1. OSPF到底是什麼一文了解OSPF基本概念和工作原理
技術干貨!
OSPF是開放式最短路徑,是 一種基於鏈路賀亮狀態的內部網關路由協議,通常用在中大型網路,協議號89,通過發送LSA進行路由計算。
關於OSPF的基本術語:
Router-ID:用於在自治系統中唯一標識一台運行OSPF的路由器,也就是這台路由器的名字,它是一個32位的無符號整數。
Router ID選舉規則如下
1、優先順序最高的是手動配置的Router ID(建議手動配置)
2、如果沒有手動配置Router ID,路由器會自動選擇使用本地回環口中最大的IP地址作為Router ID
3、如果沒有配置本地回環口,路由器使用物理介面中最大的IP地址作為Router ID
一句話總結:ROUTER-ID越大越優先
2、Area:OSPF Area用於標識一個OSPF的區域。
區域是人為我們人為地將設備劃分為不同的組,並不是真實存在的,每個區域用區域號(Area ID)來標識,單區域的area ID為0.0.0.0
3、度量值:OSPF使用Cost(開銷)作為路由的度量值。cost開銷值計算的是到目的地的每個出介面總和
P2P點到點 鏈路
廣播(Broadcast)型鏈路
NBMA(非廣播多路訪問)
P2MP 點到多點
OSPF一共定義了5種類型的報文,不同類型的OSPF報文有相同的頭部格式。
HELLO 報文 用來發現和維乎燃護鄰居關系
DD報文 交換鏈路狀態信息摘要
LSR報文 請求鏈路狀態信息
LAU 報文 正式發送詳細的鏈路狀態信息
LSA 報文 確認收到LSA
① down 初始狀態:還沒有啟用OSPF,開始發送hello包前的狀態
② init:開始向外發送攜帶鄰居信息的hello包
③ 2-way:雙方都接受到了相鄰路由器的hello包,並且包中有對方的路由信息,進入2way狀態,這個狀態中需要做DR/BDR選舉,選出DR、BDR
④ ExSTART:開始進行fisrt DD包的交換,進行主從選舉
⑤ Exchange:主從選舉完畢之後,進行DBD包的傳送,直到最後一個發完
⑥ loading:路由器發送LSR請求自己自己需要的條目的,等待對方使用發送完整的LSA具體信息,即LSU
⑦ Full:兩邊的LSDB表完全相同,將進行full狀態,此時鄰接關系完全建立。
Router ID重復 Router ID 是路由器的唯一標識,一定不能重復
同一網段路由器子網掩碼不一禪頃寬致,子網掩碼不一致那麼兩台路由器就不是同一網段,不能進行通信
3.網路類型不一致
4. Hello間隔、死亡時間不一致
5. DR選舉問題,選舉不出
6. DR優先順序全為0,停在2-Way。
7. MTU不一致(DBD交互問題,停留在 Exstart、 Exchange狀態)
8.介面綁定了ACL,過濾了OSPF協議報文
2. OSPF認證是什麼
#ospf有基於區域的認證(如圓攜並果做了AREA認證,所有在本區域的Router都要做區域認隱扮證)和基於介面的認證
#ospf支持明文認證和md5認證(類型0:nul認證,類型1:明文認證,類型2:md5認證)是基於鄰居的認證,不是整個area有效橘跡.
3. 什麼是OSPF
路由器能夠靠設定密碼來參與路由信息域,通過這種方法就可以驗證OSPF報文。默認情況下,路由器使用空驗證,也就是說通過網路進行路由信息的交換是不驗證的。OSPF網路的驗證有兩種方法:簡單的密碼驗證(Simple PasswordAuthentication)和MD5驗證(Message Digest Authentication)。
1. 啟動OSPF
在NE80核心路由器上啟用OSPF路由協議包含以下兩步。在全局配置模式下:
1 激活OSPF進程,在特權模式下執行:
router ospf
2 將埠劃分到特定的區域中:
network <network or IP address><mask><area-id>
在Cisco的路由器上激活OSPF協議時還要指定process-id, 其是一個路由器上的本地有效地十進制數,不需要同其他路由器上的Process-id 相匹配。通過該process-id, 可以在一台路由器上運行多個OSPF進程。但是不推薦在同一台路由器上創建多個OSPF進程,舉激因為那樣會使路由器增加額外正毀襪的開銷。
Network命令是把一個埠分配到某個區域中的一種方法。掩碼是作為一種快捷余余方式使用,可將同一個區域中的一系列埠列表用一行配置命令就可完成。掩碼包含通配符「0」 和「1」,「0」位表示匹配,「1」位表示不匹配。如:0.0.255.255 表示匹配網路號的前兩個位元組。
Area-id 是埠所屬的區域號,它是0到4294967295之間的一個整數,也可採取與IP地址類似的格式,如0.0.0.100 表示區域號為100.
