OSPF配置-1

配置注意点

1.Router ID

  如果没有配置全局路由器ID，则按照下面的规则进行选择：

  1）如果存在配置IP地址的Loopback接口，则选择Loopback接口地址中最大的作为Router ID

  2）如果没有配置IP地址的Loopback接口，则从其他接口的IP地址中选择最大的作为Router ID（不考虑接口的up/down状态）

  命令：router id x.x.x.x

2.Stub区域

  1）如果要将一个区域配置成Stub/NSSA区域，则该区域中的所有路由器必须都要配置stub命令。

  2）如果要将一个区域配置成Totally Stub/NSSA区域，该区域中的所有路由器必须配置stub命令，该区域的ABR路由器需要配置stub no-summary命令。

  命令：stub [ default-route-advertise-always | no-summary ] *  

3.OSPF的网络类型

  本设备上，OSPF接口网络类型的缺省值为广播类型。

  用户可以根据需要更改接口的网络类型，例如：

  • 当NBMA网络通过配置地址映射成为全连通网络时（即网络中任意两台路由器之间都存在一条虚电路而直接可达），可以将网络类型更改为广播，不需要手工配置邻居，简化配置。

  • 当广播网络中有部分路由器不支持组播时，可以将网络类型更改为NBMA。

  • NBMA网络要求必须是全连通的，即网络中任意两台路由器之间都必须有一条虚电路直接可达；如果NBMA网络不是全连通而是部分连通时，可以将网络类型更改为P2MP，达到简化配置、节省网络开销的目的。

  • 如果路由器在NBMA网络中只有一个对端，也可将接口类型配置为P2P，节省网络开销。

  如果接口配置为广播、NBMA或者P2MP网络类型，只有双方接口在同一网段才能建立邻居关系。

  命令：端口下，ospf network-type broadcast/nbma/p2mp  

4.配置OSPF的路由信息控制：控制OSPF的路由信息的发布与接收，并引入其他协议的路由。

  1）配置OSPF路由聚合

  路由聚合是指ABR或ASBR将具有相同前缀的路由信息聚合，只发布一条路由到其它区域。

  AS被划分成不同的区域后，每一个区域通过OSPF区域边界路由器（ABR）相连，区域间可以通过路由聚合来减少路由信息，减小路由表的规模，提高路由器的运算速度。  

  如果区域里存在一些连续的网段，则可以在ABR上配置路由聚合，将这些连续的网段聚合成一个网段，ABR向其它区域发送路由信息时，以网段为单位生成Type-3 LSA。

  这样ABR只发送一条聚合后的LSA，所有属于聚合网段范围的LSA将不再会被单独发送出去，既可以减少其它区域中LSDB的规模，也减小了因为网络拓扑变化带来的影响。

  命令：abr-summary ip-address { mask-length | mask } [ advertise | not-advertise ] [ cost cost-value ]  //配置ABR路由聚合  

  ASBR引入外部路由后，每一条路由都会放在单独的一条Type-5 LSA中向外宣告；通过配置路由聚合，路由器只把聚合后的路由放在Type-5 LSA中向外宣告，减少了LSDB中LSA的数量。

  在ASBR上配置路由聚合后，将对聚合地址范围内的Type-5 LSA进行聚合；如果ASBR在NSSA区域里面，将对聚合地址范围内的Type-7 LSA进行聚合。

  如果本地路由器同时是ASBR和ABR，并且是NSSA区域的转换路由器，将对由Type-7 LSA转化成的Type-5 LSA进行聚合处理；如果不是NSSA区域的转换路由器，则不进行聚合处理。

  asbr-summary ip-address { mask-length | mask } [ cost cost-value | not-advertise | nssa-only | tag tag ] *：配置ASBR路由聚合

