认证

1：链路认证 //防止链路接入非法路由器（无授权），在链路的所有设备都需要开启
1> 明文认证 //不安全
在IOS15.2的版本中的配置：
int e0/0 //进入需要做认证的接口
ip ospf authentication //开启明文认证
ip ospf authentication key-chain k //k为key-chain的名字，自行决定
key chain k
key 1
key-string cisco //输入明文认证的**

在IOS15.4版本中的配置：
int e0/0 //进入需要认证的接口
ip ospf authentication //开启明文认证
ip ospf authentication-key cisco //（**，可不写）将**进行比对，若比对成功则认证成功。

PS：开启明文认证后，本地的hello包中认证类型的字段发生变化。未认证时为0，开启认证后将0置位为1。做认证的邻居间必须保持一致。若仅链路的一端开启认证，则整条链路的路由不互通。 同时明文认证若仅开启认证，不输入**，则丧失了认证的安全性，容易被他人窃取数据。

2> md5认证 //安全
int e0/0 //进入需要做md5认证的接口
ip ospf authentication message-digest //开启认证
ip ospf authentication message-digest-key 1 md5 cisco //输入**
PS：与明文认证一样，邻居间的md5认证**必须保持一致，否则不能进行通信。

2：区域认证 //防止区域接入非法路由器，区域内所有设备都需要开启
1> 明文认证
router ospf 1
area 0 authentication
int e0/0
ip ospf authentication-key cisco //接口写入认证**

2> md5认证
router ospf 1
area 0 authentication message-digest //区域0开启md5认证
int e0/0
ip ospf message-digest-key 1 md5 cisco //接口写入md5认证**

PS：在路由器上开启关于某个区域的明文或密文认证，实际上是将该路由上工作与此区域的接口修改认证类型字段为明文或密文，**需要在各个接口逐一配置。

虚链路

ABR为OSPF中骨干区域与普通区域交界处的路由器。只有把虚链路划分到骨干区域中，才能让未与骨干区域直接相连接的区域存在ABR以发送路由信息。
做虚链路的两个路由器使用距离最近的两个接口进行通信，采用单播建邻，单播的源是本路由器上离对方最近的接口，单播的目的是对方路由器离自己最近的接口。
虚链路实际上是不存在的，但拓扑图中存在虚链路。
开启了虚链路认证时，做虚链路的两个路由器也需要做认证。
1> 虚链路的认证
明文认证：
router ospf 1
area 1 virtual-link 4.4.4.4 authentication
area 1 virtual-link 4.4.4.4 authentication-key cisco
密文认证：
router ospf 1
area 1 virtual-link 4.4.4.4 authentication message-digest
area 1 virtual-link 4.4.4.4 message-digest-key 1 md5 cisco

2> 虚链路的用法
（1）连接远离骨干区域的普通区域

如上图所示，区域2与骨干区域0为非直接连接，使用虚链路的方法，在router 1和router 5上进行操作，并将虚链路划分至骨干区域，则router 5为骨干区域与area 2的ABR，可将区域2与骨干区域做连接。
（2）缝合不连续的骨干区域（可以用于骨干区域的备份设置）

如上图，若router 8, router 9和router 10之间的线路断掉，在router 8与router 10上做虚链路，则router 8,10 11之间正常通信，即通过虚链路来缝合不连续的骨干区域。

PS：capability transit //开启普通区域转发区域0的LSA，默认开启。若关闭则不能使用虚链路。

过滤

1：分发列表——是一种操作路由表显示路由条目的做法 //使用时不太推荐，存在局限性（本路由器过滤的路由不会影响下游路由器）
router ospf 1
distribute-list 1 in e0/0 //在ospf中不能使用out操作，在距离矢量中可以使用
access-list 1 deny host 10.5.5.5 //不让10.5.5.5出现在路由表中
access-list 1 permit any

2：filter-list //只能针对3类LSA，并且在所有ABR上都需要操作
router ospf 1
area 1 filter-list prefix xx out
ip prefix-list xx seq 5 deny 10.5.5.5/32
ip prefix-list xx seq 15 permit 0.0.0.0/0 le 32

3：area x range xx not-advertise //通过汇总不通告来过滤明细路由（汇总和明细都不通告）

4：重发布的过滤：在重发布的时候与router-map来过滤

修改默认路由的开销：

1：default-metric //可以修改stub区域默认三类的开销
2：default-information originate metric //修改7类默认路由的开销
3：area 1 nssa default-information-originate metric //修改nssa区域的默认路由开销

OSPF解决广域网规划问题

要求：
如图，未断线时，R4-R0的线路为左侧红色线路，R4-R1的线路为右侧红色线路。
当断掉R4-R2之间的线路时，R4-R0的线路要求为蓝色线路；当断掉R2-R0之间的线路时，R4-R0的线路要求为黄色线路。

解决方案：

1：当R2-R0之间的线路断掉时，R4-R3-R2-R0与R4-R3-R1-R0两条线路负载均衡，在不影响未断线路时选路的结果的情况下，则需要将R1-R0线路的metric值加大以干涉选路且不影响原始线路。
2：当R4-R2之间的线路断掉时，要求的线路R4-R2-R3-R1-R0的线路劣于R4-R3-R1-R0线路。
1> 在R3上做R0环回的汇总。由于路由表优先查看明细路由，做汇总之后，R2会给R4下方明细路由，则成功干涉选路且不影响原始线路。
2> 在R4上写一条R0环回的静态直接指向R2，则R4会优先选择R4-R2线路，成功干涉选路且不影响原始线路。

消除静态所产生的环路

ip route 10.10.1.1 255.255.255.255 10.1.34.3 track 1 //如果track 1 监控成功那么路由生效，否则失效。
track 1 ip sla 1 //定义一个track 监控，监控对象是sla探针
track 1 ip sla 1 //定义一个sla探针
icmp-echo 10.1.13.3 //定义一个ping探针
ip sla schedule 1 life forever start-time now //设置探针的生效时间，开始时间必须设置。