OSPF協(xié)議詳解最終版

OSPF協(xié)議總結(jié)〔完整版〕OSPF的五個包:1．Hello：9項容，4個必要2．DBD：數(shù)據(jù)庫描述數(shù)據(jù)包〔主要描述始發(fā)路由器數(shù)據(jù)庫中的一些或者全部LSA信息〕，主要包括接口的MTU，主從位MS，數(shù)據(jù)庫描述序列號等〕；3．LSR：鏈路狀態(tài)請求數(shù)據(jù)包〔查看收到的LSA是否在自己的數(shù)據(jù)庫，或是更新的LSA，如果是將向鄰居發(fā)送請求〕；4．LSU：鏈路狀態(tài)更新數(shù)據(jù)包〔用于LSA的泛洪擴(kuò)散和發(fā)送LSA去響應(yīng)鏈路狀態(tài)請求數(shù)據(jù)包〕；5．LSACK：鏈路狀態(tài)確認(rèn)數(shù)據(jù)包〔用來進(jìn)展LSA可靠的泛洪擴(kuò)散，即對可靠包確實認(rèn)〕。Hello包作用：1．發(fā)現(xiàn)鄰居;2．建立鄰居關(guān)系;3．維持鄰居關(guān)系;4．選舉DR，BDR5．確保雙向通信。Hello包所包含的容：路由器idHello&Dead間隔*區(qū)域id*鄰居DRBDR優(yōu)先級驗證*末節(jié)區(qū)域*注：1．“*〞局部全部匹配才能建立鄰居關(guān)系。2．鄰居關(guān)系為FULL狀態(tài)；而鄰接關(guān)系是處于TWO-WAY狀態(tài)。Hello時間間隔:在點對點網(wǎng)絡(luò)與播送網(wǎng)絡(luò)中為10秒；在NBMA網(wǎng)絡(luò)與點對多點網(wǎng)絡(luò)中為30秒。注：保持時間為hello時間4倍虛電路傳送的LSA為DNA，時間抑制，永不老化.OSPF的組播地址:DR將使用組播地址224.0.0.5泛洪擴(kuò)散更新的數(shù)據(jù)包到DRothersDRothers使用組播地址224.0.0.6發(fā)送更新數(shù)據(jù)包OSPF的格式:|版本

|類型|長度

|路由器ID|區(qū)域ID

|驗證和|驗證類型

|驗證|數(shù)據(jù)

