OSPF相关配置 |
您所在的位置:网站首页 › ospf怎么修改hello时间 › OSPF相关配置 |
认证
OSPF认证 OSPF认证是基于网络安全性的要求而实现的一种加密手段,通过在OSPF报文中增加认证字段对报文进行加密。当本地设备接收到远端设备发送过来的OSPF报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。 根据报文的种类,认证可以分为以下两类: 区域认证:在OSPF区域视图下配置,对本区域的所有接口下的报文进行认证。 接口认证:在接口视图下配置,对本接口的所有报文进行认证。 根据报文的认证方式,可以分为: 空认证:不进行认证。 简单认证:这是一种简单的加密方式,将配置的密码直接加入报文中,这种加密方式安全性不高。 MD5(Message Digest 5)认证:通过将配置的密码进行MD5等加密算法之后再加入报文中,这样提高了密码的安全性。目前支持MD5/HMAC-MD5(Hash Message Authentication Code for Message Digest 5)。为了保证更好的安全性,建议不要使用MD5算法,推荐使用HMAC-SHA256算法。 Keychain认证:Keychain由多个认证密钥组成,每个密钥包含一个ID和密码。密钥存在生命期,通过密钥的生命期可以在Keychain中滚动选择不同的认证密钥。Keychain可以滚动选择认证密钥来增强防攻击性。 Keychain为OSPF提供了认证保护,Keychain通过动态的更改认证算法和密钥,提高了OSPF的安全性。应用Keychain认证,除了可以对OSPF协议报文进行认证之外,还可以对TCP建立连接的过程进行认证。Keychain的详细描述请参见《NE设备特性描述-安全》中Keychain章节。 HMAC-SHA256(Hash Message Authentication Code for Secure Hash Algorithm 256)认证:通过将配置的密码进行HMAC-SHA256算法加密之后再加入报文中,提高密码的安全性。 说明: l 在同一网络中的多台设备,当配置的接口认证完全相同,才能建立OSPF邻居。 l 如果多台设备在同一个区域中,必须将区域认证配置成完全相同 密钥启用视图接口认证接口接口区域认证接口进程虚链路认证接口进程接口认证 在接口视图下认证 int g0/0/0 ospf authentication-mode md5 1 cipher 123 区域认证authenctication-mode md5 1 cipher 123 区域认证需在该区域所有的路由上都做 虚链路认证vlink-peer [route ID] [加密方式] [密钥编号][本地密码存储显示] [密码] vlink-peer 4.4.4.4 md5 1 cipher 123456 OSPF认证总结: 接口认证只跟相应的接口做;虚链路认证也是一种特殊的接口认证;区域认证是所在相应区域的接口认证;虚链路属于区域0;区域0认证,虚链路必须做认证或者有段虚链路的路由器做区域0的认证;虚链路做认证。区域0不需要做认证。 OSPF中的计时器: hello时间默认为10s或30s。 dead时间:默认为40s或120s; 修改hello时间,dead时间变化(默认为四倍的hello时间),修改dead时间,hell时间不变,hello时间或dead时间不同,都会影响邻居关系建立。 Waiting time:等待DR 或BDR的选举时间,永远保持与dead时间一致。 修改hello时间:ospf timer hello 5 修改dead 时间:ospf timer dead 20 OSPF 默认重传时间5s修改重传时间:ospf timer retransmit 6 LSA 老化时间 :1800S transmit delay 补偿LSA在传输过程中消耗的时间,补偿在老化时间上 传输延时默认为1s修改传输延时: ospf trans-delay 3 沉默接口--- 如果将一个接口配置成为沉默接口,则这个接口将只接受不发送OSPF的数据 包。 [r1-ospf-1]silent-interface GigabitEthernet 0/0/1 注意:应用在用户网段,减少数据包的发送,资源的占用。 缺省路由3类缺省 --- 只能自动生成,在末梢区域,完全末梢区域,完全NSSA区域 在路由表中协议标记为OSPF,默认优先级为10 5类缺省 --- 只能手工配置 [r1-ospf-1]default-route-advertise --- 相当于将本地通过其他协议学习到的缺省路由 进行重发布 [r1-ospf-1]default-route-advertise always ---如果本地没有缺省信息,可以通过增加 always来强制下发。 在路由表中协议标记为O_ASE,默认优先级为150 7类缺省 --- 可以手工配置,也可以自动生成(NSSA) [r1-ospf-1-area-0.0.0.1]nssa default-route-advertise 路由过滤--- 可以在域间针对3类LSA进行过滤,也可以在ASBR上针对5类/7类LSA进行过滤 [r2-ospf-1-area-0.0.0.1]abr-summary 192.168.0.0 255.255.252.0 not-advertise --- 域间过滤3 类LSA,可以应用于汇总网段和明细 [r2-ospf-1]asbr-summary 1.1.1.1 255.255.255.255 not-advertise --- 域外过滤5类/7类LSA 路由控制 优先级[r2-ospf-1]preference 20 --- 修改域内和域间类型为OSPF的优先级 [r2-ospf-1]preference ase 100 --- 修改域外类型为O_ASE/O_NSSA的优先级 开销值COST = 参考带宽 / 真实带宽 通过修改参考带宽影响开销值 [r1-ospf-1]bandwidth-reference 1000 Info: Reference bandwidth is changed. Please ensure that the reference bandwidth that is configured for all the routers are the same. 2,通过修改真实带宽影响开销值 [r2-GigabitEthernet0/0/1]undo negotiation auto --- 关闭自动协商 [r2-GigabitEthernet0/0/1]speed 10 --- 修改接口的传输速率 重启生效 直接修改COST [r2-GigabitEthernet0/0/1]ospf cost 1000 --- 修改接口的开销值
第一类外部路由的AS外部开销被认为和AS内部开销值是同一数量级的,因此第一类外部路由的开销值为AS内部开销值(路由器到ASBR的开销)与AS外部开销值之和; 第二类外部路由的AS外部开销值被认为远大于AS内部开销值,因此第二类外部路由的开销值只是AS外部开销值,忽略AS内部开销值。 2、优先级 第一类外部路由永远比第二类外部路由优先,VRP中引入的外部路由类型缺省为第二类。 3、COST值 第一类外部路由:该路由引入OSPF时的COST加上本路由器到达ASBR/Forwarding Address的COST值; 第二类外部路由:仅计算该路由引入OSPF时的COST值。 扩展资料 外部路由是根据OSPF AS-External-LSA(以下简称5类LSA)生成的,描述了应该如何选择到AS以外目的地址的路由,根据是否计算AS内部路径开销分为第一类和第二类外部路由。 第一类外部路由的开销=本路由器到相应的ASBR的开销+ASBR到该路由目的地址的开销,第二类外部路由的开销=ASBR到该路由目的地址的开销。 OSPF协议认为第一类外部路由可信度高高一些,在对于同一个目的地址同时存在第一类外部路由和第二类外部路由时,不管这两条外部路由的花费是多少,均优选第一类外部路由。 对于TYPE 1类的外部路由,该路由的COST值为该路由引入OSPF时的COST加上本路由器到达ASBR/Forwarding Address的COST值;对于TYPE 2类的外部路由,仅计算该路由引入OSPF时的COST值。
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |