1、最佳實踐案例之OSPF配置細(xì)節(jié)杭州華三通信技術(shù)有限公司 HYPERLINK 修訂記錄修改記錄日期修改人摘要V1.02010-12-10張建瓊完成初稿S12500-1/VLAN2D/iaioaiBao/3of Area 18VLAN1010.0/30VLAN 30g-rS12500_2.1 VLAN40 Area 195.1.文檔說明OSPF是最常用的IGP協(xié)議，本文針對一種常見的組網(wǎng)，給出了 ospf規(guī)劃，配置的一 些建議，能夠提高網(wǎng)絡(luò)的安全性，穩(wěn)定性與可靠性。5.2. OSPF拓?fù)渑e例Area 0VLAN101L.SW_2 :/32VLAN 102 ，/4LoopBackO-Router-I

2、DS12500_1 : /32S12500_2 : /32L.SW_1 :/325.3. OSPF最佳實踐OSPF最佳實踐配置的目的并不是提供最優(yōu)的OSPF規(guī)劃方案，而是結(jié)合S12500交 換機的特點以及OSPF協(xié)議的實現(xiàn)，為提高OSPF網(wǎng)絡(luò)在實際運行中的安全性、穩(wěn)定性與 可靠性所給出的配置建議。所涉及特性主要包括如下幾點：Router-id 配置：必須手工配置OSPF進(jìn)程的router-id；配置命令：ospf process-id | router-id router-id | vpn-instance instance-name process-id： OSPF進(jìn)程號，取值范圍為1655

3、35，缺省值為1。router-id： OSPF進(jìn)程使用的Router ID，點分十進(jìn)制形式。instance-name： OSPF進(jìn)程綁定的VPN實例名稱，為131個字符的字符串。帶寬參考值(bandwidth-reference):如果沒有顯式配置鏈路的開銷值，OSPF將根據(jù)鏈路帶寬來計算開銷；(開銷=帶寬參 考值/帶寬，當(dāng)計算出來的開銷值大于65535時，開銷取最大值65535)。在整個OSPF域內(nèi)需要統(tǒng)一配置參考值，建議配置帶寬參考值為OSPF網(wǎng)絡(luò)中最大物 理接口帶寬的10倍。例如：域內(nèi)最大物理接口帶寬為10G，則域內(nèi)設(shè)備統(tǒng)一配置帶寬參考 值為 100000；配置命令：在OSPF視圖下

4、配置：bandwidth-reference valuevalue：計算鏈路開銷時所依據(jù)的帶寬參考值，取值范圍為12147483648,單位為Mbps。5.3.3手工配置VLAN接口開銷：考慮設(shè)備缺省設(shè)置VLAN接口帶寬是固定的100M，所以需要手工配置各個VLAN接口 的cost，10G互聯(lián)的VLAN接口 cost設(shè)置為10； GE互聯(lián)的VLAN接口 cost配置為100； 如果是聚合鏈路互聯(lián)，則配置cost為參考帶寬值/聚合鏈路總帶寬，比如兩條10G鏈路聚合， 則配置該VLAN接口 cost為5；配置命令：在vlan接口視圖下配置：ospf cost value5.3.4 配置 OSPF

5、md5 驗證；建議配置OSPF區(qū)域驗證，避免非法設(shè)備連接到網(wǎng)絡(luò)引起的安全隱患，驗證的密碼建 議配置為密文方式，密碼長度不小于6個字符；配置命令：在OSPF區(qū)域視圖下配置md5的區(qū)域驗證模式：authentication-mode md5在OSPF接口視圖下配置認(rèn)證口令：ospf authentication-mode md5 | hmac-md5 key-id plain | cipher password5.3.5在指定網(wǎng)段的接口上使能OSPF使用networkip-address”的方式配置區(qū)域所包含的網(wǎng)段，并在指定網(wǎng)段的接口 上使能OSPF，使用反掩碼的方式可以避免根據(jù)接口掩碼計算反掩碼

6、過程出現(xiàn)的錯 誤；配置命令：OSPF區(qū)域視圖下配置：network ip-address ip-address 為接口 IP 地址5.3.6配置接口網(wǎng)絡(luò)類型為P2P類型只有一個鄰居的接口 OSPF網(wǎng)絡(luò)類型改成P2P類型，簡化OSPF運行機制，提高ospf 收斂速度；配置命令：在接口視圖下配置：ospf network-type p2p5.3.7配置禁止接口收發(fā)OSPF報文將接入VLAN接口配置成silent-interface提高路由協(xié)議安全性；配置命令：OSPF視圖下配置：silent-interface interface-type interface-number5.3.8在ABR上配置

7、路由聚合；在ABR上建議配置聚合以減少相關(guān)區(qū)域的路由條目，配置聚合路由時，建議手工指定 聚合路由的cost值，以防止聚合路由中的明細(xì)路由cost變化對聚合路由cost產(chǎn)生影響，導(dǎo) 致不必要的路由計算：在ospf區(qū)域視圖下配置：abr-summary ip-address ( mask | mask-length advertise | not-advertise cost cost 5.3.9在ASBR配置路由聚合；在ASBR上建議配置聚合以減少相關(guān)區(qū)域的路由條目，配置聚合路由時，應(yīng)手工指定 聚合路由的cost值，以防止聚合路由中的明細(xì)路由cost變化對聚合路由cost產(chǎn)生影響，導(dǎo) 致不必要的

