ospf路由协议配置实验心得 ospf的配置实验

四、OSPF配置实验

• OSPF实验

• 一、单区域配置实验
• 二、多区域配置实验
• 三、DR/BDR配置实验
• 四、虚连接配置实验
• 五、验证配置实验
• 六、多进程配置实验
• 七、引入外部路由配置实验
• 八、引入缺省（默认）路由配置实验
• 九、Cost值配置实验
• 十、Stub区域配置实验
• 十一、Totally Stub区域配置实验
• 十二、NSSA区域配置实验
• 十三、Totally NSSA区域配置实验
• 十四、路由聚合配置实验
• 十五、路由过滤配置实验
• 十六、静默接口配置实验
• 十七、路由选路配置实验
• 十八、OSPF其他注意事项

OSPF实验

实验包含了：单区域配置、多区域配置、DR/BDR选举、虚连接配置、验证配置、多进程配置、引入外部路由配置、缺省路由引入配置、Cost值配置、Stub区域配置、Totally Stub配置、NSSA区域配置、Totally NSSA配置、路由聚合配置、路由过滤配置、静默接口配置、选路配置、其他注意事项。

———————————————————————————————————————————————————

一、单区域配置实验

地址规划：互联接口采用10.10.100段的，掩码30位。Loopback0采用10.10.0段，也当管理地址作用。

AR1：

//配置接口IP
 [Huawei]int g0/0/1
 [Huawei-GigabitEthernet0/0/1]ip add 10.10.100.1 30
 [Huawei-GigabitEthernet0/0/1]int g0/0/0
 [Huawei-GigabitEthernet0/0/0]ip add 10.10.100.9 30
 [Huawei-GigabitEthernet0/0/0]int lo 0
 [Huawei-LoopBack0]ip add 10.10.0.1 32
 //开启OSPF协议
 [Huawei]ospf 100 router-id 10.10.0.1 //配置Router ID，标识一个路由器
 [Huawei-ospf-100]area 0 //配置区域
 [Huawei-ospf-100-area-0.0.0.0]network 10.10.0.1 0.0.0.0 //通告接口
 [Huawei-ospf-100-area-0.0.0.0]network 10.10.100.0 0.0.0.3 //通告接口
 [Huawei-ospf-100-area-0.0.0.0]network 10.10.100.8 0.0.0.3 //通告接口AR2：
 //配置接口IP
 [Huawei]int g0/0/1
 [Huawei-GigabitEthernet0/0/1]ip add 10.10.100.2 30
 [Huawei-GigabitEthernet0/0/1]int g0/0/1
 [Huawei-GigabitEthernet0/0/1]ip add 10.10.100.5 30
 [Huawei-GigabitEthernet0/0/1]int lo 0
 [Huawei-LoopBack0]ip add 10.10.0.2 32
 //开启OSPF协议
 [Huawei]ospf 100 router-id 10.10.0.2
 [Huawei-ospf-100-area-0.0.0.0]network 10.10.0.2 0.0.0.0
 [Huawei-ospf-100-area-0.0.0.0]network 10.10.100.0 0.0.0.3
 [Huawei-ospf-100-area-0.0.0.0]network 10.10.100.4 0.0.0.3AR3：
 //配置接口IP
 [Huawei]int g0/0/0
 [Huawei-GigabitEthernet0/0/0]ip add 10.10.100.10 30
 [Huawei-GigabitEthernet0/0/0]int g0/0/1
 [Huawei-GigabitEthernet0/0/1]ip add 10.10.100.6 30
 [Huawei-GigabitEthernet0/0/1]int lo 0
 [Huawei-LoopBack0]ip add 10.10.0.3 32
 //开启OSPF协议
 [Huawei]ospf 100 router-id 10.10.0.3
 [Huawei-ospf-100]area 0
 [Huawei-ospf-100-area-0.0.0.0]network 10.10.0.3 0.0.0.0
 [Huawei-ospf-100-area-0.0.0.0]network 10.10.100.8 0.0.0.3

使用dis ospf br命令显示R1路由器运行OSPF配置情况

以上输出信息显示，AR1路由器的Router ID为10.10.0.1，所在区域0.0.0.0。也就是Area 0，运行协议的接口有：G0/0/1、G0/0/0，Loopback0。OSPF参数及各接口参数均为缺省值。

使用dis ospf peer显示路由器OSPF邻居建立情况

输出信息显示，R1路由器的Router ID为10.10.0.1，所在区域0.0.0.0，已经建立两个邻居，对方的Router ID为：10.10.0.2和10.10.0.3，邻居接口地址：10.10.100.2和10.10.100.10，且邻居状态为FULL。使用dis ospf routing命令显示OSPF协议学习到的路由。

输出显示：R1路由器学习到了7条路由，且均为区域内部路由。

使用dis ip routing查看路由表

输出信息显示：R1已经学习到4条路由放到了本地路由表中，其他域内路由因为优先级关系没有被添加到本地路由表。

使用dis ospf error命令查看运行过程中有无错误。

R1上OSPF运行过程中没有任何错误报文，运行非常正常。

在单区域的OSPF配置中，不一定就得是区域0，区域1也可以。
———————————————————————————————————————————————————