RTA#
interface GigabitEthernet5/0/0
ip address 192.213.11.1 255.255.255.0
interface GigabitEthernet5/0/1
ip address 192.213.12.2 255.255.255.0
interface GigabitEthernet5/1/0
ip address 128.213.1.1 255.255.255.0
interface GigabitEthernet5/1/1
No ip address
router ospf 100
network 192.213.0.0 0.0.255.255 area 0.0.0.0
network 128.213.1.1 0.0.0.0 area 23
第一句network命令把E0和E1埠分配到區域0.0.0.0中,第二句network命令將E2分配到區域23中。注意0.0.0.0的掩碼表示匹配所有的IP地址位。如果遇到掩碼問題時,這是一個非常簡便有效的方法來將一個埠分配到某個特定區域中。
2. 簡單的密碼驗證
簡單的密碼驗證允許一個區只配置一個密碼(Password),同一個區中的路由器要想參與路由,他們必須配置同一個密碼。這種方法的缺點是易受攻擊,任何人用線路分析儀都能從網路上竊取密碼。使用下面的命令啟動密碼驗證:
ip ospf authentication-key <key> (在特定的埠配置模式下設置)area <area-id> authentication (在路由配置模式"(config-router-ospf)"下設置)
例如:
interface GigabitEthernet1/0/0
ip address 10.10.10.10 255.255.255.0
ip ospf authentication-key mypassword
router ospf 10
network 10.10.0.0 0.0.255.255 area 0
area 0 authentication
3. MD5 驗證
MD5 (Message Digest Authentication) 是採用加密驗證,每個路由器上都必須配置密碼和密碼ID。 路由器使用一種演算法,基於OSPF報文、密碼和密碼ID產生一個「Message Digest」,然後加到OSPF報文中。不像簡單密碼驗證,MD5驗證密碼不在網路上傳輸。每個OSPF報文中還包含有一個序列號以保護網路不受攻擊。
這種驗證方法可以更改密碼而不中斷網路業務,這有助於網路管理員在線更改OSPF驗證密碼。如果一個埠配置了一個新的密碼,路由器將會向網路發送同一個報文的多個拷貝,每個報文用不同的密碼來驗證。當路由器檢測到所有的鄰居都採納了新的密碼後就會停止發送這種報文的副本。用下面的命令來配置MD5驗證:
ip ospf message-digest-key <keyid> md5 <key> 在特定的埠配置模式下設置
area <area-id> authentication message-digest 在路由配置模式
"(config-router-ospf)"下設置)
例如
interface GigabitEthernet1/0/0
ip address 10.10.10.10 255.255.255.0
ip ospf message-digest-key 10 md5 mypassword
router ospf 10
network 10.10.0.0 0.0.255.255 area 0
area 0 authentication message-digest
4. OSPF的認證問題
認證是在兩台路由器之間橋塵建立鄰居時用到的。
ospf的認證信息是封裝在hello報文里的,如果兩個路由器封裝的認證信息不一樣,就不能建立ospf鄰居。
ping的通,跟ospf認證沒有關系。
ping用的粗消敬是icmp協議,icmp報文封裝到ip里。
ospf的報文則是直接封裝到ip里。
他們的機制是不同的岩慎。
希望能幫到你,如果不理解,可以追問。
5. ospf是什麼
