1.2.0 路由 OSPF 优化（FA地址、路由汇总、路由过滤、区域认证、接口认证）

一、FA地址

该文章介绍的FA地址说辞简单易懂：路由协议系列之六：OSPF FA地址

产生条件

• ASBR在其连接外部网络的接口（外部路由的出接口）上激活了OSPF；
• 接口没有被配置为Silent-Interface；
• 接口的OSPF网络类型为Broadcast或NBMA；

方便记忆：【广播网络类型接口】、【不是被动接口】、【外部网络接口激活OSPF】

如何理解第一个条件？

【如下图】AR4引入外部路由，产生的路由下一跳为其两个接口地址。

对于AR3与AR5的G0/0/1接口而言就是外部网络接口（因为从该接口收到外部路由），同时G0/0/0接口又激活了OSPF，故满足FA地址产生的第一个条件。

现象

AR5进行7类转5类后的5类LSA中携带FA下一跳信息：

作用

FA是ASBR通告的TYPE 5 LSA和TYPE 7 LSA中的字段，它的作用是：告诉OSPF域内的 路由器如何能够更快捷地到达路由下一跳。

以免OSPF内部路由器在MA网络上以ASBR为下一跳，再由ASBR自己转发到正确的下一跳，而产生额外的路由，具有避免次优路径的产生以及防止环路的功能。

【下图】NSSA区域产生的7类路由传入骨干区域时，如果存在多个ASBR则由RID大的设备进行7类转5类的操作。

【下图】默认情况下链路开销都是1，目前AR2优先走AR3访问外部路由。当AR3接口开销变成100时，FA地址虽然不会改变，但AR2会基于OSPF路由重新选择一个最优路径访问FA的地址。

二、路由汇总

含义：路由汇总=路由聚合，将一组前缀相同的路由汇聚成一条路由。

作用：通过汇总路由的方式减小路由表规模以及优化设备资源利用率。

3类汇总

在ABR路由汇总：对区域间的路由汇总（3类汇总）

ABR区域间汇总 配置命令

区域间配置汇总

[AR1]ospf 1
[AR1-ospf-1]a 1
# AR1上将路由进行发布
[AR1-ospf-1-area-0.0.0.1]network 172.16.0.0 0.0.3.255

-------------------
此时AR3上的路由表（截取部分）：
<AR3>display ip routing-table protocol ospf 

   172.16.0.254/32  OSPF    10   2           D   10.1.23.2       GigabitEthernet0/0/0
   172.16.1.254/32  OSPF    10   2           D   10.1.23.2       GigabitEthernet0/0/0
   172.16.2.254/32  OSPF    10   2           D   10.1.23.2       GigabitEtherne0/0/0
   172.16.3.254/32  OSPF    10   2           D   10.1.23.2       GigabitEthernet0/0/0
-------------------

# AR2上进行区域间的路由汇总
[AR2]ospf 1
[AR2-ospf-1]a 1
[AR2-ospf-1-area-0.0.0.1]abr-summary 172.16.0.0 255.255.252.0

-------------------
汇总后的AR3路由表（截取部分）：
<AR3>display ip routing-table protocol ospf 

172.16.0.0/22  OSPF    10   2           D   10.1.23.2       GigabitEthernet0/0/0
-------------------

注意的是，AR2即ABR本身是不会进行路由汇总的。

5类汇总/外部路由汇总

在ASBR路由汇总：对引入的外部路由汇总（引入路由汇总/5类/7类汇总）

ASBR外部路由汇总 配置命令

ospf模式下配置汇总

[AR4]int lo 1
[AR4-LoopBack1]ip add 172.16.4.254 24
[AR4-LoopBack1]int lo 2
[AR4-LoopBack2]ip add 172.16.5.254 24
[AR4-LoopBack2]q
[AR4]ospf 1
[AR4-ospf-1]import-route direct


# 在AR3与AR5上进行外部路由汇总
[HUAWEI] ospf  1
[HUAWEI-ospf-1] asbr-summary 172.16.0.0 255.255.254.0

# 配置完成之后，在AR2上进行检查
<AR2>display ip routing-table protocol ospf 
	172.16.4.0/23  O_ASE   150  2           D   10.1.25.5       GigabitEthernet0/0/2

三、路由过滤

通过对OSPF LSA进行过滤，减小邻居LSDB的大小，提高网络收敛速度。

同时通过过滤对应的LSA提高网络的安全性，控制部分网络区域的路由访问。

1、出接口过滤指定LSA

当两台交换机之间存在多条链路时，根据过滤策略，通过命令ospf filter-lsa-out配置本地交换机在某些链路上对LSA的过滤，减少不必要的重传，节省带宽资源。

