，我们说 OSPF 处于 Flood 状 态。Loading:在loading状态，OSPF路由器会就其发现的相邻路由器的新的链路状态数据及自 身的已经过期的数据向相邻路由器提出请求，并等待相邻路由器的回答。Full:这是两个OSPF路由器建立交互关系的最后一个状态，在这时，建立起交互关系的路 由器之间已经完成了数据库同步的工作，它们的链路状态数据库已经一致。域间路由在单个OSPF区域中，OSPF路由协议不会产生更多的路由信息。为了与其余区域中的OSPF 路由器通讯，该区域的边界路由器会产生一些其它的信息对域内广播，这些附加信息描绘了 在同一个 AS 中的其它区域的路由信息。具体路由信息交换过程如下：在OSPF的定义中，所有的区域都必须与区域0相联，因此每一个区域都必须有一个区域边 界路由器与区域0相联，这一个区域边界路由器会将其相联接的区域内部结构数据通过 Summary Link广播至区域0,也就是广播至所有其它区域的边界路由器。在这时，与区域0 相联的边界路由器上有区域0及其它所有区域的链路状态信息，通过这些信息，这些边界路 由器能够计算出至相应目的地的路由，并将这些路由信息广播至与其相联接的区域，以便让 该区域内部的路由器找到与区域外部通信的最佳路由。AS 外部路由个自治域AS的边界路由器会将AS外部路由信息广播至整个AS中除了残域的所有区域。为 了使这些AS外部路由信息生效，AS内部的所有的路由器（除残域内的路由器）都必须知道 AS 边界路由器的位置，该路由信息是由非残域的区域边界路由器对域内广播的，其链路广 播数据包的类型为类型 4。OSPF 协议路由器及链路状态数据包分类OSPF 路由器分类当一个AS划分成几个OSPF区域时，根据一个路由器在相应的区域之内的作用，可以将OSPF 路由器作如下分类：内部路由器：当一个OSPF路由器上所有直联的链路都处于同一个区域时，我们称这种路由 器为内部路由器。内部路由器上仅仅运行其所属区域的OSPF运算法则。区域边界路由器：当一个路由器与多个区域相连时，我们称之为区域边界路由器。区域边界 路由器运行与其相连的所有区域定义的OSPF运算法则，具有相连的每一个区域的网络结构 数据，并且了解如何将该区域的链路状态信息广播至骨干区域，再由骨干区域转发至其余区 域。AS边界路由器：AS边界路由器是与AS外部的路由器互相交换路由信息的OSPF路由器，该 路由器在AS内部广播其所得到的AS外部路由信息；这样AS内部的所有路由器都知道至AS 边界路由器的路由信息。AS边界路由器的定义是与前面几种路由器的定义相独立的，一个 AS 边界路由器可以是一个区域内部路由器或是一个区域边界路由器。指定路由器一DR:在一个广播性的、多接入的网络（例如Ethernet、TokenRing及FDDI环 境）中，存在一个指定路由器esigna ted Rou ter），指定路由器主要在OSPF协议中完成 如下工作：指定路由器产生用于描述所处的网段的链路数据包一network link，该数据包里 包含在该网段上所有的路由器，包括指定路由器本身的状态信息。指定路由器与所有与其处 于同一网段上的OSPF路由器建立相邻关系。由于OSPF路由器之间通过建立相邻关系及以后 的flooding来进行链路状态数据库是同步的，因此，我们可以说指定路由器处于一个网段 的中心地位。需要说明的是，指定路由器DR的定义与前面所定义的几种路由器是不同的。DR的选择是通 过OSPF的Hello数据包来完成的，在OSPF路由协议初始化的过程中，会通过Hello数据包 在一个广播性网段上选出一个ID最大的路由器作为指定路由器DR,并且选出ID次大的路 由器作为备份指定路由器BDR，BDR在DR发生故障后能自动替代DR的所有工作。当一个网 段上的DR和BDR选择产生后，该网段上的其余所有路由器都只与DR及BDR建立相邻关系。 在这里，一个路由器的ID是指向该路由器的标识，一般是指该路由器的环回端口或是该路 由器上的最小的IP地址。OSPF 链路状态广播数据包种类随着OSPF路由器种类概念的引入，OSPF路由协议又对其链路状态广播数据包（LSA）作出 了分类。OSPF将链路状态广播数据包共分成5类，分别为：类型1：又被称为路由器链路信息数据包(Router Link)，所有的OSPF路由器都会产 生这种数据包，用于描述路由器上联接到某一个区域的链路或是某一端口的状态信息。