H3C_OSPF协议原理及配置V2[1].0

时间：二O二一年七月二十九日一.基本信息配置system-view //进入系统视图[H3C]sysname RT3 //为设备命名[RT3]super password simple H3C //设置超级密码[RT3]local-user admin //添加用户[RT3-luser-admin]password simple admin //为用户设定密码[RT3-luser-admin]service-type telnet //指定用户的类型[RT3-luser-admin]quit //返回上一级[RT3]user-interface vty 0 4 //进入vty[RT3-ui-vty0-4]set authentication password simple telnet //设置远程登岸认证,密码为telnet[RT3-ui-vty0-4]idle-timeout 5 0 //配置超时退出时间其它略二、链路配置及调测interface Serial0/2/0ip address 10.1.13.2 255.255.255.252undo shutdowninterface LoopBack0ip address 3.3.3.3 255.255.255.255undo shutdowninterface Ethernet0/1/0ip address 10.1.3.1 255.255.255.0undo shutdown其它略三、OSPF多区域及RIP配置[RT3]ospf 1 router-id 3.3.3.3 //配置OSPF ROUTER-IDsilent-interface all //配置所有端口为主动接口undo silent-interface Serial0/2/0 //关闭此接口的主动接口undo silent-interface Serial0/2/2area 1 //OSPF区域,可以写成点分十进制 0.0.0.1network 3.3.3.3 0.0.0.0 //宣告OSPF的网段network 10.1.13.0 0.0.0.3network 10.1.3.0 0.0.0.255[RT1]ospf 1 router-id 1.1.1.1silent-interface allundo silent-interface Serial0/2/0undo silent-interface Serial0/2/2area 0network 10.0.15.0 0.0.0.3network 1.1.1.1 0.0.0.0area 1network 10.1.13.0 0.0.0.3network 10.1.1.0 0.0.0.255[RT5]ospf 1 router-id 5.5.5.5silent-interface allundo silent-interface Serial0/2/0undo silent-interface Serial0/2/2area 0network 10.0.15.0 0.0.0.3network 5.5.5.5 0.0.0.0network 10.0.5.0 0.0.0.255network 10.0.56.0 0.0.0.3[RT6]ospf 1 router-id 6.6.6.6silent-interface allundo silent-interface Serial0/2/0undo silent-interface Serial0/2/2area 0network 10.0.56.0 0.0.0.3network 6.6.6.6 0.0.0.0area 2network 10.2.6.0 0.0.0.255network 10.2.26.0 0.0.0.3[RT2]ospf 1 router-id 2.2.2.2silent-interface allundo silent-interface Serial0/2/2area 2network 10.2.26.0 0.0.0.3network 2.2.2.2 0.0.0.0network 10.2.2.1 0.0.0.255rip //启动RIPundo summary //关闭自动汇总version 2 //RIPV2network 172.16.0.0 //宣告RIP的网段silent-interface all //配置所有接口为主动接口undo silent-interface Serial0/2/3 //将接口不设为主动接口[RT4]ripundo summaryversion 2network 172.16.0.0network 4.0.0.0silent-interface allundo silent-interface Serial0/2/1四、OSPF重分布外部路由及下发缺省路由[RT5]ospf 1area 0import-route direct cost 1000 type 2 //重分布直连路由default-route-advertise always //下发缺省路由default cost 2000 //指定缺省路由的COST为2000default type 1 //指定下发的缺省路由为类型1[RT2]ospf 1area 2import-route rip 1 cost 1000 //重分布RIP到OSPFripimport-route ospf 1 cost 5 //重分布OSPF到RIP五、OSPF特殊区域配置及路由汇总[RT3]ospf 1area 1stub //配置为STUB区域[RT1]ospf 1area 1stub no-summary //配置完全STUB区域abr-summary 10.1.0.0 255.255.0.0 //区域内汇总[RT6]ospf 1area 2nssa no-summary //配置完全NSSA区域abr-summary 10.2.0.0 255.255.0.0 //区域内汇总[RT2]ospf 1area 2nssa //配置NSSA区域asbr-summary 172.16.0.0 255.255.0.0 cost 1000 //外部路由汇总六、OSPF虚链路system-view[Sysname] ospf 100[Sysname-ospf-100] area 2[Sysname-ospf-100-area-0.0.0.2] vlink-peer 1.1.1.1 指定对方的ROUTER-ID [Sysname-ospf-100-area-0.0.0.2]vlink-peer 1.1.1.1 md5 10 cipher H3C 虚链路MD5认证vlink-peer 1.1.1.1 simple cipher H3C 虚链路明文认证虚链路的另一端也类似配置display ospf vlink //显示虚链路七、OSPF认证[RT1]ospf 1[RT1ospf-1]area 1[RT1-ospf-1-area-0.0.0.1]authentication-mode md5[RT1-ospf-1-area-0.0.0.1]quit[RT1-ospf-1]quit[RT1]int s0/2/0[RT1-Serial0/2/0]ospf authentication-mode md5 10 cipher H3C [RT3]ospf 1[RT3ospf-1]area 1[RT3-ospf-1-area-0.0.0.1]authentication-mode md5[RT3-ospf-1-area-0.0.0.1]quit[RT3-ospf-1]quit[RT3]int s0/2/0[RT3-Serial0/2/0]ospf authentication-mode md5 10 cipher H3C 或是采纳明文认证,配置方法与上类似authentication-mode simpleospf authentication-mode simple cipher H3C八、OSPF调测调试命令display ospf brief //显示OSPF的摘要信息display ospf cumulative //OSPF的统计信息display ospf interface //显示OSPF的接口信息display ospf peer //显示OSPF的邻居信息display ospf lsdb //显示OSPF的LSDBdisplay ospf routing //显示OSPF的路由信息display ospf error //显示OSPF的毛病信息reset ospf process //重启OSPF进程其它命令int e0/2/0ospf cost 1000 //修改OSPF的COST值 COST=10的8次方/带宽ospf network broadcast|nbma |p2mp |p2p //修改OSPF的网络类型ospf dr-priority 10 //修改接口的优先级,缺省为1九、H3C与CISCO的路由协议管理距离的区别：CISCO:H3C:时间：二O二一年七月二十九日。

