超详细破析OSPF路由协议(3)

('8.15.5SettingtheDefaultMetricforRedistributedProtocolsDefault-metriccost对于重分布到OSPF的路由,如果没有使用redistribute命令分配一个度量,那么可以使用该命令分配一个成本,但使用此命令不会影响已由redistribute分配一个度量的路由,默认的redistribute-costBGP的缺省度量是1，其他协议是20在路由进程中，使用Default-metriccost可以更改8.15.6AdministrativeDistanceDistanceadministrative-distance用于修改本地路由选择表中所有OSPF路由的管理距离，默认管理距离如下connected—0static—1EBGP—20EIGRP—90IGRP—100OSPF—110IS-IS—115RIP—120IBGP—200Distanceadministrative-distancesource-ip-addresssource-ip-maskaccess-list-number用于修改特定来源的特定路由条目的管理距离，其中source-ip-address对于OSPF来说是源路由器的router-id，Mask是原地址的ip掩码，用反掩码表示例如R1的R-ID为1.1.1.1则distance991.1.1.10.0.0.0是修改来自1.1.1.1的管理距离，若子网掩码为0.0.0.255则指来自1.1.1.0/24的所有路由器的管理距离。同时可以可以使用access-list对特定的路由条目进行处理8.15.7FilteringRouteswithDistributeListsDistribute-listaccess-list-numberin用于阻止从OSPF学到的路由条目放置到IP路由选择表如图所示，将A上过滤掉2.2.2.0和3.3.3.0distribute-list1in!access-list1deny2.2.2.00.0.0.255access-list1deny3.3.3.00.0.0.255access-list1permitanyDistribute-listaccess-list-numberininterfacetypeinterface-number用于阻止从特定接口学到的OSPF路由被放置到ip路由选择表中。Distribute-listaccess-list-numberout[interfacetypeinterface-numberrouting-process]对于距离矢量协议(RIPIGRPEIGRP)，该命令阻止被访问列表选定的路由广播到邻居处，OSPF不会把路由广播到邻居，但会广播LSDB，因此该命令在OSPF一起使用是无效的。如果加入参数routing-process可以过滤相应的距离矢量路由协议重分布进OSPF的路由表项distribute-list1outeigrp1!access-list1permit4.4.4.00.0.0.255Distribute-listaccess-list-namein用于阻止从OSPF学到的路由条目放置到IP路由选择表如图所示，将A上过滤掉2.2.2.0和3.3.3.0Distribute-listaccess-list-nameininterfacetypeinterface-number用于阻止从特定接口学到的OSPF路由被放置到ip路由选择表中。Distribute-listaccess-list-numberout[interfacetypeinterface-numberrouting-process]对于距离矢量协议(RIPIGRPEIGRP)，该命令阻止被访问列表选定的路由广播到邻居处，OSPF不会把路由广播到邻居，但会广播LSDB，因此该命令在OSPF一起使用是无效的。如果加入参数routing-process可以过滤相应的距离矢量路由协议重分布进OSPF的路由表项Distribute-listprefixprefix-name[inout]{interface-typeinterface-numberrouting-process}如上3例使用prefix的配置如下8.15.8HandlingofMOSPFLSAsIgnorelsamospfCisco不支持MOSPF路由,缺省情况下会接受Type6-LSA,路由器不支持,但会产生syslog,此命令可以阻止syslog产生8.15.9LoggingOSPFNeighborChangesg-adjacency-changes{detail}8.15.10MultiplePathConfigurationMaximum-pathsnumber-of-paths默认是4条路径的负载均衡，可以自行设置负载均衡链路条路参数范围1~68.15.11OSPFneighborCommandsNeighborip-addressOSPF对待NBMA网络和其他任何广播网络一样，OSPF认为这类网络具有广播特性，但必须使用neighbor命令建立一个OSPF邻居。