NAT on ASA 8.4 - Twice NAT depends on Destination

Twice NAT is the type that allows you to set a nat rule based on both source and destination information. When a host connects to dest X, the source address should be translated to A but it will be translated to B when connects to dest Y.

Configuration:
Step1: Create an object for inside network

ASA84# show run object
object network LAN
 subnet 192.168.1.0 255.255.255.0

Step2: Add an object for dmz hosts, I firstly create object for FTP host called FTP-SERVER. This is real IP address of FTP server.

ASA84# show run object
object network FTP-SERVER
 host 172.16.1.10

 Step3: Add an object for mapped IP address, in this case I use 172.16.1.13 for FTP server and name the object PAT1

ASA84# show run object
object network PAT1
 host 172.16.1.13

Step4: Configure nat function inside PAT1 object

ASA84# show run nat | grep PAT1
nat (inside,dmz) source dynamic LAN PAT1 destination static FTP-SERVER FTP-SERVER

In this command, I use dynamic nat for source address:
    -LAN: the real source address.
    - PAT1: mapped source address.
    -destination: options for dest address, because the destination address is not changed, so last two options are the same.
    -FTP-SERVER (1st): mapped destination address.
    -FTP-SERVER (2nd): real destination address.

Similar steps to SSH-SERVER:

Object for SSH server:

ASA84(config)# show run object
object network SSH-SERVER
 host 172.16.1.15

172.16.1.14 is the mapped address for ssh connections from LAN.

ASA84(config)# show run object
object network PAT2
 host 172.16.1.14

NAT command inside PAT2

ASA84(config)# show run nat | grep PAT2
nat (inside,dmz) source dynamic LAN PAT2 destination static SSH-SERVER SSH-SERVER

Verify SSH connection:

FTP connection:

NAT on ASA 8.4 - Static NAT with port translation

Imagine when you have dmz zone with multiple servers, each server runs a service and you have only one public IP address. Now you want to share that IP address to all services running in dmz zone. In this case, you should use the NAT rules use the same address but with different ports.

In above figure, single IP address used to share two services running on 2 separate servers in dmz zone. It requires that, when have a ftp connection to 113.22.14.3, the request will be directed to ftp server on 172.16.1.10, and when a ssh connection to the same public address, request will be redirected to ssh server on 172.16.1.15.

Configuration:

2 objects for servers in dmz zone:

ASA84(config)# show run object
object network SSH-SERVER
 host 172.16.1.15
object network FTP-SERVER
 host 172.16.1.10

 nat command for each object

ASA84(config)# show run nat
!
object network SSH-SERVER
 nat (dmz,outside) static 113.22.14.3 service tcp ssh ssh
object network FTP-SERVER
 nat (dmz,outside) static 113.22.14.3 service tcp ftp ftp

access list for particular connection

ASA84(config)# show run access-li
access-list ALLOW-INTERNET-DMZ extended permit tcp any object SSH-SERVER eq ssh
access-list ALLOW-INTERNET-DMZ extended permit tcp any object FTP-SERVER eq ftp

access-group to interface

ASA84(config)# show run access-group
access-group ALLOW-INTERNET-DMZ in interface outside
ASA84(config)#

Verifying:
SSH connection from INTERNET host to 113.22.14.3:

 FTP connection from INTERNET to 113.22.14.3:

You can see here: 227 Entering Passive Mode (172,16,1,10,288,222). Funny stuff, hah? ;-)

NAT on ASA 8.4 - Dynamic NAT

In previous post, I talked about how to configure static NAT on ASA 8.4 in the case public an inside server for accessing from Internet. In this post, I'll show you how to configure NAT in the case that you allow users in LAN to access to Internet. I assume you have a range of public ip addresses. This type of NAT called Dynamic NAT.

In details:
-Internal subnet: 192.168.1.0/24
-Public addresses range: 113.22.14.20 - 113.22.14.30
-Security level:
   +inside: 100
   +dmz: 50
   +outside: 0

Scenario: 

INSIDE host will serve as an internal host with IP address: 192.168.1.2/24

Step 1: Define network objects, one for LAN, one for public IP addresses

ASA84(config)# show run object
object network PUBLIC-RANGE
 range 113.22.14.20 113.22.14.30
object network LAN-RANGE
 subnet 192.168.1.0 255.255.255.0
ASA84(config)#

Step 2: Create NAT on LAN-RANGE object, using dynamic keyword

ASA84(config)# show run nat
!
object network LAN-RANGE
 nat (inside,outside) dynamic PUBLIC-RANGE
 

In here, PUBLIC-RANGE is an predefined object used to serve IP addresses for LAN-RANGE.

Step 3: Create an access list and apply to particular interface.

ASA84(config)# SHOW RUN ACCESS-List
access-list ALLOW-LAN-INTERNET extended permit tcp object LAN-RANGE any
access-list ALLOW-LAN-INTERNET extended deny tcp any any log
ASA84(config)#

Test connections from INSIDE host.

As you can see here, host from inside zone using 113.22.14.27 - an address in configured range.

NAT on ASA 8.4 - Static NAT

In the case you want to public an inside server to the Internet, only one public address is provided you should use static NAT on ASA for the one-to-one map. This guide you help you to configure static NAT on ASA 8.4.

