一、拓扑图
此实验为OSPF的终极实验,它基本包含了大多数关于OSPF的知识点与注意事项,虽然实验要求仅有五条,但是实际配置量比较繁琐。典型的实验刺客,看似平平无奇,实际要我老命😄
二、配置
1、千里之行始于划分,首先按要求划分网段
要求3明确写到整个ospf环境基于172.16.0.0/16划分,这里给的网段还是比较充足的,首先我们将拓扑划分为六个网段(肉眼可得),那么我们需要借三位,可分配出8个网段,其中两个留作备用。
那么这是我划分好的网段,看懂掌声👏(没看懂的伙计可以某度搜索网段划分知识我在此不多赘述)
注意:area0为公网因此他们所连接的网段直接依照路由序号进行分配。
二、要求2需要将r3-r5、6、7配置为mgre环境,r3为中心站点
这里是一个hub spoke结构,我们将r3作为hub,其余为spoke,配置如下
R3:
interface Tunnel0/0/0
ip address 172.16.1.1 255.255.255.248
tunnel-protocol gre p2mp
source 34.0.0.1
ospf network-type p2mp
nhrp entry multicast dynamic
nhrp network-id 100
R5
interface Tunnel0/0/0
ip address 172.16.1.2 255.255.255.248
tunnel-protocol gre p2mp
source Serial2/0/0
ospf network-type p2mp
nhrp network-id 100
nhrp entry 172.16.1.1 34.0.0.1 register //第一个地址为r3隧道地址,第二个r3物理地址
r6、7与r5配置基本相同,最后在r3上查询是否配置成功。
如图,r3上有其余三个spoke结构的路由,成功√
下来我们进行ospf的宣告,具体操作比较基础,在此偷个懒省略响应步骤。
但是其中有area4为不规则区域,所以我要特殊关照一下,解决此问题的方法有三种分为
- 创建隧道
- 创建虚连接
- 进行多进程双向重发布
这里我们用第三种办法,如果使用虚连接我们则做不成特殊区域,配置如下:
将area4换成ospf2,然后重发布到ospf1中即可。
此外,rip区域我们直接使用重发布。
import-route rip 1
三、所有设备均可访问R4环回
这里要用到nat技术,配置如下:
[R3]acl 2000
[R3-acl-basic-2000]rule 1 permit source any
[R3]interface s4/0/0
[R3-Serial4/0/0]nat outbound 2000
[R5]acl 2000
[R5-acl-basic-2000]rule 1 permit source any
[R5]interface s4/0/0
[R5-Serial4/0/0]nat outbound 2000
[R6]acl 2000
[R6-acl-basic-2000]rule 1 permit source any
[R6]in s4/0/0
[R6-Serial4/0/0]nat outbound 2000
[R7]acl 2000
[R7-acl-basic-2000]rule 1 permit source any
[R7]in s4/0/0
[R7-Serial4/0/0]nat outbound 2000
四、减少lsa更新量
这里我们用的是完全末梢区域 --- totally stub --- 在普通的末梢区域的基础上,进一步拒绝三类LSA,仅 保留三类缺省。
R3:
area 0.0.0.1
abr-summary 172.16.32.0 255.255.224.0 //域间路由汇总
authentication-mode md5 1 cipher %$%$~b<&RJ#aa~A6c|:W0Tz<|.er%$%$ //md5认证保证安全性
network 172.16.32.0 0.0.7.255
stub no-summary
当所有路由汇总完毕应在边界路由上使用null0 防止环路(abr、asbr)
[r12]ip route-static 172.16.160.0 19 NULL 0
域外路由汇总
我们用的是完全的非完全末梢区域 --- totally NSSA --- 在普通的NSSA区域的基础上,进一步拒绝三 类LSA,自动生成一条指向骨干区域的三类缺省。
[r6-ospf-1-area-0.0.0.2]nssa no-summary
当然为了加快收敛速度,我们可以更改hello时间等
[R1-GigabitEthernet0/0/0]ospf timer hello 5
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456
切记要做双向认证,负责将会断掉链接!!!
五、联通测试