OSPF 协议配置【实验目的】1.了解和掌握ospf 的原理;2.熟悉ospf 的配置步骤;3.懂得如何配置OSPF router ID ,了解DR/BDR 选举过程;4.掌握hello-interval 的使用;5.学会使用OSPF 的authentication ;【实验拓扑】【实验器材】如上图,需用到路由器三台,hub/switch 一个,串行线、网线若干,主机三台。
说明:拓扑中网云可用hub 或普通switch 替代,建立multiaccess 网络,以太口连接。
【实验原理】一、OSPF1. OSPF 基本原理以及邻居关系建立过程OSPF 是一种链路状态型路由选择协议。
它依靠5种(Hello, DBD, LSR, LSU and LSAck)不同种类的数据包来识别、建立和维护邻居关系。
当路由器接收到来自邻居的链路状态信息后,会建立一个链路状态数据库;然后根据该链路状态数据库,采用SPF 算法确定到各目的地的最佳路径;最后将最佳路径放到它的路由表中,生成路由表。
OSPF 会进行周期性的更新以维护网络拓扑状态,在LSA 的生存期到期时进行周期性的更新。
除了周期性更新之外,还有触发性更新。
即当网络结构发生变化(例如增减路由器、链路状态发生变化等)时,会产生触发性更新,把变化的那一部分通告给整个网络。
192.168.1.0/24 RT A2.Designated Router (DR) / Backup Designated Router(BDR)选举过程存在于multiaccess网络,点对点链路和NBMA网络中无此选举过程,此过程发生在Two-Way之后ExStart之前。
选举过程:选举时,依次比较hello包中的各台router priority和router ID,根据这两个值选出DR 和BDR。
选举结束后,只有DR/BDR失效才会引起新的选举过程;如果DR故障,则BDR 替补上去,次高优先级Router被选为BDR。
基本原则如下:1)有最高优先级值的路由器成为DR,有第二高优先级的路由器成为BDR;2)优先级为0的路由器不能作为DR或BDR,只能做DRother (非DR);3)如果一台优先级更高的路由器加到了网络中,原来的DR与BDR保持不变,只有DR 或BDR它们失效时才会改变;4)当优先级相同时,路由器ID最高和次高的的就成为DR和BDR;5)当没有配置loopback时,用router上up起来的端口中最高IP地址作为Router ID,否则就用loopback口的IP地址作为它的ID;如果有多个loopback则用loopback端口中最高IP地址作为ID;而且路由器ID 一旦确定就不再更改。
建议使用优先级操纵DR/BDR选举过程3.update timer与authentication的影响要让OSPF路由器能相互交换信息,它们必须具有相同的hello间隔和相同的dead-time 间隔。
缺省情况下,后者是前者的4倍。
缺省地,路由器认为进入的路由信息总是可靠的、准确的,从而不加甄别就进行处理,这存在一定的危险。
因此,为了确保进入的路由信息的可靠性和准确性,我们可以在路由器接口上配置认证密钥来作为同一区域OSPF路由器之间的口令,或对路由信息采用MD5算法附带摘要信息来保证路由信息的可靠性和准确性。
建议采用后者,因为前者的密钥是明文发送的。
三、其它预备知识1、回环接口的配置:Router(config)#int l0Router(config-if)#ip addr *.*.*.* *.*.*.*2、telnet:是属于应用层的远程登陆协议,是一个用于远程连接服务的标准协议,用户可以用它建立起到远程终端的连接,连接到Telnet服务器;用户也可以用它远程连接上路由器进行路由器配置。
【实验内容】一、在路由器上配置单域的OSPF1.按照拓扑图1接好线,完成如下基本配置:(1)配置端口IP地址以RTA路由器的配置为例:RTA(config)#Interface Ethernet 0RTA(config-if)#ip address 192.168.1.1 255.255.255.0RTA(config-if)#no shutdown检验:用ping命令检查连通性:在各台路由器上分别ping自己的所有邻居看是否可以ping通。
(2)配置looback端口作为router ID,确保router ID的稳定性。
