OSPF协议详解(最终版),ospf协议工作原理详解

('OSPF协议详解(最终版)OSPF协议总结（完整版）OSPF的五个包:1．Hello：9项内容，4个必要2．DBD：数据库描述数据包（主要描述始发路由器数据库中的一些或者全部LSA信息），主要包括接口的MTU，主从位MS，数据库描述序列号等）；3．LSR：链路状态请求数据包（查看收到的LSA是否在自己的数据库，或是更新的LSA，如果是将向邻居发送请求）；4．LSU：链路状态更新数据包（用于LSA的泛洪扩散和发送LSA去响应链路状态请求数据包）；5．LSACK：链路状态确认数据包（用来进行LSA可靠的泛洪扩散，即对可靠包的确认）。Hello包作用：1．发现邻居;2．建立邻居关系;3．维持邻居关系;4．选举DR，BDR5．确保双向通信。Hello包所包含的内容：路由器idHello&Dead间隔区域id邻居DRBDR优先级验证末节区域注：1．“”部分全部匹配才能建立邻居关系。2．邻居关系为FULL状态；而邻接关系是处于TWO-WAY状态。Hello时间间隔:在点对点网络与广播网络中为10秒；在NBMA网络与点对多点网络中为30秒。注：保持时间为hello时间4倍虚电路传送的LSA为DNA，时间抑制，永不老化.OSPF的组播地址:DR将使用组播地址224.0.0.5泛洪扩散更新的数据包到DRothersDRothers使用组播地址224.0.0.6发送更新数据包组播的MAC地址分别为：0100.5E00.0005，0100.5E00.0006OSPF的包头格式:OSPF邻居建立过程:A-------------------------BdowninitB收到A发来hello进入init状态twowayhello4个“”匹配，选举DRBDR；A在hello中发现自己的Router-id;exstart交换DBD;确立主从关系(多路访问Router-id高为主,低为从;串行接口下接口地址大的为主)exchange交换数据DBD（主的先发）loading交换完整数据包LSRLSUfull注：每个LSA由序列号确认为最新的更新。当路由器收到LSA之后的处理过程：（1）如果数据库有这样的，再查看序列号，如果序列号相同，忽略这条LSA；如果序列号偏大，将其转到数据库，并进行SPF，更新路由表；如果序列号偏小，将一个包含自己的LSA新信息发送给发送方。（2）如果数据可没有这样的，将其加到数据库表，并发一个ACK返回，并运行SPF，更新路由表。‘OSPF的Metric值：Cost=10的8次方/带宽，简便记做100Mb/带宽值。Metric值是由cost值逐跳累加的。环回口的路由，掩码为/32，既我们所说的“主机路由”。在实际应用中，环回口以32位的居多，用作ospf的管理接口。但是如果你想让环回口模拟一个网段，我们可以通过以下配置来消除。R1(config)#intloopback0R1(config-if)#ipospfnetworkpoint-to-point环回口只能配置成point-to-point这种类型，不可以配置成其它的类型。其他：1．当一个路由器既是ABR又是ASBR时为了不让巨量外部路由分发进nssa区域使用命令：area1nssano-redistributiondefault-informationoriginate2．配置命令showipospfdatabaserouter用来查询拓扑3．一个路由器在理论上支持65535个OSPF进程，在实际环境中一个路由器可支持的OSPF进程数量与其可用物理接口数量相等。（这个我对老师说的有疑问，如果我启用了很多环回口，每个环回口一个区域不可以吗？）OSPF汇总在OSPF骨干区域当中，一个区域的所有地址都会被通告进来。但是如果某个子网忽好忽坏不稳定，那么在它每次改变状态的时候，都会引起LSA在整个网络中泛洪。为了解决这个问题，我们可以对网络地址进行汇总。Cisco路由器的汇总有两种类型：区域汇总和外部路由汇总。区域汇总就是区域之间的地址汇总，一般配置在ABR上；外部路由汇总就是一组外部路由通过重发布进入OSPF中，将这些外部路由进行汇总。一般配置在ASBR上。区域汇总：areaarea-idrangeip-addressmask外部路由汇总：summary-addressip-addressmask我设计的两个试验，把几个知识点串起来试验一用一个试验总结一下ospfover桢中继的时候，OSPF几种网络类型的差别。封装好FR，DEBUG看到的几种情况情况一：两边只起了OSPF进程，其它全部默认这种情况下邻居需要手动配置！R2(config)#routerospf10R2(config-router)#neighbor12.1.1.3选举了DR,BDRhello的间隔是30sOSPF的数据包是单播传送的。情况二：两边的网络类型改为Broadcast（命令接口下ipospfnetworkbroadcast）这种网络类型下是不需要手动配置邻居关系有DR与BDR的选举。Hello时间间隔为10s。使用224.0.0.5这个组播地址传送数据包。情况三：网络类型改为Point-to-Point（命令接口下ipospfnetpoint-to-point）不需要手动指定邻居没有DR/BDR的选举Hello时间间隔为10s使用224.0.0.5这个组播地址传送数据。情况四：Point-to-Multipoint（命令接口下ipospfnetworkpoint-to-multipoint）不需要手动指定邻居没有DR和BDR的选举Hello时间间隔为30s以224.0.0.5这个组播地址发送数据情况五：非广播的Point-to-Multipoint（命令接口下ipospfnetworkpoint-to-multipointnon-broadcast）邻居需要手动指定，但是邻居只要在一边指定即可。