配置注意點
1.Router ID
如果沒有配置全局路由器ID,則按照下面的規則進行選擇:
1)如果存在配置IP地址的Loopback接口,則選擇Loopback接口地址中最大的作為Router ID
2)如果沒有配置IP地址的Loopback接口,則從其他接口的IP地址中選擇最大的作為Router ID(不考慮接口的up/down狀態)
命令:router id x.x.x.x
2.Stub區域
1)如果要將一個區域配置成Stub/NSSA區域,則該區域中的所有路由器必須都要配置stub命令。
2)如果要將一個區域配置成Totally Stub/NSSA區域,該區域中的所有路由器必須配置stub命令,該區域的ABR路由器需要配置stub no-summary命令。
命令:stub [ default-route-advertise-always | no-summary ] *
3.OSPF的網絡類型
本設備上,OSPF接口網絡類型的缺省值為廣播類型。
用戶可以根據需要更改接口的網絡類型,例如:
• 當NBMA網絡通過配置地址映射成為全連通網絡時(即網絡中任意兩台路由器之間都存在一條虛電路而直接可達),可以將網絡類型更改為廣播,不需要手工配置鄰居,簡化配置。
• 當廣播網絡中有部分路由器不支持組播時,可以將網絡類型更改為NBMA。
• NBMA網絡要求必須是全連通的,即網絡中任意兩台路由器之間都必須有一條虛電路直接可達;如果NBMA網絡不是全連通而是部分連通時,可以將網絡類型更改為P2MP,達到簡化配置、節省網絡開銷的目的。
• 如果路由器在NBMA網絡中只有一個對端,也可將接口類型配置為P2P,節省網絡開銷。
如果接口配置為廣播、NBMA或者P2MP網絡類型,只有雙方接口在同一網段才能建立鄰居關系。
命令:端口下,ospf network-type broadcast/nbma/p2mp
4.配置OSPF的路由信息控制:控制OSPF的路由信息的發布與接收,並引入其他協議的路由。
1)配置OSPF路由聚合
路由聚合是指ABR或ASBR將具有相同前綴的路由信息聚合,只發布一條路由到其它區域。
AS被划分成不同的區域后,每一個區域通過OSPF區域邊界路由器(ABR)相連,區域間可以通過路由聚合來減少路由信息,減小路由表的規模,提高路由器的運算速度。
如果區域里存在一些連續的網段,則可以在ABR上配置路由聚合,將這些連續的網段聚合成一個網段,ABR向其它區域發送路由信息時,以網段為單位生成Type-3 LSA。
這樣ABR只發送一條聚合后的LSA,所有屬於聚合網段范圍的LSA將不再會被單獨發送出去,既可以減少其它區域中LSDB的規模,也減小了因為網絡拓撲變化帶來的影響。
命令:abr-summary ip-address { mask-length | mask } [ advertise | not-advertise ] [ cost cost-value ] //配置ABR路由聚合
ASBR引入外部路由后,每一條路由都會放在單獨的一條Type-5 LSA中向外宣告;通過配置路由聚合,路由器只把聚合后的路由放在Type-5 LSA中向外宣告,減少了LSDB中LSA的數量。
在ASBR上配置路由聚合后,將對聚合地址范圍內的Type-5 LSA進行聚合;如果ASBR在NSSA區域里面,將對聚合地址范圍內的Type-7 LSA進行聚合。
如果本地路由器同時是ASBR和ABR,並且是NSSA區域的轉換路由器,將對由Type-7 LSA轉化成的Type-5 LSA進行聚合處理;如果不是NSSA區域的轉換路由器,則不進行聚合處理。
asbr-summary ip-address { mask-length | mask } [ cost cost-value | not-advertise | nssa-only | tag tag ] *:配置ASBR路由聚合
2)配置OSPF對通過接收到的LSA計算出來的路由信息進行過濾
OSPF是基於鏈路狀態的動態路由協議,路由信息是根據接收到的LSA計算出來的,可以對通過接收到的LSA計算出來的OSPF路由信息進行過濾。一共有四種過濾方式:
• 基於要加入到路由表的路由信息的目的地址進行過濾,可以通過配置訪問控制列表或IP地址前綴列表來指定過濾條件;
• 基於要加入到路由表的路由信息的下一跳進行過濾,可以通過在命令中配置gateway參數來指定過濾條件;