在引入ipospfnetwork接口命令前，使用neighbor配置OSPF邻居由于帧中继交换机是全互连的，路由器通过反向ARP获得所有特定接口的DLCI，关闭路由器A，B的反向ARP，并把适当IP映射到相应的DLCI。但一方加入neighbor，邻居关系即将建立，并选举出DR。//OSPFneighbor只需配置一端Neighborip-addresscostcost帧中继接口在OSPF下Cost为48，Neighborcost命令仅用于点到多点的网络可以在接口上使用ipospfnetworkpoint-to-multipoint更改接口网络类型Neighbor10.1.1.1cost10Neighborip-addressdatabase-filterallout此命令为了防止LSA泛洪到指定的邻居。许多ISP在OSPF邻居间使用冗余电路，当一个OSPF路由器收到一个LSA，则LSA在所有的OSPF接口上泛洪，除了收到LSA的接口。可以使用该命令阻止其中一个邻接LSA的扩散注意：该命令仅用于p-to-mp或者NBMA类型接口如果OSPF邻居具有全连接，那么database-filterallout应该有效Neighborip-addresspoll-intervalinterval如果在终止间隔内没有从邻居处收到hellopacket，那么这个邻居是被宣告down的，当down后，hello包会以论询间隔指定的速率发送到这个邻居，但这个选项不能用于p-to-mp接口上.仅在NBMA网络使用.routerospf1network1.1.1.10.0.0.0area1Neighborip-addressprioritypriority设置邻居的priority用于影响DR选举，默认priority为10不参与选择8.15.12OSPFnetworkCommandnetworkip-addresswild-card-maskareaarea-id用于通告和定义OSPF的区域,其中要使用wild-card-maskArea-id可以使用点分10进制的形式8.15.13PassiveOSPFInterfacespassive-interfaceinterface-nameinterface-number使用被动接口减少协议流量，由于OSPF有hello机制，相对于RIP，OSPF端口passive以后，邻居关系立即断开，而Rip还可以接受路由更新信息8.15.14RouteRedistributionredistributerouting-processprocess-id[tagmetricmetic-typesubnetsroute-map]routing-process:BGPEGPConnectedEIGRPIGRPISISISO-IGRPMobileODROSPFRIPandStaticospf-metric:BGP缺省重分布度量1其他协议为20tag-value:附加到重分布路由的一个32位的值，OSPF没有使用路由标记，可以在用于指定策略的路由映射中引用，缺省标记为0利用route-map控制重分布，并修改metric值，并做标记如上图，基于标签来控制路由的重分布8.15.15ControllingtheOSPFRouterIDRouter-idip-address手工指定路由器的router-id，建议配置时手工设置，以增加RID的稳定性。CCIE试验时，手工设置一次，避免扣分另ipv6环境的RID，仍然是现有的ipv4表示方法，但必须手工设置一次8.15.16SummarizingExternalRoutesSummary-addressip-address[advertisenot-advertise]汇聚路由可以应用到从动态路由选择协议，静态路由和连接路由再次分布的路由上。只可用在ASBR和ABR上默认参数为advertisenot-advertise关键词阻止汇聚路由被ABR，ASBR广播Summary-addressip-addresstag用于对汇总路由标记，如下例在OSPF重分布到RIP时，对特定标记的路由进行重分布8.15.17OSPFTimerstimerslsa-group-pacingseconds用于LSA更新，以前仅一个计时器，每30min，路由器会检查整个LSDB并更新每个LSA。但这样将会导致路由器CPU周期性的高负载及周期性的高网络使用率。LSA-group-pacing就是用于解决这个问题的，路由器将LSA分组并指定更新校验老化功能的步调。对于一个快速路由器和一个慢速路由器点对点连接以及几个邻居同时向一个路由器发送分组的情况，为了增加效率和减少重传几率可以适当的增加time，默认时间为33msTimersspfdelayinterval用于修改SPF计算的延迟和间隔，默认时间为5s/10straffic-shareminacross-interfaces用于和IGRPEIGP一起是用来支持非等价负载均衡，该命令作为OSPF下一个选项出现，但不应用到OSPF中8.15.18InterfaceConfigurationCommandsipospfauthentication在IOS12.0以前，如果对OSPF一个区域进行认证，该区域的所有接口将配置相同的认证。