  2）配置OSPF对通过接收到的LSA计算出来的路由信息进行过滤 

  OSPF是基于链路状态的动态路由协议，路由信息是根据接收到的LSA计算出来的，可以对通过接收到的LSA计算出来的OSPF路由信息进行过滤。一共有四种过滤方式：

  • 基于要加入到路由表的路由信息的目的地址进行过滤，可以通过配置访问控制列表或IP地址前缀列表来指定过滤条件；

  • 基于要加入到路由表的路由信息的下一跳进行过滤，可以通过在命令中配置gateway参数来指定过滤条件；

  • 基于要加入到路由表的路由信息的目的地址和下一跳进行过滤，可以通过配置访问控制列表或IP地址前缀列表指定过滤目的地址的条件，同时配置gateway参数来指定过滤下一跳的条件；

  • 基于路由策略对要加入到路由表的路由信息进行过滤，可以通过在命令中配置route-policy参数来指定过滤条件。

  filter-policy { ipv4-acl-number [ gateway prefix-list-name ] | gateway prefix-list-name | prefix-list prefix-list-name [ gateway prefix-list-name ] | route-policy route-policy-name } import：

  配置OSPF对通过接收到的LSA计算出来的路由信息进行过滤

  3）配置过滤Type-3 LSA

  通过在ABR上配置Type-3 LSA过滤，可以对进入ABR所在区域或ABR向其它区域发布的Type-3 LSA进行过滤。

  filter { ipv4-acl-number | prefix-list prefix-list-name | route-policy route-policy-name } { export | import }

  4）配置OSPF接口的开销值

  OSPF有两种方式来配置接口的开销值：

  • 在接口视图下直接配置开销值；

  • 配置接口的带宽参考值，OSPF根据带宽参考值自动计算接口的开销值，计算公式为：接口开销＝带宽参考值÷接口期望带宽（接口期望带宽通过命令bandwidth进行配置，具体情况请参见接口分册命令参考中的介绍）。

  当计算出来的开销值大于65535时，开销取最大值65535；当计算出来的开销值小于1时，开销取最小值1。

  如果没有在接口视图下配置此接口的开销值，OSPF会根据该接口的带宽自动计算其开销值。

  ospf cost cost-value：设置OSPF接口的开销值。缺省情况下，接口按照当前的带宽自动计算接口运行OSPF协议所需的开销。对于Loopback接口，缺省值为0

  bandwidth-reference value：配置带宽参考值，缺省情况下，带宽参考值为100Mbps

  5）配置OSPF最大等价路由条数

  如果到一个目的地有几条开销相同的路径，可以实现等价路由负载分担，IP报文在这几个链路上负载分担，以提高链路利用率。该配置用以设置OSPF协议的最大等价路由条数。

  maximum load-balancing number

  6）配置OSPF协议的优先级

  由于路由器上可能同时运行多个动态路由协议，就存在各个路由协议之间路由信息共享和选择的问题。系统为每一种路由协议设置一个优先级，在不同协议发现同一条路由时，优先级高的路由将被优先选择。

  preference [ ase ] { preference | route-policy route-policy-name } *

  7）配置null0路由

  配置是否产生NULL0路由以及产生NULL0路由的优先级：discard-route { external { preference | suppression } | internal { preference | suppression } } *

  8）配置OSPF引入外部路由

  ①配置OSPF引入其它协议的路由  

  如果在路由器上不仅运行OSPF，还运行着其它路由协议，可以配置OSPF引入其它协议生成的路由，如RIP、IS-IS、BGP、静态路由或者直连路由，将这些路由信息通过Type5 LSA或Type7 LSA向外宣告。

  OSPF还可以对引入的路由进行过滤，只将满足过滤条件的外部路由转换为Type5 LSA或Type7 LSA发布出去。

  只能引入路由表中状态为active的路由，是否为active状态可以通过display ip routing-table protocol命令来查看。  

  import-route bgp [ as-number ] [ allow-ibgp ] [ cost cost-value | nssa-only | route-policy route-policy-name | tag tag | type type ] *

  import-route { direct | static } [ cost cost-value | nssa-only | route-policy route-policy-name | tag tag | type type ] *

  import-route { isis | ospf | rip } [ process-id | all-processes ] [ allow-direct | cost cost-value | nssa-only | route-policy route-policy-name | tag tag | type type ] *