以RTA路由器的配置为例:RTA(config)#Interface loopback 0RTA(config-if)#ip address 10.0.0.3 255.255.255.2552.启动OSPF路由进程在各台路由器上配置ospf路由协议(为更好的观察OSPF协议运作的各种信息,配置前,把各路由器上的以太网口shutdown):路由器A:RTA(config)#router ospf 1RTA(config-router)#network 192.168.1.0 0.0.0.255 area 0RTA(config-router)#network 192.168.2.0 0.0.0.255 area 0路由器B:RTB(config)#router ospf 1RTB(config-router)#network 192.168.1.0 0.0.0.255 area 0RTB(config-router)#network 192.168.3.0 0.0.0.255 area 0路由器C:RTC(config)#router ospf 1RTC(config-router)#network 192.168.1.0 0.0.0.255 area 0RTC(config-router)#network 192.168.2.0 0.0.0.255 area 0RTC(config-router)#network 192.168.3.0 0.0.0.255 area 03.观察、检验OSPF配置:Router#debug ip ospf events//OSPF协议运作的各种信息用no shut 命令打开各路由器上的以太网口。
Router(config-)#int f0Router(config-if)#no shut观察路由器输出的debug信息。
在各个路由器确立邻居关系之后:Router#show ip ospf neighbor //检查路由器邻接状态Router#show ip protocols //查看运行的路由协议及协议相关的信息Router#show ip ospf //查看OSPF协议信息及各种计时器Router#show ip ospf interface e0 //查看OSPF的接口相关配置,比如hello间隔Router#debug ip ospf adj //查看邻接关系相关的信息用以下命令删除某个路由条目或者整个路由表,然后再查看路由条目和路由表的建立过程:Router#Clear ip route * 清空路由表Router#Clear ip route a.b.c.d 清空某条路由条目4.优先修改接口优先级,观察优先级对选举过程的影响观察默认优先级:Router#show ip ospf interface观察默认优先级下,router ID如何影响DR/BDR的选举:Router#show ip ospf neighbor思考:哪台路由器是该网络上的DR、BDR,为什么会有这样的结果?修改优先级:路由器A:RTA(config)#int e0RTA(config-if)#ip ospf priority 0路由器B:RTB(config)#int e0RTB(config-if)#ip ospf priority 1路由器B:RTC(config)#int e0RTC(config-if)#ip ospf priority 2重新开始DR/BDR选举过程(把各个路由器的以太网口shut down,过了down机间隔时间之后,重新用no shut命令打开)观察选举结果:Router#show ip ospf neighborRouter#show ip ospf neighbor detail5.修改update timer (选做)查看默认的hello间隔和down判定间隔:Router#sh ip ospf int e0使用以下命令修改Router#interface e0Router#ip ospf hello-interval *Router#ip ospf dead-interval *由于hello时间间隔有相等的要求,建议大家先改动一台router的参数后,用debug ip ospf events命令观察:不一致的timer使得ospf 路由器无法正常通信。
6.配置认证在RTA接口上配置OSPF认证口令:RTA(config)#int e0RTA(config-if)#ip ospf authentication-key cisco以整个OSPF区域为基础启用认证功能:Router(config-router)# area 0 authentication过了down机间隔时间之后,在路由器RTA发出“show ip ospf neighbor”命令,查看RTA的OSPF邻居。
用“debug ip ospf events”确定该结果的原因。
在RTB与RTC上作与RTA相同的配置。
再次用“show ip ospf neighbor”来查看结果。
说明:在debug信息中,可以看到三种认证类型,0表示不使用认证,类型1代表明文认证,类型2代表用MD5加密认证。
【思考题】1、什么时候需要在OSPF区域内发布缺省路由,如何配置?2、在实验的最后一步,我们配置的认证信息是通过明文传送的,容易被嗅探器捕获,如何配置可以令认证更加安全?。