实验要求:
1.IP地址规划以及拓扑的搭建
R3-R4:34.1.1.0/24
R4-R5:45.1.1.0/24
R4-R6:46.1.1.0/24
R4-R7:47.1.1.0/24
2.IP地址的配置
R1:
R2:
R3:
R4:
R5:
R6:
R7:
R8:
R9:
R10:
R11:
R12:
所有直连设备间可以互通:
3.缺省路由(让公网可以互通)
在R3/5/6/7写指向R4的缺省路由:
[r3]ip route-static 0.0.0.0 0 34.1.1.2
[r5]ip route-static 0.0.0.0 0 45.1.1.2
[r6]ip route-static 0.0.0.0 0 46.1.1.2
[r7]ip route-static 0.0.0.0 0 47.1.1.2
3.R3-R5/6/7构建MGRE环境,R3为中心站点
[r3]int t0/0/0
[r3-Tunnel0/0/0]ip address 172.16.0.129 29
[r3-Tunnel0/0/0]tunnel-protocol gre p2mp
[r3-Tunnel0/0/0]source 34.1.1.1
[r3-Tunnel0/0/0]nhrp entry multicast dynamic
[r3-Tunnel0/0/0]nhrp network-id 100
[r5]int t0/0/0
[r5-Tunnel0/0/0]ip address 172.16.0.130 29
[r5-Tunnel0/0/0]tunnel-protocol gre p2mp
[r5-Tunnel0/0/0]source Serial 4/0/0
[r5-Tunnel0/0/0]nhrp entry 172.16.0.129 34.1.1.1 register
[r5-Tunnel0/0/0]nhrp network-id 100
[r6]int Tunnel 0/0/0
[r6-Tunnel0/0/0]ip address 172.16.0.131 29
[r6-Tunnel0/0/0]tunnel-protocol gre p2mp
[r6-Tunnel0/0/0]source Serial 4/0/0
[r6-Tunnel0/0/0]nhrp entry 172.16.0.129 34.1.1.1 register
[r6-Tunnel0/0/0]nhrp network-id 100
[r7]int t0/0/0
[r7-Tunnel0/0/0]ip address 172.16.0.132 29
[r7-Tunnel0/0/0]tunnel-protocol gre p2mp
[r7-Tunnel0/0/0]source Serial 4/0/0
[r7-Tunnel0/0/0]nhrp entry 172.16.0.129 34.1.1.1 register
[r7-Tunnel0/0/0]nhrp network-id 100
查看分支站点注册结果:[r3]dis nhrp peer all
【1】在MGRE环境中,若网络拓扑为星型;且所有接口的工作方式,均修改为broadcast;由于分支站点之间没有伪广播,无法知道对端的存在,故DR/BDR选举将混乱;只能让中心站点成为DR,没有BDR(分支站点优先级改为0);
[r3-Tunnel0/0/0]ospf network-type broadcast
[r5-Tunnel0/0/0]ospf network-type broadcast
[r5-Tunnel0/0/0]ospf dr-priority 0
[r6-Tunnel0/0/0]ospf network-type broadcast
[r6-Tunnel0/0/0]ospf dr-priority 0
[r7-Tunnel0/0/0]ospf dr-priority 0
[r7-Tunnel0/0/0]ospf network-type broadcas
4.整个私网跑OSPF动态路由协议
[r1]ospf 1 router-id 1.1.1.1
[r1-ospf-1]area 1
[r1-ospf-1-area-0.0.0.1]network 172.16.0.0 0.0.255.255
[r2]ospf 1 router-id 2.2.2.2
[r2-ospf-1]area 1
[r2-ospf-1-area-0.0.0.1]network 172.16.0.0 0.0.255.255
[r3]ospf 1 router-id 3.3.3.3
[r3-ospf-1]area 1
[r3-ospf-1-area-0.0.0.1]network 172.16.32.0 0.0.3.255
[r3-ospf-1-area-0.0.0.1]q
[r3-ospf-1]area 0
[r3-ospf-1-area-0.0.0.0]network 172.16.0.129 0.0.0.0