|

|1byte|

1

|2|4|4|2|2|8|variance|OSPF支持的驗證類型:OSPF支持明文和md5認(rèn)證，用Sniffer抓包看到明文驗證的代碼是“1〞，md5驗證的代碼是“2〞。OSPF支持的網(wǎng)絡(luò)類型:1．播送2．非播送3．點對點〔假設(shè)MTU不匹配將停留在E*-START狀態(tài)〕4．點對多點5．虛電路〔虛電路的網(wǎng)絡(luò)類型是點對點〕虛鏈路必須配置在ABR上，虛鏈路的配置使用的命令是areatransit-area-idvirtual-linkrouter-id虛鏈路的Metric等同于所經(jīng)過的全部鏈路開銷之和DR/BDR選舉：優(yōu)先級(0~255;0代表不參加選舉;默認(rèn)為1)；比擬Router-id。次者為BDR。在Point-to-Point,Point-to-Multipoint(播送與非播送)這三種網(wǎng)絡(luò)類型不選取DR與BDR;Broadcast,NBMA選取DR與BDR。先啟動OSPF進(jìn)程的路由器會等待一段時間，這個時間你沒有啟動其它路由的OSPF進(jìn)程的話，第一臺路由就認(rèn)為自己是DR，之后再加進(jìn)來的也不能在選舉了，這個等待時間叫做WaitTimer計時器，CISCO規(guī)定的WaitTimer是40秒。這個時間你啟動的路由是參與選舉的，所以真實工作環(huán)境中，40秒你大概只啟動了兩臺，DR會再前兩臺啟動的路由中產(chǎn)生，工作一段時間以后，活的最久的路由最有可能成為DROSPFoverFRAME-RELAY的配置：(1)NBMA:在HUB上指定鄰居；SPOKE上設(shè)置優(yōu)先級為0。(2)P-TO-P:接口下配置命令ipospfnetworkpoint-to-point。(3) P-TO-MULTP：接口下配置命令ipospfnetworkpoint-to-multipoint。按需電路配置:接口下配置命令ipospfdemand-cricuit。孤立區(qū)域問題解決:虛電路〔虛電路穿過的區(qū)域一定是標(biāo)準(zhǔn)區(qū)域，標(biāo)準(zhǔn)區(qū)域一定是全路由的〕隧道多進(jìn)程重分發(fā)注：如果中間間隔區(qū)域為stub區(qū)域,則只能用隧道解決.OSPF分區(qū)域的原因:1．LSA數(shù)據(jù)過大，造成帶寬負(fù)載過大。2．計算全網(wǎng)拓?fù)洌瑢up要求過高。3．?dāng)?shù)據(jù)庫過大，對存要求過高。OSPF的區(qū)域類型:骨干: LSA:12345標(biāo)準(zhǔn): LSA:12345stub: LSA123nssa: LSA12377(default)AREA1NSSADEFAULTINFORMATION-ORIGINATE(ABR上產(chǎn)生默認(rèn)路由LSA7)total-stub:12一條默認(rèn)3total-nssa:127一條默認(rèn)3LSA的類型：類型1: 路由器鏈路信息容包括:路由器鏈路Router-id;接口地址;接口網(wǎng)絡(luò);接口花費可使用showospfdatabaserouter命令查看。類型2:網(wǎng)絡(luò)鏈路信息由DR通告，如果是點對點的網(wǎng)絡(luò)類型，沒有LSA2類型3、4：匯總鏈路(都是ABR通告)3號通告ospf區(qū)域間信息4號通告asbr的router-id信息(通告nssa區(qū)域的abr)類型5：通告外部路由類型7：nssa區(qū)域外部路由類型11：用于打標(biāo)簽類型代碼類型名稱描述1路由器LSA每臺路由器都會產(chǎn)生，在區(qū)域泛洪2網(wǎng)絡(luò)LSADR產(chǎn)生，在區(qū)域泛洪3網(wǎng)絡(luò)匯總LSAABR始發(fā)，在整個OSPF域中泛洪4ASBR匯總LSAABR始發(fā)，在整個OSPF域中泛洪5AS外部LSAASBR始發(fā)，在整個OSPF域中泛洪6組成員LSA標(biāo)識OSPF組播中的組成員，不做討論7NSSA外部LSAASBR始發(fā)，8外部屬性LSA沒有實現(xiàn)9OpaqueLSA〔本地鏈路圍〕用于MPLS流量工程，不做討論10OpaqueLSA〔本地區(qū)域圍〕11OpaqueLSA〔AS圍〕OSPF鄰居建立過程:A-------------------------BdowninitB收到A發(fā)來hello進(jìn)入init狀態(tài)twowayhello4個“*〞匹配，選舉DRBDR；A在hello中發(fā)現(xiàn)自己的Router-id;e*start交換DBD;確立主從關(guān)系(多路訪問Router-id高為主,低為從;串行接口下接口地址大的為主)e*change交換數(shù)據(jù)DBD〔主的先發(fā)〕loading交換完整數(shù)據(jù)包LSRLSUfull注：每個LSA由序列號確認(rèn)為最新的更新。