实验五路由协议配置（二）1MSR系列路由器OSPF路由协议的配置1.1组网需求：PC1和PC2通过Router A和Router B通过OSPF路由协议实现互连互通。

设备清单：PC两台、MSR系列路由器2台1.2组网图：Router A 配置//进入S0/0、E0/0接口视图，配置IP地址及掩码#interface Serial0/0ip address 1.1.1.1 255.255.255.0#interface Ethernet0/0ip address 2.2.2.1 255.255.255.0#//启动ospf协议，并设置路由器的router idospf 1 router-id 1.1.1.1// 创建区域0，在接口S0/0、E0/0使能OSPFarea 0.0.0.0network 1.1.1.0 0.0.0.255network 2.2.2.0 0.0.0.255#RouterB配置#//配置接口的IP地址及掩码interface Serial0/0ip address 1.1.1.2 255.255.255.0#interface Ethernet0/0ip address 3.3.3.1 255.255.255.0#//启动ospf协议，并设置路由器的router idospf 1 router-id 2.2.2.2// 创建区域0，在接口S0/0、E0/0使能OSPFarea 0.0.0.0network 3.3.3.0 0.0.0.255network 1.1.1.0 0.0.0.255#1.4配置关键点：1)首先保证路由器A可以ping通路由器B，只要互连接口处于同一网段即可。

2)在系统视图下启动OSPF协议，使用命令ospf 1 ，其中数字“1”表示ospf的进程号，可以在同一设备上启动多个ospf进程，每个进程维护独立的路由表。

3)OSPF协议在接口上生效，如果在路由上启动了ospf协议，但没有在接口使能,则不会生成RIP的路由信息。

定的的MTU 值是接口的实际MTU 值。

请在接口视图下进行下列配置。

缺省情况下，接口发送DD 报文时不填MTU 值，即DD 报文中的MTU 值为0 。

第一节：OSPF 安全性配置配置OSPF 认证1、配置OSPF 区域支持报文验证一个区域中所有的路由器的验证类型必须一致（不要求验证、要求明文验证或者要求MD5 密文验证）。

一个网段中所有路由器的验证字口令必须一致。

用authentication-mode simple 为 该 区 域 的 配 置 明 文 验 证 口 令 ； 用 authentication-mode md5 为该区域配置 MD5 密文验证字口令。

请在 OSPF 区域视图下进行下列配置。

配置 OSPF 区域要求报文验证2、 配置 OSPF 报文的认证OSPF 支持在相邻路由器之间支持明文验证（simple ）或 MD5 密文验证。

请在接口视图下进行下列配置。

配置 OSPF 报文的认证配置接口的工作状态如果要使 OSPF 路由信息不被某一网络中的路由器获得，可禁止在相应接口上发送 OSPF 报文。

不同的进程可以对同一接口禁止发送 OSPF 报文，但 silent-interface 命令只对本进程已经使能的 OSPF 接口起作用，不对其它进程的接口起作用。

请在 OSPF 视图下进行下列配置。

禁止/允许接口发送 OSPF 报文将运行 OSPF 协议的接口指定为 Silent 状态后，该接口的直连路由仍可以发布出去，但接口的 OSPF 呼叫报文将被阻塞，接口上无法建立邻居关系。

这样可以增强 OSPF 的组网适应能力，减少系统资源的消耗。

第二节：OSPF 高级特性配置配置OSPF 的STUB 区域Stub 区域是一类特殊的OSPF 区域，这类区域不接收或扩散Type-5 的LSA（AS-external-LSAs），对于产生大量Type-5 LSA 的网络，这种处理方式能够有效减小Stub 区域内路由器的LSDB 尺寸，并缓解SPF 计算对路由器资源的占用。

