配置OSPF安全功能

對安全性要求較高的網路中，可通過配置GTSM（GeneralizedTTL Security Mechanism，通用TTL安全保護機制）以及OSPF區域認證和介面認證來提高OSPF網路的安全性。在配置前，需完成以下配置任務：

1）配置介面的網路層地址，使各相鄰節點網路層可達。

2）配置OSPF的基本功能。

一、配置OSPF GTSM功能

如果攻擊者模擬真實的OSPF協議單播報文，對一臺路由器不斷髮送報文，而路由器介面板在收到這些報文後，發現目的IP地址是本裝置的介面地址，則會直接上送給控制層的OSPF協議處理，不辨“合法性”，導致路由器控制層面因忙於處理假合法報文使系統異常繁忙。可通過GTSM檢查IP報文頭中的TTL值是否在一個預先定義好的範圍內，對IP層以上業務進行保護。但GTSM僅對單播報文有效，對組播報文無效，因為組播報文字身具有TTL值為255的限制，不需要使用GTSM進行保護。同時，GTSM不支援基於Tunnel的鄰居。

GTSM的實現機制是：對於直接的協議鄰居，將需要發出的單播協議報文的TTL值設定為255；而對於多跳的鄰居則可以定義一個合理的TTL範圍。使能了GTSM特性和策略裝置會對收到的所有IP單播報文進行策略檢查，對於沒有通過策略的報文丟棄或上送控制平面，從而達到防止攻擊的目的。GTSM的策略內容主要包括以下幾種：

①傳送給本機IP報文的源地址

②報文所屬的VPN例項

③IP報文的協議號（OSPF是89，BGP是6）

④TCP/UDP之上協議的協議源埠號、目的埠號

⑤有效TTL範圍（OSPFv2版本中僅支援這一策略）。

應用GTSM功能，需要在OSPF連線的兩端都使能GTSM。被檢測的報文的TTL值有效範圍為[255-hops+1,255]。GTSM只會對匹配GTSM策略的報文進行TTL檢查。對於未匹配策略的報文，可以設定通過或丟棄。如配置GTSM預設報文動作為丟棄，就需在GTSM中配置所有可能的路由器連線情況，沒有配置的路由器傳送的報文將被丟棄，無法建立連線。在保證安全的同時會損失一些易用性。

OSPF GTSM功能的主要配置：

①使能GTSM功能

②（可選）配置未匹配GTSM策略的報文處理動作

③（可選）配置日誌功能。

二、配置OSPF安全認證功能

為拒絕非法OSPF報文進入，OSPF支援報文認證功能，使只有通過認證的OSPF報文才能被接收，否則不能正常建立鄰居。路由器支援兩種認證方式：①區域認證方式；②介面認證方式。使用區域認證時，一個區域中所有的路由器在該區域下的認證模式和密碼必須一致。如果同時配置了兩種認證方式，則優先使用介面認證方式。

調整OSPF的路由選擇

在複雜網路環境中，可通過調整OSPF功能引數來達到靈活組網、優化網路負載分擔。可根據實際配置以下一項或幾項：

①配置OSPF的介面開銷。

②配置等價路由

③配置OSPF路由選擇規則

④抑制介面接收和傳送OSPF報文。

在調整OSPF的選路之前，需先配置介面的網路層地址，配置OSPF基本功能。

一、配置OSPF的介面開銷

OSPF介面開銷值影響路由的選擇，開銷越大，優先順序越低。OSPF既可以根據介面的頻寬自動計算鏈路開銷值，也可通過命令固定配置。根據介面的頻寬自動計算開銷值的公式為：介面開銷=頻寬參考值/介面頻寬，取計算結果的整數部分作為介面開銷值（結果小於1時取1），通過改變頻寬參考值可以間接改變介面的開銷值。這樣就有兩種方式來調整OSPF的介面開銷：一是直接配置介面的開銷值；二是通過改變頻寬參考值調整介面開銷值。

鏈路狀態路由協議（包括OSPF和IS-IS）的介面開銷也即鏈路開銷，是二層概念，是指介面所在鏈路的開銷，主要依據介面頻寬確定。如鏈路兩端介面頻寬不一致，則以頻寬低的介面為準計算介面開銷。同一路由器上的不同介面之間的鏈路開銷為0。