二、多区域配置实验

接着上面的图，进行规划。新增了Area1区域。

AR3：

//配置接口IP

[Huawei]int g0/0/2

[Huawei-GigabitEthernet0/0/2]ip add 10.10.100.13 30

[Huawei-GigabitEthernet0/0/2]int g4/0/0

[Huawei-GigabitEthernet4/0/0]ip add 10.10.100.17 30

//新增通告接口G0/0/2和G4/0/0，属于Area1

[Huawei]ospf 100

[Huawei-ospf-100]area 1

[Huawei-ospf-100-area-0.0.0.1]network 10.10.100.12 0.0.0.3

[Huawei-ospf-100-area-0.0.0.1]network 10.10.100.16 0.0.0.3

AR4：
//配置接口IP
[Huawei]int lo 0
[Huawei-LoopBack0]ip add 10.10.0.4 32
[Huawei-LoopBack0]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.10.100.14 30
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 10.10.100.21 30
//开启OSPF协议
[Huawei]ospf 100 router-id 10.10.0.4
[Huawei-ospf-100]area 1
[Huawei-ospf-100-area-0.0.0.1]net 10.10.0.4 0.0.0.0
[Huawei-ospf-100-area-0.0.0.1]net 10.10.100.12 0.0.0.3
[Huawei-ospf-100-area-0.0.0.1]net 10.10.100.20 0.0.0.3

AR5：
//配置接口IP
[Huawei]int lo 0
[Huawei-LoopBack0]ip add 10.10.0.5 32
[Huawei-LoopBack0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 10.10.100.22 30
[Huawei-GigabitEthernet0/0/1]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.10.100.18 30
//开启OSPF协议
[Huawei]ospf 100 router-id 10.10.0.5
[Huawei-ospf-100]area 1
[Huawei-ospf-100-area-0.0.0.1]net 10.10.0.5 0.0.0.0
[Huawei-ospf-100-area-0.0.0.1]net 10.10.100.20 0.0.0.3
[Huawei-ospf-100-area-0.0.0.1]net 10.10.100.16 0.0.0.3

使用dis ospf peer查看R1邻居和R4、AR3邻居建立情况

AR1

AR4

AR3

AR1和本区域的AR2、AR3建立邻居。AR4和本区域的AR3、AR5建立邻居。
而AR3和AR1、AR2、AR4、AR5都建立了邻居。
由此可见，各区域非ABR路由器只和各区域内部路由器建立邻居关系。域间ABR路由器和各区域内部路由器建立邻居关系。

使用dis ospf lsdb查看R1链路数据库信息。

查看AR3

由此可见，各区域内部路由器只会通告LSA1和LSA2。出现Sum-Net代表同ABR域间路由器接收到的路由信息。

——————————————————————————————————————————————

三、DR/BDR配置实验

———————————————————————————————————————————————

还是这个图，让AR3连接广播网段的100.8网段、100.4网段、100.12网段、100.16网段成为DR。

先观察下AR3路由器这四个接口的情况

使用dis ospf interface查看接口DR/BDR状态。

刚好我在配置的时候。。AR3的接口IP就比较大。。所以这四个接口全是DR。。。噗。

找俩演示意思下就行。
让AR1的G0/0/0成为DR、AR2的G0/0/0成为DR。

AR1：
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ospf dr-priority 10 //配置接口优先级，优先级大的成为DR。

AR1：
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ospf dr-priority 10

DR的选举规则是稳定大于一切。那么需要重启OSPF进程。
在AR3上执行
reset ospf process

重启后在AR3上观察。

我又改回去配置了，DR这东西，配不配也就那回事了。。我个人理解ABR接口当DR还是最优的方案吧。

———————————————————————————————————————————————

四、虚连接配置实验

————————————————————————————————————————————————

OSPF区域合并。来了一家公司，人家也跑的OSPF，协议号100，区域0。

AR5：

//配置接口

[AR5]int g0/0/2

[AR5-GigabitEthernet0/0/2]ip add 10.10.100.25 30

[AR5]ospf 100

[AR5-ospf-100]area 0

[AR5-ospf-100-area-0.0.0.0]network 10.10.100.24 0.0.0.3

//配置虚链路

[AR5]OSPF 100

[AR5-ospf-100]area 1

[AR5-ospf-100-area-0.0.0.1]vlink-peer 10.10.0.3

AR6：
[AR6]int g0/0/1
[AR6-GigabitEthernet0/0/1]ip add 192.168.1.254 24
[AR6-GigabitEthernet0/0/1]int g0/0/0
[AR6-GigabitEthernet0/0/0]ip add 10.10.100.26 30
[AR6-GigabitEthernet0/0/0]int loop 0
[AR6-LoopBack0]ip add 10.10.0.6 32
//配置OSPF
[AR6]ospf 100 router-id 10.10.0.6
[AR6-ospf-100]area 0
[AR6-ospf-100-area-0.0.0.0]net
[AR6-ospf-100-area-0.0.0.0]network 10.10.0.6 0.0.0.0
[AR6-ospf-100-area-0.0.0.0]network 10.10.100.24 0.0.0.3
[AR6-ospf-100-area-0.0.0.0]network 192.168.1.0 0.0.0.255

配置虚连接，虚连接要指向对方的Router ID。AR3的1区域指向AR5 Router ID。AR5的1区域指向AR3的Router ID。
AR3：
//配置虚链路
[AR3]ospf 100
[AR3-ospf-100]area 1
[AR3-ospf-100-area-0.0.0.1]vlink-peer 10.10.0.5

使用dis ospf vlink在AR3上查看OSPF虚连接信息。

由此信息可见，AR3路由器已经与Router ID 10.10.0.5建立虚连接，状态为FULL。

虚连接的端口为G4/0/0。地址为：10.10.100.17。他们之间传输的区域为1。PING下。

————————————————————————————————————————————

五、验证配置实验

让0区域明文验证，1区域MD5验证。

0区域AR1：

[AR1]ospf 100

[AR1-ospf-100]area 0

[AR1-ospf-100-area-0.0.0.0]authentication-mode simple //代表协议明文验证

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ospf authentication-mode simple cipher hcie //代表配置密文显示