路由 器链路信息数据包只会在某一个特定的区域内广播，而不会广播至其它的区域。在类型1的链路数据包中，OSPF路由器通过对数据包中某些特定数据位的设定，告诉其余 的路由器自身是一个区域边界路由器或是一个AS边界路由器。并且，类型1的链路状态数 据包在描述其所联接的链路时，会根据各链路所联接的网络类型对各链路打上链路标识， Link ID。表一列出了常见的链路类型及链路标识。链路类型 具体描述 链路标识1 用于描述点对点的网络 相邻路由器的路由器标识2用于描述至一个广播性网络的链路DR的端口地址3用于描述至非穿透网络，即stub网络的链路stub网络的网络号码4 用于描述虚拟链路 相邻路由器的路由器标识表格 1： 链路类型及链路标识类型2：又被称为网络链路信息数据包(NetworkLink)。网络链路信息数据包是由指定路 由器产生的，在一个广播性的、多点接入的网络，例如以太网、令牌环网及FDDI网络环境 中，这种链路状态数据包用来描述该网段上所联接的所有路由器的状态信息。指定路由器DR只有在与至少一个路由器建立相邻关系后才会产生网络链路信息数据包，在 该数据包中含有对所有已经与DR建立相邻关系的路由器的描述，包括DR路由器本身。类型 2的链路信息只会在包含DR所处的广播性网络的区域中广播，不会广播至其余的OSPF路由 区域。类型3和类型4：类型3和类型4的链路状态广播在OSPF路由协议中又称为总结链路信息 数据包(Summary Link)，该链路状态广播是由区域边界路由器或AS边界路由器产生的。 Summary Link 描述的是到某一个区域外部的路由信息，这一个目的地地址必须是同一个 AS 中。 Summary Link 也只会在某一个特定的区域内广播。类型 3 与类型 4 两种总结性链路信 息的区别在于，类型3是由区域边界路由器产生的，用于描述到同一个AS中不同区域之间 的链路状态；而类型4是由AS边界路由器产生的，用于描述不同AS的链路状态信息。 值得一提的是，只有类型3的Summary Link才能广播进一个残域，因为在一个残域中不允 许存在AS边界路由器。残域的区域边界路由器产生一条默认的Summary Link对域内广播, 从而在其余路由器上产生一条默认路由信息。采用 Summary Link 可以减小残域中路由器的 链路状态数据库的大小，进而减少对路由器资源的利用，提高路由器的运算速度。类型 5：类型 5 的链路状态广播称为 AS 外部链路状态信息数据包。类型5 的链路数据包是 由AS边界路由器产生的，用于描述到AS外的目的地的路由信息，该数据包会在AS中除残 域以外的所有区域中广播。一般来说，这种链路状态信息描述的是到AS外部某一特定网络 的路由信息，在这种情况下，类型5的链路状枋数据包的链路标识采用的是目的地网络的IP地址；在某些情况下，AS边界路由器可以对AS内部广播默认路由信息，在这时，类型5 的链路广播数据包的链路标识采用的是默认网络号码 0.0.0.0。OSPF 路由协议在 CISCO 路由器上的应用1启动 OSPF 协议在CISCO路由器上启动OSPF路由协议，一般需要两个步骤：(1)启动OSPF协议进程：Router(config)#router ospf ( 2) 定义路由器所在的网络：Router(config-router)#network area OSPF协议通过Router ospf命令来启动，OSPF协议进程号(Process-id)是只与当前 路由器有关的一个数值，与网络中的其他路由器没有任何关系。一个路由器可以运行一个 OSPF进程，也可以运行多个OSPF进程，每一个OSPF进程维护一个数据库，所以尽可能只 运行一个 OSPF 进程，减轻路由器的负荷。Network 命令定义路由器所处的网络，指定路由器端口所处的网络域。掩码定义了网络 的大小，其数值与端口的掩码相反，例如0.0.0.255掩码定义了前三个字节为网络号，标识 此网络的大小。网络域标识号(area-id)标识此端口所属的网络域，其取值一般为整数，也 可以以IP地址的形式表达。