二、配置等價路由

當網路中存在多條由相同路由協議發現的到達同一目的地的路由，且這幾條路由的開銷值也相同，則這些路由就是等價路由，可以實現負載分擔。

如上圖，A和B之間的三條路由都執行OSPF協議，且幾條路由的開銷值也相同，這三條路由就是等價路由，形成了負載分擔。

三、配置OSPF路由選擇規則

OSPFv2發展過程中，經過幾次大修改，重要的有兩次（RFC1583和RFC2328），在計算外部路由時的規則不一樣，可能會導致環路。為了避免路由環路發生，在最新的RFC2328中提出了RFC1583相容特性，使能了RFC1583相容特性後，OSPF採用RFC1583的路由計算規則。

OSPF路由選擇規則的配置是在對應的OSPF程序檢視下通過rfc1582 compatible命令配置。

示例：配置將RFC1583定義的規則配置成RFC2328定義的規則，即不再相容RFC1583

<hauwei>system-view

[Huawei]ospf 1

[Huawei-ospf-1]undorfc1583 compatible

四、抑制介面接收和傳送OSPF

通過抑制介面接收和傳送的OSPF報文，使路由資訊不被某一網路中的路由器獲得，且使本地路由器不接收網路中其他路由器釋出的路由更新資訊，從而達到優先保證某條路由的目的。

配置抑制介面接收和傳送OSPF報文的方法就是在對應的OSPF程序檢視下通過silent-interface{all | interface-type interface-number}命令把本地路由器上的所有介面（all選項時）或指定介面（interface-typeinterface-number選項時）（除了可以是物理介面，還可以是象VLANIF和Eth-Trunk等之類的邏輯介面）配置為靜默介面。

將執行OSPF協議的介面指定為Silent狀態後，該介面的直連路由仍可以通過OSPF協議釋出出去，但介面的Hello報文傳送和接收都將被阻塞，介面上無法與其他裝置建立鄰居關係，其他OSPF報文更無法傳送和接收了。

示例：在OSPF 100程序下禁止VLANIF200介面收發OSPF報文。

<Huawei>system-view

[Huawei]ospf100

[Huawei-ospf-100]silent-interfacevlanif 200

控制OSPF路由資訊的釋出和接收

控制OSPF路由資訊的釋出和接收包括外部路由引入控制，預設路由通告控制，路由聚合控制和路由、LSA的釋出或接收過濾。根據實際配置一項或多項：

①配置OSPF引入外部路由。

②配置OSPF將預設路由通告到OSPF區域。

③配置OSPF路由聚合

④配置OSPF對接收和釋出的路由進行過濾

⑤配置對傳送的LSA進行過濾

⑥配置對ABR Type3 LSA進行過濾。

一、配置OSPF引入外部路由

當OSPF網路中的裝置需要訪問執行其他協議的網路中的裝置時，需將其他協議的路由引入OSPF程序中，但這僅可以在連線了其他AS的ASBR上進行配置。

二、配置OSPF將預設路由通告到OSPF區域

在OSPF實際組網應用中，區域邊界和自治系統邊界通常都是由多個路由器組成的多出口冗餘備份或者負載分擔，為減少路由表的容量，可配置預設路由來保證網路的高可用性。

OSPF預設路由通常應用於下面兩種情況：

①由ABR釋出Type3 LSA，用來指導區域內路由器進行區域之間報文的轉發。

②由ASBR釋出Type5 LSA或Type7 LSA，用來指導OSPF路由域內路由器進行域外報文的轉發。

Type3 LSA預設路由的優先順序要高於Type5LSA或Type7 LSA路由。OSPF預設路由的釋出方式取決於引入該預設路由的區域型別：

三、配置OSPF路由聚合

當OSPF網路規模較大時，配置路由聚合可以有效減少路由表的條目。配置路由聚合後，如果被聚合的IP地址範圍內的某條鏈路頻繁Up和Down，該變化並不會通告到被聚合的IP地址範圍外的裝置，可以避免網路中的路由震盪，提高網路的穩定性。僅可在執行OSPF協議的ABR和ASBR上配置路由聚合。