In details:
-Inside server:  running sshd service (DMZ2 host) on port 22. IP address: 172.16.1.15
-Public IP address provided: 113.22.14.3
-Security level:
     +inside: 100
     +dmz: 50
     +outside: 0

Scenario:

Step 1: Define a network object contains SSH server

ASA84(config)# show run object
object network SSH-SERVER
 host 172.16.1.15

Step 2: Configure NAT inside the created object

 ASA84(config)# show run nat
!
object network SSH-SERVER
 nat (dmz,outside) static 113.22.14.3
ASA84(config)#

Note: the nat function is created inside the object network. So you have to enter that object again and make the nat command. In above nat command, dmz is the source zone/interface of SSH server, outside is the dest zone. It means, the packets arrive from dmz zone to outside will be translated source address to 113.22.14.3.

Done! You've just completed configuring nat function on ASA. To really let it works, next step is to create an access list to allow connections from Internet to dmz zone.

Step 3: Create an access list for incoming connection from Internet

ASA84(config)# show run access-list                                        
access-list ALLOW-SSH extended permit tcp any host 172.16.1.15 eq ssh

To limit number of connections, I just allow ssh connections to server by using "eq ssh" key word.

 Step 4: Apply access list to interface. I use input direction to outside interface

ASA84(config)# show run access-group
access-group ALLOW-SSH in interface outside

Verify configuration

Make a connection from Internet host to 113.22.14.3

 You can see here, DMZ-SSH server has 2 connections and one from 113.22.14.2 (Internet host).

[solved] Failed to start Qemuwrapper/Dynamips on GNS3

Today, when trying to open an old topology by GNS3, I can not start it normally. GNS3 reports some kind of errors. Qemu can not start on port used in previous working topology. 

 THe same problem to qemuwrapper and Dynamips. I checked all the file permisson, path to file, using port... everything's ok but these errors still appear.

I realized that yesterday I made a change in /etc/hosts file to access to some blocked sites and forgot to add back an entry "127.0.0.1 localhost" to this file. After adding this line, these errors are no longer displayed.

Overview Virtual Router Redundancy Protocol

VRRP là một giao thức tương tự như HSRP mà tôi đã nói ở những post trước, điểm khác đó là VRRP là một giao thức đã được chuẩn hoá.

Về nguyên tắc hoạt động, nói chung VRRP giống với HSRP, một vài khác biệt đó là:

-Active router được gọi là Master router, tất cả các router còn lại trong group đều ở trạng thái Backup. Khi Master down thì Backup có priority cao nhất sẽ làm Master.
-Các VRRP router chỉ có 3 trạng thái: Initialize -> Backup -> Master.
-Địa chỉ MAC ảo có dạng 0000.5e00.01xx, với xx là hai giá trị của nhóm dạng hexdecimal.
-Mặc định, chức năng preempt đã được enabled.
-Không có cơ chế tracking  interface như HSRP.
-VRRP gửi quảng bá đến địa chỉ multicast 224.0.0.18, sử dụng giao thức IP số 112.

Ngoài những điểm khác biệt trên, các tính năng còn lại của HSRP đều có trong VRRP.

Basic HSRP configuration

Cấu hình đơn giản một mô hình sử dụng HSRP, giảm thiểu single point of failure. Mô hình giả lập:

Mô tả:

1. -Các PC1, PC2 là các end-users cần ra Internet.
2. -R2,R3,R4 đóng vai trò là các router cung cấp một gateway ổn định.
3. -PC1, PC2 đến đc 11.11.11.11 khi một trong 3 router down.

Mục tiêu:

1. -Cấu hình HSRP cho 3 router R2,R3,R4
2. -Cấu hình 2 group 1 và 2. Group 1 dùng gateway ảo 1.1.1.10, Group 2 dùng 1.1.1.100.
3. -Load balancing cho PC1 và PC2

Yêu cầu:

• -Đã cấu hình routing cho toàn bộ hệ thống mạng

Lưu ý: đây là một mô hình dùng để demo việc cấu hình HSRP, chưa đảm bảo được tính HA hoàn chỉnh cho một hệ thống mạng. Bài này chỉ đưa ra các bước cấu hình HSRP trên 3 router R2,R3,R4 và testing.

1. Cấu hình HSRP

R2#show run 
<...>
interface FastEthernet0/0
 ip address 1.1.1.2 255.255.255.0
 duplex auto
 speed auto
 standby 1 ip 1.1.1.10  <= Group 1, địa chỉ IP ảo là 1.1.1.10
 standby 1 priority 200 <= Giá trị priority là 200
 standby 1 preempt       <= Bật chức năng chiếm quyền preemption.
 standby 1 track FastEthernet0/1 30 <= Bật chức năng theo dõi f0/1. Nếu f0/1 down, giá trị priority sẽ bị trừ đi 30. Khi đó preemption sẽ diễn ra.
<...>

R3#show run
<...>
interface FastEthernet0/0
 ip address 1.1.1.3 255.255.255.0
 duplex auto
 speed auto
 standby 1 ip 1.1.1.10    <= Địa chỉ IP ảo
 standby 1 priority 180   <= Giá trị priority 180
 standby 1 preempt
<...>

R4#show run
<...>
interface FastEthernet0/0
 ip address 1.1.1.4 255.255.255.0
 duplex auto
 speed auto
 standby 1 ip 1.1.1.10
 standby 1 priority 190   <= Giá trị priority 190
 standby 1 preempt
<...>

Giá trị priority của 3 router đảm bảo rằng R2 là Active, R4 là Standby, R3 ở trạng thái Listen.