[r5]ospf 1 router-id 5.5.5.5
[r5-ospf-1]area 0
[r5-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.255.255
[r6]ospf 1 router-id 6.6.6.6
[r6-ospf-1]area 0
[r6-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.1.255
[r6-ospf-1-area-0.0.0.0]q
[r6-ospf-1]area 2
[r6-ospf-1-area-0.0.0.2]network 172.16.64.1 0.0.0.0
[r7]ospf 1 router-id 7.7.7.7
[r7-ospf-1]area 0
[r7-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.3.255
[r7-ospf-1-area-0.0.0.0]q
[r7-ospf-1]area 3
[r7-ospf-1-area-0.0.0.3]network 172.16.96.1 0.0.0.0
[r8]ospf 1 router-id 8.8.8.8
[r8-ospf-1]area 3
[r8-ospf-1-area-0.0.0.3]network 172.16.0.0 0.0.255.255
因为一会要在R9上进行多进程双向重发步,所以我们直接在R9上定义两个OSPF进程
[r9]ospf 1 router-id 9.9.9.9
[r9-ospf-1]area 3
[r9-ospf-1-area-0.0.0.3]network 172.16.96.6 0.0.0.0
[r9-ospf-1-area-0.0.0.3]q
[r9-ospf-1]q
[r9]ospf 2 router-id 9.9.9.9
[r9-ospf-2]area 4
[r9-ospf-2-area-0.0.0.4]network 172.16.128.0 0.0.1.255
[r10]ospf 2 router-id 10.10.10.10
[r10-ospf-2]area 4
[r10-ospf-2-area-0.0.0.4]network 172.16.0.0 0.0.255.255
[r11]ospf 1 router-id 11.11.11.11
[r11-ospf-1]area 2
[r11-ospf-1-area-0.0.0.2]network 172.16.0.0 0.0.255.255
[r12]ospf 1 router-id 12.12.12.12
[r12-ospf-1]area 2
[r12-ospf-1-area-0.0.0.2]network 172.16.64.6 0.0.0.0
[r12-ospf-1-area-0.0.0.2]q
[r12-ospf-1]q
[r12]rip 1
[r12-rip-1]version 2
[r12-rip-1]network 172.16.0.0
查看邻居表:[r3]display ospf peer brief
查看邻居信息:[r3]display ospf peer DR/BDR选举正常
5.配置多进程双向重发布(解决不规则区域:远离了骨干的非骨干)
在R9/12上进行多进程双向重发布配置
[r12]ospf 1
[r12-ospf-1]import-route rip
[r9]ospf 1
[r9-ospf-1]import-route ospf 2
[r9-ospf-1]q
[r9]ospf 2
[r9-ospf-2]import-route ospf 1
查看路由表,发现路由表全齐
6.减少LSA的更新量
【1】特殊区域---优化非骨干区域
(1)先将区域1调成末梢区域,该区域将拒绝4、5类LSA的进入,同时由该区域连接骨干区域0的ABR向该区域,发布一条3类的缺省路由,该区域内每台路由器均需配置,否则无法正常建立邻居关系。在这个基础上进一步调成完全末梢区域,进一步拒绝3类的LSA,仅保留ABR发送过来的3类缺省。先将该区域配置为末梢区域,然后仅在ABR上定义完全即可
[r1]ospf 1
[r1-ospf-1]area 1
[r1-ospf-1-area-0.0.0.1]stub
[r2]ospf 1
[r2-ospf-1]area 1
[r2-ospf-1-area-0.0.0.1]stub
[r3]ospf 1
[r3-ospf-1]area 1
[r3-ospf-1-area-0.0.0.1]stub no-summary
查看数据库表:[r1]display ospf lsdb
查看路由表:[r1]display ip routing-table protocol ospf
我们发现只剩下1、2类LSA和3类缺省路由,优化成功。
