路由汇总的概念
l 路由汇总( Route Aggregation ),又称路由聚合(Route Summarization),指的是把一组明细路由汇聚成一条汇总路由条目的操作
l 路由汇总能够减少路由条目数量、减小路由表规模,从而减轻路由器的资源消耗
l RIP、BGP等协议支持自动或者手工路由汇总,但OSPF仅支持手工路由汇总
l OSPF支持两种汇总:
Ø 部署在ABR上,域间路由汇总
Ø 部署在ASBR上,域外路由汇总
OSPF汇总路由的防环
l 条件:R3将R5下的三个子网汇总成172.16.0.0/16传递给R2,R3\R4\R5存在默认路由
l 环路产生:R5下存在攻击PC,持续扫描一个不存在的子网内的IP(如172.16.11.0/24),数据包被默认路由匹配一路传递到R2,而R2上由于存在R3传递来的汇总路由(172.16.0.0/16),因此又把这些数据包丢回给R3,R3又丢回R2,如此反复,直到报文TTL为0,此时路由环路出现。
l 解决方法:OSPF为了解决这个问题,在执行路由汇总时,会在本地自动产生一条指向Null0的路由,这样一来当再有类似事件发生,数据包将在R3这就被丢弃(匹配Null0路由)
虚链路的应用场景
l 虚链路( Virtual-link )是骨干区域(Area0)的一段延伸
l 通过部署虚链路可以解决某个区域没有与Area0直接相连而产生的问题,或者area 0不连贯的问题
l 在所要穿越的区域的两台ABR上,分别进行如下配置:
area+穿越的区域的ID+ virtual-link +对端router-id
OSPF的认证
加密方式分为明文认证与加密认证
Ø 明文认证:密码在报文中可见
Ø 密文认证:密码在报文中不可见
验证方式分为接口认证与区域认证
Ø 接口认证:仅针对一条链路上进行验证
Ø 区域认证:将路由器上属于某个特定区域的接口全都激活相应的验证方式当OSPF区域中有配置虚链路时,针对接口认证与区域认证也需要相应配置才可建立邻居
明文认证的配置
l 简单密码身份验证(明文)
Ø 接口认证
Router(config-if)# ip ospf authentication-key password
Router(config-if)# ip ospf authentication
Ø 区域认证
Router(config-if)# ip ospf authentication-key password
Router(config-router)# area area-id authentication
密文认证的配置
l MD5身份验证(密文)
Ø 接口认证
Router(config-if)# ip ospf message-digest-key key-id md5 key
Router(config-if)# Ip ospf authentication message-diges
Ø 区域认证
Router(config-if)# ip ospf message-digest-key key-id md5 key
Router(config-router)# area 0 authentication messae-digest
在虚链路上配置报文验证(明文)
Router(config-router)#area 穿越的区域的ID virtual-link 目的IP authentication-key key
Router(config-router)#area 穿越的区域的ID virtual-link 目的IP authentication
当区域0开启验证时,虚链路也需要配置密码
Router(config-router)#area 0 authentication
Router(config-router)#area 穿越的区域的ID virtual-link 目的IP authentication-key key
Router(config-router)#area 穿越的区域的ID virtual-link 目的IP authentication
OSPF的链路优化
在连接终端的接口上将端口设置为passive-interface,停止hello报文的发送,减少终端的负担
Router(config-router)#passive-interface 终端接口
l 汇聚交换机上所有的三层接口宣告入OSPF,大量VLAN的用户都会收到不必要的Hello报文
l 汇聚交换机先将所有接口设置为被动接口,并将G0/24接口取消被动接口特性
Router(config-router)#passive-interface defualt
Router(config-router)#no passive-interface G0/24(上联其他区域的端口)