[AR1-GigabitEthernet0/0/0]ospf filter-lsa-out ?
  all      Filter all types of LSAs【过滤全部】
  ase      Filter type-5 ASE LSAs【过滤5类，可指定ACL】
  nssa     Filter type-7 NSSA LSAs【过滤7类，可指定ACL】
  summary  Filter type-3 Summary LSAs【过滤3类，可指定ACL】

在AR2配置接口过滤指定LSA，仅允许AR1学习到172.16.4.0/24的5类LSA。

[AR2]acl 2000
[AR2-acl-basic-2000]rule permit source 172.16.4.0 0.0.0.255
[AR2-acl-basic-2000]rule den source any 
[AR2-acl-basic-2000]q
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ospf filter-lsa-out ase acl 2000 

<AR1>dis ospf lsdb 
		 AS External Database
 Type      LinkState ID    AdvRouter          Age  Len   Sequence   Metric
 External  172.16.4.255    5.5.5.5           1423  36    80000001       1

2、区域间过滤3类LSA

关于filter export与filter import命令：仅在ABR上配置，且只能过滤3类LSA。

filter 过滤列表 import

作用于区域内，表示其它区域传递3类进来之前需要先进行过滤。

案例：AR4引入外部路由传递给AR1时，在AR2进行区域间过滤5类的172.16.5.0的路由，放行其它的5类路由。

[AR2]acl 2002
[AR2-acl-basic-2002]rule deny source 172.16.5.0 0.0.0.255
[AR2-acl-basic-2002]rule permit source any
[AR2-acl-basic-2002]q

[AR2]ospf 1
[AR2-ospf-1]a 1
[AR2-ospf-1-area-0.0.0.1]filter 2002 import 

# 配置后在AR1上观看现象
没有现象发生，无法进行过滤5类的LSA。因为区域间过滤只能过滤3类LSA

# 配置过滤3类的LSA
[AR2]acl 2005
[AR2-acl-basic-2005]rule deny sou 10.1.23.0 0.0.0.255【AR2与AR3之间链路】
[AR2-acl-basic-2005]rule deny sou 10.1.25.0 0.0.0.255【AR2与AR5之间链路】
[AR2-acl-basic-2005]rule per sou an
[AR2-acl-basic-2005]q
[AR2]ospf 1
[AR2-ospf-1]a 1
[AR2-ospf-1-area-0.0.0.1]filter 2005 import

# 配置后观看AR1现象【已经不存在23、25了】
		         Area: 0.0.0.1
 Type      LinkState ID    AdvRouter          Age  Len   Sequence   Metric
 Router    2.2.2.2         2.2.2.2            485  36    8000002D       1
 Router    1.1.1.1         1.1.1.1            479  84    8000002E       1
 Network   10.1.12.1       1.1.1.1            479  32    80000002       0
 Sum-Net   10.1.45.0       2.2.2.2            246  28    80000001       2
 Sum-Net   10.1.34.0       2.2.2.2            246  28    80000001       3
 Sum-Asbr  5.5.5.5         2.2.2.2            487  28    80000007       1
 Sum-Asbr  3.3.3.3         2.2.2.2            480  28    80000001       1

filter 过滤列表 export

作用于区域外，表示该区域产生的3类LSA在过滤后再传递给其它区域。

案例：AR1发布路由传递3类给其它区域时，先过滤1.0与3.0的路由。

[AR2]acl 2001
[AR2-acl-basic-2001]den	
[AR2-acl-basic-2001]rule deny source 172.16.1.0 0.0.0.255
[AR2-acl-basic-2001]rule deny source 172.16.3.0 0.0.0.255
[AR2-acl-basic-2001]rule permit source any
[AR2-acl-basic-2001]q

[AR2]ospf 1
[AR2-ospf-1]a 1
[AR2-ospf-1-area-0.0.0.1]filter 2001 export 

# 过滤后在AR3或AR5上观看现象
<AR3>dis ospf lsdb 

	 OSPF Process 1 with Router ID 3.3.3.3
		 Link State Database 

		         Area: 0.0.0.0
 Sum-Net   172.16.2.254    2.2.2.2            632  28    80000002       1
 Sum-Net   172.16.0.254    2.2.2.2            632  28    80000002       1

四、OSPF认证

1、区域认证

作用于整个OSPF区域认证：

area 1
authentication-mode simple cipher 密码

2、接口认证

作用于某个接口进行认证

interface g0/0/0
authentication-mode simple cipher 密码

3、区域认证与接口认证相结合

区域认证作用于整个区域，接口认证作用于指定接口，连接认证区域的接口配置成为认证接口，也能进行认证。

[AR2]ospf 1
[AR2-ospf-1]a 0
[AR2-ospf-1-area-0.0.0.0]authentication-mode simple cipher 123


[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ospf authentication-mode simple cipher 123


[AR5]ospf 1
[AR5-ospf-1]a 0
[AR5-ospf-1-area-0.0.0.0]authentication-mode simple cipher 123