实验拓扑图
实验分析
本拓扑实验图结构是有问题的,因为R4作为ISP应该接入的是互联网,但是R4又得用于MGRE协议,而MGRE用于骨干网不能用于互联网。
- 根据要求1,可知R4与R3/5/6/7的直连属于公网,不能将私网划分进来,公网IP自行规划
- R3-R4 34.0.0.0/24
- R5-R4 45.0.0.0/24
- R6-R4 46.0.0.0/24
- R7-r 4 47.0.0.0/24
- 在R3-R4/5/6/7中采用MGRE协议,采用Hub-Spoken结构,R3为Hub,R4作为ISP,此时我们要注意Spoken之间的流量传输方式,是shortcut方式还是非shortcut方式
- 划分网段
- 按AS域划分
- 私网划分两大类网
- 172.16.0.0/17 ------OSPF
- 172.16.128.0/17------RIP
- 其中OSPF协议内部按区域划分网段(便于汇总 )
- 划分五个网段(五个域)借三位
- 172.16.0.0/20---------Area 0
- 172.16.16.0/20--------Area 1
- 172.16.32.0/20---------Area 2
- 172.16.48.0/20---------Area 3
- 172.16.64.0/20---------Area 4
- 172.16.80.0/20----------保留
- 172.16.96.0/20----------保留
- 172.16.112.0/20---------保留
- 区域内部子网划分
- Area 0内部4个网段(1*MGRE+3*环回),借2位,掩码为22,此时一个环回内部有2^10=1024个主机位,但是一个路由器身后连接的是一个交换网络,交换网络最大容纳量主机数200,超过这个量会导致交换机洪泛或者广播的垃圾数据太多,影响网络通讯,所以我们设置掩码为24,主机位为2^8=256个主机位。 总网段172.16.0.0/24
- 172.16.0.0/24-----MGRE
- 172.16.1.0/24------R5的loopback
- 172.16.2.0/24------R6的loopback
- 172.16.3.0/24-------R7的loopback
- ......
- 172.16.15.0/24
- Area 1内部4个网段(1*骨干区域+3*环回)总网段172.16.16.0/24
- 172.16.16.0/24-------R1的loopback
- 172.16.17.0/24-------R2的loopback
- 172.16.18.0/24-------R3的loopback
- 172.16.19.0/29-------骨干区域(256个主机位对骨干来说太大,掩码用29即可,满足最大4台设备,在Area1中有三台设备所以用掩码29,即172.16.19.0/29,而在Area3中掩码30即可,最大主机数2台,保证合理分配不浪费)
- ......
- 172.16.31.0/24
- Area 2内部3个网段(2*骨干区域+1*环回)总网段172.16.32.0/24
- 172.16.32.0/24------------------------------------------R11的环回
- 172.16.33.0/30(在Area2中已经说明)------R6-R11的骨干
- 172.16.33.4/30(在Area2中已经说明)------R11-r 12的骨干
- Area 3内部3个网段(2*骨干+1*环回)总网段172.16.48.0/24
- 172.16.48.0/24------------R8的环回
- 172.16.49.0/30------------R7-R8的骨干
- 172.16.49.4/30-------------R8-R9的骨干
- Area 4内部3个网段(1*骨干+2*环回)总网段172.16.64.0/24
- 172.16.64.0/24------------R9的环回