  执行import-route命令引入BGP路由时，未指定allow-ibgp参数表示只引入EBGP路由；指定allow-ibgp参数表示将IBGP路由也引入，容易引起路由环路，请慎用。

  ②配置OSPF引入缺省路由

  OSPF不能通过import-route命令从其它协议引入缺省路由，如果想把缺省路由引入到OSPF路由区域，必须要使用下面命令配置OSPF引入缺省路由。  

  default-route-advertise [ [ always | permit-calculate-other ] | cost cost-value | route-policy route-policy-name | type type ] *

  default-route-advertise [ summary cost cost-value ]

  default-route-advertise summary cost命令仅在VPN中应用，以Type-3 LSA引入缺省路由，PE路由器会将引入的缺省路由发布给CE路由器。

  ③配置引入路由的相关参数

  当OSPF引入外部路由时，还可以配置一些开销、路由数量、标记和类型等参数的缺省值。路由标记可以用来标识协议相关的信息，如OSPF从BGP引入路由时，可以用来标记自治系统的编号。

  default { cost cost-value | tag tag | type type } *

  缺省情况下，OSPF引入的外部路由的度量值为1，引入的外部路由的标记为1，引入的外部路由类型为2

  9）配置发布一条主机路由：host-advertise ip-address cost

  10）配置允许区域下的接口从标准拓扑中分离

  缺省情况下，OSPF区域下的接口会自动加入标准拓扑。本命令允许区域下的接口从标准拓扑中分离出来。

  命令：capability default-exclusion

5.调整和优化OSPF网络  

  用户可以从以下几个方面来调整和优化OSPF网络：

  • 通过改变OSPF的报文定时器，可以调整OSPF网络的收敛速度以及协议报文带来的网络负荷。在一些低速链路上，需要考虑接口传送LSA的延迟时间。

  • 通过调整SPF计算间隔时间，可以抑制由于网络频繁变化带来的资源消耗问题。

  • 在安全性要求较高的网络中，可以通过配置OSPF验证特性，来提高OSPF网络的安全性。

  1）配置OSPF报文定时器

  用户可以在接口上配置下列OSPF报文定时器：

  • Hello定时器：接口向邻居发送Hello报文的时间间隔，OSPF邻居之间的Hello定时器的值要保持一致。  ospf timer hello seconds：配置Hello定时器

  • Poll定时器：在NBMA网络中，路由器向状态为down的邻居路由器发送轮询Hello报文的时间间隔。  ospf timer poll seconds：配置Poll定时器

  • 邻居失效时间：在邻居失效时间内，如果接口还没有收到邻居发送的Hello报文，路由器就会宣告该邻居无效。  ospf timer dead seconds：配置邻居失效时间

  • 接口重传LSA的时间间隔：路由器向它的邻居通告一条LSA后，需要对方进行确认。若在重传间隔时间内没有收到对方的确认报文，就会向邻居重传这条LSA。  ospf timer retransmit seconds：配置接口重传LSA的时间间隔

  2）配置接口传送LSA的延迟时间

  考虑到OSPF报文在链路上传送时也需要花费时间，所以LSA的老化时间（age）在传送之前要增加一定的延迟时间，在低速链路上需要对该项配置进行重点考虑。

  ospf trans-delay seconds：配置接口传送LSA的延迟时间，缺省情况下，接口传送LSA的延迟时间为1秒

  3）配置OSPF路由计算的时间间隔

  当OSPF的LSDB发生改变时，需要重新计算最短路径。如果网络频繁变化，且每次变化都立即计算最短路径，将会占用大量系统资源，并影响路由器的效率。通过调节路由计算的时间间隔，可以抑制由于网络频繁变化带来的影响。