[AR1-GigabitEthernet0/0/0]int g0/0/1

[AR1-GigabitEthernet0/0/1]ospf authentication-mode simple cipher hcie

AR2：
[AR1]ospf 100
[AR1-ospf-100]area 0
[AR1-ospf-100-area-0.0.0.0]authentication-mode simple
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ospf authentication-mode simple cipher hcie
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ospf authentication-mode simple cipher hcie

[AR3]ospf 100
[AR3-ospf-100]area 0
[AR3-ospf-100-area-0.0.0.0]authentication-mode simple
[AR3-ospf-100-area-0.0.0.0]int g0/0/0
[AR3-GigabitEthernet0/0/0]ospf authentication-mode simple cipher hcie
[AR3-GigabitEthernet0/0/0]int g0/0/1
[AR3-GigabitEthernet0/0/1]ospf authentication-mode simple cipher hcie

1区域AR3：
[AR3]ospf 100
[AR3-ospf-100]area 1
[AR3-ospf-100-area-0.0.0.1]authentication-mode md5
[AR3-ospf-100]int g0/0/2
[AR3-GigabitEthernet0/0/2]ospf authentication-mode md5 10 cipher hcie
[AR3-ospf-100]int g4/0/0
[AR3-GigabitEthernet4/0/0]ospf authentication-mode md5 10 cipher hcie

AR4和AR5同理，就省略了。

在AR3上使用dis ospf brief查看验证情况。

这里要说明一点：最下面的AREA0区域通过虚链路注入到上面的AREA0区域。在上面的区域0配置了验证密码后，下面的区域0注入上面区域0的话，如果没有配置验证，就无法通过上面区域0的验证。就会导致学习不到下面区域0的路由信息。
要配置，全配置。要么就不配置验证。
————————————————————————————————————————————

六、多进程配置实验

试验过，不同进程之间不需要引入进程，华为模拟器是可以通信的，意思就是1个路由器OSPF进程100，一个路由器OSPF进程200。

演示下吧。新增AR7。

AR2配置：

[AR2]int g0/0/2

[AR2-GigabitEthernet0/0/2]ip add 10.10.100.29 30

[AR2]ospf 100

[AR2-ospf-100]import-route direct //引入直连

[AR2-ospf-100]import-route ospf 200 //引入OSPF200进程

[AR2-ospf-100]area 3

[AR2-ospf-100-area-0.0.0.3]network 10.10.100.28 0.0.0.3

AR7：
[AR7]int lo 0
[AR7-LoopBack0]ip add 10.10.0.7 32
[AR7-LoopBack0]int g0/0/0
[AR7-GigabitEthernet0/0/0]ip add 10.10.100.30 30
[AR7]ospf 200 router-id 10.10.0.7
[AR7-ospf-200]area 3
[AR7-ospf-200]import-route direct //引入直连
[AR7-ospf-200]import-route ospf 100 //引入OSPF100进程
[AR7-ospf-200-area-0.0.0.3]network 10.10.0.7 0.0.0.0
[AR7-ospf-200-area-0.0.0.3]network 10.10.100.28 0.0.0.3

配置完在AR1直接可以学到。但是别的厂商是怎么安排的这，我也没试验过，改天在H3C HCL上实验下。

总之知道这个是怎么回事就行了。既然华为有这个命令的存在，应该应用的场景是和别的厂商设备进行OSPF对接用的。

学习完的路由表出现了O_ASE的路由。优先级为150。为什么还要引入直连，所引入的路由是从本地路由表选取的，并非从协议路由表中选取。知道有这回事就行了。

——————————————————————————————————————————

七、引入外部路由配置实验

模拟引入直连。AR1，下挂了4个网段，把这四个网段通过直连引入到OSPF协议内。

AR1配置：使用Loopback模拟
[AR1]int lo 1
[AR1-LoopBack1]ip add 192.168.20.1 24
[AR1-LoopBack1]int lo 2
[AR1-LoopBack2]ip add 192.168.30.1 24
[AR1-LoopBack2]int lo 3
[AR1-LoopBack3]ip add 192.168.40.1 24
[AR1-LoopBack3]int lo 4
[AR1-LoopBack4]ip add 192.168.50.1 24

[AR1-LoopBack4]ospf 100
[AR1-ospf-100]import-route direct //引入直连

查看AR5路由表，来自于自治系统外部的路由信息。

——————————————————————————————————————————

增加了AR8。
AR8配置：
[AR8]int g0/0/1
[AR8-GigabitEthernet0/0/1]ip add 192.168.100.254 24
[AR8-GigabitEthernet0/0/1]int g0/0/0
[AR8-GigabitEthernet0/0/0]ip add 10.10.100.34 30
[AR8]ip route-static 0.0.0.0 0.0.0.0 10.10.100.33

AR4配置：
[AR4]int g0/0/2
[AR4-GigabitEthernet0/0/2]ip add 10.10.100.33 30
[AR4]ip route-static 192.168.100.0 24 10.10.100.34
[AR4-ospf-100]import-route direct
[AR4-ospf-100]import-route static
引入直连和静态。引入直连就不需要宣告AR4 G0/0/2接口了。如果宣告接口了，就不需要引入直连。
不引入直连，只引入静态，也不影响和目标192.168.100.0段通信，只是不能访问10.10.100.32段了。