- 172.16.65.0/24-------------R10的环回
- 172.16.66.0/30-------------R9-R10的骨干
- Area 0内部4个网段(1*MGRE+3*环回),借2位,掩码为22,此时一个环回内部有2^10=1024个主机位,但是一个路由器身后连接的是一个交换网络,交换网络最大容纳量主机数200,超过这个量会导致交换机洪泛或者广播的垃圾数据太多,影响网络通讯,所以我们设置掩码为24,主机位为2^8=256个主机位。 总网段172.16.0.0/24
- 划分五个网段(五个域)借三位
- RIP网段划分
- 172.16.128.0/18
- 172.16.192.0/18
- 所有设备能访问R4的环回,意思就是R4的环回代表互联网的所有设备,所以私网的设备要访问互联网设备,所以我们要在ABR设备上做NAT来实现,将私网地址和公网地址相互转换
- 减少LSA更新量,加快收敛,保障更新安全
- 减少LSA更新量
- 特殊区域
- 两大类四小类
- 第一大类:
- 末梢区域(Stub Area)
- 完全末梢区域(Totally Stub Area)
- 第二大类:
- 非完全末梢区域(NSSA)
- 完全的非完全末梢区域(Totally NSSA)
- 区别:第一大类不能存在ASBR;第二大类必须存在ASBR
- 第一大类:
- 图中:
- Area 1完全末梢区域(拒绝3类LSA信息,仅保留3类缺省)
- Area 2完全的非完全末梢区域Totally NSSA(拒绝3/4/5类LSA信息,产生一条3类缺省LSA,7类LSA离开Totally NSSA时进行7转5类LSA操作)
- Area 3
- 两大类四小类
- 汇总
- 特殊区域
- 加快收敛(减少接收到邻居LSA信息到计算出路由信息的时间)
- 修改Hello时间
- 目的:修改死亡时间,网络出现问题能更快的断开连接
- 取消条件匹配过程
- 原因:条件匹配过程中DR和BDR的选举有一个waiting time计时器,该计时器的时间和死亡时间一致,取消DR和BDR的选举就可以省去这一部分时间,加快收敛速度
- 方法:改为p2p和p2mp类型网络,不需要选举
- 修改Hello时间
- 保证更新安全(认证)
- OSPF认证方式:
- 区域认证
- 接口认证
- OSPF认证方式:
- 减少LSA更新量
配置过程
接口配置
配置环回接口时要修改OSPF的网络类型为broadcast
R1
R2
R3
ISP(R4)
R5
R6
R7
R8
R9
R10
R11
R12
测试直连,全部连接成功
配置Area 0 的MGRE
先配置好MGRE之后,直接启动OSPF后,Area1就能学习到Area2的信息,因为非骨干区域的信息需要靠骨干区域来传递,在R3-R5/6/7上启动Tunnel隧道
R3Tunnel隧道
在MGRE环境下,真实的数据应该是点到点数据,点到点直接不能发组播或广播信息,所以要开启伪广播功能
R5Tunnel隧道
源地址写接口serial 4/0/0,并且向中心注册nhrp entry + 虚拟接口IP + 物理接口IP
R6Tunnel隧道
R7Tunnel隧道
验证Hub-Spoken隧道有没有建立
在Hub(R3)上查
并没有建立起邻居
想要建立起邻居需要双方互相发送注册信息,在分支Spoken上能找到中心是邻居是因为我们向中心注册信息的时候写了一条静态过去了
但是Hub(R1)并没有到Spoken(R5/6/7)的路由信息(公网网段的路由信息),所以需要在R3/5/6/7上写一条缺省
R3缺省路由
R5缺省路由
R6缺省路由
R7缺省路由
写完缺省后,再在R3上查看邻居信息
刚写完缺省后可能会只查到两个邻居,因为nhrp建立邻居的时候是有时间限制的,我们重新查看邻居表或者重启开关Tunnel接口后就会生效
在Hub(R1)上ping通Spoken分支(R5/6/7)
启动Area 0的OSPF
在R3上查看并且宣告需要宣告的区域
需要宣告虚拟的Tunnel隧道的网段,精准宣告172.16.0.1 0.0.0.0