Sau khi đã cấu hình HSRP, các PC sẽ trỏ gateway về địa chỉ 1.1.1.10

PC1#show run | section default
ip default-gateway 1.1.1.10

Tiến hành test kết nối từ PC1 đến 11.11.11.11

PC1#traceroute 11.11.11.11

Type escape sequence to abort.
Tracing the route to 11.11.11.11

  1 1.1.1.2 20 msec 44 msec 16 msec
  2 2.2.2.4 28 msec 48 msec 40 msec
  3 3.3.3.1 44 msec 76 msec *

Khi shutdown interface f0/0 trên R2, việc bầu chọn sẽ tiến hành lại, Standby đang là R4 sẽ nhảy lên làm Active, R3 đang ở trạng thái Listen sẽ làm Standby.

Shutdown f0/0 trên R2.

R3, R4 thay đổi trạng thái HSRP

Enable lại cổng f0/0 trên R2, quá trình preempt diễn ra, R2 lấy lại quyền Active:

Test việc tracking trên R2. R2 đã bật chức năng tracking trong HSRP trên interface f0/1. Nếu f0/1 down, priority sẽ bị trừ đi 30, việc bầu chọn sẽ diễn ra lại.

R2(config-if)#shut
R2(config-if)#do show stand bri
                     P indicates configured to preempt.
                     |
Interface   Grp Prio   P  State       Active          Standby         Virtual IP    
Fa0/0           1   170  P Listen      1.1.1.4         1.1.1.3             1.1.1.10      
R2(config-if)#

2. Cấu hình load sharing HSRP

Việc load sharing trên 1 group là điều ko thể, nhưng có thể sử dụng 2 group.
-Group1: R2 là Active, R4 là Standby, R3 Listen.
-Group2: R4 là Active, R2 là Standby, R3 Listen.

 Cấu hình tương tự như trên, thay đổi giá trị group, priority phù hợp cho group 2.

R2 đóng vai trò làm Standby trong group 2

R4 đóng vai trò làm Active trong group 2

 Trỏ PC2 về gateway 1.1.1.100, test kết nối từ cả 2 PC:
PC1 đi theo hướng R2

PC2 đi theo hướng R4

Hot Standby Router Protocol - HSRP

1.Packet forwarding review

Khi một host phải trao đổi với một thiết bị trong cùng subnet, nó có thể đưa ra một ARP request, chờ một ARP reply và trao đổi các gói tin trực tiếp với nhau. Nếu như thiết bị đích nằm ở một subnet khác, host phải dựa vào một thiết bị khác như router để có thể relay các gói tin đến subnet đó. Nếu host ko có khả năng tới đc host đích, nó vẫn tạo ra một ARP broadcast, hi vọng một host nào đó nhận đc gói tin ARP này và trả lời lại. Nhưng gói tin ARP request ko thể tới đc host đích vì đến router sẽ bị drop. Tuy nhiên, có thể cấu hình gateway cung cấp một chức năng gọi là proxy ARP có thể trả lời đến các gói ARP request bằng chính MAC của nó như là một địa chỉ đích.

Một vài giao thức xuất hiện, cho phép nhiều thiết bị định tuyến chia sẻ cùng một địa chỉ gateway. Do đó, nếu một gateway down, các gateway còn lại sẽ tự động đảm nhận nhiệm vụ của một gateway.

2. HSRP

Đây là một giao thức chỉ hỗ trợ các thiết bị của Cisco đc thiết kế cho phép vài router hoặc switch L3 sử dụng một địa chỉ gateway ảo. Các router cung cấp việc dự phòng cho một địa chỉ gateway được gán vào một nhóm HSRP. Một router sẽ được chọn làm Active router, một router được chọn làm Standby HSRP router, các router còn lại được chạy ở trạng thái listen. 

Active router chính là router sẽ đảm nhận nhiệm vụ trả lời ARP request để đưa ra cho client một địa chỉ ARP ảo, đồng thời cung cấp default gateway cho client. Các router trao đổi các thông điệp HSRP Hello trong một khoảng interval nào đó để nhận ra rằng chúng vẫn tồn tại và hoạt động tốt.

HSRP gửi các thông điệp Hello qua địa chỉ multicast 224.0.0.2 sử dụng UDP port 1985.

Một nhóm HSRP có thể đc gán một giá từ 0 tới 255. Hầu hết các Catalyst switches chỉ hỗ trợ đến 16 nhóm HSRP. Giá trị của group là cục bộ trên mỗi interface. HSRP group 1 trên interface vlan 10 khác với HSRP group 1 trên interface vlan 11

3.  HSRP operation

Active router được lựa chọn dựa trên một giá trị priority (từ 0-255) được cấu hình trên mỗi router trong group, mặc định là 100. Router có giá trị priority cao nhất sẽ trở thành Active trong group. Nếu tất cả các giá trị prio bằng nhau, router nào có giá trị IP cao nhất trên HSRP interface sẽ trở thành Active router.