  本命令在网络变化不频繁的情况下将连续路由计算的时间间隔缩小到minimum-interval，而在网络变化频繁的情况下可以进行相应惩罚，增加incremental-interval×2n-2（n为连续触发路由计算的次数），

  将等待时间按照配置的惩罚增量延长，最大不超过maximum-interval。

  spf-schedule-interval maximum-interval [ minimum-interval [ incremental-interval ] ]：配置OSPF路由计算的时间间隔

  4）配置LSA重复到达的最小时间间隔

  如果在重复到达的最小时间间隔内连续收到一条LSA类型、LS ID、生成路由器ID均相同的LSA则直接丢弃，这样就可以抑制网络频繁变化可能导致的占用过多带宽资源和路由器资源。

  lsa-arrival-interval interval：配置LSA重复到达的最小时间间隔

  5） 配置LSA重新生成的时间间隔  

  通过调节LSA重新生成的时间间隔，可以抑制网络频繁变化可能导致的占用过多带宽资源和路由器资源。

  lsa-generation-interval maximum-interval [ minimum-interval [ incremental-interval ] ]：本命令在网络变化不频繁的情况下将LSA重新生成时间间隔缩小到minimum-interval，而在网络变化频繁的情况下可以进行相应惩罚，

  增加incremental-interval×2n-2（n为连续触发路由计算的次数），将等待时间按照配置的惩罚增量延长，最大不超过maximum-interval。

  6）禁止接口收发OSPF报文

  如果要使OSPF路由信息不被某一网络中的路由器获得，可以禁止接口收发OSPF报文。

  将运行OSPF协议的接口指定为Silent状态后，该接口的直连路由仍可以由同一路由器的其它接口通过Router-LSA发布出去，但OSPF报文将被阻塞，接口上无法建立邻居关系。

  这样可以增强OSPF的组网适应能力，减少系统资源的消耗。  silent-interface { interface-type interface-number | all }

  7）配置Stub路由器

  Stub路由器用来控制流量，它告知其他OSPF路由器不要使用这个Stub路由器来转发数据，但可以拥有一个到Stub路由器的路由。

  通过将当前路由器配置为Stub路由器，在该路由器发布的Router-LSA中，当链路类型取值为3表示连接到Stub网络时，链路度量值不变；当链路类型为1、2、4分别表示通过P2P链路与

  另一路由器相连、连接到传送网络、虚连接时，链路度量值将设置为最大值65535。通过增加include-stub参数可以将路由器发布的Router-LSA中，链路类型为3的Stub链路度量值设置为最大值65535。

  这样其邻居计算出这条路由的开销就会很大，如果邻居上有到这个目的地址开销更小的路由，则数据不会通过这个Stub路由器转发。

  stub-router [ external-lsa [ max-metric-value ] | include-stub | on-startup { seconds | wait-for-bgp [ seconds ] } | summary-lsa [ max-metric-value ] ] *

  缺省情况下，当前路由器没有被配置为Stub路由器Stub路由器与Stub区域无关

  8）配置OSPF验证

  从安全性角度来考虑，为了避免路由信息外泄或者OSPF路由器受到恶意攻击，OSPF提供报文验证功能。

  OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进行验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。