配置命令如下：Router#Interface ethernet 0Ip address 200.2.2.1 255.255.255.0Interface serial 0Ip address 200.8.8.1 255.255.255.0Router ospf 108Network 200.2.2.0 0.0.0.255 area 0Network 200.8.8.0 0.0.0.255 area 1上述第一段配置了以太口 0的IP地址，第二段配置了串口 0的IP地址，第三段启动OSPF路由协议，网络200.2.2.0和200.8. 8.0分别置于不同的网络域中。2.配置OSPF接口参数OSPF协议网络接口参数都有其默认取值，同时允许用户根据网络实际需要来配置一些 接口参数，以充分优化网络。( 1 ) HELLO 间隔OSPF路由器定期向邻接路由器发送HELLO数据包，以探寻相邻路由器的状态。其探寻间隔 可以进行设置。（HELLO间隔是以秒为单位）Router（config-if）#ip ospf hello-interval seconds（ 2） 链路权值通常OSPF是根据链路带宽计算权值，用户可以根据需要对链路权值进行设定。Router（config-if）#ip ospf cost cost（ 3 ） 传输时延传输时延是指在 OSPF 链路接口之间，传输一个链路状态更新包需要的时间。Router（config-if）#ip ospf transmit-delay seconds（ 4 ） 重传间隔 重传间隔是指链路状态的重传间隔时间。如果一个路由器向相邻路由器发送一个新的链路状 态包,在没有收到对端的确认包时,将发生重传。Router（config-if）#ip ospf retransmit-interval seconds3 路由归约路由归约是将多条路由合并成一条路由，可以大大减轻路由器的负荷。通常是在域边界 路由器上进行路由归约，特别是直接与骨干域相连的域边界路由器（因为路由最终是由骨干 域向其他网络域进行广播的）。有两种类型的路由归约，一种为域间路由归约，一种为外部 路由归约（ 1）域间路由归约 域间路由归约是在域边界路由器上进行配置的，适应于自治域内部进行路由归约，但不适合 外部路由通过再广播注入OSPF内的路由。为了充分利用路由归约，网络域的网号尽可能连 续，这样多个网络为了可以归约成一个网络，多条路由也就归约成一条路由，在CISCO系列 路由器上，需要配置的命令为：area area-id range address mask“area-id”（域标识号）是需要进行路由归约的网络域的标识号，“address”（地址）和 “mask”（掩码）将域内网络地址归约成一段地址。例如，路由器 B 把网络域1 中的地址从 202.102.0.0到 202.102.15.0归约到一块地址 段中：202.102.0.0 255.255.240.0,同样路由器C把网络域2中的地址归约为：128. 1.16.0 255.255.240.0。在路由器 C 上的命令为：RouterC#Router ospf 102Area 2 range 128.1.16.0 255.255.240.02） 外部路由归约 外部路由归约是指通过再广播注入OSPF的多条路由归约成一条路由，同样外部路由的地址 必须连续。路由归约通过“router ospf”下的子命令来完成，而且此命令仅在自治域边界 路由器上有效：summary-address ip-address mask例如，路由器B注入了外部路由到OSPF域，注入的子网范围为126.1.96-127。为了进 行路由归约，需要在路由器B上进行的操作为：RouterB#Router ospf 102Summary-address 126.1.96.0 255.255.224.0 Redistribute bgp 20 metric 100 subnets 上述命令使路由器B产生一条外部路由126.1.96.0 255.255.224.0,对BGP协议广播来的 路由进行了归约。4.广播外部路由到OSPF广播外部路由协议到OSPF是指从静态路由协议或其他动态路由协议中将路由广播到 OSPF，变为OSPF的外部路由。为了广播路由到OSPF，在CISCO路由器需要执行的命令为： redistribute protocol process-id metric value metric-type value subnetspro to col（协议）和process-id（进程号）是指将要把路由广播到OSPF去的路由 协议及其进程号。