环回和0/0/0口属于Area1,serial 4/0/0属于公网34.0.0.0/24网段,都不需要宣告
精准宣告172.16.0.1 0.0.0.0
在R5上查看并且宣告需要宣告的区域
需要宣告虚拟网段172.16.0.2/24和环回172.16.1.0/24
因为这两个网段都属于区域0,都应该宣告在OSPF内,我们可以直接宣告两个网段的汇总网段172.16.0.0 0.0.255.255,直接将这个总网段的所有接口都激活宣告在OSPF内,公网46.0.0.0没有包含在这个总网段内,所以不用看serial 4/0/0接口的宣告情况,如果宣告的范围扩大到0.0.0.0 255.255.255.255全部网段就要考虑serial 4/0/0这个接口的网段34.0.0.0/24,因为这个网段包含进去了34.0.0.0/24。
这种宣告属于范围宣告,我们可以随便扩大这个宣告的范围,只要你宣告的范围是应该属于OSPF内的,都没有问题
在R6上查看并且宣告需要宣告的区域
需要宣告的网段是虚拟Tunnel接口172.16.0.3/24和环回172.16.2.0/24
如果我们这个时候用和R5一样的汇总网段宣告172.16.0.0 0.0.255.255,这个网段包含了接口0/0/0的IP地址172.16.33.1/30,这样会将这个接口0/0/0宣告到Area 0 内,但是这个接口应该是属于Area 1 的,所以不能用这个网段。
宣告的扩大范围应该是172.16.0.0 0.0.15.255 -------掩码20
在R7上查看并且宣告需要宣告的区域
需要宣告的网段是虚拟接口172.16.0.4/24和环回172.16.3.0/24
宣告的扩大范围应该是172.16.0.0 0.0.15.255-------掩码20(和R6宣告方式一样)
在R3上查看OSPF邻居
会发现只有R5一个邻居,而且观察之前在R6/7上宣告完后状态都卡在了init状态
原因:因为我们使用的MGRE环境是点到点类型,只能有一个邻居,对于R3来说,我们先配置的是R3和R5的OSPF配置,R3只能和R5建立邻居。
解决方法:修改网络接口类型,修改为broadcast(BMA网络类型),也可以修改为p2mp。
选最佳办法:BMA需要DR和BDR选举,p2mp不需要选举,拓扑图中要求加快收纳速度,所以我们需要取消DR和BDR的选举(把waiting time计时器取消掉),我们需要去干涉DR和BDR的选举,让R5/6/7不能成DR和BDR,所以我们选择p2mp不用去选举,在R5/6/7视角里面只有一个邻居R3,R3的邻居是R5/6/7
在R3的Tunnel口修改网络接口类型
在R5的Tunnel接口修改网络类型
在R6的Tunnel接口修改网络类型
在R7的Tunnel接口修改网络类型
在Hub(R1)上再次查看邻居表
三个邻居都达到了full状态
我们会发现网络接口类型改为p2mp后OSPF建立邻居很快,因为p2mp不需要选举DR和BDR,省去了waiting time计时器的的时间
在Hub(R1)上查看路由表信息
可以得知,中心节点已经全部学到了R5/6/7的路由信息和环回信息
在Spoken(R5)上查看路由信息
在Spoken(R6)上查看路由信息
在Spoken(R7)上查看路由信息
查看Spoken分支(R5/6/7)的NHRP映射表的邻居关系
R5
R6
R7
分析现象
查表可知,此时分支的NHRP表只有中心的注册信息,也就是说分支之间的流量都是经过R1再传给各个分支的,此时MGRE的隧道还未打通,我们需要建立Spoken分支到Spoken分支的隧道。
解决方法:1、非shortcut方式:将各个分支直接互相ping通一下就能建立起隧道了
2、shortcut方式:还需要添加配置:开启重定向功能(默认未启动);启动shortcut
非shortcut方式:各个分支之间相互ping通,效果如下
发现邻居关系并没有建成,我们的分支的下一跳是Hub设备,采用的是shortcut方式
shortcut方式:在Hub上,配置重定向;在分支上,开启shortcut功能;然后分支互相ping通建立隧道
R3 Hub上