  如果区域验证和接口验证都进行了配置，以接口验证的配置为准。

  ① 配置区域验证：

  authentication-mode { hmac-md5 | md5 } key-id { cipher | plain } string

  authentication-mode simple { cipher | plain } string

  authentication-mode keychain keychain-name

  一个区域中所有路由器的验证模式和验证密钥必须一致。

  ②配置接口验证：

  ospf authentication-mode simple { cipher | plain } string

  ospf authentication-mode { hmac-md5 | md5 } key-id { cipher | plain } string

  ospf authentication-mode keychain keychain-name

  邻居路由器两端接口的验证模式和验证密钥必须一致。

  9）配置DD报文中的MTU

  一般情况下，接口发送DD报文时不使用接口的实际MTU值，而是用0代替。进行此配置后，将使用接口的实际MTU值填写DD报文Interface MTU字段。

  ospf mtu-enable  配置DD报文中MTU域的值为发送该报文接口的MTU值，缺省情况下，接口发送的DD报文中MTU域的值为0

  10）配置OSPF发送协议报文的DSCP优先级

  dscp dscp-value：配置OSPF发送协议报文的DSCP优先级，缺省情况下，OSPF发送协议报文的DSCP优先级值为48

  11）配置LSDB中External LSA的最大数量

  lsdb-overflow-limit number：缺省情况下，不对LSDB中External LSA的最大条目数进行限制

  12）配置OSPF尝试退出overflow状态的定时器时间间隔

  网络中出现过多LSA，会占用大量系统资源。当设置的LSDB中External LSA的最大数量达到上限时，LSDB会进入overflow状态，在overflow状态中，不再接收External LSA，同时删除自己生成的External LSA，

  对于已经收到的External LSA则不会删除。这样就可以减少LSA从而节省系统资源。通过配置可以调整OSPF退出overflow状态的时间。

  lsdb-overflow-interval interval：缺省情况下，OSPF尝试退出overflow定时器间隔是300秒，配置为0时，表示不退出Overflow状态

  13）配置兼容RFC 1583的外部路由选择规则

  当有多条路径可以到达同一个外部路由时，在选择最优路由的问题上，RFC 2328中定义的选路规则与RFC 1583的有所不同，进行此配置可以兼容RFC 1583中定义的规则。

  具体的选路规则如下：

  ①当RFC 2328兼容RFC 1583时，所有到达ASBR的路由优先级相同。当RFC 2328不兼容RFC 1583时，非骨干区的区域内路由优先级最高，区域间路由与骨干区区域内路由优先级相同，优选非骨干区的区域内路由，尽量减少骨干区的负担；

  ②若存在多条优先级相同的路由时，按开销值优选，优选开销值小的路由；

  ③若存在多条开销值相同路由时，按路由来源区域的区域ID选择，优选区域ID大的路由。

  为了避免路由环路，同一路由域内的路由器建议统一配置相同选择规则。

  rfc1583 compatible：缺省情况下，兼容RFC 1583的路由选择优先规则的功能处于开启状态

  14）配置邻居状态变化的输出开关

  打开邻居状态变化的输出开关后，OSPF邻居状态变化时会生成日志信息发送到设备的信息中心，通过设置信息中心的参数，最终决定日志信息的输出规则（即是否允许输出以及输出方向）。

  log-peer-change，缺省情况下，邻居状态变化的输出开关处于打开状态

  15）配置OSPF网管功能

  配置OSPF进程绑定MIB功能后，可以通过网管软件对指定的OSPF进程进行管理。

  开启OSPF模块的告警功能后，该模块会生成告警信息，用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块，通过设置SNMP中告警信息的发送参数，来决定告警信息输出的相关属性。

  通过调整OSPF在指定时间间隔内允许输出的告警信息条数，可以避免网络出现大量告警信息时对资源的消耗。

  snmp-agent trap enable ospf [ authentication-failure | bad-packet | config-error | grhelper-status-change | grrestarter-status-change | if-state-change | lsa-maxage | lsa-originate | lsdb-approaching-overflow |

  lsdb-overflow | neighbor-state-change | nssatranslator-status-change | retransmit | virt-authentication-failure | virt-bad-packet | virt-config-error | virt-retransmit | virtgrhelper-status-change | virtif-state-change |

   virtneighbor-state-change ] *  缺省情况下，OSPF的告警功能处于开启状态

  snmp trap rate-limit interval trap-interval count trap-number：配置OSPF在指定时间间隔内允许输出的告警信息条数，缺省情况下，OSPF在10秒内允许输出7条告警信息。