當(dāng)路由器收到LSA之后的處理過程：〔1〕如果數(shù)據(jù)庫有這樣的，再查看序列號，如果序列號一樣，忽略這條LSA；如果序列號偏大，將其轉(zhuǎn)到數(shù)據(jù)庫，并進(jìn)展SPF，更新路由表；如果序列號偏小，將一個包含自己的LSA新信息發(fā)送給發(fā)送方?！?〕如果數(shù)據(jù)可沒有這樣的，將其加到數(shù)據(jù)庫表，并發(fā)一個ACK返回，并運行SPF，更新路由表。‘OSPF的Metric值：Cost=10的8次方/帶寬，簡便記做100Mb/帶寬值。Metric值是由cost值逐跳累加的。環(huán)回口的路由，掩碼為/32，既我們所說的“主機(jī)路由〞。在實際應(yīng)用中，環(huán)回口以32位的居多，用作ospf的管理接口。但是如果你想讓環(huán)回口模擬一個網(wǎng)段，我們可以通過以下配置來消除。R1(config)*intloopback0R1(config-if)*ipospfnetworkpoint-to-point環(huán)回口只能配置成point-to-point這種類型，不可以配置成其它的類型。其他：1．當(dāng)一個路由器既是ABR又是ASBR時為了不讓巨量外部路由分發(fā)進(jìn)nssa區(qū)域使用命令：area1nssano-redistributiondefault-informationoriginate2．配置命令showipospfdatabaserouter用來查詢拓?fù)?．一個路由器在理論上支持65535個OSPF進(jìn)程，在實際環(huán)境中一個路由器可支持的OSPF進(jìn)程數(shù)量與其可用物理接口數(shù)量相等?！策@個我對教師說的有疑問，如果我啟用了很多環(huán)回口，每個環(huán)回口一個區(qū)域不可以嗎？〕OSPF匯總在OSPF骨干區(qū)域當(dāng)中，一個區(qū)域的所有地址都會被通告進(jìn)來。但是如果*個子網(wǎng)忽好忽壞不穩(wěn)定，則在它每次改變狀態(tài)的時候，都會引起LSA在整個網(wǎng)絡(luò)中泛洪。為了解決這個問題，我們可以對網(wǎng)絡(luò)地址進(jìn)展匯總。Cisco路由器的匯總有兩種類型：區(qū)域匯總和外部路由匯總。區(qū)域匯總就是區(qū)域之間的地址匯總，一般配置在ABR上；外部路由匯總就是一組外部路由通過重發(fā)布進(jìn)入OSPF中，將這些外部路由進(jìn)展匯總。一般配置在ASBR上。區(qū)域匯總：areaarea-idrangeip-addressmask外部路由匯總：summary-addressip-addressmask我設(shè)計的兩個試驗，把幾個知識點串起來試驗一用一個試驗總結(jié)一下ospfover楨中繼的時候，OSPF幾種網(wǎng)絡(luò)類型的差異。封裝好FR，DEBUG看到的幾種情況情況一：兩邊只起了OSPF進(jìn)程，其它全部默認(rèn)這種情況下鄰居需要手動配置！R2(config)*routerospf10R2(config-router)*neighbor.3選舉了DR,BDRhello的間隔是30sOSPF的數(shù)據(jù)包是單播傳送的。情況二：兩邊的網(wǎng)絡(luò)類型改為Broadcast〔命令接口下ipospfnetworkbroadcast〕這種網(wǎng)絡(luò)類型下是不需要手動配置鄰居關(guān)系有DR與BDR的選舉。Hello時間間隔為10s。使用這個組播地址傳送數(shù)據(jù)包。情況三：網(wǎng)絡(luò)類型改為Point-to-Point〔命令接口下ipospfnetpoint-to-point〕不需要手動指定鄰居沒有DR/BDR的選舉Hello時間間隔為10s使用這個組播地址傳送數(shù)據(jù)。情況四：Point-to-Multipoint〔命令接口下ipospfnetworkpoint-to-multipoint〕不需要手動指定鄰居沒有DR和BDR的選舉Hello時間間隔為30s以這個組播地址發(fā)送數(shù)據(jù)情況五：非播送的Point-to-Multipoint〔命令接口下ipospfnetworkpoint-to-multipointnon-broadcast〕鄰居需要手動指定，但是鄰居只要在一邊指定即可。