Để set giá trị prio, trên HSRP interface, sử dụng câu lệnh

(config-if)# standby priority

Khi HSRP đc cấu hình trên một interface, router sẽ phải trải qua các trạng thái trước khi trở thành Active. Các HSRP router sẽ phải lần lượt trải qua các trạng thái:

1. -Disabled
2. -Init
3. -Listen
4. -Speak
5. -Standby
6. -Active

Chỉ có Stanby router theo dõi các thông điệp Hello từ Active router, Hello sẽ đc gửi mỗi 3 giây. Nếu các Hello bị thất lạc trong khoảng thời gian holdtime (mặc định là 10 giây hoặc 3 lần Hello), Active router sẽ bị coi là down, lúc đó Standby router sẽ đóng vai trò làm Active. Lúc này, nếu các router khác đang ở trạng thái Listen, router nào có giá trị prio cao kế tiếp sẽ được chọn làm Standby.

Nếu muốn thay đổi các giá trị timer, nên thay đổi trên tất cả các HSRP router trong group.

Giá trị Hello và holdtime có thể được đặt ở mức giây hoặc mili giây (msec). Hello nằm trong khoảng 1-254 hoặc từ 15-999 mili giây. Giá trị holdtime ít nhất luôn phải gấp 3 lần so với giá trị Hello.

Thông thường, sau khi Active router down và Standby trở thành active, active router cũ ko thể ngay lập tức trở lại làm active khi đã hoạt động bình thường trở lại. Nó chỉ có thể Active trở lại nếu như Active hiện tại down. Một chức năng gọi là preemption đc sử dụng để chiếm lại quyền làm Active nếu giá trị prio cao hơn ở bất cứ thời gian nào.

4. HSRP gateway address

Mỗi router trong một HSRP group có một địa chỉ IP riêng của nó đc gán đến một interface. Đồng thời, mỗi router có chung một địa chỉ IP gateway, gọi là địa chỉ gateway ảo, đc giữ ở tình trạng luôn up bởi HSRP. Địa chỉ này cũng đc biết đến là địa chỉ HSRP hoặc địa chỉ Standby address. Các clients có thể trỏ địa chỉ gateway đến địa chỉ này, một router sẽ luôn giữ địa chỉ này active. Địa chỉ gateway ảo này và địa chỉ của interface phải nằm trong cùng subnet.

 Đối với địa chỉ router ảo, HSRP định nghĩa một loại địa chỉ MAC ảo có dạng 0000.0c07.acxx, trong đó xx đại diện cho nhóm HSRP number với 2 giá trị hex. Ví dụ, nhóm 1 thì địa chỉ là .ac01, nhóm 16 là .ac10

5.Load sharing HSRP

Có một đặc điểm của HSRP gây lãng phí tài nguyên đó là, chỉ có Active chịu trách nhiệm trả lời request từ client, sau đó chịu tải cho client. Standby chỉ đóng vai trò dự phòng, lắng nghe các Hello để xem Active còn sống hay ko. Điều này gây lãng phí chức năng của Standby.

Việc chia tải trên một group là bất khả thi, nhưng vẫn có thể thực hiện đc trên 2 group:

-Một group gán một router A làm Active, router B làm Standby.

-Group còn lại sử dụng router B làm Active, A làm Standby.

-Các client có 2 lựa chọn là trỏ về gateway của Group 1 hoặc Group 2.

[LAB OSPF] Virtual links and Summarization

Mô hình bài LAB:

Yêu cầu:

• Cấu hình OSPF multi-area trên các routers 
• Tạo một virtual link cho area 100 (cấu hình tại R2 và R3)
• Summarize các routes từ area 100 (cấu hình tại R3)
• Generate một default route từ R1 (cấu hình tại R1)

1.Cấu hình của các routers
---------
R1
---------

R1#show run
Building configuration...

Current configuration : 1074 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
interface Loopback1
 ip address 10.1.1.1 255.255.255.0
!
interface Loopback30
 ip address 172.30.30.1 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/0
 ip address 10.1.12.1 255.255.255.0
 clock rate 64000
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/1
 no ip address
 shutdown
 clock rate 2000000
!
interface Serial0/2
 no ip address
 shutdown
 clock rate 2000000
!
!
router ospf 10
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 10.1.12.0 0.0.0.255 area 0
 default-information originate always  <-- tạo ra 1 default route quảng bá đến các OSPF routers
!
ip forward-protocol nd
!
!
ip http server
no ip http secure-server

!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 login
!
!
end

----------
R2
----------

R2#show run
Building configuration...

Current configuration : 1072 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
interface Loopback2
 ip address 10.1.2.1 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/0
 ip address 10.1.12.2 255.255.255.0
 clock rate 64000
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/1
 ip address 10.1.23.1 255.255.255.0
 clock rate 64000
!
interface Serial0/2
 no ip address
 shutdown
 clock rate 2000000
!
!
router ospf 10
 router-id 10.1.2.1 <== router ID được sử dụng để cấu hình virtual link
 log-adjacency-changes
 area 10 virtual-link 10.1.3.1 <== cấu hình virtual link cho area 10
 network 10.1.2.0 0.0.0.255 area 0
 network 10.1.12.0 0.0.0.255 area 0
 network 10.1.23.0 0.0.0.255 area 10
!
ip forward-protocol nd
!
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
 login
!
!
end

-----------
R3
-----------

R3#show run
Building configuration...