• 基於要加入到路由表的路由信息的目的地址和下一跳進行過濾,可以通過配置訪問控制列表或IP地址前綴列表指定過濾目的地址的條件,同時配置gateway參數來指定過濾下一跳的條件;
• 基於路由策略對要加入到路由表的路由信息進行過濾,可以通過在命令中配置route-policy參數來指定過濾條件。
filter-policy { ipv4-acl-number [ gateway prefix-list-name ] | gateway prefix-list-name | prefix-list prefix-list-name [ gateway prefix-list-name ] | route-policy route-policy-name } import:
配置OSPF對通過接收到的LSA計算出來的路由信息進行過濾
3)配置過濾Type-3 LSA
通過在ABR上配置Type-3 LSA過濾,可以對進入ABR所在區域或ABR向其它區域發布的Type-3 LSA進行過濾。
filter { ipv4-acl-number | prefix-list prefix-list-name | route-policy route-policy-name } { export | import }
4)配置OSPF接口的開銷值
OSPF有兩種方式來配置接口的開銷值:
• 在接口視圖下直接配置開銷值;
• 配置接口的帶寬參考值,OSPF根據帶寬參考值自動計算接口的開銷值,計算公式為:接口開銷=帶寬參考值÷接口期望帶寬(接口期望帶寬通過命令bandwidth進行配置,具體情況請參見接口分冊命令參考中的介紹)。
當計算出來的開銷值大於65535時,開銷取最大值65535;當計算出來的開銷值小於1時,開銷取最小值1。
如果沒有在接口視圖下配置此接口的開銷值,OSPF會根據該接口的帶寬自動計算其開銷值。
ospf cost cost-value:設置OSPF接口的開銷值。缺省情況下,接口按照當前的帶寬自動計算接口運行OSPF協議所需的開銷。對於Loopback接口,缺省值為0
bandwidth-reference value:配置帶寬參考值,缺省情況下,帶寬參考值為100Mbps
5)配置OSPF最大等價路由條數
如果到一個目的地有幾條開銷相同的路徑,可以實現等價路由負載分擔,IP報文在這幾個鏈路上負載分擔,以提高鏈路利用率。該配置用以設置OSPF協議的最大等價路由條數。
maximum load-balancing number
6)配置OSPF協議的優先級
由於路由器上可能同時運行多個動態路由協議,就存在各個路由協議之間路由信息共享和選擇的問題。系統為每一種路由協議設置一個優先級,在不同協議發現同一條路由時,優先級高的路由將被優先選擇。
preference [ ase ] { preference | route-policy route-policy-name } *
7)配置null0路由
配置是否產生NULL0路由以及產生NULL0路由的優先級:discard-route { external { preference | suppression } | internal { preference | suppression } } *
8)配置OSPF引入外部路由
①配置OSPF引入其它協議的路由
如果在路由器上不僅運行OSPF,還運行着其它路由協議,可以配置OSPF引入其它協議生成的路由,如RIP、IS-IS、BGP、靜態路由或者直連路由,將這些路由信息通過Type5 LSA或Type7 LSA向外宣告。
OSPF還可以對引入的路由進行過濾,只將滿足過濾條件的外部路由轉換為Type5 LSA或Type7 LSA發布出去。
只能引入路由表中狀態為active的路由,是否為active狀態可以通過display ip routing-table protocol命令來查看。
import-route bgp [ as-number ] [ allow-ibgp ] [ cost cost-value | nssa-only | route-policy route-policy-name | tag tag | type type ] *
import-route { direct | static } [ cost cost-value | nssa-only | route-policy route-policy-name | tag tag | type type ] *