如果没有定义权值（me trie）, OSPF对由BGP广播来的路由，权值定义 为1,其他路由协议广播来的路由，权值定义为20。如果子网（subnets）关键字没有指定， 进行子网划分的路由将发生丢失。权值类型（metrie-type）分为两种，外部类型1和外部类型2,其区别在于二者在一条 路径上计算权值的方法不同：类型2中路由到达终点路由器的路径上权值不变；类型1 其 权值不断累加，权值类型的默认值为2。例如，路由器A广播了两条外部路由到OSPF，路由R1以类型1广播，路由R2以类型2 广播，到达路由器C时，路由R1的权值为X+Y+Z，而路由R2的权值为X。两条静态路由 12.28.110.0/24和128. 10.0.0/16通过以太口 E0进入路由器A,再广播到路由器B上。 在CISCO路由器上需要进行的配置为：RouterA# interface ethernet 0Ip address 202.102.16.2 255.255.255.0Interface serial 1Ip address 202.102.18.1 255.255.255.0Router ospf 102Redistribute static metric 30 subnetsRedistribute connect subnetsNetwork 202.102.16.0 0.0.0.255 area 1 Network 202.102.18.0 0.0.0.255 area 0 Ip route 12.28.110.0 255.255.255.0 202.102.16.2 Ip route 128.10.0.0 255.255.0.0 202.102.16.2 RouterB# interface serial 0Ip address 202.102.18.2 255.255.255.0 Router ospf 102Network 202.102.18.0 0.0.0.255 area 0路由器A把两条静态路由广播给路由器B,命令“Redistribute static metric 30 subnets”中，权值30可以省略，OSPF广播的默认权值为20,但是关键字“subnets”不能 省略，否则 “Ip route 12.28.110.0 255.255.255.0 202.102.16.2”不能广播，因为其中 有子网划分。监视和维护 OSPF显示一些特定数据，如IP路由选择表、高速缓存和数据库的内容。所提供的信息有助 于确定资源的利用情况，以解决网络问题。还显示节点可达性的相关信息，并发现设备包在 网络上所经过的路径。要显示不同的路由统计值，在EXEC模式下执行下列命令:命令作用show ip ospf process-idshow ip ospf process-id area-iddatabaseshow ip ospfprocess-id area-iddatabaserouter link-state-idshow ip ospf proces-id area-iddatabaserouterself-originate show ip ospf process-id area-iddatabaserouteradv-router ip-addressshow ip ospf process-id area-iddatabasenetworklink-state-id show ip ospf process-id area-iddatabasesummarylink-state-id show ip ospfprocess-id area-iddatabaseasbr-summary link-state-idshow ip ospf process-iddatabaseexternallink-state-id show ip ospfprocess-id area-iddatabasedatabase-summary显示有关OSPF路由选择进程总体信 息。show ip ospf border routers显示至区域界路由器(ABR)和自治系 统边界路由器(ASBR)的内部OSPF路由 选择表。show ip ospf interface interface name显示与OSPF相关的接口信息。show ip ospfneighborinterfacenameneighbor iddetail显示接口前的OSPF邻居信息。