Current configuration : 1496 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
interface Loopback3
 ip address 10.1.3.1 255.255.255.0
!
interface Loopback100
 ip address 192.168.100.1 255.255.255.0
!
interface Loopback101
 ip address 192.168.101.1 255.255.255.0
!
interface Loopback102
 ip address 192.168.102.1 255.255.255.0
!
interface Loopback103
 ip address 192.168.103.1 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/0
 no ip address
 shutdown
 clock rate 2000000
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/1
 ip address 10.1.23.2 255.255.255.0
 clock rate 64000
!
interface Serial0/2
 no ip address
 shutdown
 clock rate 2000000
!
!
router ospf 10
 router-id 10.1.3.1 <== router ID được sử dụng để cấu hình virtual link
 log-adjacency-changes
 area 10 virtual-link 10.1.2.1  <== cấu hình virtual link cho area 10
 area 100 range 192.168.100.0 255.255.252.0 <== summarize các routes bên trong area 100
 network 10.1.3.0 0.0.0.255 area 10
 network 10.1.23.0 0.0.0.255 area 10
 network 192.168.100.0 0.0.0.255 area 100
 network 192.168.101.0 0.0.0.255 area 100
 network 192.168.102.0 0.0.0.255 area 100
 network 192.168.103.0 0.0.0.255 area 100
!
ip forward-protocol nd
!
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
 login
!
!
end


2.Xem lại các cấu hình


Show virtual links trên R2 (R3)

---------
R2
---------
R2#show ip ospf virtual-links
Virtual Link OSPF_VL0 to router 10.1.3.1 is up
  Run as demand circuit
  DoNotAge LSA allowed.
  Transit area 10, via interface Serial0/1, Cost of using 64
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:01
    Adjacency State FULL (Hello suppressed)
    Index 2/3, retransmission queue length 0, number of retransmission 0
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 0, maximum is 0
    Last retransmission scan time is 0 msec, maximum is 0 msec

----------
R3
----------
R3#show ip ospf virtual-links
Virtual Link OSPF_VL0 to router 10.1.2.1 is up
  Run as demand circuit
  DoNotAge LSA allowed.
  Transit area 10, via interface Serial0/1, Cost of using 64
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:05
    Adjacency State FULL (Hello suppressed)
    Index 1/2, retransmission queue length 0, number of retransmission 0
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 0, maximum is 0
    Last retransmission scan time is 0 msec, maximum is 0 msec

Xem bảng routing table
----------
R1
----------
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     172.30.0.0/24 is subnetted, 1 subnets
C       172.30.30.0 is directly connected, Loopback30
     10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
C       10.1.12.0/24 is directly connected, Serial0/0
O       10.1.2.1/32 [110/65] via 10.1.12.2, 00:19:00, Serial0/0
O IA    10.1.3.1/32 [110/129] via 10.1.12.2, 00:19:00, Serial0/0
C       10.1.1.0/24 is directly connected, Loopback1
O IA    10.1.23.0/24 [110/128] via 10.1.12.2, 00:19:00, Serial0/0
O IA 192.168.100.0/22 [110/129] via 10.1.12.2, 00:19:00, Serial0/0 <== summarized route

----------
R2
----------
R2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.1.12.1 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
C       10.1.12.0/24 is directly connected, Serial0/0
O       10.1.3.1/32 [110/65] via 10.1.23.2, 00:20:08, Serial0/1
C       10.1.2.0/24 is directly connected, Loopback2
O       10.1.1.1/32 [110/65] via 10.1.12.1, 00:20:08, Serial0/0
C       10.1.23.0/24 is directly connected, Serial0/1
O*E2 0.0.0.0/0 [110/1] via 10.1.12.1, 00:20:08, Serial0/0 <== default route từ R1 gửi tới
O IA 192.168.100.0/22 [110/65] via 10.1.23.2, 00:20:08, Serial0/1 <== summarized route

----------
R3
----------
R3#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.1.23.1 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
O       10.1.12.0/24 [110/128] via 10.1.23.1, 00:21:00, Serial0/1
C       10.1.3.0/24 is directly connected, Loopback3
O       10.1.2.1/32 [110/65] via 10.1.23.1, 00:21:00, Serial0/1
O       10.1.1.1/32 [110/129] via 10.1.23.1, 00:21:00, Serial0/1
C       10.1.23.0/24 is directly connected, Serial0/1
C    192.168.102.0/24 is directly connected, Loopback102
C    192.168.103.0/24 is directly connected, Loopback103
C    192.168.100.0/24 is directly connected, Loopback100
C    192.168.101.0/24 is directly connected, Loopback101
O*E2 0.0.0.0/0 [110/1] via 10.1.23.1, 00:21:00, Serial0/1 <== default route
O    192.168.100.0/22 is a summary, 00:21:10, Null0 <== nếu có 1 gói tin được gửi đến địa chỉ 192.160.100.0/22 của R3 thì sẽ drop

[LAB OSPF] Multi-area

Cấu hình OSPF multi-are. Mô hình bài LAB:

Mục tiêu của bài LAB:

• -Cấu hình OSPF multi-area cho 3 routers
• -Xem lại các thông số, bảo đảm cấu hình đúng
• -Cấu hình area10 lần lượt làm: stub area, totally stubby area.
• -Cấu hình chứng thực OSPF