8、路由計算：在OSPF視圖下配置：asbr-summary ip-address ( mask | mask-length tag tag | not-advertise | cost cost 5.3.10 ASBR上import外部路由時，根據(jù)實際需要配置路由策略控制路由信息(可選)；建議手工配置引入路由的cost值.配置命令：在OSPF視圖下配置：import-route protocol route-policy route-policy-name cost cost 5.3.11特殊組網(wǎng)中ASBR通過配置黑洞路由的方式通告聚合路由在同一區(qū)域存在兩個ASBR的組網(wǎng)中，兩個ASBR同時通過

9、配置ASBR-Summary 的方式向區(qū)域通告相同的聚合路由時，建議采用先配置目的地址為聚合網(wǎng)段的黑洞路由，然 后再ospf視圖下重分布靜態(tài)路由的方式發(fā)布聚合路由。（根據(jù)組網(wǎng)要求，配置重分布靜態(tài)路 由的路由過濾策略）。示例：如下圖所示組網(wǎng)，ASBR1和ASBR2同時向域內(nèi)路由器通告聚合路由/24；ASBR1ASBR.2ASBR參考配置：#ip route-static NULL0/配置目的地址為聚合網(wǎng)段的黑洞路由#ospf 1 import-route static/在ospf視圖下重分布靜態(tài)路由#5.3.12優(yōu)化SPF計算參數(shù)（可選），在用戶網(wǎng)絡(luò)狀況良好，且對業(yè)務(wù)收斂時間要求較高的網(wǎng)絡(luò)中，為

10、了加快端口故障時OSPF路由收斂速度，可以調(diào)整路由計算時間間隔優(yōu)化收斂時間；注意，該參數(shù)需要全網(wǎng)所有OSPF路由器統(tǒng)一配置才能體現(xiàn)效果；配置命令：OSPF視圖下配置：spf-schedule-interval maximum-interval minimum-interval incremental-interval 建議參數(shù)為：spf-schedule-interval 5 100 1000maximum-interval： OSPF路由計算的最大時間間隔，取值范圍為160,單位為秒。minimum-interval: OSPF路由計算的最小時間間隔，取值 范圍為1060000,單位為毫秒

11、incremental-interval： OSPF路由計算時間間隔懲罰增量的基數(shù)值，取值范圍為1060000,單位為 毫秒5.3.13接口配置BFD提高收斂速度（可選）；配置ospf與BFD聯(lián)動可以加快鏈路故障的檢測，提高ospf收斂速度，減少網(wǎng)絡(luò)故障 時的中斷時間。注意，該參數(shù)需要鏈路上相關(guān)的OSPF路由器統(tǒng)一配置才能體現(xiàn)效果；配置命令：在OSPF接口下配置，建議配置參數(shù)如下：#ospf bfd enablebfd min-transmit-interval 200bfd min-receive-interval 200bfd detect-multiplier 3#5.4.部分配置舉例5

12、.5.1 S12500_1 OSPF 配置舉例：/手工指定router-id/根據(jù)需要調(diào)整SPF參數(shù)（可選）/本實例網(wǎng)絡(luò)中最大鏈路帶寬為10Gbps/配置區(qū)域認(rèn)證模式為md5/使用全0反掩碼方式添加VLAN10接口進(jìn)入?yún)^(qū)域0/指定區(qū)域認(rèn)證模式為md5/使用全0反掩碼方式添加VLAN18接口進(jìn)入?yún)^(qū)域18#ospf 1 router-id spf-schedule-interval 1 200 500 bandwidth-reference 100000 area authentication-mode md5 network network area 8authentication-mode m

13、d5 network #interface Vlan-interface10undo shutdownip address 52ospf authentication-mode md5 1 cipher testospf bfd enablebfd min-transmit-interval 200bfd min-receive-interval 200bfd detect-multiplier 3ospf cost 10#interface Vlan-interface20undo shutdownip address 52ospf authentication-mode md5 1 cip

14、her testospf network-type p2pospf cost 10#LSW_1 OSPF 配置舉例：ospf 1 router-id spf-schedule-interval 1 200 500silent-interface all將上聯(lián)核心設(shè)備的VLAN接口 VLAN20設(shè)置成非靜默接口undo silent-interface vlan-interface 20bandwidth-reference 100000area 8authentication-mode md5network network #interface Vlan-interface18undo shutdownip address 52ospf authentication-mode md5 1 cipher test/接口配置認(rèn)證算法及預(yù)共享口令/配置接口 BFD與OSPF聯(lián)動以提高收斂速度（可選）/配置10G互聯(lián)VLAN的Cost為10/接口設(shè)置認(rèn)證算法及預(yù)共享口令/配置接口 OSPF網(wǎng)絡(luò)類型為P2P/ 接口配置認(rèn)證算法及預(yù)共享口令/配置接口 OSPF網(wǎng)絡(luò)類型為P2P/配置10G互聯(lián)VLAN的Cost為10/手工配置router-id/根據(jù)需要調(diào)整SPF參數(shù)（可選）/將所有接