R5 Spoken上
R6 Spoken上
R7 Spoken上
在R5分支上ping分支R7
然后查看NHRP邻居表
此时邻居表多了R7
在R5分支上ping分支R6
再次查看NHRP映射表
此时邻居表多了R6
在R7(R6)分支ping分支R6(R7)
再次查看NHRP映射表
R6
R7
此时Area0内的R3-R5/6/7之间的OSPF协议下的的MGRE隧道建立成功
启动Area 1的OSPF配置
R1
R2
R3
启动Area 2的OSPF配置
R6
R11
R12
启动域外RIP协议的配置
R12
RIP是主类宣告(IP地址分为A/B/C/D/E主类),需要取消路由汇总
启动Area 3的OSPF配置
R7
R8
R9
启动Area 4的OSPF配置
因为R9是ABR设备
此时对于R9,有两种方法可以选择,Vlink和双向重发布,比较优缺点
选用Vlink的话:Vlink实际在R7和R9之间用物理链路传送数据,在Area 3内R7/8和R8/9之间就需要发送Hello包建立邻居,选用Vlink的话R7和R9之间也要互相发送Hello包,这样会增加链路负载
所以采用选用双向重发布
在R9上启用OSPF进程2来宣告Area 4,在R9上不管OSPF进程2宣告的区域是多少,都是骨干区域,所以在R9的OSPF进程2中,单区域的视角中Area 4是骨干区域可视为Area 0一样的效果,但是在图中该区域是Area 4 所以我们配置的时候还是写Area 4
R9的OSPF 2
R10
在R5上查看OSPF路由信息
此时对于R5,已经能学习到Area1 Area2 Area3的全部路由信息,准备让R9实现双向重发布将Area4的路导入进来
在R9上实现双向重发布
看R10的OSPF路由信息
除了172.16.64.0/24是直连的R9的环回(属于Area4)信息外,其余的都是域外路由信息
再次看R5的OSPF路由信息
刚刚R9双向重发布引入的3条域外路由信息
在R12上双向重发布相互引入OSPF和RIP信息
此时再次到R5上去查看OSPF路由信息
多了两条由R12引来的域外路由信息
查看R6的LSDB
发现了一个问题
在R6的LSDB上的172.16.33.4这条路由属于AS域外的路由
原因:
此时由于RIP的双向重发布导致的路由回馈,在R6的LSDB中发现172.16.33.4/30是域外路由信息,因为R12上RIP宣告的是172.16.0.0路由,包含了172.16.33.4/30,又由双向重发布引入进来了172.16.128.0/18和172.16.192.0/24和172.16.33.4/30这三条路由,所以会看到172.16.33.4/30这条路由是域外进来的
在R5上又有不同
在R5上看不到172.16.33.4/30是AS域外路由信息
原因:
对于R6,通过OSPF的1/2类LSA获取了一次33.4,然后通过5类LSA学到一次,但是因为1/2类LSA优于5类LSA,所以5类LSA类型路由接收但是不用
在R5上查看OSPF的LSDB信息
R5也能看见AS域外路由172.16.33.4
原因:因为R5接收的是R6发送来的3类LSA信息(关于Area2的OSPF汇总得来的172.16.33.4路由),但是R5在Area 0 中通过5类LSA(在全网OSPF上传递域外路由),3类LSA优于5类LSA,所以也是只接收,但不在OSPF路由表中去用。后面我们做NSSA时,在R12上进行7转五类操作,所以在R6上传递时,传不出去7类的LSA,只在Area2内生效,所以做完NSSA之后,R5上的LSDB就会查不到172.16.33.4这条路由是来自域外了
全网可达
此时之后,除了R4的环回,全网可达,接下来我们要做优化
区域优化
优化方法:1、汇总 2、特殊区域
1、汇总:指非骨干区域汇总(减少骨干的路由信息)
2、特殊区域:减少非骨干区域里面的LSA
要求:不能是骨干区域,不能存在虚链路
汇总:减少骨干区域的LSA信息
汇总要在ABR上做配置,因为只有ABR上才能发出3类LSA(路由汇总信息)
域间路由汇总需要进入到你需要汇总的区域去进行配置汇总