1.Cấu hình OSPF multi-area

Cấu hình tương tự với single area. Cấu hình các routers như sau:
---------------
R1
---------------
router ospf 1
 log-adjacency-changes
 network 10.1.2.0 0.0.0.255 area 0
 network 10.1.12.0 0.0.0.255 area 0
 network 10.1.23.0 0.0.0.255 area 10

--------------
R2
--------------
router ospf 1
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 10.1.12.0 0.0.0.255 area 0

--------------
R3
--------------
router ospf 1
 log-adjacency-changes
 network 10.1.3.0 0.0.0.255 area 10
 network 10.1.23.0 0.0.0.255 area 10

Kiểm tra lại việc học routes và neighbor giữa các routers:
--------------
R1
--------------
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C       10.1.12.0/24 is directly connected, Serial0/0
C       10.1.2.0/24 is directly connected, Loopback2
O       10.1.1.1/32 [110/65] via 10.1.12.1, 00:04:02, Serial0/0
C       10.1.23.0/24 is directly connected, Serial0/1

R1#show ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.1.1.1          0   FULL/  -        00:00:34    10.1.12.1       Serial0/0
10.1.23.3         0   FULL/  -        00:00:38    10.1.23.3       Serial0/1

---------------
R2
---------------
R2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C       10.1.12.0/24 is directly connected, Serial0/0
O       10.1.2.1/32 [110/65] via 10.1.12.2, 00:07:23, Serial0/0
C       10.1.1.0/24 is directly connected, Loopback1
O IA    10.1.23.0/24 [110/128] via 10.1.12.2, 00:07:23, Serial0/0
---------------
R3
---------------
R3#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
O IA    10.1.12.0/24 [110/128] via 10.1.23.2, 00:04:40, Serial0/1
O IA    10.1.2.1/32 [110/65] via 10.1.23.2, 00:04:40, Serial0/1
O IA    10.1.1.1/32 [110/129] via 10.1.23.2, 00:04:40, Serial0/1
C       10.1.23.0/24 is directly connected, Serial0/1

-------------

Như vậy, các routers đã thiết lập neighbor và học đc các routes trong mạng.

2.Cấu hình các kiểu area cho area 10

2.1.Cấu hình area 10 làm stub area

Stub area là area chỉ chứa các routes bên trong area của nó và 1 default route để đi ra ngoài. Điều này giảm bớt việc xử lý cho router.

Để cấu hình area 10 làm stub area, tiến hành cấu hình trên 2 router R1 và R3

R1(config-router)#area 10 stub
*Mar  1 00:13:19.435: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.23.3 on Serial0/1 from FULL to DOWN, Neighbor Down: Adjacency forced to reset
---------------

R3(config-router)#area 10 stub
R3(config-router)#
*Mar  1 00:13:41.119: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.2.1 on Serial0/1 from FULL to DOWN, Neighbor Down: Adjacency forced to reset

Ban đầu, cả 2 router sẽ tạm thời drop neighbor, sau đó sẽ thiết lập neighbor trở lại.

*Mar  1 00:13:46.919: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.23.3 on Serial0/1 from LOADING to FULL, Loading Done

*Mar  1 00:13:42.443: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.2.1 on Serial0/1 from LOADING to FULL, Loading Done

Đến thời điểm này, khi show ip route trên R3, ta sẽ chỉ thấy các internal routes, inter-area routes và 1 default trỏ ra ngoài. R3 sẽ không nhận các routes bên ngoài AS.

R3#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.1.23.2 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
O IA    10.1.12.0/24 [110/128] via 10.1.23.2, 00:01:50, Serial0/1
O IA    10.1.2.1/32 [110/65] via 10.1.23.2, 00:01:50, Serial0/1
O IA    10.1.1.1/32 [110/129] via 10.1.23.2, 00:01:50, Serial0/1
C       10.1.23.0/24 is directly connected, Serial0/1
O*IA 0.0.0.0/0 [110/65] via 10.1.23.2, 00:01:50, Serial0/1

----------------
Kiểm tra trạng thái OSPF
----------------

R3#show ip ospf
 External flood list length 0
    Area 10
        Number of interfaces in this area is 1
        It is a stub area
        Area has no authentication
        SPF algorithm last executed 00:03:28.156 ago
        SPF algorithm executed 8 times
        Area ranges are
        Number of LSA 6. Checksum Sum 0x02F42E
        Number of opaque link LSA 0. Checksum Sum 0x000000
        Number of DCbitless LSA 0
        Number of indication LSA 0
        Number of DoNotAge LSA 0
        Flood list length 0

2.2.Cấu hình area 10 là totally  stubby area

Totally stubby area là một khái niệm của Cisco đưa ra. Nó là 1 cải tiến của stub area. Nó chỉ chứa các intra-area routes, không chứa các routes bên ngoài area. Cộng với 1 default route để ra ngoài.