(2)将区域2调成NSSA区域,该区域拒绝4/5类的LSA;本地的ASBR产生的域外路由基于7类进行传输;当7类LSA需要通过NSSA区域的ABR进入骨干区域,将由该ABR进行7转5,以5类发送骨干区域,7转5的这台ABR同时成为一台ASBR,华为设备由该区域连接骨干ABR自动产生7类缺省路由;然后在此基础上,调成完全NSSA区域,进一步拒绝3类的LSA,由该区域连接骨干的ABR发布一条3类缺省,先将该区域配置为NSSA,然后仅在ABR定义完全即可。
[r6]ospf 1
[r6-ospf-1]area 2
[r6-ospf-1-area-0.0.0.2]nssa no-summary
[r11]ospf 1
[r11-ospf-1]area 2
[r11-ospf-1-area-0.0.0.2]nssa
[r12]ospf 1
[r12-ospf-1]area 2
[r12-ospf-1-area-0.0.0.2]nssa
我们发现只剩下1、2类LSA和3、7类缺省路由以及7类的域外路由,优化成功。
(3)我们将区域3也调成完全NSSA区域
[r7]ospf 1
[r7-ospf-1]area 3
[r7-ospf-1-area-0.0.0.3]nssa no-summary
[r8]ospf 1
[r8-ospf-1]area 3
[r8-ospf-1-area-0.0.0.3]nssa
[r9]ospf 1
[r9-ospf-1]area 3
[r9-ospf-1-area-0.0.0.3]nssa
这时我们发现会有一个bug,看R10的路由表发现R10只有本区域和区域3的路由,其他路由都没了,如下图:
原因是:我们把区域3调成完全NSSA区域,区域3拒绝了3、4、5类LSA,同时将产生3类缺省路由,重发布只会传区域3的路由。
所以,我们的解决办法是:R9边界路由器上配置缺省路由后,将自动向区域4下放一条缺省路由,之后,区域4将自动生成缺省路由指向R9,同时我们我们去掉一个重发布,在进程2导入进程1,这个去掉,因为我们配置缺省路由后,就不需要区域3的路由
[r9]ospf 2
[r9-ospf-2]undo import-route ospf 1
[r9-ospf-2]default-route-advertise
优化成功
【2】汇总---优化骨干区域
(1)我们看下R5的路由表:发现路由表全齐
现在我们进行汇总,在R3/6/7上进行区域间汇总,在R9/12上进行区域外汇总
[r3-ospf-1]area 1
[r3-ospf-1-area-0.0.0.1]abr-summary 172.16.32.0 255.255.224.0
[r6]ospf 1
[r6-ospf-1]area 2
[r6-ospf-1-area-0.0.0.2]abr-summary 172.16.64.0 255.255.224.0
[r7]ospf 1
[r7-ospf-1]area 3
[r7-ospf-1-area-0.0.0.3]abr-summary 172.16.96.0 255.255.224.0
[r9]ospf 1
[r9-ospf-1]asbr-summary 172.16.128.0 255.255.224.0
[r12]ospf 1
[r12-ospf-1]asbr-summary 172.16.160.0 255.255.224.0
再次查看R5路由表和数据库表,发现优化成功
(2)既然进行了汇总,就会出现路由黑洞,所以我们要配置空接口防环
[r3]ip route-static 172.16.32.0 19 NULL 0
[r6]ip route-static 172.16.64.0 19 NULL 0
[r7]ip route-static 172.16.96.0 19 NULL 0
[r9]ip route-static 172.16.128.0 19 NULL 0
[r12]ip route-static 172.16.160.0 19 NULL 0
7.区域1做个区域认证(保障更新安全)
【1】在R1/2/3上做同样的操作
[r1]ospf 1
[r1-ospf-1]area 1
[r1-ospf-1-area-0.0.0.1]authentication-mode md5 1 cipher 123456
【2】因为我们所有的接口 工作方式都为broadcast,hello time为10s,不建议修改。若为30s可以结合网络的实际硬件处理能力,适当修改计时器,加快收敛速度
8.NAT地址转换(让所有设备均可访问R4的环回)
因为前面公网配置了缺省路由,以及在优化LSA的时候也产生了缺省路由,所以我们直接在R3/67上做NAT地址转换,在R3/67是同样的操作
[r3]acl 2000
[r3-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[r3-acl-basic-2000]q
[r3]int s4/0/0
[r3-Serial4/0/0]nat outbound 2000
9.测试
至此,所有实验要求都满足,实验结束