在AR1查看OSPF路由信息。192.168.100段和10.10.100.32段都全网通告了。

————————————————————————————————————————

八、引入缺省（默认）路由配置实验

场景是：AR2路由器为某企业内网连接internet的出口路由器，企业内网运行OSPF协议，且正常运行。路由器通过G4/0/0接口接入ISP路由器。ISP分配的地址为61.134.1.0/30，但是ISP路由器只支持静态路由，不允许使用动态路由协议。

此时需要在R2路由器配置一条默认路由指向internet，但此默认路由并不能直接引入到OSPF协议中。新增AR9。

AR2配置：
[AR2-GigabitEthernet4/0/0]ip add 61.134.1.1 30
[AR2]ip route-static 0.0.0.0 0.0.0.0 61.134.1.3
[AR2] ospf 100
[AR2-ospf-100]default-route-advertise //将缺省路由引入到OSPF协议中。

需要注意：OSPF当本地路由不存在缺省路由时，要加上always参数。
default-route-advertise always，强制注入默认路由。
default-route-advertise，注入已存在的默认路由。

AR9配置：
[AR9-LoopBack1]int g0/0/0
[AR9-GigabitEthernet0/0/0]ip add 61.134.1.2 30

查看AR4路由表是否存在默认路由。

————————————————————————————————————————

九、Cost值配置实验

Cost这种，就是为了调整两条线路的负载，把负载变成主和备的意思。比如：去往目的有两条线路，一条是SDH线路，另一条是MSTP线路。要求正常情况下全走SDH，当SDH故障，走MSTP线路。

找拓扑中的等价路由做实验。还是这张图，在AR1上找下等价路由。

查看AR1路由表，去往10.10.100.4段有等价路由。Cost 都是2，优先级都是10，形成负载。

让下一跳的10.10.100.2为主。

AR1配置：

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ospf cost 10

————————————————————————————————————————

十、Stub区域配置实验

新增AR10和AR11连接骨干区域，Area2。OSPF进程100。

AR10配置：
//接口配置
[AR10]int lo 0
[AR10-LoopBack0]ip add 10.10.0.10 32
[AR10-LoopBack0]int g0/0/0
[AR10-GigabitEthernet0/0/0]ip add 10.10.100.38 30
[AR10-GigabitEthernet0/0/0]int g0/0/1
[AR10-GigabitEthernet0/0/1]ip add 10.10.100.41 30
//配置OSPF
[AR10]ospf 100 router-id 10.10.0.10
[AR10-ospf-100]area 2
[AR10-ospf-100-area-0.0.0.2]net 10.10.0.10 0.0.0.0
[AR10-ospf-100-area-0.0.0.2]net 10.10.100.40 0.0.0.3
[AR10-ospf-100-area-0.0.0.2]net 10.10.100.36 0.0.0.3

AR11配置：
[AR11]int lo 0
[AR11-LoopBack0]ip add 10.10.0.11 32
[AR11-LoopBack0]int g0/0/0
[AR11-GigabitEthernet0/0/0]ip add 10.10.100.42 30
[AR11-GigabitEthernet0/0/0]int g0/0/1
[AR11-GigabitEthernet0/0/1]ip add 10.10.100.46 30
[AR11]ospf 100 router-id 10.10.0.11
[AR11-ospf-100]area 2
[AR11-ospf-100-area-0.0.0.2]net 10.10.0.11 0.0.0.0
[AR11-ospf-100-area-0.0.0.2]net 10.10.100.40 0.0.0.3
[AR11-ospf-100-area-0.0.0.2]net 10.10.100.44 0.0.0.3

AR1配置：
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 10.10.100.37 30
[AR1-GigabitEthernet0/0/2]int g4/0/0
[AR1-GigabitEthernet4/0/0]ip add 10.10.100.45 30
[AR1]ospf 100
[AR1-ospf-100]area 2
[AR1-ospf-100-area-0.0.0.2]net 10.10.100.36 0.0.0.3
[AR1-ospf-100-area-0.0.0.2]net 10.10.100.44 0.0.0.3

配置完OSPF后，我们看下AR10的LSDB表

AR10学习到Area0的路由信息。以及ASBR位置信息，以及外部路由信息。

配置Area2区域为Stub区域。
AR10配置：
[AR10]ospf 100
[AR10-ospf-100]area 2
[AR10-ospf-100-area-0.0.0.2]stub

AR11配置：
[AR11]ospf 100
[AR11-ospf-100]area 2
[AR11-ospf-100-area-0.0.0.2]stub

AR1配置：
[AR1]ospf 100
[AR1-ospf-100]area 2
[AR1-ospf-100-area-0.0.0.2]stub

我们在看看AR10的LSDB表。

AR10区域的Stub，学习不到外部路由信息了，生成一条LSA3的0.0.0.0的默认路由。回顾下Stub区域的特点。

Stub区域的特点：该区域的ABR将生成一条默认路由，此默认路由使用第三类LSA，并发布给Stub区域中的其他非ABR路由器。告诉它们如果要访问自治系统外部网络，可以通过ABR。所以，区域内的其他路由器不用记录外部路由。但是区域0和区域1的路由信息还是以LSA3通告学习。

———————————————————————————————————————————————————

十一、Totally Stub区域配置实验

把Stub区域改为Totally Stub区域。

AR1配置：

[AR1]ospf 100

[AR1-ospf-100]area 2

[AR1-ospf-100-area-0.0.0.2]stub no-summary

AR10配置：
[AR10]ospf 100
[AR10-ospf-100]area 2
[AR10-ospf-100-area-0.0.0.2]stub no-summary