Cấu hình totally stubby area trên R1,R3:
--------------
R1
--------------
R1(config-router)#area 10 stub ?         
  no-summary  Do not send summary LSA into stub area
 
R1(config-router)#area 10 stub no-summary
-------------
R3
-------------
R3(config-router)#area 10 stub no-summary

Sau khi đã cấu hình totally stubby area, R3 sẽ chỉ có các intra-area route và 1 default route:

R3#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.1.23.2 to network 0.0.0.0

     10.0.0.0/24 is subnetted, 2 subnets
C       10.1.3.0 is directly connected, Loopback3
C       10.1.23.0 is directly connected, Serial0/1
O*IA 0.0.0.0/0 [110/65] via 10.1.23.2, 00:01:43, Serial0/1

Kiểm tra kết nối đến bên ngoài area:

R3#ping 10.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/16 ms

3.Cấu hình authentication cho OSPF routers

Có 2 cách để cấu hình authentication cho các OSPF routers:
-Cấu hình authen theo kiểu plaintext
-Cấu hình authen theo kiểu băm MD5

3.1.Cấu hình authentication theo  plaintext

Việc cấu hình diễn ra trên các interfaces để tiến hành kiểm tra

R1(config)#int s0/0
R1(config-if)#ip ospf authentication << enable authentication
R1(config-if)#ip ospf authentication-key cisco  << define authen-key: cisco

Tương tự với interface s0/0 trên R2.
Kiểm tra lại các thông số chứng thực trên interfaces:
-------------
R2#show ip ospf interface s0/0 | begin authentication
  Simple password authentication enabled

R2#show run | begin Serial0/0
interface Serial0/0
 ip address 10.1.12.1 255.255.255.0
 ip ospf authentication
 ip ospf authentication-key cisco
 clock rate 64000

3.2.Cấu hình authentication băm MD5

Tương tự như cấu hình plaintext:

R2(config-if)#ip ospf authentication message-digest
R2(config-if)#ip ospf authentication-key cisco

Kiểm tra lại:
R1#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
R2               Ser 0/0            143        R S I      2691      Ser 0/0
R3               Ser 0/1            137        R S I      2691      Ser 0/1

R1#show ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.1.1.1          0   FULL/  -        00:00:38    10.1.12.1       Serial0/0
10.1.23.3         0   FULL/  -        00:00:32    10.1.23.3       Serial0/1

[LAB OSPF] Single area

Cấu hình OSPF single area

Mô hình bài LAB:

Yêu cầu:

• Cấu hình OSPF single area
• Qủang bá các loopback interfaces
• Xác nhận lại việc thiết lập neighbor
• Chỉnh sửa OSPF link cost trên các interfaces
• Chỉnh sửa OSPF priorities
• Sử dụng công cụ debug để xem việc trao đổi thông tin

Cấu hình của các routers:

R1:
------------------------
R1#show run
Building configuration...
<...output omitted...>
hostname R1
!
!
interface Loopback1
 ip address 10.1.1.1 255.255.255.0
!
interface FastEthernet0/0
 ip address 10.1.200.1 255.255.255.0
 ip ospf cost 5 <<< thay đổi OSPF cost trên interface
 ip ospf priority 5 <<< thay đổi OSPF priority trên interface
 duplex auto
 speed auto
!
interface Serial0/0
 ip address 10.1.100.1 255.255.255.0
 ip ospf cost 50
 clock rate 2000000
!
<---- cấu hình OSPF----->
router ospf 10
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 10.1.100.0 0.0.0.255 area 0
 network 10.1.200.0 0.0.0.255 area 0
!
<...output omitted...>
end
------------------------
R2:
------------------------

R2#show run                                                                                                         
<...output omitted...>
!
hostname R2
!
interface Loopback2
 ip address 10.1.2.1 255.255.255.0
!
interface FastEthernet0/0
 ip address 10.1.200.2 255.255.255.0
 ip ospf cost 5
 ip ospf priority 6
 duplex auto
 speed auto
!
interface Serial0/0
 ip address 10.1.100.2 255.255.255.0
 ip ospf cost 60
 clock rate 64000
!
router ospf 10
 log-adjacency-changes
 network 10.1.2.0 0.0.0.255 area 0
 network 10.1.100.0 0.0.0.255 area 0
 network 10.1.200.0 0.0.0.255 area 0
!
end
<...output omitted...>

----------------------
R3:
---------------------
R3#show run                                                                                                         
Building configuration...   
 
<...output omitted...>
!
hostname R3
!
interface Loopback3
 ip address 10.1.3.1 255.255.255.0
!
interface FastEthernet0/0
 ip address 10.1.200.3 255.255.255.0
 ip ospf cost 5
 ip ospf priority 7
 duplex auto
 speed auto
!
router ospf 10
 log-adjacency-changes
 network 10.1.3.0 0.0.0.255 area 0
 network 10.1.200.0 0.0.0.255 area 0
!
<...output omitted...>
end


---------------------



Xác thực lại kết nối neighbors

R1#show ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.1.2.1          0   FULL/  -        00:00:39    10.1.100.2      Serial0/0
10.1.2.1          6   FULL/DR         00:00:38    10.1.200.2      FastEthernet0/0
10.1.3.1          7   FULL/BDR        00:00:32    10.1.200.3      FastEthernet0/0