在ABR或ASBR上配置路由聚合後，ABR和ASBR本地的OSPF路由表是保持不變的，仍為各網段的明細路由，但是在它們向區域內其他OSPF裝置通告時，這些連續子網路由將只以一條聚合路由進行通告，這樣區域內其他路由器上的OSPF路由表中只有這一條聚合路由到達對應聚合網段的路由。直到網路中被聚合的路由都出現故障而消失時，該聚合路由才會消失。

在ASBR上對引入的路由進行路由聚合後，有以下幾種情況：

①如果本地裝置是ASBR且處於普通區域中，本地裝置將對引入的聚合地址範圍內的所有Type5 LSA進行路由聚合。

②如果本地裝置是ASBR且處於NSSA或者Totally NSSA區域中，本地裝置對引入的聚合地址範圍內的所有Type5 LSA和Type7 LSA進行路由聚合。

③如果本地裝置既是ASBR又是ABR且處於NSSA或者Totally NSSA區域中，本地裝置除對引入的聚合地址範圍內的所有Type5 LSA和Type7 LSA進行路由聚合外，還將對由Type7 LSA轉化成的Type5 LSA也進行路由聚合。

示例：在ABR上將OSPF 100的區域1中兩個網段36.42.10.0/24、36.42.110.0/24的路由聚合成一條聚合路由36.42.0.0/16向本區域和其他區域同時釋出。

<Huawei>system-view

[Huawei]ospf 100

[Huawei-ospf-100]area 1

[Huawei-ospf-100-area-0.0.0.1]network36.42.10.0 0.0.0.255

[Huawei-ospf-100-area-0.0.0.1]network36.42.110.0 0.0.0.255

[Huawei-ospf-100-area-0.0.0.1]abr-summary36.42.0.0 255.255.0.0

四、配置OSPF對接收和釋出的路由進行過濾

OSPF對接收的路由的過濾適用於任意OSPF路由器，是通過對接收的路由設定過濾策略，只允許通過過濾策略的路由被新增到本地裝置的OSPF路由表中，沒有通過過濾策略的路由不會被新增進路由表中，自然也不會通過本地裝置對外發布。

OSPF對釋出的路由的過濾僅針對在ASBR上引入的路由，通過設定釋出策略裝置僅允許滿足條件的外部路由生成的Type5 LSA釋出出去，這主要是為了避免路由環路的產生。

五、配置對傳送的LSA進行過濾

當兩臺路由器之間存在多條鏈路時，通過對傳送的LSA進行過濾可以在某些鏈路上過濾LSA的傳送，減少不必要的重傳，節省頻寬。

對傳送的LSA進行過濾，可在任意OSPF路由器上配置，具體方法就是在對應的介面檢視下使用：ospf filter-lsa-out {all | {summary [acl {acl-number | acl-name}] |ase [acl {acl-number | acl-name}] | nssa [acl {acl-number | acl-name}]}*}命令進行LSA傳送過濾策略的配置。

①all：指定對除GraceLSA外的所有LSA進行過濾

②summary：對Type3 LSA進行過濾，僅可在ABR上配置

③ase：對Type5 LSA進行過濾，僅可在普通區域ABR上配置

④nssa：對Type7 LSA進行過濾，僅可在NSSA區域ABR上配置

⑤acl {acl-number |acl-name}：指定用於過濾Type3 LSA，或者Type5 LSA，或者Type7 LSA的基本ACL列表號（2000~2999的整數）或者ACL名稱。對於使用命名型ACL中的規則進行過濾時，只有source引數指定的源地址範圍和time-range引數指定的時間段對配置規則過濾規則有效。

示例：設定GE1/0/0介面對出方向除Grace LSA外的所有LSA進行過濾：

<Huawei>system-view

[Huawei]interface gigabitethernet 1/0/0

[Huawei-GigabitEthernet1/0/0]ospffilter-lsa-out all

六、配置對ABR Type3 LSA進行過濾

可在ABR上通過對區域內出、入方向的Type3LSA設定過濾條件進一步減少區域間LSA的釋出和接收。

可使用display ospf [process-id] interface [all | interface-typeinterface-number] [verbose]檢視OSPF介面上的各種過濾配置資訊；使用display ospf [process-id] asbr-summary [ip-address mask]檢視OSPF ASBR聚合路由資訊。