AR11配置：
[AR11]ospf 100
[AR11-ospf-100]area 2
[AR11-ospf-100-area-0.0.0.2]stub no-summary

在看下AR10的LSDB。和Stub区域有什么区别。

首先路由信息大大缩减。不管是自治系统外部，还是区域0和区域1。统统该区域的ABR将生成一条默认路由，此默认路由使用第三类LSA，并发布给Stub区域中的其他非ABR路由器。告诉它们如果要访问其他任何区域网络，可以通过ABR。

Totally Stub区域：不支持该区域下的外部路由引入。

结论：
Stub和Totally Stub共同点：都是拒绝外部路由进入此区域，本区域内部不允许存在ASBR，也就是不允许有路由引入的现象发生。针对区域内访问外部的情况，ABR会向区域内下发一条LSA3的缺省路由。
Stub和Totally Stub不同点：Stub只拒绝外部路由进入，对于域间路由允许进入。Totally Stub不但拒绝外部路由进入，还拒绝域间路由进入。
———————————————————————————————————————————————————

十二、NSSA区域配置实验

NSSA区域早都说过了，就是Stub区域的一个扩展版，NSSA区域就是支持本区域引入外部路由。但是路由表的缩减规模和Stub区域类似，只是去往自治系统外部的路由信息生成一条LSA3的默认路由而已，它并不接收来自自治系统外部的路由信息，也并不缩减区域间通告的LSA3路由信息。

1、修改Totally Stub区域为NSSA区域。
2、在NSSA区域引入RIP协议。
3、新增AR12和AR13路由器

配置为NSSA区域：

AR1配置：

[AR1]ospf 100

[AR1-ospf-100]area 2

[AR1-ospf-100-area-0.0.0.2]undo stub

[AR1-ospf-100-area-0.0.0.2]nssa default-route-advertise

default-route-advertise：AR1为ABR时，要加上这个参数，否则再AR1上不会向区域发布缺省路由。此参数只能用于ABR。

查看区域ABR命令 dis ospf abr-asbr。在区域2上任意内部路由器上查看。

AR10配置：
[AR10]ospf 100
[AR10-ospf-100]area 2
[AR10-ospf-100-area-0.0.0.2]undo stub
[AR10-ospf-100-area-0.0.0.2]nssa

AR11配置
[AR11]ospf 100
[AR11-ospf-100]area 2
[AR11-ospf-100-area-0.0.0.2]undo stub
[AR11-ospf-100-area-0.0.0.2]nssa

观察下AR10 LSDB：

查看LSDB后，NSSA区域的区域和Stub一样，生成LSA3的默认路由，阻止自治系统外部路由通告。所有出去都走这条LSA3的默认路由。
同样接收，来自域间的路由信息条目。

Sum-Net 0.0.0.0这个可以忽略。这个是前面配置ISP，从AR2区域0引入的默认路由发布出来的路由信息。不影响。
NSSA下面的这些192啊，都是之前在AR1做直连引入实验遗留的，不影响可以忽略。

配置引入RIP：
AR10配置：
[AR10]int g0/0/2
[AR10-GigabitEthernet0/0/2]ip add 192.168.200.1 30
[AR10-GigabitEthernet0/0/2]int g4/0/0
[AR10-GigabitEthernet4/0/0]ip add 192.168.202.1 30
//配置RIP
[AR10]rip
[AR10-rip-1]version 2
[AR10-rip-1]net 192.168.200.0
[AR10-rip-1]net 192.168.202.0

AR13配置：
[AR13]int g0/0/0
[AR13-GigabitEthernet0/0/0]ip add 192.168.200.2 30
[AR13-GigabitEthernet0/0/0]int g0/0/1
[AR13-GigabitEthernet0/0/1]ip add 192.168.201.2 30
//配置RIP
[AR13]rip
[AR13-rip-1]version 2
[AR13-rip-1]net 192.168.200.0
[AR13-rip-1]net 192.168.201.0

AR12配置：
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.201.1 30
[Huawei-GigabitEthernet0/0/1]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.202.2 30
//配置RIP
[AR12]rip
[AR12-rip-1]version 2
[AR12-rip-1]network 192.168.201.0
[AR12-rip-1]network 192.168.202.0

在AR10路由器的OSPF中引入RIP。还要在AR10的RIP中引入OSPF。

[AR10]rip
[AR10-rip-1]import-route ospf

[AR10]ospf 100
[AR10-ospf-100]import-route rip

查看AR10路由器LSDB
引入了自治系统外部路由信息。在查看下AR1 LSDB，由此可见NSSA是支持外部路由引入的。

所以，NSSA引入的自治系统外部路由信息，会通过全网进行通告。（验证那么一句话：除了NSSA引入的以外，自制系统外部的路由信息进不来，自己的却能出去。）

———————————————————————————————————————————————————

十三、Totally NSSA区域配置实验

这个区域其实就和Totally Stub类似，为了更一步减少路由条目。就是外部也进不来，自己也不出去了，全依靠ABR的默认路由通信。

AR1配置：
[AR1]ospf 100
[AR1-ospf-100]area 2
[AR1-ospf-100-area-0.0.0.2]undo stub
[AR1-ospf-100-area-0.0.0.2]nssa default-route-advertise no-summary

[AR10]ospf 100
[AR10-ospf-100]area 2
[AR10-ospf-100-area-0.0.0.2]nssa no-summary

AR11配置
[AR11]ospf 100
[AR11-ospf-100]area 2
[AR11-ospf-100-area-0.0.0.2]nssa no-summary