R3上进入到Area 1的OSPF汇总
在R3上,通过Area1里面的1/2类拓扑信息学来的3类LSA
此时R5上将之前的172.16.16/17/17/19.0/24路由信息汇总为了172.16.16.0/20
R6上进入Area2的OSPF汇总
在R6上,将Area2的1/2类学来的LSA信息转为3类LSA
R7上进入Area3的OSPF汇总
在R7上,将Area3的1/2类学来的LSA信息转为3类LSA
再次在R5上查看全的路由汇总信息
此时R5上能看见172.16.16/32/48/.0/20的路由信息,分别是Area1/2/3的路由汇总信息
原本R5的路由信息
可以发现,汇总后的路由信息中,将172.16.33.4/30路由变为了域外路由信息
原因:3类LSA优于5类LSA,这个概念是对于同一条路由来说的,我们将172.16.33.4/30汇总到了172.16.32.0/20中去了,三类的33.4/30没有了,所以此时对于R5,,他能学到172.16.32.0/20(3类LSA)和172.16.33.4/30(5类LSA)的两条不同的路由,所以会看到172.16.33.4/30是来自域外的路由,等我们做完Totally—NSSA后,这条路由就会消失,在R5的LSDB中已经说过。
域外路由汇总
域外路由汇总时,需要在ASBR域外路由引进发送出去的时候汇总,和域间路由汇总有区别,域间路由汇总是在要汇总的区域里面的ABR的OSPF相对应的进程里面汇总
域外RIP(R12的环回)路由汇总
在R12的Area2的OSPF 1中进行汇总
域外OSPF2(R9环回和R10之间)路由汇总
在R9的Area3的OSPF 1中进行汇总
R9在Area4的LSA信息已经从OSPF 2中(在OSPF2中Area4相对于Area0骨干区域)全部学到了,然后将路由信息往OSPF1中发布的时候汇总
再到R5上查看LSDB信息
R5的路由信息
其中域外的5类LSA就剩三条了172.16.128/64.0/33.4,汇总的LSA可以看见了
汇总全部做完
特殊区域(减少非骨干区域的LSA信息)
Area1做Totally-Stub完全末梢
Area2做Totally-NSSA完全的非完全末梢
Area3做Totally-NSSA完全的非完全末梢
Area4是OSPF2属于单区域(骨干区域)所以不能做特殊区域
Area 1做为Stub末梢区域
R1
R2
R3
因为要做成完全的末梢区域,所以ABR上不能汇总
R1上的LSDB
老师的network是172.16.19.3 advrouter 3.3.3.3
PS:因为我做的OSPF建立邻居的顺序不一样所以DR和BDR的选举顺序不一样,
Router是1类LSA信息,LinkID是宣告者的RID,是宣告者本身发的
network是2类LSA信息,LinkID是DR的IP地址,是R1发的
summary-net是3类LSA信息,LinkID是缺省路由,是R3发的
Area2做Totally-NSSA完全的非完全末梢区域
R6
同理,Totally-NSSA的ABR设备也不能做汇总
R11
R12
Area3做NSSA非完全末梢区域
R7
同理,完全的非完全末梢,ABR设备上不能做汇总
R8
R9
在R11上查看OSPF邻居
在R11上查看LSDB
老师的network172.16.33.2 11.11.11.11 和172.16.33.6 12.12.12.12
原因:同理与R1上的现象
此时R11上3类LSA(summary-net)急剧减少,只剩一条缺省
同时,3类和7类LSA是缺省路由,都是ABR(R6)发的
NSSA汇总时,链路路由信息为0.0.0.0(缺省)
原因:在NSSA环路问题中,在NSSA区域中,ABR设备下发3类缺省,ASBR下发7类缺省,会导致ABR设备学习到7类缺省路由,内部其余设备会学习3类缺省路由,从而引起环路问题。在华为的解决方案中,在ABR下发时,同时下发一条7类缺省LSA信息,用于防环路
在R8上查看LSDB
在R8上查看OSPF的路由信息
