OSPF的协议特性，OSPF协议特性详解

摘要：，，OSPF（开放最短路径优先）是一种内部网关协议，用于动态路由选择。其主要特性包括使用链路状态数据库来确定最佳路径，支持大型自治系统，并具备层次结构的网络设计灵活性。OSPF协议具备快速收敛能力，能在网络变化时迅速调整路由，确保网络的高效稳定运行。OSPF还支持加密和身份验证，增强了网络的安全性。

路由汇总（Route Aggregation）又称路由聚合（Route Summarization），指的是将一组明细路由汇聚成一条汇总路由条目的操作，这一技术能够减少路由表中路由条目的数量，进而减小路由表的规模，从而减轻路由器的资源消耗。

RIP、BGP等协议支持自动或手工路由汇总，但OSPF仅支持手工路由汇总，OSPF支持的汇总主要有两种：

1、部署在ABR（Area Border Router）上，实现域间路由汇总。

2、部署在ASBR（Area-Specific Border Router）上，实现域外路由汇总。

OSPF汇总路由的防环

在某些特定条件下，如R5下的某个子网存在攻击PC持续扫描一个不存在的子网内的IP，数据包可能会被默认路由匹配并传递至R2，由于R2上存在由R3传递来的汇总路由，这些数据包可能会被丢回给R3并反复循环，直到报文TTL（Time to Live）为0，导致路由环路。

为了解决这个问题，OSPF在执行路由汇总时，会在本地自动产生一条指向Null0的路由，这样，当类似事件再次发生时，数据包将在R3处被丢弃，避免了循环。

虚链路的应用场景

虚链路（Virtual-link）是骨干区域（Area0）的一段延伸，通过部署虚链路，可以解决某个区域没有直接与Area0相连或Area 0不连贯的问题，在所要穿越的区域的两台ABR上，需进行特定配置以建立虚链路。

OSPF的认证

OSPF的加密方式分为明文认证与加密认证，明文认证密码在报文中可见，而密文认证则使密码在报文中不可见，验证方式也有接口认证与区域认证之分，接口认证仅针对一条链路进行验证，而区域认证则激活路由器上属于某个特定区域的接口相应的验证方式，当OSPF区域中有配置虚链路时，针对接口认证与区域认证也需要相应配置才能建立邻居关系。

明文认证的配置

简单密码身份验证（明文）：

接口认证在接口配置模式下使用命令ip ospf authentication-key password开启身份验证，再使用ip ospf authentication命令启用身份验证功能。

区域认证在路由器配置模式下使用命令ip ospf authentication-key password设置区域密码，然后使用area area-id authentication命令启用区域认证。

密文认证的配置

MD5身份验证（密文）：

接口认证使用命令ip ospf message-digest-key key-id md5 key配置MD5密钥，然后启用身份验证功能。

区域认证在路由器配置模式下使用命令ip ospf message-digest-key key-id md5 key设置区域MD5密钥，然后使用area 0 authentication message-digest启用区域MD5身份验证。

在虚链路上配置报文验证（明文）

使用命令area 穿越的区域的ID virtual-link 目的IP authentication-key key在虚链路上配置明文验证，当区域0开启验证时，虚链路也需要配置相应的密码。

OSPF的链路优化

为了减少终端的负担，可以将连接终端的接口设置为被动接口（passive-interface），停止发送hello报文，如果汇聚交换机上所有的三层接口都宣告入OSPF，大量VLAN的用户可能会收到不必要的Hello报文，汇聚交换机可以先将所有接口设置为被动接口，然后将特定接口（如上联其他区域的端口）取消被动接口特性。