1)明文認證 //不安全
鄰居間直接進行認證,hello包中的認證引數在開啟認證後為1 ,不開啟則為0
r1(config)#int s1/1開啟明文認證r1(config-if)#ip ospf authentication
r1(config-if)# ip ospf authentication-key cisco
2)md5認證 //安全
通過資料(data)+隨機值構成md5值,再加上資料、認證值以及隨機數傳遞給對方,對方通過隨機猜測得出密碼
r2(config)#int s1/1在路由器所有屬於該區域介面發出的hello包中開啟認證引數r2(config-if)#ip ospf authentication message-digest 介面下開啟密文認證
r2(config-if)#ip ospf authentication-key 1 md5 cisco 密文金鑰
1)明文認證
r11(config)#router ospf 12)md5認證r11(config-router)#area 1 authentication 開啟區域明文個人\\\
r11(config)# int e0/0
r11(config-if)# ip ospf authentication-key cisco//介面下寫金鑰
r11(config-router)#area 1 authentication message-digest //區域開啟密文認證abr——將乙個或多個ospf區域與骨幹區域相連線,處於多個ospf區域內,但必須有骨幹區域的存在,其與骨幹區域連線可以是物理連線,也可邏輯相連;處於兩個非骨幹區域的路由器僅叫做區域邊界路由器,並不是abr;進介面:
r1(config-if)#ip ospf authentication-key 1 md5 cisco 介面下配置認證的秘鑰模式,編號
虛鏈路之間建立的鄰居關係預設屬於區域0,因此對區域0進行區域認證時,該路由器也要開啟;虛鏈路之間兩個邊界路由器使用距離最近的兩個介面進行通訊;兩個abr 的鄰居介面使用單播建鄰,單播的源為自身距離對方最近的介面,目的為對方距離自己最近的介面;虛鏈路本身不存在,但存在於拓撲圖中;
1.連線遠離骨幹區域的普通區域
2.縫合不連續的骨幹區域(可以用於骨幹區域的備份設定)
r1(config)#router ospf 11.分發列表--是一中操作路由表顯示路由條目的做法 不推薦,有侷限性(本路由器過濾的路由不會影響下游路由器)r1(config-router)#area 1 virtual-link 1.1..1.1
r1(config)#router ospf 1
r1(config-router)#area 1 virtual-link 3.3.3.3 穿越area 1到達對端區域
r2(config-router)#capability transit //開啟普通區域**區域0的lsa,否則無法建成虛鏈路,預設開啟
本地o路由過濾,在in方向使用分發列表過濾1類,2類lsa,並不能過濾掉lsa,只能阻止該路由加入本路由器路由表中,沒有路由資訊,該lsa依然可以傳遞
r1(config)# router ospf 1//ospf只能在in方向呼叫,因為ospf傳遞的是lsa,並不是路由表,所以不能使用out呼叫,距離向量型協議可以;r1(config-route)# distribute-list 1 in e0/0
r1(config)#access-list 1deny host 10.5.5.5//在ospf中不能使用out操作,在距離向量中可以r1(config)#access-list 1 permit any any
2.filter-list //只能使用字首列表進行抓取,只能針對3類lsa(因為3類lsa會進行洪氾),並且在所有abr上都需要做
注意:in
,傳送至本區域匹配
prefix-list
進行 3
類 lsa
的過濾
out,從本區域匹配
prefix-list
進行 3
類 lsa
的過濾
fitter-list
自身不具備過濾功能
router ospf 13.area 1 range x.x.x.x x.x.x.x not-advertise //通過彙總不通告來過濾明細路由(彙總和明細都沒有)area 1filter-list prefix xx out
ip prefix-list xx seq 5 deny 10.5.5.5/32
ip prefix-list xx seq 15 premit 0.0.0.0/0 le 32
4.重發布的過濾,在重發布的時候跟route-map來過濾
r2(config-router)#default-metric //修改stub預設3類的開銷一般使用網路型別是在處理廣域網連線的複雜場景下
①點到點 組播建鄰 hello時間為10s 不需要選舉dr/bdr 兩點間建鄰
②點到多點 組播多點之間建鄰 hello時間為30s 不需要選舉dr/bdr
③點到多點非廣播 單播多點之間建鄰 hello時間為30s 不需要選舉dr/bdr
④多路廣播 組播多點之間建鄰 hello時間為10s 需要選舉dr/bdr
⑤多路非廣播 單播多點之間建鄰 hello時間為30s 需要選舉dr/bdr
點到點與點到多點,將hello時間改為一致,可以互相建鄰
幀中繼天然不支援組播,採用偽組播
①彙總---利用彙總路由條目,來進行選路控制
②靜態--利用靜態路由的優先權大於動態路由,來進行選路控制
例:r1上有乙個環迴a,r2上有乙個環迴b,r5上有乙個環迴c,現需要進行選路控制,正常情況下,c訪問a走r5-->r3-->r1,c訪問a走r5-->r4-->r2,當r3與r5之間的鏈路斷掉時,c訪問a走r5-->r4-->r3-->r1,當r1與 r3之間的鏈路斷掉時,c訪問a走r5--->r3-->r4-->r2-->r1。
分析:首先,起動態協議ospf,r1,r2,r3,r4在區域0,r3,r4,r5在區域二,此時滿足要求一和要求二。當r1與r3之間的鏈路斷掉時,我們可以在r4上做乙個r1環迴的路由彙總,此時由於r3上有r1環迴的路由明細,而r4上只有彙總,所以選擇r3這條鏈路;當r3與r5之間的鏈路斷掉時,在r4上做一條指向r3的靜態,在將r4到r2這條鏈路上的cost值變大,即可達到要求
③track 1 ip sla 1 //定義乙個track監控 監控的物件是sla探針
ip sla 1 //定義乙個sla探針icmp-echo 10.1.13.3 //定義一哥ping探針
ip sla schedule 1 life forever //設定探針的生效時間
ip route 10.10.1.1 255.255.255.255 10.1.34.3 track 1 //如果track1監控成功那麼路由生效,否則失效。現最常用的ospf部署方式為雙點雙歸以及雙歸屬,可靠性高
OSPF的認證 虛鏈路 過濾
ospf的認證是在ospf的資料報頭部中有 認證型別和認證資料 有三個識別符號0 1 2,其中0表示不做認證,1表示明文認證,2表示密文認證 ospf的認證 鏈路認證 防止鏈路接入非法路由器 明文認證 router ospf 1 ip ospf authentication ip ospf auth...
OSPF虛鏈路與認證
拓撲圖 知識點ospf網路型別 虛鏈路 virtual link 1.ospf 虛鏈路必須是在兩個擁有共同區域的 abr 之間建立的,其中必須至少有乙個 abr 是連線骨幹的。2.ospf 虛鏈路被認為是骨幹區域的乙個介面,一條鏈路,也需要建立 ospf 鄰居,但在鄰居建立之後,鏈路上是沒有 hel...
OSPF的認證 虛鏈路及過濾
1.鏈路認證 1 明文認證 防止鏈路接入非法路由器 int e0 0 ip ospf authentication ip ospf authentication key cisco 2 md5認證 安全,運用雜湊運算,不存在逆向破解,只能猜出來 r3 config if int e0 0 r3 co...