其中,172.16.64.0/20 O_NSSA是由R9向Area3双向重发布进来的7类LSA,同时将3类0.0.0.0/0缺省路由(summary-net)指向外部Area0
在R5上查看LSDB信息
在R5上能看到,172.16.128.0两条5类LSA是由R12和R6发的
原因:R12发送的这条路由是由重发布进来的;R6被R5视为ASBR设备(因为R6在做7转5操作,R5以为R6是ASBR设备);Area2做成Totally-NSSA区域之后,R12向内发送的7类LSA,R6作为ABR设备会进行7转5操作,所以在R5上能看到两条五类的172.16.128.0的路由由不同的设备(R6和R12)发出来的,在老化时间3600s后,来自R12发送的这条5类LSA会被取消掉;下面的172.16.64.0的两条网段分别由R9和R7发送的5类LSA,其中R9发送的5类LSA也会在3600s后被取消掉
3600s撤销后
再次查看R5的OSPF路由表信息
此时,只有两条域外路由信息172.16.64.0/20是Area4传来的,172.16.128.0/17是RIP传来的,那条172.16.33.4.0/30的域外路由信息消失了,就是因为将Area2作为特殊区域(Totally-NSSA)了,R12向内发送的7类LSA没有被转成5类,172.16.33.4/30这条路由信息就只能在单Totally-NSSA区域内生效,无法传出去,所以R5上就没有学习到172.16.33.4/30的5类LSA信息了,我们查R6的LSDB表如下
看表可知,证实了R6只收到了7类的LSA的172.16.33.4/30的路由信息,所以R6没有传给R5
但是,此时R6对172.16.128.0进行了7转5,而为什么不对172.16.33.4/30进行7转5 呢,
原因如下:
在Area2,NSSA引进域外路由时,会以7类LSA的形式在该NSSA区域内传递,当要发送给其他区域时,该区域ABR会把7类LSA转换成5类LSA向域间传递,此5类LSA会携带FA地址,不再需要4类LSA告知其他区域,ASBR是谁。可以选择性是否向域内下放默认路由
7转5操作的规范:
1、P比特位位置为1,------代表是否支持7转5操作,一般与N位同时存在
2、转换路由器时NSSA区域中RID最大的边界路由器
3、FA字段不为0,才可以被转换
nssa translator-always------开启强制7转5操作
nssa suppress-forwarding-address-------在7转5时,删除掉FA字段
如果NSSA没有FA字段,将会有很大可能因为7转5操作出现次优路径或者环路问题
我们在R6上查看OSPF的NSSA对于172.16.33.4/30这个网段的信息,查询是否支持7转5
其中option里面有P字段(P比特位置为1),代表可以7转5;FA字段为:172.16.33.6,FA不为0;在Area2里面转换路由器只有R6,所以转换器R6的RID最大。三个条件都满足,但是为什么R6对172.16.33.4/30这个路由不进行7转5呢
原因:对于ABR设备想要发出5类LSA的前提是ABR上要有这一条路由信息,R6想要将172.16.33.4/30转5类LSA,就要先有这条路由信息,R6中虽然说有这条路由信息,但是这条信息是从1类LSA中来的(R6收到7类和1类的关于这条路由的信息,但是1类优先级更高,所以学的是1类的LSA),所以7类(NSSA)的这条路由信息对R6来说没有意义(单纯接收不去用),不去用也就不会将这条信息进行7转5操作转给其他设备,所以其他设备不能学到这条域外路由
修改Hello时间加快收敛
所有OSPF设备的接口改小Hello时间
Area0 采用的是p2mp网络类型,Hello时间为30s
Area1 采用的是OSPF类型,Hello时间为10s
Area0
查看R3的虚拟接口的OSPF信息
此时虚拟接口的Hello时间为30s,缩短其Hello时间来加速收敛
我们最少要将Hello时间改为低于10s,因为OSPF网络下,Hello时间默认为10s(p2mp特殊)
修改后查看邻居
此时只有两个邻居full
