机房巡检

OSPF认证

路由协议支持的认证类型：
RIPv2->明文/密文
EIGRP->密文
OSPF->明文/密文/null

所有的路由协议配置认证的方式：
1、启动认证功能；
2、配置密码(key-chain)
3、调用密码

OSPF的认证：
链路认证(仅仅对某一个或者几个链路)
启动认证和配置密码，都是在链路上进行的；
区域认证(对整个区域的所有的链路)
启动认证是在 OSPF 进程下，对区域配置的；
密码，还是配置在具体的链路上；

plain text / clear text / simple password ->表示的都是明文认证
明文配置命令：
R1:
interface fas0/0 
ip ospf authentication // 启动明文认证功能；
ip ospf authentication-key cisco // 配置明文认证使用的密码；

R2:
interface fas0/1 
ip ospf authentication // 启动明文认证功能；
ip ospf authentication-key cisco // 配置明文认证使用的密码；

验证和调试命令：
show ip ospf neighbor 
debug ip ospf adj // 查看邻居建立协商的过程；

认证成功必须确保：
1、认证必须同时开启 -->认证类型不同，一方是0，一方是1；
2、认证类型必须相同 
3、认证密码必须相同(也可以同时为空)-> mismatch authentication key

密文配置命令：
R1:
interface fas0/0 
ip ospf authentication message-digest // 启动密文认证功能；
ip ospf message-digest-key 10 md5 ccie //配置密文认证使用的密码；

R2:
interface fas0/1 
ip ospf authentication message-digest // 启动密文认证功能；
ip ospf message-digest-key 10 md5 ccie //配置密文认证使用的密码；
密文认证成功：
1、认证功能必须开启；
2、认证类型必须得相同；
3、认证密码的最新的key-id以及key必须相同；
每次都是尝试着使用最新的key-id以及对应的密码
[最后一次配置的叫做最新的]
如果两边配置的“最新的key-id”是相同的，则一定
使用最新的key-id对应的密码进行认证：
如果相同，则认证成功；如果不同，认证失败；

注意：

区域认证与链路认证的区别仅仅在于：启动认证功能的方式不同；
配置命令- 
  router ospf 1
      area 12 authentication  // 对区域12开启明文认证；
                                 指的是对该设备上的所有属于
                                 区域12的链路，都启用了明文
                                 认证功能，可以通过命令进行验证
                                  show ip ospf interface fas0/0 
                                  但是此时是没有密码的；
接下来，需要我们在属于区域12的每个链路上配置明文密码；                                      

R1(config)#default interface fas0/0

OSPF特殊区域
特殊之处在于：
区域中没有外部路由，也就是没有5类LSA。
-stub area :末节区域
需要在该区域的任何一个路由器上配置命令：
router ospf 1
area 12 stub 
末节区域，在该区域中，是没有5类LSA和4类LSA。
有1类、2类、3类LSA
但是该区域的 ABR 会自动产生一个 3类 LSA 表示的 默认路由；
为了能够与外网链路互通。

为了进一步增强该区域的安全性，不受到内网其他区域的影响，
所以我们可以进一步缩小该区域的数据库的大小-干掉3类LSA。

-totally stub area ： 完全末节区域；
    仅仅需要在 stub 区域的 ABR 上实施 - 
       router ospf 1 
          area 12  stub  no-summary 
    此时的完全末节区域，仅仅有1类LSA或者1和2类LSA，
    还有一个特殊的3类LSA，表示默认路由，是 ABR 自动产生的；        

验证命令：show ip ospf 

-NSSA area : not so stub area 
     在该区域中，不能存在5类LSA，但是可以允许外部路由的出现，
     是以7类LSA形式存在。
     该区域中包含的是1、2、3、7类 LSA ；
     与 stub 区域相比，是没有自动产生的 OIA 的默认路由；
     为了能够与 5类 LSA 表示的外部路由网络进行互通，
     所以我们必须手动在 NSSA 区域的 ABR 上面产生一个默认路由，
     并且默认是 ON2 的， cost 为 1；
     该区域的 ABR 可以进行 7 类 LSA 向 5 类 LSA 的单向转换。
     并且当 NSSA 区域存在多个 ABR 时，仅有一个可以进行7/5转换。

     配置命令： 
          需要在该区域的每个路由器上都得进行配置 
              router ospf 1
                  area 12 nssa 

          另外，需要在 ABR 上产生默认路由：
              router ospf 1
                   area 12 nssa  default-information-originate

-Totally NSSA : 完全 NSSA 区域。
     在该区域中，不允许存在3、4、5 LSA ，
     允许的是1、2、7类，以及一个特殊的3类 LSA，表示默认路由。
     是由 NSSA 区域的 ABR 自动产生的。
        配置命令：
           仅仅需要在 NSSA 区域的 ABR 上配置 
               router ospf 1
                  area 12 nssa no-summary 

R1-R2配置为区域12；
R2-R3配置为区域0；
R1上的静态路由，充分发引入到 区域12
区域12配置为 NSSA 区域；
确定外部路由在特殊区域中的表现形式
需要确定内部路由、外部路由的表示方式、AD的变化、Metric变化
需要确定OSPF数据库中 不同类型的 LSA 的表示，以及数据库的组织形式

R1：
ip route-static 100.1.1.0 255.255.255.0 null 0 
ospf 1 router-id 1.1.1.1
import-route static 
area 12 
network 192.168.12.1 0.0.0.0
network 10.10.1.1 0.0.0.0
nssa 
R2:
ospf 1 router-id 2.2.2.2
area 12 
network 192.168.12.2 0.0.0.0
network 10.10.2.2 0.0.0.0 
nssa 
area 0
network 192.168.23.2 0.0.0.0 
R3:
ospf 1 router-id 3.3.3.3 
area 0
network 192.168.23.3 0.0.0.0

display ospf peer  brief // 查看OSPF邻居；
display ospf lsdb //查看OSPF数据库
display ip routing-table protocol ospf // 查看OSPF路由表
reset  ospf 1 process // 清除 ospf 1 的进程；