查看下NSSA AR10路由器LSDB

所有到达外部AS的路由全使用缺省路由转发了。。

NSSA区域和Totally NSSA区域的共同点：区域内部允许外部路由进入，但在区域内可以引入外部路由，而且引入的路由还可以发布出去。
NSSA区域和Totally NSSA区域的不同点：NSSA区域允许区域间路由的进入，而Totally NSSA区域不允许域间路由的进入。

再次汇总下：
Stub和Totally Stub共同点：都是拒绝外部路由进入此区域，本区域内部不允许存在ASBR，也就是不允许有路由引入的现象发生。针对区域内访问外部的情况，ABR会向区域内下发一条LSA3的缺省路由。
Stub和Totally Stub不同点：Stub只拒绝外部路由进入，对于域间路由允许进入。Totally Stub不但拒绝外部路由进入，还拒绝域间路由进入。
NSSA区域和Totally NSSA区域的共同点：区域内部允许外部路由进入，但在区域内可以引入外部路由，而且引入的路由还可以发布出去。
NSSA区域和Totally NSSA区域的不同点：NSSA区域允许区域间路由的进入，而Totally NSSA区域不允许域间路由的进入。

Stub和NSSA相同点：都拒绝外部自治系统路由进入此区域，都不拒绝域间路由进入此区域。针对区域内访问外部的情况，ABR会向区域内下发一条LSA3缺省路由。
Stub和NSSA不同点：Stub不允许存在ASBR，NSSA存在ASBR，可以引入外部路由，引入的路由可以发布出去。

Totally Stub和Totally NSSA相同点：都拒绝外部路由进入此区域，都拒绝域间路由进入此区域。针对区域内访问外部的情况，ABR会向区域内下发一条LSA3缺省路由。
Totally Stub和Totally NSSA相同点：Totally Stub不允许存在ASBR，Totally NSSA存在ASBR，可以引入路由，引入的路由可以发布出去。

是不是蒙了？蒙了就看最后两条就行了。。。。。。所以这四种，我要去规划，我就配Totally NSSA了。配置也很简单。
——————————————————————————————————————————————————

十四、路由聚合配置实验

新增加了在AR4上起了几个loopback网段。聚合AR1发布的路由，聚合AR4发布的路由。
AR1的那几个网段是通过OSPF路由引入直连，那么在AR4上我们不引入直接在OSPF协议中发布。

一般来说。192.168.20.1/192.168.30.1/192.168.40.1/192.168.50.1，我们习惯用192.168.0.0/16来聚合路由。
172.16.1.1-3.1，用172.16.0.0/16来聚合。
其实可以用可变长的掩码来算这个聚合段，如果网络不发生大的变动。

在AR4上查看AR1引入的直连，是通过自治系统外部路由学习到的。说明一点：AR1上对外部路由的聚合只能在ASBR上进行。也就是在AR1上进行聚合。如果是NSSA区域的话，也可以在ABR上聚合。

查看ASBR。引入的外部直连路由，后面是10.10.0.1，确定在AR1上聚合。

AR1配置：

[AR1]ospf 100

[AR1-ospf-100]asbr-summary 192.168.0.0 255.255.0.0查看下聚合后的效果，在AR4上查看AR1的聚合。来自于外部的聚合。

在AR1上查看AR4发布的网段。是通过区域间学习到的。通过Network直接发布的。需要在ABR上进行聚合。

发现形成负载，分别ABR在0.3和0.5上。我们要去0.3和0.5的路由器进行聚合。
规定了要在ABR上聚合，所以在AR4上进行聚合是无效的。

我们现在进行聚合配置。
AR3配置：
[AR1]ospf 100
[AR1-ospf-100]asbr-summary 172.16.0.0 255.255.0.0

AR5配置：
[AR5] ospf 100
[AR5-ospf-100]area 1
[AR5-ospf-100-area-0.0.0.1]abr-summary 172.16.0.0 255.255.0.0

我们在到AR2上查看下聚合的路由。

在AR3和AR5都会看到LSDB聚合成功的路由信息。

这里记住一点：OSPF的路由聚合发生在ASBR和ABR路由器上，意味着至少通告LSA3了。。说明一个问题，如果OSPF就一个区域。没有ABR和ASBR就聚合不了。直接发布的时候Network的时候就聚合。直接Network 172.16.0.0 0.0.255.255。

——————————————————————————————————————————————————

十五、路由过滤配置实验

由于某种原因，需要对192.168.40.1和172.16.2.1进行过滤。和聚合的道理是一样的。

192段是引入的直连，172段是network发布的。过滤的话在ASBR和ABR上进行。
上个实验进行聚合了，聚合后在LSDB明细里直接就是192.168.0.0，所以要过滤把聚合就要undo掉。

在ASBR上过滤192.168.40.1。上面实验已经确认过ASBR和ABR了。就直接配置。
有两种方法配置：
AR1：
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[AR1-acl-basic-2000]rule permit source 192.168.30.0 0.0.0.255
[AR1-acl-basic-2000]rule permit source 192.168.50.0 0.0.0.255
[AR1]ospf 100
[AR1-ospf-100]filter-policy 2000 export //代表向外发布的路由引用ACL2000规则进行过滤。这里引用的是路由策略。后续有专门的介绍。