import-route { isis | ospf | rip } [ process-id | all-processes ] [ allow-direct | cost cost-value | nssa-only | route-policy route-policy-name | tag tag | type type ] *
執行import-route命令引入BGP路由時,未指定allow-ibgp參數表示只引入EBGP路由;指定allow-ibgp參數表示將IBGP路由也引入,容易引起路由環路,請慎用。
②配置OSPF引入缺省路由
OSPF不能通過import-route命令從其它協議引入缺省路由,如果想把缺省路由引入到OSPF路由區域,必須要使用下面命令配置OSPF引入缺省路由。
default-route-advertise [ [ always | permit-calculate-other ] | cost cost-value | route-policy route-policy-name | type type ] *
default-route-advertise [ summary cost cost-value ]
default-route-advertise summary cost命令僅在VPN中應用,以Type-3 LSA引入缺省路由,PE路由器會將引入的缺省路由發布給CE路由器。
③配置引入路由的相關參數
當OSPF引入外部路由時,還可以配置一些開銷、路由數量、標記和類型等參數的缺省值。路由標記可以用來標識協議相關的信息,如OSPF從BGP引入路由時,可以用來標記自治系統的編號。
default { cost cost-value | tag tag | type type } *
缺省情況下,OSPF引入的外部路由的度量值為1,引入的外部路由的標記為1,引入的外部路由類型為2
9)配置發布一條主機路由:host-advertise ip-address cost
10)配置允許區域下的接口從標准拓撲中分離
缺省情況下,OSPF區域下的接口會自動加入標准拓撲。本命令允許區域下的接口從標准拓撲中分離出來。
命令:capability default-exclusion
5.調整和優化OSPF網絡
用戶可以從以下幾個方面來調整和優化OSPF網絡:
• 通過改變OSPF的報文定時器,可以調整OSPF網絡的收斂速度以及協議報文帶來的網絡負荷。在一些低速鏈路上,需要考慮接口傳送LSA的延遲時間。
• 通過調整SPF計算間隔時間,可以抑制由於網絡頻繁變化帶來的資源消耗問題。
• 在安全性要求較高的網絡中,可以通過配置OSPF驗證特性,來提高OSPF網絡的安全性。
1)配置OSPF報文定時器
用戶可以在接口上配置下列OSPF報文定時器:
• Hello定時器:接口向鄰居發送Hello報文的時間間隔,OSPF鄰居之間的Hello定時器的值要保持一致。 ospf timer hello seconds:配置Hello定時器
• Poll定時器:在NBMA網絡中,路由器向狀態為down的鄰居路由器發送輪詢Hello報文的時間間隔。 ospf timer poll seconds:配置Poll定時器
• 鄰居失效時間:在鄰居失效時間內,如果接口還沒有收到鄰居發送的Hello報文,路由器就會宣告該鄰居無效。 ospf timer dead seconds:配置鄰居失效時間
• 接口重傳LSA的時間間隔:路由器向它的鄰居通告一條LSA后,需要對方進行確認。若在重傳間隔時間內沒有收到對方的確認報文,就會向鄰居重傳這條LSA。 ospf timer retransmit seconds:配置接口重傳LSA的時間間隔
2)配置接口傳送LSA的延遲時間
考慮到OSPF報文在鏈路上傳送時也需要花費時間,所以LSA的老化時間(age)在傳送之前要增加一定的延遲時間,在低速鏈路上需要對該項配置進行重點考慮。
ospf trans-delay seconds:配置接口傳送LSA的延遲時間,缺省情況下,接口傳送LSA的延遲時間為1秒
3)配置OSPF路由計算的時間間隔
當OSPF的LSDB發生改變時,需要重新計算最短路徑。如果網絡頻繁變化,且每次變化都立即計算最短路徑,將會占用大量系統資源,並影響路由器的效率。通過調節路由計算的時間間隔,可以抑制由於網絡頻繁變化帶來的影響。