没有DR和BDR的选取Hello时间间隔为30s使用单播传送OSPF数据列出一张表，方便看网络类型邻居自动发现有无DR选举Hello间隔传输方式默认否有30s单播Broadcast是有10s组播Point-to-Point是无10s组播Point-to-Multipoint是无30s组播Point-to-Multipoint(非广播)否，单边指即可无30s单播试验二OSPF的认证总结：OSPF的认证有2种类型（不验证也算的话是3种），使用DEBUG可以看到type0表示无认证，type1表示明文认证，type2表示MD5认证。明文认证发送密码进行认证，而MD5认证发送的是报文摘要。OSPF的认证可以在链路上进行，也可以在整个区域内进行认证。另外虚链路同样也可以进行认证。同样也是分情况来讨论。情况一：R1和R2明文验证R1(config)#ints1/0R1(config-if)#ipospfauthentication（启用认证）R1(config-if)#ipospfauthentication-keycisco（配置密码）不配置R2的话通过debug工具我们可以看到如下信息：Aug1522:51:54.275:OSPF:Rcvpktfrom10.1.1.2,Serial1/0:MismatchAuthenticationtype.Inputpacketspecifiedtype0,weusetype1这里的type0是指对方没有启用认证，type1是明文认证。在R2上配置认证，使得邻居关系恢复。R2(config)#ints1/0R2(config-if)#ipospfauthenticationR2(config-if)#ipospfauthentication-keyciscoAug1522:54:55.815:%OSPF-5-ADJCHG:Process10,Nbr1.1.1.1onSerial1/0fromLOADINGtoFULL,LoadingDone情况二：在R2和R3的串行链路上进行MD5认证的：R2(config)#ints1/1R2(config-if)#ipospfauthenticationmessage-digest（定义认证类型为MD5）R2(config-if)#ipospfmessage-digest-key1md5cisco（定义key和密码）R3(config)#ints1/0R3(config-if)#ipospfauthenticationmessage-digestR3(config-if)#ipospfmessage-digest-key1md5cisco情况三：增加R2和R3上串行链路的MD5认证的密码：在R2原有的配置上加上下面这条命令：R2(config-if)#ipospfmessage-digest-key2md5openlabR2#shoipospfneighborNeighborIDPriStateDeadTimeAddressInterface3.3.3.30FULL/--11.1.1.2OSPF_VL01.1.1.11FULL/BDR00:00:3421.1.1.1FastEthernet0/01.1.1.10FULL/-00:00:3710.1.1.1Serial1/03.3.3.30FULL/-00:00:3111.1.1.2Serial1/1邻居关系没有丢失。增加新的密码钥匙，然后在将原来的密码删除，候邻居关系不受影响。情况四：在Area0上进行区域认证（以前没做过吧）R1(config)#routerospf10R1(config-router)#area0authentication还没有写下一步，就是刚启用，还没设置密码，邻居就down掉了同样，R2上启用一下，邻居就恢复或者都设置相同的密码也可以。情况五：Area0上进行区域认证以后。。。R2#clearipospfpro清进程，A2区域的学不到邻居了。R3是通过虚链路连接到骨干区域的。因为virtual-link属于Area0，因此在R2配置完成Area0区域认证后，R3也需要相应的配置。R3(config)#routerospf10R3(config-router)#area0authentication这样就可以了情况六：单纯的虚链路的认证（这个以前也没做过吧）明文认证，MD5认证。配置命令如下：明文：R2(config-router)#area1virtual-link3.3.3.3authentication-keyciscoR3(config-router)#area1virtual-link2.2.2.2authentication-keyciscoMD5：R2(config-router)#area1virtual-link3.3.3.3authenticationmessage-digestR2(config-router)#area1virtual-link3.3.3.3message-digest-key1md5ciscoR3(config-router)#area1virtual-link2.2.2.2authenticationmessage-digestR3(config-router)#area1virtual-link2.2.2.2message-digest-key1md5cisco另外通过实验知道虚链路在建立起来后是DNALSA（不老化LSA），所以如果没有重启OSPF进程的话，即使一端配置了认证，虚链路也是不会断开的。后面是sniffer抓得包Hello包Lsu包LSACK包上面是一般情况，下面是明文验证的几个包HelloDBDLSRLSULSACK下面是MD5加密认证得包HelloDBDLSRLSULSACK',)