沒有DR和BDR的選取Hello時間間隔為30s使用單播傳送OSPF數(shù)據(jù)列出一表，方便看網(wǎng)絡(luò)類型鄰居自動發(fā)現(xiàn)有無DR選舉Hello間隔傳輸方式默認(rèn)否有30s單播Broadcast是有10s組播Point-to-Point是無10s組播Point-to-Multipoint是無30s組播Point-to-Multipoint(非播送)否，單邊指即可無30s單播試驗二OSPF的認(rèn)證總結(jié)：OSPF的認(rèn)證有2種類型〔不驗證也算的話是3種〕，使用DEBUG可以看到type0表示無認(rèn)證，type1表示明文認(rèn)證，type2表示MD5認(rèn)證。明文認(rèn)證發(fā)送密碼進(jìn)展認(rèn)證，而MD5認(rèn)證發(fā)送的是報文摘要。OSPF的認(rèn)證可以在鏈路上進(jìn)展，也可以在整個區(qū)域進(jìn)展認(rèn)證。另外虛鏈路同樣也可以進(jìn)展認(rèn)證。同樣也是分情況來討論。情況一：R1和R2明文驗證R1(config)*ints1/0R1(config-if)*ipospfauthentication〔啟用認(rèn)證〕R1(config-if)*ipospfauthentication-keycisco〔配置密碼〕不配置R2的話通過debug工具我們可以看到如下信息：*Aug1522:51:54.275:OSPF:Rcvpktfrom.2,Serial1/0:MismatchAuthenticationtype.Inputpacketspecifiedtype0,weusetype1這里的type0是指對方?jīng)]有啟用認(rèn)證，type1是明文認(rèn)證。在R2上配置認(rèn)證，使得鄰居關(guān)系恢復(fù)。R2(config)*ints1/0R2(config-if)*ipospfauthenticationR2(config-if)*ipospfauthentication-keycisco*Aug1522:54:55.815:%OSPF-5-ADJCHG:Process10,Nbr.1onSerial1/0fromLOADINGtoFULL,LoadingDone情況二：在R2和R3的串行鏈路上進(jìn)展MD5認(rèn)證的：R2(config)*ints1/1R2(config-if)*ipospfauthenticationmessage-digest〔定義認(rèn)證類型為MD5〕R2(config-if)*ipospfmessage-digest-key1md5cisco〔定義key和密碼〕R3(config)*ints1/0R3(config-if)*ipospfauthenticationmessage-digestR3(config-if)*ipospfmessage-digest-key1md5cisco情況三：增加R2和R3上串行鏈路的MD5認(rèn)證的密碼：在R2原有的配置上加上下面這條命令：R2(config-if)*ipospfmessage-digest-key2md5openlabR2*shoipospfneighborNeighborIDPriStateDeadTimeAddressInterface.30FULL/--.2OSPF_VL0.11FULL/BDR00:00:34.1FastEthernet0/0.10FULL/-00:00:37.1Serial1/0.30FULL/-00:00:31.2Serial1/1鄰居關(guān)系沒有喪失。增加新的密碼鑰匙，然后在將原來的密碼刪除，候鄰居關(guān)系不受影響。情況四：在Area0上進(jìn)展區(qū)域認(rèn)證〔以前沒做過吧〕R1(config)*routerospf10R1(config-router)*area0authentication還沒有寫下一步，就是剛啟用，還沒設(shè)置密碼，鄰居就down掉了同樣，R2上啟用一下，鄰居就恢復(fù)或者都設(shè)置一樣的密碼也可以。情況五：Area0上進(jìn)展區(qū)域認(rèn)證以后。。。R2*clearipospfpro清進(jìn)程，A2區(qū)域的學(xué)不到鄰居了。R3是通過虛鏈路連接到骨干區(qū)域的。因為virtual-link屬于Area0，因此在R2配置完成Area0區(qū)域認(rèn)證后，R3也需要相應(yīng)的配置。R3(config)*routerospf10