本命令在網絡變化不頻繁的情況下將連續路由計算的時間間隔縮小到minimum-interval,而在網絡變化頻繁的情況下可以進行相應懲罰,增加incremental-interval×2n-2(n為連續觸發路由計算的次數),
將等待時間按照配置的懲罰增量延長,最大不超過maximum-interval。
spf-schedule-interval maximum-interval [ minimum-interval [ incremental-interval ] ]:配置OSPF路由計算的時間間隔
4)配置LSA重復到達的最小時間間隔
如果在重復到達的最小時間間隔內連續收到一條LSA類型、LS ID、生成路由器ID均相同的LSA則直接丟棄,這樣就可以抑制網絡頻繁變化可能導致的占用過多帶寬資源和路由器資源。
lsa-arrival-interval interval:配置LSA重復到達的最小時間間隔
5) 配置LSA重新生成的時間間隔
通過調節LSA重新生成的時間間隔,可以抑制網絡頻繁變化可能導致的占用過多帶寬資源和路由器資源。
lsa-generation-interval maximum-interval [ minimum-interval [ incremental-interval ] ]:本命令在網絡變化不頻繁的情況下將LSA重新生成時間間隔縮小到minimum-interval,而在網絡變化頻繁的情況下可以進行相應懲罰,
增加incremental-interval×2n-2(n為連續觸發路由計算的次數),將等待時間按照配置的懲罰增量延長,最大不超過maximum-interval。
6)禁止接口收發OSPF報文
如果要使OSPF路由信息不被某一網絡中的路由器獲得,可以禁止接口收發OSPF報文。
將運行OSPF協議的接口指定為Silent狀態后,該接口的直連路由仍可以由同一路由器的其它接口通過Router-LSA發布出去,但OSPF報文將被阻塞,接口上無法建立鄰居關系。
這樣可以增強OSPF的組網適應能力,減少系統資源的消耗。 silent-interface { interface-type interface-number | all }
7)配置Stub路由器
Stub路由器用來控制流量,它告知其他OSPF路由器不要使用這個Stub路由器來轉發數據,但可以擁有一個到Stub路由器的路由。
通過將當前路由器配置為Stub路由器,在該路由器發布的Router-LSA中,當鏈路類型取值為3表示連接到Stub網絡時,鏈路度量值不變;當鏈路類型為1、2、4分別表示通過P2P鏈路與
另一路由器相連、連接到傳送網絡、虛連接時,鏈路度量值將設置為最大值65535。通過增加include-stub參數可以將路由器發布的Router-LSA中,鏈路類型為3的Stub鏈路度量值設置為最大值65535。
這樣其鄰居計算出這條路由的開銷就會很大,如果鄰居上有到這個目的地址開銷更小的路由,則數據不會通過這個Stub路由器轉發。
stub-router [ external-lsa [ max-metric-value ] | include-stub | on-startup { seconds | wait-for-bgp [ seconds ] } | summary-lsa [ max-metric-value ] ] *
缺省情況下,當前路由器沒有被配置為Stub路由器Stub路由器與Stub區域無關
8)配置OSPF驗證
從安全性角度來考慮,為了避免路由信息外泄或者OSPF路由器受到惡意攻擊,OSPF提供報文驗證功能。
OSPF路由器建立鄰居關系時,在發送的報文中會攜帶配置好的口令,接收報文時進行驗證,只有通過驗證的報文才能接收,否則將不會接收報文,不能正常建立鄰居。
如果區域驗證和接口驗證都進行了配置,以接口驗證的配置為准。
① 配置區域驗證:
authentication-mode { hmac-md5 | md5 } key-id { cipher | plain } string
authentication-mode simple { cipher | plain } string
authentication-mode keychain keychain-name
一個區域中所有路由器的驗證模式和驗證密鑰必須一致。
②配置接口驗證:
