檢視緯育 2026-0507 的原始碼

=== OSPF 路由宣告與設定方法 ===
* 宣告路由的三種主要方法
** 方法一：宣告主網路
*** 宣告一個大的主網路，例如 10.0.0.0，比對條件是IP位址的前8個位元。只要端口IP符合，就會被啟動。此方法在網路遮罩長度改變時（如從/24變為/28）無需修改。
** 方法二：宣告子網路網段 (考試重點)
*** 精確宣告特定的子網路網段，需要計算出網段號碼及對應的萬用遮罩。此方法在VLSM環境下（如遮罩長度改變）需要重新計算萬用遮罩，因計算繁瑣，容易出錯，常成為考試重點。
** 方法三：宣告特定介面 IP (業界常用)
*** 業界最常用，最簡單且不易出錯。直接宣告特定端口的IP位址，並搭配萬用遮罩 0.0.0.0，表示精確比對該32位元IP。此方法不受子網路遮罩長度變化的影響。
* 新版 OSPF (VLSM) 設定方法
** 此方法不使用傳統的 network 指令。
** 設定方式是直接進入特定端口的設定模式，使用 ip ospf [process-id] area [area-id] 指令來啟動OSPF。
** 這種方法更為直觀，直接在需要運行OSPF的端口上啟用它。Alpha公司的Nexus 377交換器即採用此類設定方式。
=== 子網路遮罩 (Subnet Mask) 與萬用字元遮罩 (Wildcard Mask) ===
* 概念釐清
** 子網路遮罩：用於劃分IP位址的網路部分與主機部分。其值為 1 的位元代表網路部分，0 代表主機部分。
** 萬用字元遮罩：僅用於定義OSPF網路宣告中的「比對條件」。其值為 0 的位元代表需要精確比對的部分，1 代表不需比對（任意值）的部分。
** 兩者在意義上完全不同，但數學運算上剛好相反（位元反轉）。
* 速算技巧
** 萬用遮罩速算：可透過 255 減去子網路遮罩的各個八位元值來快速計算。
*** /27 (遮罩 255.255.255.224) → 萬用遮罩 0.0.0.31 (255-224=31)
*** /28 (遮罩 255.255.255.240) → 萬用遮罩 0.0.0.15 (255-240=15)
*** /29 (遮罩 255.255.255.248) → 萬用遮罩 0.0.0.7 (255-248=7)
** 子網路遮罩十進位值速記：背誦連續 1 的數量所對應的十進位值可加速計算，如6個 1 對應 252 (用於 /30 遮罩)。
=== 多區域 OSPF (Multi-Area OSPF) ===
* 區域劃分
** OSPF的區域邊界是劃分在「路由器」（Router）上，位於不同區域交界的路由器稱為區域邊界路由器（ABR, Area Border Router）。
** 這與IS-IS協定將區域邊界劃分在「線路」上不同。
** 一個OSPF區域（Area）理論上不應超過50台路由器，實務上建議控制在20-30台。
* 鄰居關係建立條件
** 兩個直接相連的OSPF端口若要形成鄰居關係，其交換的HELLO封包中，Area ID必須完全相同。
** 因此，一條OSPF連線的兩端端口，必須屬於同一個Area。
* 設定方式
** 使用 network [IP位址] [萬用遮罩] area [area-id] 指令，將符合比對條件的端口啟用OSPF並劃入指定的Area。
=== OSPF 的資安考量與優化 ===
* Passive-Interface 指令
** 目的：基於資安考量，停止在不必要的端口（通常是連接PC等終端設備的內網端口）上「發送」Hello封包。
** 資安風險：若未設定，內網的惡意設備（如裝有Kali Linux的機器）可能模擬發送Hello封包，與路由器建立鄰居關係，並注入假的路由資訊（LSA），導致流量被劫持或網路癱瘓。
** 運作原理：passive-interface使路由器停止發送Hello，即使收到對方的Hello，也因無法完成雙向溝通而無法建立鄰居關係。
** 兩種設定策略：
    1. 黑名單法：使用 passive-interface [interface-name] 逐一關閉少量端口。
    2. 白名單法：先用 passive-interface default 預設關閉所有端口，再用 no passive-interface [interface-name] 逐一開啟需要建立鄰居的端口。適用於需開啟的端口較少的情況。
* 高風險的「懶人包」設定
** 指令：network 0.0.0.0 255.255.255.255。
** 效果：將路由器上所有已配置IP的介面全部啟用OSPF。
** 嚴重風險：在複雜網路中，這會將不應運行OSPF的介面（如用於BGP的介面）也強制啟動OSPF，導致路由資訊洩漏、協定混亂，是嚴重的資安漏洞。
** 建議：此指令已從新版CCNA教材中移除，強烈不建議在實際工作中使用。
[[檔案:2026-0507-01.png|800px]]
=== OSPF 網段匹配與 wildcard（通配遮罩） ===
* 以單一 network 指令可同時啟動多個具共同前綴的介面；在 OSPF network 命令用 wildcard mask 指定精確匹配的位元（0 表示必須相同，非 0 表示可變動），可只匹配前 12/16 位涵蓋多介面。