OSPF路由协议6.3.1OSPF的基本配置【需求】两台PC所在网段，通过两台使用OSPF协议的路由器实现互连互通。

【组网图】RouterA和RouterB可以通过OSPF学习到对方路由信息，并可以ping通对方网段。

RouterA路由表：[RouterA]disp ip routing-tableRouting Table: public netDestination/Mask Protocol Pre Cost Nexthop InterfaceDIRECT 0 0 InLoopBack0OSPF 10 1563 Serial0/0DIRECT 0 0 Ethernet0/0DIRECT 0 0 InLoopBack0DIRECT 0 0 Serial0/0DIRECT 0 0 InLoopBack0DIRECT 0 0 Serial0/0OSPF 10 1563 Serial0/0DIRECT 0 0 InLoopBack0DIRECT 0 0 InLoopBRouterA和RouterB可以通过OSPF学习到对方路由信息，并可以ping通对方网段。

RouterA路由表：[RouterA]disp ip routing-tableRouting Table: public netDestination/Mask Protocol Pre Cost Nexthop InterfaceDIRECT 0 0 InLoopBa ck0OSPF 10 1563 Serial0/ 0DIRECT 0 0 Ethernet 0/0DIRECT 0 0 InLoopBack 0DIRECT 0 0 Serial0/ 0DIRECT 0 0 InLoopBack 0DIRECT 0 0 Serial0/ 0O_ASE 150 1 Serial0/0DIRECT 0 0 InLoopBack 0DIRECT 0 0 InLoopBack0【提示】1、建议将router id 指定和loopback 0接口地址一致。

H3CSEOSPF协议详解OSPF一、OSPF工作机理OSPF协议的工作过程主要可分为四部分，即：邻居发现、路由交换、路由计算和路由维护。

1.邻居发现运行OSPF的路由器以组播方式（目的地址224.0.0.5）发送Hello报文来发现邻居。

1)初始情况下，邻居关系处于Down的状态，之后RTA开始发送Hello报文，由于当前没有发现任何邻居，因此它的邻居表项是空的，并且DR 字段设置为0.0.0.0。

2)RTB接收到RTA的Hello报文后，将RTA添加到自己的邻居表中，同时将RTA的邻居状态设置为Init。

与RTA比较Router ID，由于RTB 的Router ID 较大，所以在发送的Hello报文中，将DR字段设置为自己的Router ID。

3)RTA收到RTB发来的Hello报文，在邻居列表里发现了自己的Router ID，因而在邻居表中添加RTB，并将邻居状态设置为2-Way。

RTA发送Hello报文，其中邻居列表添加RTB的Router ID，将DR字段设置为RTB的Router ID。

4)RTB收到RTA的Hello报文，发现自己的Router ID，从而将邻居表中RTA的状态也修改为2-Way。

2.路由交换5)RTA将邻居表中RTB的邻居状态修改为ExStart，并发送一个不包含LSA摘要的DD报文，开始主从关系的协商。

这个DD报文的序列号由RTA决定，设置为X；I位被设置为1，表明这是RTA发起的初始化报文；M位被设置为1，表明这不是最后一个DD报文；MS位被设置为1，表明RTA认为自己是Master路由器。

6)RTB收到RTA的DD报文后，将邻居表中RTA的状态设置为ExStart，由于RTB的Router ID大于RTA，因此RTB认为自己应该作为Master 路由器。

所以RTB发送的DD报文中同样将MS位设置为1，采用序列号Y，同时将I位与MS位置为1。

7)RTA同意RTB作为Master路由器，因此将MS位置为0，表明自己是Slave路由器，并采用RTB的序列号Y开始发送DD报文，这时DD报文中包含LSA摘要，RTA将邻居表中RTB的状态设置为Exchange。

H3C防火墙配置说明杭州华三通信技术有限公司版权所有侵权必究All rights reserved相关配置方法:配置OSPF验证从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击,OSPF提供报文验证功能。

OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。

要配置OSPF报文验证,同一个区域的所有路由器上都需要配置区域验证模式,且配置的验证模式必须相同,同一个网段内的路由器需要配置相同的接口验证模式与口令。

表1-29 配置OSPF验证提高IS-IS网络的安全性在安全性要求较高的网络中,可以通过配置IS-IS验证来提高IS-IS网络的安全性。

IS-IS验证特性分为邻居关系的验证与区域或路由域的验证。

配置准备在配置IS-IS验证功能之前,需完成以下任务:•配置接口的网络层地址,使相邻节点网络层可达•使能IS-IS功能配置邻居关系验证配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello报文中,并对接收到的Hello报文进行验证密码的检查,通过检查才会形成邻居关系,否则将不会形成邻居关系,用以确认邻居的正确性与有效性,防止与无法信任的路由器形成邻居。

两台路由器要形成邻居关系必须配置相同的验证方式与验证密码。

表1-37 配置邻居关系验证操作命令说明进入系统视图system-view-进入接口视图interface interface-type interface-number-配置邻居关系验证方式与验证密码isis authentication-mode{ md5 | simple}[ cipher ] password [ level-1 | level-2 ] [ ip |osi ]必选缺省情况下,接口没有配置邻居关系验证,既不会验证收到的Hello报文,也不会把验证密码插入到Hello报文中参数level-1与level-2的支持情况与产品相关,具体请以设备的实际情况为准必须先使用isis enable命令使能该接口才能进行参数level-1与level-2的配置。