查看LSDB，已经没有40了。

但是在PC1居然还能PING通。。。。

通过查看AR6的路由表，发现之前实验ISP的时候，引入了缺省路由通告全网了，结果从缺省路由出去了。取消ISP实验的引入缺省路由。

立马好了。

第二种方法：

AR1：

[AR1]acl 2000

[AR1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255

[AR1-acl-basic-2000]rule permit source 192.168.30.0 0.0.0.255

[AR1-acl-basic-2000]rule permit source 192.168.50.0 0.0.0.255

[AR1]route-policy 10 permit node 10

[AR1-route-policy]if-match acl 2000

[AR1]ospf 100

[AR1-ospf-100]import-route direct route-policy 10 //引入直连路由时，引用ACL2000实现路由过滤。查看LSDB和PIng都没问题。

在Network发布的ABR路由器进行过滤。
既然是在ABR过滤AR4发布的路由，还是和上个实验一样，在AR3和AR5上部署策略。
AR3配置：
[AR3]acl 2000
[AR3-acl-basic-2000]rule 5 permit source 172.16.2.0 0.0.0.255 //只允许2.0网段，其他不对外发布。
[AR3]ospf 100
[AR3-ospf-100]area 1
[AR3-ospf-100-area-0.0.0.1]filter 2000 export
//在ABR向区域0发布类型LSA3时引用ACL2000策略过滤。

AR5配置：
[AR5]acl 2000
[AR5-acl-basic-2000]rule 5 permit source 172.16.2.0 0.0.0.255 //只允许2.0网段，其他不对外发布。
[AR5]ospf 100
[AR5-ospf-100]area 1
[AR5-ospf-100-area-0.0.0.1]filter 2000 export
//在ABR向区域虚链路那个区域0发布类型LSA3时引用ACL2000策略过滤。

在AR2上观察。已经没其他网断了。

PC也Ping不通了。

这里总结下，这两种方式的过滤。。。一种是使用OSPF对外发布，在OSPF协议中过滤。一种是凌驾在路由表选路之上的路由策略过滤。

这两种其实有本质上的区别。。如果是OSPF对外发布过滤。那么会直接节省OSPF报文流量的传递。在全网减轻路由表。

用路由策略过滤，不能减轻OSPF的路由传递流量。

反正这种过滤一般我还没用过。。。OSPF对报文网段进行过滤。。我没用过。。。觉得一般都是某个目标主机，用ACL控制了。对于一个大段，还没碰见需求。 一般都用策略了。。这个了解就行。。了解关于OSPF的过滤啊汇总啊，了解如何控制，在ABR和ASBR上的概念就行了。

————————————————————————————————————————————————————

十六、静默接口配置实验

这个很好理解其实就是让区域中一个接口不发布OSPF报文，意思就是不参与OSPF协议的邻居关系建立。。。。。很弱智。。。

不想让建立，你直接不宣告这个网段就行了。。。就是导致邻居关系的破裂。。

让AR5的G0/0/1接口关系破裂。邻居关系瞬间成DOWN了。

[AR5]ospf 100

[AR5-ospf-100]silent-interface g0/0/1

—————————————————————————————————————————————————————

十七、路由选路配置实验

路由选路，意思当目标有多条链路时，按照预定的路径进行选路。。。。
说白了就是调整Cost值。。。。。。。。。。。。。这里和Cost值的调整有点不同，如果有多个源地址。直接在接口上改变Cost值，会影响多个网段，这里说的是在OSPF中，进行路由的选择。选择哪个段，优先走那条链路，不会影响链路以外的网段选路信息。

这里重新画个图吧。。看的比较直观，如果用上面的图，OSPF只会在区域间的接口网段地址有等价路由。。。。
画个图会更直观的展示意思。

AR17-AR20是某总部的核心路由器，连接着多个分支机构和服务器区。AR16为分支机构的路由器，AR21是总部的服务器区。
该机构有两种主要业务，一个OA系统，一个生产业务。

要求OA业务访问服务器区OA业务的路径是。AR16-AR17-AR18-AR21。

生产业务访问生产业务路径是AR16-AR19-AR20-AR21。

AR16
interface GigabitEthernet0/0/0
ip address 10.10.10.18 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.10.10.22 255.255.255.252

interface GigabitEthernet0/0/2
ip address 192.168.1.254 255.255.255.0

interface GigabitEthernet4/0/0
ip address 172.16.1.254 255.255.255.0

interface LoopBack0
ip address 1.1.1.5 255.255.255.255

ospf 100 router-id 1.1.1.5
area 0.0.0.1
network 1.1.1.5 0.0.0.0
network 10.10.10.16 0.0.0.3
network 10.10.10.20 0.0.0.3
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255

AR21
interface GigabitEthernet0/0/0
ip address 10.10.10.26 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.10.10.30 255.255.255.252

interface GigabitEthernet0/0/2
ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet4/0/0
ip address 172.16.10.254 255.255.255.0

ospf 100 router-id 1.1.1.6
area 0.0.0.10
network 1.1.1.6 0.0.0.0
network 10.10.10.24 0.0.0.3
network 10.10.10.28 0.0.0.3
network 172.16.10.0 0.0.0.255
network 192.168.10.0 0.0.0.255

AR17
interface GigabitEthernet0/0/0
ip address 10.10.10.17 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.10.10.1 255.255.255.252

interface GigabitEthernet0/0/2
ip address 10.10.10.5 255.255.255.252

interface LoopBack0
ip address 1.1.1.1 255.255.255.255

ospf 100 router-id 1.1.1.1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.10.10.0 0.0.0.3
network 10.10.10.4 0.0.0.3
area 0.0.0.1
network 10.10.10.16 0.0.0.3