  16）配置发送LSU报文的速率

  在与邻居进行LSDB同步的过程中，需要发送大量的LSU报文时，邻居设备会在短时间内收到大量的LSU报文，处理这些突发的大量LSU报文时，可能会出现如下情况：

  • 占用较多的系统资源，导致邻居设备性能下降。

  • 邻居设备可能会将维持邻居关系的Hello报文丢弃，导致邻居关系断开。重新建立邻居关系的过程中，需要交互的LSU数量将会更大，从而加剧设备性能的下降。

  配置本功能后，路由器将LSU报文分为多个批次进行发送，对OSPF接口每次允许发送的LSU报文的最大个数做出限制；同时，在指定的时间间隔内，所有运行OSPF的接口发送LSU的最大个数不能超过限定值，

  即对整机发送LSU的速率进行限制，从而避免上述情况的发生。

  transmit-pacing interval interval count count：配置接口发送LSU报文的时间间隔和一次发送LSU报文的最大个数，缺省情况下，OSPF接口发送LSU报文的时间间隔为20毫秒，一次最多发送3个LSU报文。

  17）配置ISPF计算

  ISPF（Incremental Shortest Path First，增量最短路径优先）是对OSPF中最短路径树的增量计算，当网络的拓扑结构发生变化，即影响到最短路径树的结构时，只对受影响的部分节点进行重新计算拓扑结构，

  只对最短路径树中受影响的部分进行修正，而不需要重建整棵最短路径树。

  ispf enable，缺省情况下，增量SPF计算功能处于使能状态

  18）配置前缀抑制

  OSPF使能网段时会将接口上匹配该网段的所有网段路由与主机路由都通过LSA发布，但有些时候主机路由或网段路由是不希望被发布的。通过前缀抑制配置，可以减少LSA中携带不需要的前缀，

  即不发布某些网段路由和主机路由，从而提高网络安全性，加快路由收敛。当使能前缀抑制时，具体情况如下：

  • P2P或P2MP类型网络：Type-1 LSA中不发布接口的主地址，即Type-1 LSA中链路类型为3的Stub链路被抑制，不生成接口路由，但其他路由信息可以正常计算，不会影响流量转发。

  • 广播类型或者NBMA网络：DR发布的Type-2 LSA的掩码字段会填成32位，即不生成网段路由，但其他路由信息可以正常计算，不会影响流量转发。另外，如果没有邻居，发布的Type-1 LSA中也不发布接口的主地址，即Type-1 LSA中链路类型为3的Stub链路被抑制。

  如果需要抑制前缀发布，建议整个OSPF网络都配置本命令。

  ①配置全局前缀抑制：全局配置不能抑制从地址、LoopBack接口以及处于抑制状态的接口对应的前缀。如果想对LoopBack接口或处于抑制状态的接口进行抑制，可以通过配置接口前缀抑制来实现。

  prefix-suppression，缺省情况下，不抑制OSPF进程进行前缀发布

  ②配置接口前缀抑制

  接口配置不抑制从地址对应的前缀。ospf prefix-suppression [ disable ]，缺省情况下，不抑制接口进行前缀发布

  19）配置OSPF的前缀按优先权收敛功能

  通过策略指定优先权，不同前缀按优先权顺序下发，由高到低分为4个优先权（Critical、High、Medium和Low），如果一条路由符合多个收敛优先权的匹配规则，则这些收敛优先权中最高者当选为路由的收敛优先权。

  OSPF路由的32位主机路由为Medium优先权，其它为Low优先权。  prefix-priority route-policy route-policy-name，缺省情况下，OSPF的前缀按优先权快速收敛功能处于关闭状态