该命令允许在接口认证上与区域使用的认证类型不同ipospfcost修改接口的OSPF成本值，但建议使用autocostreference-bandwidth来修改参考值ipospfdatabase-filterallout用来阻止接口上的LSA扩散。许多ISP在OSPF邻居将使用冗余的链路。可以使ISP在频繁扩散和可靠扩散间进行选择。ipospfhello/dead-intervalllo/失效计时器，默认为hello-interval的4倍。即邻居down了以后，发送4次hellopacket无应答，则宣告邻居失效,注意：设置时间总应大于hello-interval1．如果链路上两端hello/deadinterval不匹配，邻居关系无法建立2．如果deadstub命令把区域设置为stubarea.配置如下:8.16.6完全Stub区域配置只需在areastub后挂接no-summary,仅在ABR上执行，此时将过滤掉域间路由，只剩下域内路由和默认路由8.16.7在NBMA型网络上配置OSPF在NBMA网络比如ATM,X.25和帧中继等,需要人工指定邻居.在IOS版本10.0之前,可以使用命令neighbor来指定邻居.拓扑图如下：1.neighbor命令只是用在老版本的IOS(10.0之前)上,在之后的IOS版本里,可以在接口配置模式下使用ipospfnetwork命令改变默认的OSPF网络类型2.采用全互连的NBMA上DR/BDR的选举是最有利的,但是这样的成本太高;另1种解决方法是把网络类型改为点到多点,来避免DR/BDR的选举问题.点到多点链路把PVC当作点到点链路的集合.3.但是这种点到多点的配置,在动态连接的网络比如帧中继SVC,ATMSVC等出现问题.在IOS版本11.3AA之后,可以使用在ipospfnetworkpoint-to-multipoint之后加个参数non-broadcast来解决.但是仍然要人工指定邻居4.在IOS版本11.3AA之后,多了个特性,就是在指定邻居的同时还可以基于每条VC来指定开销5.最后一种解决方案是,把每条PVC当作1条点到点链路,通过划分子接口的方式完成,这样也消除了DR/BDR的选举带来的问题在配置NBMABroadcast型时注意：1.更改OSPF接口优先级方式确保中心路由器为DR2.更改接口类型为广播型3.为了保证端到端ping通，边缘路由器没有直连的PVC，故在边缘路由器上除了要做对中心路由器IP地址到本地DLCI的映射，还要做邻居边缘路由器IP到本地DLCI的映射，让中心路由器引导流量在配置NBMAP-P型时注意：1.中心路由器要启用子接口，子接口之间出于不同子网，映射子接口到本地DLCI2在边缘路由器上把接口类型更改为P-P，并映射同一子网下中心路由器子接口的IP地址到本地DLCI在配置NBMAnon-broadcast型时注意：1.更改OSPF接口优先级方式确保中心路由器为DR2.为了保证端到端ping通，边缘路由器没有直连的PVC，故在边缘路由器上除了要做对中心路由器IP地址到本地DLCI的映射，还要做邻居边缘路由器IP到本地DLCI的映射，让中心路由器引导流量在配置NBMAP-MP型时注意：1.中心路由器类型改为P-MP2.边缘路由器如果做为P-P，只需设置一条中心路由器IP到本地DLCI的映射，并且hello_interval改为30s3.边缘路由器作为P-MP，需要将邻居路由器和中心路由器的IP映射到本地DLCI4.凡是P-MP的接口，都会宣告一条该接口的32位主机路由给邻居8.16.8在按需电路上配置OSPF通过在按需电路相连的接口上增加ipospfdemand-circuits。在按需电路上实现OSPF需要注意：1.只有在区域的LSDB中的所有LSA设置了DC-bit后，设置DoNotAge位的LSA才被允许进入该区域2.实现按需电路上的OSPF区域内的说有路由器都必须具有支持这种配置方法的能力3.如果运行在按需电路上的OSPF是在一个非末节区域实现的，那么所有的非末节区域必须支持这种方式因为DC-bit是在type-5LSA中实现的，Type-5LSA可以泛洪到所有的非末节区域4.应该尽量限制在末节，完全末节，NSSA区域上实现DC，因为这样可以限制LSA的数量，亦可取消OSPF域内的所有路由器支持DC5.如果配置的DC上有虚电路穿过，此虚电路亦被认为是按需电路6.每30min刷新LSA。但由于设置了donotAge的LSA在穿越按需电路时不需要刷新，因此丧失了OSPF的稳定特性7.重新刷新过程可以在一条按需电路两端外的其他所有接口上发生。