Xem lại thông tin OSPF trên từng interfaces

-----------------------
R1#show ip ospf interface fa0/0
FastEthernet0/0 is up, line protocol is up
  Internet Address 10.1.200.1/24, Area 0
  Process ID 10, Router ID 10.1.1.1, Network Type BROADCAST, Cost: 5
  Transmit Delay is 1 sec, State DROTHER, Priority 5
  Designated Router (ID) 10.1.2.1, Interface address 10.1.200.2
  Backup Designated router (ID) 10.1.3.1, Interface address 10.1.200.3
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:04
  Supports Link-local Signaling (LLS)
  Index 2/2, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 0, maximum is 1
  Last flood scan time is 0 msec, maximum is 0 msec
  Neighbor Count is 2, Adjacent neighbor count is 2
    Adjacent with neighbor 10.1.2.1  (Designated Router)
    Adjacent with neighbor 10.1.3.1  (Backup Designated Router)
  Suppress hello for 0 neighbor(s)
----------------------
Sử dụng công cụ debug

R1#debug ip ospf packet
OSPF packet debugging is on
R1#
*Mar  1 01:13:45.087: OSPF: rcv. v:2 t:1 l:48 rid:10.1.2.1
      aid:0.0.0.0 chk:D591 aut:0 auk: from Serial0/0
*Mar  1 01:13:47.599: OSPF: rcv. v:2 t:1 l:52 rid:10.1.3.1
      aid:0.0.0.0 chk:2482 aut:0 auk: from FastEthernet0/0
*Mar  1 01:13:54.027: OSPF: rcv. v:2 t:1 l:52 rid:10.1.2.1
      aid:0.0.0.0 chk:2483 aut:0 auk: from FastEthernet0/0
*Mar  1 01:13:55.043: OSPF: rcv. v:2 t:1 l:48 rid:10.1.2.1
      aid:0.0.0.0 chk:D591 aut:0 auk: from Serial0/0
*Mar  1 01:13:57.627: OSPF: rcv. v:2 t:1 l:52 rid:10.1.3.1
      aid:0.0.0.0 chk:2482 aut:0 auk: from FastEthernet0/0


Ý nghĩa các thông tin trong lệnh debug

• v: version của  OSPF đang chạy
• t:type (1:Hello...)
• l: length của packet (theo bytes)
• rid: router id gửi packet
  aid: area id
• chk: checksum
• aut: authentication (0: no authentication, ...)

Lưu ý sau khi thay đổi Priority:

Sau khi đã đổi priority, việc bầu chọn sẽ không được chạy lại từ đầu. Muốn việc bầu chọn chạy lại, sử dụng câu lệnh clear ip ospf process.
Hoặc có thể shutdown một cổng sau đó no shutdown cổng đó để xem lại việc bầu chọn.

Choosing the best OSPF routes

Những công tác như thiết lập neighbor, gửi các LSDB,... mục đích cuối cùng là để OSPF router có thể tính toán best route đến từng subnet đích. Các bước để tính toán ra một best route đó là:

•     -Phân tích LSDB để tìm tất cả các đường đi có thể tới subnet
•     -VỚi từng subnet, gán cost đến subnet đó bằng cost của các outgoing interface đến subnet đó.
•     -Chọn lấy route nào có total cost thấp nhất.

1.Tính toán cost cho các intra-area routes

Để tính toán ra 1 best route đến từng subnet, OSPF router sẽ làm các bước:

•     -Tìm kiếm toàn bộ các subnet trong area. Việc này được thực hiện nhờ các LSA type 1 và type 2.
•     -Chạy thuật toán SPF để tìm đường đi ngắn nhất đến các subnet này.
•     -TÍnh toán cost cho các outgoing interface đến từng subnet, lấy route nào có cost nhỏ nhất.

Hình trên là 1 ví dụ mô tả về việc chọn routes. Mục đích là để R1 có thể chọn đc 1 route tốt nhất để đến SUbnet A. Có rất nhiều đường để đến Subnet A như:
R1-R4
R1-R3-R4
R1-R2-R4
R1-R2-R3-R4
...

Dựa vào cost trên các out-going interfaces, R1 sẽ tính toán xem route nào là tốt nhất và đưa route đó vào routing table. Ở đây có thể thấy ngay đc đó là route R1-R4 với tổng cost là 20

2.Tính toán cost cho inter-area routes

Việc tính toán cost cho inter-area routes cũng tương tự như đối với intra-area, nhưng thay vì tính toán cost cho các routes trong toàn bộ hệ thống mạng. Các OSPF routers internal sẽ chỉ nhận được LSA type 3 từ ABR gửi về. ABR gửi các summary về area bên ngoài các internal router. Vì vậy, các internal router sẽ không cần phải biết cost đến subnet đích bên kia area mà chỉ cần tính toán cost tốt nhất để đến được ABR. Cost đến ABR sẽ cộng thêm cost từ ABR đến các subnet đích của area còn lại.

LSA type 3 được ABR gửi ra có mang các nội dung sau:

•     -subnet/mask được đại diện bởi ABR
•     -cost thấp nhất của ABR để đến subnet
•     -RID của ABR

Tương tự cho việc R1 học routes để đến Subnet A


3.Quy tắc lựa chọn route của OSPF

Hai lưu ý khi lựa chọn route trong một OSPF network:

•     -luôn chọn một intra-area route, không chọn inter-area route, không phụ thuộc vào metric
•     -Nếu một ABR học một Type 3 LSA bên trong một nonbackbone area, ABR sẽ không đưa LSA đó vào khi tính toán routes của nó.