show ip ospf virtual-links显示与OSPF相关的虚拟链路信息。修改LSA组定步OSPF LSA组定步特性允许路由器将OSPF连接状态通告组织在一起，并为刷新、校验以及 生存期这些功能定步调。组定步的结果会更有效地使用路由器。OSPF LSA组定步特性允许路由器将OSPF连接状态通告组织在一起，并为刷新、校验 以及生存期这些功能定步调。组定步的结果会更有效地使用路由器。路由器将OSPF LSA组织在一起并为刷新、校验和以及生存期功能定步调，防止冲击CPU和 网络资源。该特性对大型的OSPF网络有益。OSPF LSA组定步缺省时有效。对于普通用户来 讲，缺省的组定步时间间隔对于刷新、校验和以及生存期都是适宜的，不需要配置该特性。一、原始的LSA特性每一个OSPF LSA都有一个生存期，它指示LSA是否仍然还有效。一旦LSA到达了最大 生存期(1小时)，它就会被抛弃。在生存期内，源路由器每30分钟发送一个刷新包来刷 新LSA。发送刷新包为了防止LSA过期，不管网络拓朴结构是否有变化。每10分钟在所有 LSA上完成一次校验和。路由器对它产生的LSA和从其他路由器接收的LSA保持跟踪。路由 器刷新它产生的LSA；计算从其他路由器接收的LSA的生存期。在具有LSA组定步特性之前，Cisco IOS软件在一个计时器上完成刷新，在另一个计时器上 完成校验和及生存期计算。比如刷新时，软件每30分钟扫描一次整个数据库，刷新路由器 产生的每一个LSA，不管它有多老了。图11-1表示所有的LSA立即被刷新。该过程浪费了 CPU的资源，因为只有一小部分数据库需要被刷新。一个大型的OSPF数据库(几千个LSA) 包括上千个具有不同生存期的LSA。在一个计时器上的刷新导致所有LSA的生存期同步，引 起立即产生多个CPU进程。而且，巨大数量的LSA还能引起网络传输量剧增，在短时间消耗 大量的网络资源。所有LSA被刷新，以太网上120个外部LSA需要3个包*V30 minu$ 30 minutes 30 m定步前，所有的LSA立即被刷新图 1 单个计时器上的没有组定步的 OSPF LSA、解决方法这个问题通过使每个LSA具有自己的计时器来解决。还借用这个刷新示例，30分钟后 每个LSA都得到刷新，与其他LSA无关。所以CPU只在需要时才被使用。但是，频繁地、随 意地、刷新的LSA需要那些路由器必须发送出去的、很少被刷新的LSA提供许多包。这将降 低带宽的利用率。在频繁地、随意的时间间隔内，另一个LSA需要被刷新 这个被刷新的包只包含几个LSA单 个 LSA 计时器HH 1HH | m Vidua r LSA timoFA.20个LSA, I个包37个!个包I 15个LSA, 1个包r V *唁话g匕有组定步的单个LSA计时器图 2 在单个计时器上有组定步的 OSPF LSA因此，用路由器延迟一个时间间隔来代替单个计时器时间直至完成LSA刷新功能。累积的 LSA 组成一个组，然后被刷新，并在一个或几个包中被发送出去。这样，刷新包被定步、校 验和及计算生存期也一样。定步间隔是可配置的，缺省值是4分钟，为进一步避免同步而被 随意化了。组定步间隔与路由器正在刷新、做校验和及计算生存期的LSA的个数成反比。比如，假设有 将近10，000个LSA,减小定步间隔是有益的。如果有一个很小的数据库（40100个LSA）， 那么将定步间隔增加到1020分钟会稍有益处的。LSA组之间的定步缺省值是240秒（4分钟）。取值范围在10秒到1800秒之间（半小时）。 为了修改LSA组定步间隔，在路由器配置方式中执行下列命令：命令作用lsagrouppacing seconds修改LSA组定步。修改 OSPF 管辖距离辖距离是路由选择信息源，比如，一个单个路由器或一组路由器的可信率。用数字表示， 管辖距离是0255之间的一个整数。一般来讲，值越大，可信率越低。管辖距离为255就 意味着路由选择信息源根本不可靠，并应被忽略。OSPF 使用三种不同的管辖距离：域内、域间和外部的。在一个区域内部的路由是域内的； 到另一个区域的路由是域间的；而来自于另一个通过重分配而获得的路由选择域的路由被称 为外部的。每种类型路由的缺省距离都是 110。