ospf authentication-mode simple { cipher | plain } string
ospf authentication-mode { hmac-md5 | md5 } key-id { cipher | plain } string
ospf authentication-mode keychain keychain-name
鄰居路由器兩端接口的驗證模式和驗證密鑰必須一致。
9)配置DD報文中的MTU
一般情況下,接口發送DD報文時不使用接口的實際MTU值,而是用0代替。進行此配置后,將使用接口的實際MTU值填寫DD報文Interface MTU字段。
ospf mtu-enable 配置DD報文中MTU域的值為發送該報文接口的MTU值,缺省情況下,接口發送的DD報文中MTU域的值為0
10)配置OSPF發送協議報文的DSCP優先級
dscp dscp-value:配置OSPF發送協議報文的DSCP優先級,缺省情況下,OSPF發送協議報文的DSCP優先級值為48
11)配置LSDB中External LSA的最大數量
lsdb-overflow-limit number:缺省情況下,不對LSDB中External LSA的最大條目數進行限制
12)配置OSPF嘗試退出overflow狀態的定時器時間間隔
網絡中出現過多LSA,會占用大量系統資源。當設置的LSDB中External LSA的最大數量達到上限時,LSDB會進入overflow狀態,在overflow狀態中,不再接收External LSA,同時刪除自己生成的External LSA,
對於已經收到的External LSA則不會刪除。這樣就可以減少LSA從而節省系統資源。通過配置可以調整OSPF退出overflow狀態的時間。
lsdb-overflow-interval interval:缺省情況下,OSPF嘗試退出overflow定時器間隔是300秒,配置為0時,表示不退出Overflow狀態
13)配置兼容RFC 1583的外部路由選擇規則
當有多條路徑可以到達同一個外部路由時,在選擇最優路由的問題上,RFC 2328中定義的選路規則與RFC 1583的有所不同,進行此配置可以兼容RFC 1583中定義的規則。
具體的選路規則如下:
①當RFC 2328兼容RFC 1583時,所有到達ASBR的路由優先級相同。當RFC 2328不兼容RFC 1583時,非骨干區的區域內路由優先級最高,區域間路由與骨干區區域內路由優先級相同,優選非骨干區的區域內路由,盡量減少骨干區的負擔;
②若存在多條優先級相同的路由時,按開銷值優選,優選開銷值小的路由;
③若存在多條開銷值相同路由時,按路由來源區域的區域ID選擇,優選區域ID大的路由。
為了避免路由環路,同一路由域內的路由器建議統一配置相同選擇規則。
rfc1583 compatible:缺省情況下,兼容RFC 1583的路由選擇優先規則的功能處於開啟狀態
14)配置鄰居狀態變化的輸出開關
打開鄰居狀態變化的輸出開關后,OSPF鄰居狀態變化時會生成日志信息發送到設備的信息中心,通過設置信息中心的參數,最終決定日志信息的輸出規則(即是否允許輸出以及輸出方向)。
log-peer-change,缺省情況下,鄰居狀態變化的輸出開關處於打開狀態
15)配置OSPF網管功能
配置OSPF進程綁定MIB功能后,可以通過網管軟件對指定的OSPF進程進行管理。
開啟OSPF模塊的告警功能后,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
通過調整OSPF在指定時間間隔內允許輸出的告警信息條數,可以避免網絡出現大量告警信息時對資源的消耗。
snmp-agent trap enable ospf [ authentication-failure | bad-packet | config-error | grhelper-status-change | grrestarter-status-change | if-state-change | lsa-maxage | lsa-originate | lsdb-approaching-overflow |