AR18
interface GigabitEthernet0/0/0
ip address 10.10.10.2 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.10.10.25 255.255.255.252

interface GigabitEthernet0/0/2
ip address 10.10.10.9 255.255.255.252

interface LoopBack0
ip address 1.1.1.2 255.255.255.255

ospf 100 router-id 1.1.1.2
area 0.0.0.0
network 1.1.1.2 0.0.0.0
network 10.10.10.0 0.0.0.3
network 10.10.10.8 0.0.0.3
area 0.0.0.10
network 10.10.10.24 0.0.0.3

AR19
interface GigabitEthernet0/0/0
ip address 10.10.10.13 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.10.10.21 255.255.255.252

interface GigabitEthernet0/0/2
ip address 10.10.10.6 255.255.255.252

interface LoopBack0
ip address 1.1.1.3 255.255.255.255

ospf 100 router-id 1.1.1.3
area 0.0.0.0
network 1.1.1.3 0.0.0.0
network 10.10.10.4 0.0.0.3
network 10.10.10.12 0.0.0.3
area 0.0.0.1
network 10.10.10.20 0.0.0.3

AR20
interface GigabitEthernet0/0/0
ip address 10.10.10.29 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.10.10.14 255.255.255.252

interface GigabitEthernet0/0/2
ip address 10.10.10.10 255.255.255.252

interface NULL0

interface LoopBack0
ip address 1.1.1.4 255.255.255.255

ospf 100 router-id 1.1.1.4
area 0.0.0.0
network 1.1.1.4 0.0.0.0
network 10.10.10.8 0.0.0.3
network 10.10.10.12 0.0.0.3
area 0.0.0.10
network 10.10.10.28 0.0.0.3

基本配置配完了后，AR16和AR21看看学习到的路由是不是等价的。
确认配置没问题后，进行路由选路配置。

我们使用OSPF选路，参与的网段全是network发布的，所以还是一句话，在ABR上进行聚合。
abr-summary IP-ADDRESS { mask | mask-length [ advertise | not-advertise ] [ cost cost ]}
advertise：带此参数表示要发布聚合路由，默认是发布路由。
not-advertise：表示不发布聚合路由。
cost：聚合的路由开销。默认值是所有被聚合路由的最大开销值。

PC4跟踪下PC5：发现走的是AR16-AR19-AR20-AR21。

PC6跟踪PC7，走的也是这条路径。

所以我们要在ABR上配置，区域1的ABR AR17和AR19，区域10的ABR 是AR18和AR20。
AR17：
ospf 100
area 0.0.0.1
abr-summary 192.168.1.0 255.255.255.0 cost 10
abr-summary 172.16.1.0 255.255.255.0 cost 100

AR19：
ospf 100
area 0.0.0.1
abr-summary 192.168.1.0 255.255.255.0 cost 100
abr-summary 172.16.1.0 255.255.255.0 cost 10

AR18:
area 0.0.0.10
abr-summary 192.168.10.0 255.255.255.0 cost 10
abr-summary 172.16.10.0 255.255.255.0 cost 100

AR20:
area 0.0.0.10
abr-summary 192.168.10.0 255.255.255.0 cost 100
abr-summary 172.16.10.0 255.255.255.0 cost 10

PC4走的上面的

PC6走的下面的

这个配置也仅限于这种OSPF区域规划，如果把AR17的G0/0/0和AR19的G0/0/1接口规划成0区域。AR16 G0/0/0和1口规划成0区域

这就没办法做了。

总之在ABR上做这种各种策略。

实现的结果就是192.168.1.0走上面，去172走下面。 反之。这些策略全是路由策略 后续会详细说。
————————————————————————————————————————————————————

十八、OSPF其他注意事项

上面说的聚合，还有过滤，选路。其实都是在ABR和ASBR上进行的。这些实现的结果感觉比较局限。。。如今的设备性能已经不是当年的了，现实生产环境中，核心的性能还是比较充足的。过滤和选路 可以通过ACL，路由策略等实现还是比较方便的，比如：过滤，在ABR上进行，在一个区域内可能存在多个ABR，要多方面阻止发布，而且不能阻止域内，域内还是可以通信的。

OSPF在实际中应用非常广泛，除了上述的例子以外可能还会出现别的情况。在实际环境中可能会出现多种路由协议相互使用。为保证不同路由协议之间互通，我们一般配置路由重分发（路由引入），如果网络结构清晰、路由边界单一，那么路由发布是没什么大的问题。如果边界过多，规划不当，会导致环路的发生。
后续章节会专门介绍各种路由引入以防止域间环路。

在说点别的，每个协议开发设计到最后大规模商用。都是经历了无数的改动之后变成了大而全的东西，但是在实际的工作中，很多特性可能你干十几年你都碰不到。所以，理解一个协议的优点和缺点以及内在的硬性指标参数很重要。比如OSPF的虚链路，基本是没有的。还有多进程号的引入，静默接口，验证配置等都是见到的几率非常渺小。就算是多区域的OSPF，我也是只见过两次，而且网络规划的特别整齐，多区域也就只有4个区域，也没有配置为NSSA什么的。也有很多客观的现实原因，比如实施设计的人不了解或不重视这些东西，还有一个项目的落地，对于设备的选型，都是满足好多年的发展，所以，有时候应用一些特性节省一些资源，在目前的项目中，都是发现问题解决问题的思路居多。

好了也没有多少该注意的，虽然协议复杂点，但是配置其实很简单的，很多东西都是在协议内部完成的，OSPF，还是多理解LSA就能理解OSPF。