* VLSM 例：/30 的遮罩 255.255.255.252 對應 wildcard 0.0.0.3；宣告時填網段號（network address）而非主機位址。
* 設定錯誤（例如 Area 不匹配）會導致鄰居不建立並出現 mismatched area 訊息；於原設定位置以 no 移除後重設，再用 show 指令驗證。
=== Passive Interface 的用途與送收語義 ===
* 以 OSPF 為主的現行語義：Passive 介面不收也不送 Hello/更新，因此不形成鄰接；但該介面仍納入 OSPF 計算，其前綴會由其他非 passive、具鄰居的介面對外宣告。
* 典型策略：內網介面設為 passive 以避免不必要 Hello；對外連線介面維持非 passive 以建立鄰接與交換 LSA。
=== Router ID 與 OSPF 進程 ===
* 概念區分：Process ID 是本機 OSPF 進程編號；Router ID（RID）是 OSPF 節點識別代號，非用於轉送的 IP、無子網遮罩概念，但必須全網唯一。
* 選取與實務：未指定時以最高 IP 介面（偏好 Loopback）決定；綁定不穩定的實體介面易因 up/down 觸發重算。最佳做法為直接在 router ospf 下指定 router-id 或使用穩定 Loopback。
* 生效機制：變更 RID 需 clear ip ospf process/database 使進程重啟，鄰居會暫時 down 再重新建立。
=== Loopback 與 /32 宣告 ===
* 建立 Loopback 介面並以 /32（255.255.255.255）配置作為可交換的主機路由（host route），在對應 Area 以 network 精準宣告，確保他人路由表可見該 RID 前綴，利於網管定位。
* 多區域對應：例如 R1 Loopback 在 Area 0，R2 在 Area 2，R3 在 Area 3，宣告時需與設計一致。
=== 介面啟動方法與考試指定 ===
* 三種指定方法需分別套用至不同路由器：R1 使用 VLSM 組網段精準匹配；R2 使用自然網段匹配；R3 直接在介面上啟動 OSPF。未遵照指定方法將扣分。
* 外網端口（如連向互聯網）不啟動 OSPF；僅在內網端口啟用。
=== OSPF 成本（cost）、頻寬（bandwidth）、時脈（clock rate） ===
* 舊公式：cost = 10^8 / 介面頻寬（bps）；當頻寬高於 100Mbps 時易不合理，建議用 auto-cost reference-bandwidth 以 Mbps 統一調整分子，符合千兆以上環境。
* 串列端口：
** clock rate（DCE 端、OSI L1）：設定物理層時脈（bps，例如 128000），不影響 OSPF 成本。
** bandwidth（雙端、OSI L3）：以 k（kbps）設定（例如 128、60），直接影響 OSPF 成本；未設則預設 T1 1.544M，成本約 64，易誤導選路。
* 成本示例：10^8/128000 ≈ 781；10^8/64000 ≈ 1562.5 → 1562/1563；100M 介面成本為 1。成本逐跳累加，總成本一致時形成 ECMP。
=== 等值路由（ECMP）與測試觀察 ===
* 透過修正串列端口的 bandwidth（如 128K 與 64K 組合）可在 R1、R3 路由表對特定內網形成兩筆等值路由，達成流量分攤；R1 與 R2 之間則維持單一路徑。
* 使用 Packet Tracer 的 Simulation Mode、ping/traceroute 驗證：ECMP 下去程與回程可能輪流選不同路徑；首次 ping 可能因 ARP 超時需重試。
=== 路由宣告、回程設計與單向不通診斷 ===
* 單向可達多因回程路由未宣告或未學到。需在 R1 宣告 VLAN12（如 10.1.12.16/28），使 R2/R3 路由表出現該前綴，回程方能返回。
* 路由表核對：在 R1 應見 R2 內網（如 10.6.100.0）與 R3 內網（如 10.3.1.0）；在 R3 應見來自 R1 的 VLAN12/VLAN13 等前綴為 O 路由。靜態/動態分工應一致（例如 10.3.2.0/24 僅以靜態存在）。
=== 驗證指令與操作節奏 ===
* 啟動與鄰居：show ip ospf、show ip ospf neighbor。
* 介面與參數：show ip ospf interface；show interface serial 檢視 BW；必要時以「freeze」快照思路核對介面狀態。
* 資料庫與路由表：show ip ospf database（先看第一行識別 RID/拓撲），show ip route 核對 O 路由。
* 發現錯誤即以 no 移除並重設；大量參數修正後可存檔並 reload 以加速重算。
[[檔案:2026-0507-02.png|800px]]