要修改任一 OSPF 距离值，都应在路由器配置方式下执行下列命令：命令作用distance ospf intra-area dist1inter-area dist2 external dist3修改OSPF距离值。OSPF 可伸缩性测试虽然企业与接入市场中的网络性能分析传统上将重点放在数据转发性能上，但目前和下 一代路由器需要分析OSPF协议自身的可伸缩的能力。一旦OSPF的实现被孤立地分析后，就 需要在稳定和变化的路由信息的条件下，对路由器的数据转发性能进行评估。示意图显示了一个中型企业网络中需要测试的设备，其中R1是将不同部门连接在一起 的骨干路由器。R1形成与其他四台路由器的OSPF对等会话，即所谓的邻接(adjacency)。 路由器R2直接连接到R1。路由器R3和R4通过一台以太网交换机连接到R1。此外，路由器 R1和R2分别通过R5连接到In terne t。为精确地确定R1的性能，我们必须能够有效地模拟 中等数量的相邻的路由器，并能够注入数量巨大的路由。在测试 R1 时，首先必须能够形成与 R1 的多个邻接。每个邻接必须能发布路由并能独立 于其他路由器运行。如图所示，如果通过一台第二层交换机连接远程路由器，很可能在同一 时间、同一个端口上形成多个OSPF邻接。因此，测试设备必须能够同时在同一个端口上模 拟不同的独立路由。路由的数量也是重要因素。虽然大多数路由会话将发布很小数量的路由，但R5却可能 从Internet向OSPF域中注入多达10万条路由。由于存在多条从R1和R2经过R5连接到 Internet的连接，因此R5可能选择向R1和R2发布可到达性信息，使它们可以更好地做出 有关Internet中的网络的路由决策。虽然这种额外的信息十分有用，但它常常会导致总体 性能的下降。在城域网中，存在着非常不同的要求。许多老牌网络设备制造商和大量新兴厂商正在开 发基于IETFRFC-2547的新一类路由器。提供商的边缘(PE)路由器被用在服务提供商城域网 络的边缘，用以形成与企业路由器的OSPF对等会话。由于运营商边缘路由器在网络中的位置，它通常包含128个千兆以太网端口。每个端口 更多的分割为多个用户使用的VLAN。一个惟一的OSPF实例运行在每个VLAN内部。一台典 型的边缘路由器PE同时支持几千个OSPF会话。由于每个客户保持自己的路由信息，因此每 个OSPF会话必须保持一个惟一的数据库。这种要求也给传统的OSPF在企业中的使用造成了 严重的可伸缩性障碍。在典型的企业环境中，无论形成多少邻接，路由器中都只保持一个 OSPF数据库。在使用PE的情况下，一般为每个OSPF邻接保持一个OSPF数据库。在测试PE性能时，必须能支持高达每端口 100个邻接，允许每个OSPF邻接运行在自己 的VLAN中并能够在总体系统测试中支持数量巨大的端口。由于将独立的CPU和内存专用于 每一个OSPF邻接是不划算的，所以PE将在不同的邻接之间共享硬件和软件资源。因此，必 须评估一个VLAN中的变化对其他VLAN的影响程度。比如在其他VLAN中出现中等数量的OSPF 状态发生变化，导致在一个VLAN中就会出现显著的性能下降。OSPF协议的验证OSPF网络的验证有两种方法：简单的密码验证(Simple PasswordAuthentication)和MD5验 证(Message Digest Authentication)。路由器能够靠设定密码来参与路由信息域，通过这种方法就可以验证OSPF报文。默认 情况下，路由器使用空验证，也就是说通过网络进行路由信息的交换是不验证的。OSPF网 络的验证有两种方法：简单的密码验证(Simple PasswordAuthentication)和MD5验证 (Message Digest Authentication)。1.启动OSPF在NE80核心路由器上启用OSPF路由协议包含以下两步。在全局配置模式下：1激活OSPF进程，在特权模式下执行：router ospf2将端口划分到特定的区域中：network network or IP addressmaskareaid在Cisco的路由器上激活OSPF协议时还要指定process-id，其是一个路由器上的本 地有效地十进制数，不需要同其他路由器上的Process-id相匹配。通过该process-id，可 以在一台路由器上运行多个OSPF进程。但是不推荐在同一台路由器上创建多个OSPF进程, 因为那样会使路由器增加额外的开销。