lsdb-overflow | neighbor-state-change | nssatranslator-status-change | retransmit | virt-authentication-failure | virt-bad-packet | virt-config-error | virt-retransmit | virtgrhelper-status-change | virtif-state-change |
virtneighbor-state-change ] * 缺省情況下,OSPF的告警功能處於開啟狀態
snmp trap rate-limit interval trap-interval count trap-number:配置OSPF在指定時間間隔內允許輸出的告警信息條數,缺省情況下,OSPF在10秒內允許輸出7條告警信息。
16)配置發送LSU報文的速率
在與鄰居進行LSDB同步的過程中,需要發送大量的LSU報文時,鄰居設備會在短時間內收到大量的LSU報文,處理這些突發的大量LSU報文時,可能會出現如下情況:
• 占用較多的系統資源,導致鄰居設備性能下降。
• 鄰居設備可能會將維持鄰居關系的Hello報文丟棄,導致鄰居關系斷開。重新建立鄰居關系的過程中,需要交互的LSU數量將會更大,從而加劇設備性能的下降。
配置本功能后,路由器將LSU報文分為多個批次進行發送,對OSPF接口每次允許發送的LSU報文的最大個數做出限制;同時,在指定的時間間隔內,所有運行OSPF的接口發送LSU的最大個數不能超過限定值,
即對整機發送LSU的速率進行限制,從而避免上述情況的發生。
transmit-pacing interval interval count count:配置接口發送LSU報文的時間間隔和一次發送LSU報文的最大個數,缺省情況下,OSPF接口發送LSU報文的時間間隔為20毫秒,一次最多發送3個LSU報文。
17)配置ISPF計算
ISPF(Incremental Shortest Path First,增量最短路徑優先)是對OSPF中最短路徑樹的增量計算,當網絡的拓撲結構發生變化,即影響到最短路徑樹的結構時,只對受影響的部分節點進行重新計算拓撲結構,
只對最短路徑樹中受影響的部分進行修正,而不需要重建整棵最短路徑樹。
ispf enable,缺省情況下,增量SPF計算功能處於使能狀態
18)配置前綴抑制
OSPF使能網段時會將接口上匹配該網段的所有網段路由與主機路由都通過LSA發布,但有些時候主機路由或網段路由是不希望被發布的。通過前綴抑制配置,可以減少LSA中攜帶不需要的前綴,
即不發布某些網段路由和主機路由,從而提高網絡安全性,加快路由收斂。當使能前綴抑制時,具體情況如下:
• P2P或P2MP類型網絡:Type-1 LSA中不發布接口的主地址,即Type-1 LSA中鏈路類型為3的Stub鏈路被抑制,不生成接口路由,但其他路由信息可以正常計算,不會影響流量轉發。
• 廣播類型或者NBMA網絡:DR發布的Type-2 LSA的掩碼字段會填成32位,即不生成網段路由,但其他路由信息可以正常計算,不會影響流量轉發。另外,如果沒有鄰居,發布的Type-1 LSA中也不發布接口的主地址,即Type-1 LSA中鏈路類型為3的Stub鏈路被抑制。
如果需要抑制前綴發布,建議整個OSPF網絡都配置本命令。
①配置全局前綴抑制:全局配置不能抑制從地址、LoopBack接口以及處於抑制狀態的接口對應的前綴。如果想對LoopBack接口或處於抑制狀態的接口進行抑制,可以通過配置接口前綴抑制來實現。
prefix-suppression,缺省情況下,不抑制OSPF進程進行前綴發布
②配置接口前綴抑制
接口配置不抑制從地址對應的前綴。ospf prefix-suppression [ disable ],缺省情況下,不抑制接口進行前綴發布
19)配置OSPF的前綴按優先權收斂功能
通過策略指定優先權,不同前綴按優先權順序下發,由高到低分為4個優先權(Critical、High、Medium和Low),如果一條路由符合多個收斂優先權的匹配規則,則這些收斂優先權中最高者當選為路由的收斂優先權。
OSPF路由的32位主機路由為Medium優先權,其它為Low優先權。 prefix-priority route-policy route-policy-name,缺省情況下,OSPF的前綴按優先權快速收斂功能處於關閉狀態
20)配置PIC
PIC和OSPF快速重路由功能同時配置時,OSPF快速重路由功能生效。
目前只支持區域間路由以及外部路由的PIC功能。
