OSPF高级特性（3）：安全特效

news2025/2/13 19:54:02

引言

OSPF的基础我们已经结束学习了，接下来我们继续学习OSPF的高级特性。为了方便大家阅读，我会将高级特性的几篇链接放在末尾，所有链接都是站内的，大家点击即可阅读：

OSPF基础（1）：工作过程、状态机、更新

OSPF基础（2）：数据包详解

OSPF基础（3）：区域划分

OSPF基础实验

OSPF基础（4）：LSA头部信息及类型

OSPF基础（5）：网络类型

基于OSPF的MGRE VPN实验

OSPF高级特性（1）：不规则区域类型造成后果及解决办法

OSPF高级特性（2）：特殊区域及路由聚合

OSPF安全特性

1、OSPF报文验证：

区域验证模式：在区域下配置一致的密码才能加入同一个区域。

[r3-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher 123456

接口验证模式：链路两端的接口必须配置一致的密码才能建立邻居关系

[r5-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

虚链路认证（本质接口认证）：[r4-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3 md5 1 cipher 123456

注：接口认证高于区域认证，只要接口验证通过，区域验证哪怕失败，也不影响邻接关系建立

2、禁止端口发送OSPF报文：

为了使OSPF路由信息不被其他路由器获得，配置静默接口：

[r5-ospf-1]silent-interface GigabitEthernet 0/0/2

3、路由过滤

（1）特点：影响本机及下游路由器的OSPF表的学习，过滤本机及下游路由器的LSDB表中的LSA，在协议视图下配置进方向

方法2：在传入区域的区域视图下配置出方向，不影响本机ospf表的学习，但影响下游路由器ospf表的学习，过滤本机及下游路由器的LSDB表中的LSA

（2）过滤5类/7类LSA：

[r4-ospf-1]asbr-summary 172.16.0.0 255.255.252.0 not-advertise

ASBR聚合不会影响ASBR本机的路由，只会影响OSPF内部的其他路由器

加快收敛

1、修改hello时间：

[r5-GigabitEthernet0/0/0]ospf timer hello 5

2、修改死亡时间：

[r1-GigabitEthernet0/0/0]ospf timer dead 20

3、其他计时器——重传时间默认5S：

[r5-GigabitEthernet0/0/0]ospf timer retransmit ?

          INTEGER<1-3600> Second(s)

缺省路由

（1）3类缺省：

自动下发，优先级10

（2）5类缺省：

手工配置，优先级150

命令：

//相当于将本设备上通过其他方式学到的缺省路由，重发布到OSPF网络当中（本机上存在缺省的时候）
[r2-ospf-1]default-route-advertise

（3）7类缺省：

自动下发，通过配置特殊区域自动下发，优先级150

手工下发，优先级150

命令：

//在设备上没有其他网络学来缺省信息时，可以强制下发一条7类缺省
[r2-ospf-1]default-route-advertise always

路由控制

1、优先级

//修改OSPF路由默认优先级，只影响本机OSPF路由的学习
[r3-ospf-1]preference 50
//修改域外导入的路由的默认优先级。
[r3-ospf-1]preference ase 100

2、开销值

//关闭自动协商
[r3-GigabitEthernet0/0/0]undo negotiation auto 
//修改接口真实传输速率
[r3-GigabitEthernet0/0/0]speed 10
//修改接口开销值
[r3-GigabitEthernet0/0/0]ospf cost 1000