Net work命令是把一个端口分配到某个区域中的一种方法。掩码是作为一种快捷方式使用， 可将同一个区域中的一系列端口列表用一行配置命令就可完成。掩码包含通配符“0” 和 “1”，“0”位表示匹配，“1”位表示不匹配。如：0.0.255.255 表示匹配网络号的前两 个字节。Area-id是端口所属的区域号，它是0到4294967295之间的一个整数，也可采取与IP地址 类似的格式，如0.0.0.100 表示区域号为100.RTA#interface GigabitEthernet5/0/0ip address 192.213.11.1 255.255.255.0interface GigabitEthernet5/0/1ip address 192.213.12.2 255.255.255.0interface GigabitEthernet5/1/0ip address 128.213.1.1 255.255.255.0interface GigabitEthernet5/1/1No ip addressrouter ospf 100network 192.213.0.0 0.0.255.255 area 0.0.0.0network 128.213.1.1 0.0.0.0 area 23第一句network命令把E0和E1端口分配到区域0.0.0.0中，第二句net work命令将E2分 配到区域23中。注意0.0.0.0的掩码表示匹配所有的IP地址位。如果遇到掩码问题时，这 是一个非常简便有效的方法来将一个端口分配到某个特定区域中。2.简单的密码验证简单的密码验证允许一个区只配置一个密码（Password），同一个区中的路由器要想参 与路由，他们必须配置同一个密码。这种方法的缺点是易受攻击，任何人用线路分析仪都能 从网络上窃取密码。使用下面的命令启动密码验证：ip ospf authentication-keykey(在特定的端口配置模式下设置)areaarea-id authentication (在路由配置模式(config-router-ospf)下设置)例如：interface GigabitEthernetl/0/0ip address 10.10.10.10 255.255.255.0ip ospf authentication-key mypasswordrouter ospf 10net work 10.10.0.0 0.0.255.255 area 0area 0 authentication3. MD5验证MD5 (Message Digest Authentication)是采用加密验证，每个路由器上都必须配置 密码和密码ID。路由器使用一种算法，基于OSPF报文、密码和密码ID产生一个“Message Digest”，然后加到OSPF报文中。不像简单密码验证，MD5验证密码不在网络上传输。每 个OSPF报文中还包含有一个序列号以保护网络不受攻击。这种验证方法可以更改密码而不中断网络业务，这有助于网络管理员在线更改OSPF验证密 码。如果一个端口配置了一个新的密码，路由器将会向网络发送同一个报文的多个拷贝，每 个报文用不同的密码来验证。当路由器检测到所有的邻居都采纳了新的密码后就会停止发送 这种报文的副本。用下面的命令来配置MD5验证：ip ospf message-digest-key md5 在特定的端口配置模式下设置 areaarea-idauthentication message-digest 在路由配置模式(config-r out er-ospf)下设置)例如interface GigabitEthernet1/0/0ip address 10.10.10.10 255.255.255.0ip ospf message-digest-key 10 md5 mypasswordrouter ospf 10net work 10.10.0.0 0.0.255.255 area 0area 0 authentication message-digestOSPF路由聚合的两种方法路由聚合是将多条路由合；并成一条路由通常在ABR上实现。虽然路由聚合可以在任意两个 区域之间进行，但推荐在往骨干区的方向上进行。这样，骨干区会接收到所有聚合的路由， 然后依次将聚合过的路由引入其它区域。路由聚合是将多条路由合；并成一条路由通常在ABR上实现。