结果导致链路2端的LSA序列号可能会是不同的8.17OSPF设计及解决方案推荐的OSPF网络规模如下表ABR的区域数目：每个ABR有2个区域是最优的DR/BDR选择：可以使用showprocesscpu/memory检查尽量选择负载低，且链路稳定的路由器为了网络稳定，最好设置端口优先级，避免路由进程重启后导致的DR/BDR改变NBMA网络：部分互联网络要比全互联好很多，在一些情况下仔细设计的P-P或者P-MP网络要比多点网络工作起来好很多LSDB大小：LSDB的大小对于路由器是否稳定工作十分重要路由选择表的每一项需要消耗200~280字节，加上每条链路消耗44字节每个LSA消耗100字节，加上LSA实际长度，大概增加60~100字节因此通常要给少于500KB的路由选择表2~16MB的RAM。大于500KB大型网络需要16~64MB的储存器检测注意：howmemory最好不要在工作日时间做，在showmemory之前最好备份路由器配置，较小OSPF区域并使用路由汇总将会急剧减少CPU使用OSPF区域设计概述：1．优先考虑物理的临近2．如果链路不稳定则减小区域规模3．确保连续的区域，尽量避免不必要的虚链路4．调整hello-interval/dead-interval/retransmission-interval/transmit-delay来降低链路使用率5．区域命名，点分10进制和普通10进制2种。大型多区域最好采用点分10进制6．BB区域必须连续，否则会对网络稳定性产生影响，当然非连续也可以通过VL来修补7．E1/E2路由：通常网络有多个从OSPFAS到相同外部网络的接入点，使用E1路由可以让路由器更好的选择到外部的最短路径，同时大规模网络亦使用E1。当网络规模较小时使用E28．尽量把ABR的loopback口放入area0OSPFRedistribution：1．尽可能将功能不够强大的路由协议重分布到相对功能强大的路由协议中，例如RIP重分布进OSPFOSPF重分布进BGP。但BGP重分布进OSPF将是一个非常糟糕的做法2．尽可能在一个点上重分布。多点重分布容易产生环路，例如CCIE_lab160的路由环路3．使用路由过滤器，尽量过滤无用路由信息4．必要时进行重分布，而不是尽可能重分布5．调整管理距离和路由选择度量标准6．一直都要设置度量值。7．对部分路由信息打标，通过route-map过滤分类是一个不错的做法OSPFSummary-address：1．IP编址时尽量考虑到子网的规则分配2．IP编址尽量考虑到以后用户的增长3．汇总仅在ABR，ASBR进行4．如果网络中有Classful的路由协议，则必须在边界上进行汇总。8.18OSPF排错.8.18.1Troubleshooting常用步骤：1．清楚地定义问题2．收集信息，例如受影响的用户，网络管理员，改变的配置，NMS报告内容，路由器debug命令，Cisco设计缺陷等3．思考可能的问题4．制定一个行动计划5．执行计划6．收集结果7．重新执行此过程8.18.2Debug命令使用：参见前文commandandconfigurations中的相关叙述8.18.3OSPF协议故障排除方法如下1.一般故障是由路由信息丢失，错误的或者不精确的路由信息引起的。2.showipospfdatabase查看LSA，如果一条链路是不稳定的，则通告将十分频繁，故其序列号明显高于其他LSA3.检查networkarea语句是否把所有接口都指定到正确的区域，wild-netmask是否正确4.检查邻接关系时，考虑hello报文是否在发送？两端计时器是否相同，可选性能字段是否相同，接口是否在同一子网邻居是否同一种网络类型5.认证类型是否有问题？6.虚链路是否正确设置？7.如果怀疑LSDB有问题，可以showipospfdatabase查看同区域内每台路由器的LSA数量及类型8.分区域检查，如果stubNSSA区域，每台路由器都将申明areastuborareanssa9.地址汇总配置是否正确10.防止重分布产生的路由环路8.18.4OSPF协议常见故障：邻居及邻接关系出现问题大致情况如下1.OSPF没有在接口上启用，或者一条网络路由器配置命令错误或丢失2.不匹配的Hello或者计时器，E位，区域ID，认证类型或者网络掩码3.访问列表错误配置，可能正在阻塞OSPFhello包4.虚拟链路和末节设置不匹配5.接口被定义为passive-mode6.不匹配的认证类型7.不匹配的认证密钥8.第2层停机9.没有在NBMA上定义网络类型10.FR或dialer缺少broadcast关键字8.18.5OSPF停滞在INIT状态检查方法如下：1．一端正在阻塞hello分组2．一端NAT转换了OSPFhello包3．一端的组播能力被破坏4．肯定是一个2层的问题5．Dialer或FR缺少broadcast6．路由器发送hello，但没有收到响应7．邻居hello在NBMA云团中消失8．ACL或者某些2层原因拒绝了hello包8.18.6OSPF停滞在Exstart/Switching状态检查方法如下：1.MTU不匹配2.邻居RID是一致的3.单播被破坏在一个高度冗余的网络中，Frame/ATM环境中错误的VC/DLCI映射MTU的问题，不能使用超过某长度的分组ACL阻塞单播NAT正在转换单播分组4.在PRI和BRI/dialer和网络类型之间是点到点的8.18.7OSPF停滞在Loading状态未完，待续！',)