PIC(Prefix Independent Convergence,前綴無關收斂),即收斂時間與前綴數量無關,加快收斂速度。傳統的路由計算快速收斂都與前綴數量相關,收斂時間與前綴數量成正比。
pic [ additional-path-always ],缺省情況下,前綴無關收斂功能處於使能狀態
OSPF協議的PIC特性中,主用鏈路缺省不使用BFD進行鏈路故障檢測。配置本功能后,將使用BFD進行檢測,可以加快OSPF協議的收斂速度。
①配置PIC支持BFD檢測功能(Ctrl方式) ospf primary-path-detect bfd ctrl,缺省情況下,OSPF協議中主用鏈路的BFD(Ctrl方式)檢測功能處於關閉狀態
②配置PIC支持BFD檢測功能(Echo方式) bfd echo-source-ip ip-address:配置BFD Echo報文源地址 ospf primary-path-detect bfd echo,缺省情況下,OSPF協議中主用鏈路的BFD(Echo方式)檢測功能處於關閉狀態
21)配置OSPF的日志信息個數
OSPF的日志信息包括路由計算日志信息和鄰居日志信息。
event-log { lsa-flush | peer | spf } size count,缺省情況下,路由計算、鄰居和LSA老化的日志信息個數為10
22)配置過濾接口出方向的LSA
通過該功能,不希望讓鄰居接收到的LSA可在本端接口出方向上被過濾掉,從而減小鄰居LSDB的規模,並節省帶寬。
ospf database-filter { all | { ase [ acl ipv4-acl-number ] | nssa [ acl ipv4-acl-number ] | summary [ acl ipv4-acl-number ] } * },缺省情況下,不對接口出方向的LSA進行過濾
23)配置對P2MP鄰居進行LSA過濾
在P2MP網絡中,一台路由器可以有多個接口的網絡類型為P2MP的OSPF鄰居。當兩台路由器之間存在多條P2MP鏈路時,不希望讓某個指定鄰居收到的LSA,通過該功能可在本地被過濾掉。
database-filter peer ip-address { all | { ase [ acl ipv4-acl-number ] | nssa [ acl ipv4-acl-number ] | summary [ acl ipv4-acl-number ] } * },缺省情況下,不對發送給接口的網絡類型為P2MP的鄰居的LSA進行過濾
24)配置GTSM功能
開啟OSPF GTSM功能時,要求本設備和鄰居設備上同時配置本特性,指定的hop-count值可以不同,只要能夠滿足合法性檢查即可。
GTSM(Generalized TTL Security Mechanism,通用TTL安全保護機制)是一種簡單易行的、對基於IP協議的上層業務進行保護的安全機制。開啟OSPF報文的GTSM功能后,當設備收到來自OSPF普通鄰居或
虛連接鄰居的報文時,會判斷報文的TTL是否在255-“hop-count”+1到255之間。如果在,就上送報文;如果不在,則直接丟棄報文。以使設備避免受到CPU利用(CPU-utilization)等類型的攻擊(如CPU過載),增強系統的安全性。
開啟GTSM功能的方式有兩種:一種是在OSPF區域視圖下開啟,另一種是在接口視圖下開啟。在OSPF區域視圖下開啟GTSM功能會對該區域中所有使能OSPF的接口生效;接口視圖下開啟GTSM功能只對當前接口生效。
在接口視圖下配置的hops參數的優先級高於在OSPF區域視圖下配置的hops參數。
①配置區域GTSM功能
該命令對區域中所有使能OSPF的接口都會生效,並且只會對來自OSPF普通鄰居和虛連接鄰居的報文進行安全檢測,不會對來自OSPF偽連接鄰居的報文進行安全檢測。
區域視圖下,ttl-security [ hops hop-count ],缺省情況下,區域的OSPF GTSM功能處於關閉狀態
②配置接口GTSM功能
該命令只對當前接口生效,並且只會對來自OSPF普通鄰居和虛連接鄰居的報文進行安全檢測,不會對來自OSPF偽連接鄰居的報文進行安全檢測。
接口視圖下,ospf ttl-security [ hops hop-count | disable ],缺省情況下,接口的OSPF GTSM功能處於關閉狀態