虽然路由聚合可以在任意 两个区域之间进行，但推荐在往骨干区的方向上进行。这样，骨干区会接收到所有聚合的路 由，然后依次将聚合过的路由引入其它区域。路由器有两种路由聚合方法：1、Inter-area 路由聚合2、External路由聚合（目前NE16的版本还不支持）1 Inter-area 路由聚合Inter-area路由聚合在ABR上进行，对来自AS内部的路由其作用。对通过路由重新分 发而引入的外部路由不起作用。为了利用路由聚合这个特性；在一个区域中的网络地址应当 连续，这些成块的地址可以形成一个范围。为了指定一个地址范围，可以使用下面的命令： area area-id range address mask“area-id”是进行路由聚合的区域的号码，“address”、“mask”、“是进行路由聚合 后的网络地址范围。图1 Inter-area路由聚合如图 1，RTB 将 128. 213.64.0 至 128.213.95.0 网段聚合成一个网段：128.213.64.0, 掩码为 255.255.224.0.同理，RTC 将 128. 213.96.0 至 128. 213.127.0 网段聚合成一个网 段128.213.96.0，掩码为255.255.224.0.如果Area 1和Area 2中有重合的网段，那将比较难以聚合，因为聚合后的地址到达Area 0后，它将不知道该网段是来自Area 1，还是Area 2.在RTB上进行如下配置：RTB#router ospfarea 1 range 128.213.64.0 255.255.240.02 External 路由聚合External路由聚合是指通过路由重新分发将External路由引入0SPF区域中。同样， 要确保要聚合的External路由的范围是连续的。如果从两个不同的路由器聚合的路由含有 相同部分，则在报文转发到目的地址过程中会出错的。External路由聚合通过在router ospf 配置模式下配置：summary-address ip-address mask注意：这个命令仅仅在将External路由引入OSPF区域的ASBR上起作用。如图 1，RTB 将 128.213.64.0至 128.213.95.0 网段聚合成一个网段：128.213.64.0，掩码为 255.255.224.0.同理，RTC 将 128. 213.96.0 至 128. 213.127.0 网段聚合成一个网 段 128.213.96.0，掩码为 255.255.224.0.如果 Area 1 和 Area 2 中有重合的网段，那将比较难以聚合，因为聚合后的地址到达 Area 0 后，它将不知道该网段是来自 Area 1， 还是 Area 2。在 RTB 上进行如下配置：RTB#router ospfarea 1 range 128.213.64.0 255.255.224.0External 路由聚合是指通过路由重新分发将 External 路由引入 OSPF 区域中。同样，要确 保要聚合的 External 路由的范围是连续的。如果从两个不同的路由器聚合的路由含有相同 部分,则在报文转发到目的地址过程中会出错的oExternal路由聚合通过在routerospf配 置模式下配置： 在图 2 中；RTA和RTD通过路由重新分发将External路由（如RIP）引入0SPF区域中。RTA要引入的路由子网地址为：128. 213.64-95, RTD要引入的路由子网地址为： 128.213.96-127.为了将每个路由器上的子网聚合成一个地址范围，我们可以在两个路由器上作如下设 置：RTA#router ospfsummary-address 128.213.64.0 255.255.240.0redistribute ripRTD#router ospfsummary-address 128.213.96.0 255.255.240.0redistribute rip通过路由聚合后，RTA将产生一条External路由128. 213.64.0 255.255.240.0. RTD将产 生一条 128. 213.96.0 255.255.240.0 的 External 路由。注意，Summary-address命令如果用在RTB上将没有用，因为RTB不执行分发路由到 OSPF区域中。