  20）配置PIC

  PIC和OSPF快速重路由功能同时配置时，OSPF快速重路由功能生效。

  目前只支持区域间路由以及外部路由的PIC功能。

  PIC（Prefix Independent Convergence，前缀无关收敛），即收敛时间与前缀数量无关，加快收敛速度。传统的路由计算快速收敛都与前缀数量相关，收敛时间与前缀数量成正比。

  pic [ additional-path-always ]，缺省情况下，前缀无关收敛功能处于使能状态

  OSPF协议的PIC特性中，主用链路缺省不使用BFD进行链路故障检测。配置本功能后，将使用BFD进行检测，可以加快OSPF协议的收敛速度。

  ①配置PIC支持BFD检测功能（Ctrl方式）  ospf primary-path-detect bfd ctrl，缺省情况下，OSPF协议中主用链路的BFD（Ctrl方式）检测功能处于关闭状态

  ②配置PIC支持BFD检测功能（Echo方式）  bfd echo-source-ip ip-address：配置BFD Echo报文源地址      ospf primary-path-detect bfd echo，缺省情况下，OSPF协议中主用链路的BFD（Echo方式）检测功能处于关闭状态

  21）配置OSPF的日志信息个数

  OSPF的日志信息包括路由计算日志信息和邻居日志信息。

  event-log { lsa-flush | peer | spf } size count，缺省情况下，路由计算、邻居和LSA老化的日志信息个数为10

  22）配置过滤接口出方向的LSA

  通过该功能，不希望让邻居接收到的LSA可在本端接口出方向上被过滤掉，从而减小邻居LSDB的规模，并节省带宽。

  ospf database-filter { all | { ase [ acl ipv4-acl-number ] | nssa [ acl ipv4-acl-number ] | summary [ acl ipv4-acl-number ] } * }，缺省情况下，不对接口出方向的LSA进行过滤

  23）配置对P2MP邻居进行LSA过滤

  在P2MP网络中，一台路由器可以有多个接口的网络类型为P2MP的OSPF邻居。当两台路由器之间存在多条P2MP链路时，不希望让某个指定邻居收到的LSA，通过该功能可在本地被过滤掉。

  database-filter peer ip-address { all | { ase [ acl ipv4-acl-number ] | nssa [ acl ipv4-acl-number ] | summary [ acl ipv4-acl-number ] } * }，缺省情况下，不对发送给接口的网络类型为P2MP的邻居的LSA进行过滤

  24）配置GTSM功能

  开启OSPF GTSM功能时，要求本设备和邻居设备上同时配置本特性，指定的hop-count值可以不同，只要能够满足合法性检查即可。

  GTSM（Generalized TTL Security Mechanism，通用TTL安全保护机制）是一种简单易行的、对基于IP协议的上层业务进行保护的安全机制。开启OSPF报文的GTSM功能后，当设备收到来自OSPF普通邻居或

  虚连接邻居的报文时，会判断报文的TTL是否在255-“hop-count”+1到255之间。如果在，就上送报文；如果不在，则直接丢弃报文。以使设备避免受到CPU利用（CPU-utilization）等类型的攻击（如CPU过载），增强系统的安全性。

  开启GTSM功能的方式有两种：一种是在OSPF区域视图下开启，另一种是在接口视图下开启。在OSPF区域视图下开启GTSM功能会对该区域中所有使能OSPF的接口生效；接口视图下开启GTSM功能只对当前接口生效。

  在接口视图下配置的hops参数的优先级高于在OSPF区域视图下配置的hops参数。

  ①配置区域GTSM功能

  该命令对区域中所有使能OSPF的接口都会生效，并且只会对来自OSPF普通邻居和虚连接邻居的报文进行安全检测，不会对来自OSPF伪连接邻居的报文进行安全检测。

  区域视图下，ttl-security [ hops hop-count ]，缺省情况下，区域的OSPF GTSM功能处于关闭状态

  ②配置接口GTSM功能

  该命令只对当前接口生效，并且只会对来自OSPF普通邻居和虚连接邻居的报文进行安全检测，不会对来自OSPF伪连接邻居的报文进行安全检测。

  接口视图下，ospf ttl-security [ hops hop-count | disable ]，缺省情况下，接口的OSPF GTSM功能处于关闭状态