調整OSPF網路收斂效能

OSPF路由的收斂效能與路由報文的收斂優先順序、各種報文傳送和接收定時器引數的配置密切相關。

一、調整OSPF網路收斂效能的配置任務

1、配置路由的收斂優先順序

通過配置OSPF路由的收斂優先順序，允許使用者配置特定路由的優先順序，使這些路由能夠比其他的路由優先進行收斂。

2、配置LSA更新時間間隔

LSA更新時間間隔是指路由器主動通過LSU報文（不是指在收到對方路由器的LSR請求報文後而作為應答的LSU報文）釋出LSA更新的時間間隔。

在華為系列路由器，可以針對不同型別的LSA設定不同的更新時間間隔，且可對Router LSA（Type1 LSA）和Network LSA（Type2 LSA）採用智慧定時器來設定更新時間間隔。在網路相對穩定、對路由收斂時間要求較高的組網環境中，可以指定LSA的更新時間間隔為0來取消LSA的更新時間間隔，使得在網路拓撲或路由發生變化時可以立即通過LSA釋出到網路中，從而加速收斂速度。

3、配置接收LSA的時間間隔

前面的LSA更新時間間隔是為了避免過多消耗其他裝置CPU資源，而此處的接收LSA時間間隔則為了避免過多消耗本地裝置的CPU資源。

4、配置SPF計算的時間間隔

當LSDB發生改變時，需重新計算最短路徑，佔用大量系統資源。

5、配置介面傳送Hello報文的時間間隔

Hello報文是最常用的一種OSPF報文，報文內容包括一些定時器的數值、DR、DBR以及自己已知的鄰居，作用是為建立和維護鄰接關係，會以設定的Hello Interval定時器為時間單位週期性地在使能了OSPF的介面上傳送。OSPF鄰居之間的Hello定時器的時間間隔要保持一致，否則不能協商為鄰居。

6、配置相鄰鄰居失效的時間

鄰居失效定時器（Dead Interval）是指在改時間間隔內，若未收到鄰居的Hello報文，就認定該鄰居已失效。通常最少是Hello Interval的4倍。

7、配置Smart-discover

預設時，OSPF路由器必須等待Hello報文傳送時間間隔超時後才能再次傳送Hello報文，這樣一來，路由器的鄰居狀態或者多址網路（廣播型或NBMA）上的DR、BDR發生變化時會影響裝置間建立鄰居的速度。

通過配置Smart-discover功能，當網路中鄰居狀態或DR、BDR發生變化時，裝置不必等到Hello報文傳送時間間隔超時就可立刻主動向鄰居傳送Hello報文，從而提高建立鄰居的速度。

二、調整OSPF網路收斂效能的配置步驟

在配置OSPF定時器引數之前，需要完成以下任務：

①配置各OSPF介面的鏈路層協議。

②配置介面的網路層地址，使各節點網路層可達

③配置OSPF的基本功能。

配置OSPF與BFD聯動

OSPF通過週期性的向鄰居傳送Hello報文來實現鄰居檢測，檢測到故障所需的時間比較長。為解決這個問題，可以配置指定程序或指定介面的OSPF與BFD聯動特性，以便快速檢測鏈路的狀態。當BFD檢測到鏈路故障時，能將故障通告給路由協議，觸發路由協議的快速收斂；當鄰居關係為Down時，則動態刪除BFD會話。

BFD會話不會感知路由切換。如果繫結的對端IP地址改變引起路由切換到其他鏈路上，除非原鏈路轉發不通，否則，BFD不會重新協商。

1、OSPF與BFD聯動的配置流程

①配置全域性BFD功能

②配置全域性的OSPF BFD特性

③（可選）阻止介面動態建立BFD會話 ： 僅當要對對應OSPF程序下某些介面附上建立BFD會話，才需要進行本項配置任務。

④（可選）配置指定介面的OSPF BFD特性

如想單獨只對某些指定的介面配置與全域性配置不一樣的BFD for OSPF特性，那麼當這些介面的鏈路發生故障時，路由器可以快速的感知，並及時通知OSPF重新計算路由，從而提高OSPF的收斂速度。當鄰居關係為Down時，則動態刪除BFD會話。但在介面上OSPF建立BFD會話也需要先進行上一項配置任務，使能全域性BFD功能。

2、OSPF與BFD聯動的配置步驟

需先完成：1）配置介面的網路層地址，使各相鄰節點網路層可達；2）配置OSPF的基本功能。