OSPF協議OSPF(Open Shortest Path First開放式最短路徑優先)是一個內部網關協議(Interior Gateway Protocol,簡稱IGP),用於在拿猜單一自治系統(autonomous system,AS)內決策路由。與RIP相對,OSPF是鏈路狀態路由協議,消銀型而RIP是距離矢量路由搏頌協議。
6. eNSP模擬實驗-OSPF的認證
OSPF支持報文驗證渣襲功能,只有通過驗證的報文才能接穗李受,否則將不能建立鄰居關系。OSPF協議支持兩種認證方式-區域認證和鏈路認證。使用區域認證時,一個區域中的所有路由器在該區域下的認證模式和口令必須一致;OSPF鏈路認證相比於區域認猜梁遲證更加靈活,可專門對某個鄰居設置單獨的認證模式和密碼。如果同時配置兩種認證,優先使用介面認證建立OSPF鄰居。
每種認證方式又分為簡單驗證、MD5驗證、key chain驗證模式。簡單驗證模式在數據傳輸過程中,認證密鑰和密鑰ID都是明文傳輸,很容易被截獲。MD5驗證模式下的密鑰經過MD5加密傳輸,相比於簡單驗證模式更加安全。key chain驗證模式可以配置多個密鑰,不同的密鑰可以單獨設置生效周期。
1、按照圖示配置路由器介面地址和loopback環回地址。
2、搭建OSPF網路。注意R2的不同介面需要需要在不同區域,其他配置不羅列了。
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0]area 1
[R2-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255
3、area 1區域R1配置簡單認證,密碼huawei1。plain參數可以使得在查看配置文件時,口令均以明文顯示口令。authentication-mode simple huawei1,不加plain在查看配置文件時就會以密文方式顯示,更加安全。
4、配置完成後,dis ospf peer brief查看OSPF鄰居,發現R1 R2鄰居關系中斷了,因為僅僅在R1上配置了認證,導致R1 R2間的OSPF認證不匹配。繼續配置R2 R4,驗證模式一致,口令一致,鄰居關系恢復。
5、R2 R3 R5 R6配置area 0區域密文認證。
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3
6、鏈路認證配置。
上面是使用區域配置,鏈路認證可以達到同樣的效果,需要在OSPF的鏈路介面下都配置鏈路認證的命令,設置鏈路驗證模式和口令等。
在G0/0/1介面下配置鏈路認證,發現R2 R4間的OSPF鄰居關系已經消失,因為同時配置兩種認證,優先使用介面認證建立OSPF鄰居。在R4沒有配置鏈路認證外,R2 R4間的OSPF鄰居關系不會i建立。
[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5
[R4-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5
配置完成後,R4的路由都正常,專門對鄰居R1設置單獨的認證模式和密碼,其餘都是區域認證。
7. 什麼是OSPF
OSPF是指:內部網關搏困拍協議
OSPF協議是用於網際協議(IP)網路的鏈路狀態路由協議。該協議使用鏈路狀態路由演算法的內部網尺好關協議(IGP),在單一自治系統(AS)基羨內部工作。
8. ospf認證是指什麼,我知道分明文和密文,密文是指傳送的LSA都是密文嗎認證有什麼用
ospf的認證是為了提高ospf的安全性的,是在兩台路由器間啟用。如不開啟ospf的認證,那麼任意兩台啟用ospf協議的三層設備相連後都能夠交換ospf報文,那麼網路中的信息都會被接入的設備得到,啟用認證之後,兩台設備若想交換信息,那麼必須知道正確的密碼,密碼錯誤是無法建立鄰接關系,也就不能交換信息,就好比你上QQ的時候必須有正確的用戶名和密碼,才能登錄唯指胡(當指攔然這個QQ的例子不恰當,就是告訴認證的作用)。這樣就能阻止非法用戶接入到網路中獲取網路的信息。明文和密文是在兩個路由器間交換密碼進行驗證的時候,密碼是以明文發送還是以密文發送,如以明文發送,那麼在抓包的時候能夠抓到該密碼,若是密文,就是MD5加密後的亂碼,和LSA沒有任何關系,LSA是之後鄰接關系建立完才發送逗肢的。