R3的OSPF1的Hello时间为1,Deadtime为4,而R5/6/7的Hello时间为30s,还没修改,这样R3会和R5/6/7建立不起邻居
修改R5的Hello时间
修改R6的Hello时间
修改R7的Hello时间
在R3上再次查看OSPF邻居表
此时邻居关系回来了
Area 1
R3的0/0/0接口修改Hello时间
R1的0/0/0接口修改Hello时间
R2的0/0/0接口修改Hello时间
Area 2
R6的0/0/0接口修改Hello时间
R11的0/0/0接口修改Hello时间
R11的0/0/1接口修改Hello时间
R12的0/0/0接口修改Hello时间
Area3
R7的0/0/1接口修改Hello时间
R8的0/0/0接口修改Hello时间
R8的0/0/1接口修改Hello时间
R9的0/0/0接口修改Hello时间
Area4(OSPF2的Area0)
R9(OSPF2)的0/0/1接口修改Hello时间
R10的0/0/0接口修改Hello时间
加速收敛的其他方式扩展
我们除了更改Hello时间还能更改轮循时间(poll)和重传时间(retransmit),来加快收敛速度
传输延时时间
[r3-Tunnel0/0/0]ospf trans-delay(可以不用修改)
传输延时时间trans-delay:
在OSPF中,LSA每到一台路由器,传输延时时间就+1(最多修改到500s),增加老化时间,因为在链路中传送也需要时间。--------在OSPF网络接口类型中有提到
重传时间(retransmit)
可以修改,LSA的重传时间,LSA重传需要LSAck包来确认
在刚刚R3中看见了重传时间(retransmit)默认五秒,我们可以改为1s或2s等等
取消条件匹配的DR和BDR选举过程
可以取消那个4s的waiting time时间
方法:修改网络接口类型(MA需要选举,p2p不用选举)
图中,R7/8,R8/9,R9/10,R6/11,R11/12之间可以建立p2p,R1/2/3建立p2mp
暂时先不做,后续有空再实现
保障更新安全(认证)
1、接口认证
仅仅是在OSPF中,接口发送或接收所有报文时,进行认证数据和认证类型的对比
原因:认证信息在OSPF头部信息携带着,OSPF所有包都包含着OSPF头部报文信息
可以在R7/8
2、区域认证
一个域内的所有设备会往环回方向和物理接口认证
我们可以在Area1上做区域认证(方便)
接口认证
在R7上做md5加密认证
[r7-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 123456
1代表的是key-id值,认证的双方需要保持本地的key-id值一致,cipher 123456密码信息
在R8上做md5加密认证
区域认证
R1上做OSPF区域加密认证
R2上OSPF区域加密认证
R3上OSPF区域加密认证
R4的环回(代表的是互联网的所有设备)
在R4上做NAT地址转换
图中应该是四台设备(R3/5/6/7)都单独做NAT配置,因为此时Spoken分支的流量去往互联网的流量不再需要经过Hub了,因为每一台设备都配置了一条缺省指向R4
基本ACL 2000-2999 高级ACL 3000-3999 二层ACL 4000-4999
用户自定义ACL 5000-5999 用户ACL 6000-6031
配置命令
[r3]acl 2000
[r3-acl-basic-2000]rule permit source 172.16.16.0 0.0.15.255-------通配符(写法和反掩码一样)
[r3]int s 4/0/0
[r3-Serial4/0/0]nat outbound 2000-------nat绑定ACL号
R3上配置NAT
在R1上测试一下是否能连接成功
可以ping通
R5上配置NAT
R6上配置NAT
R7上配置NAT
查看R10的路由
此时R10只有Area3和Area4的路由,其余的路由缺失
原因:之前R10能够拥有全部的路由,是因为R9双向重发布引入了外部的路由。但此时Area3做成了特殊区域Totally-NSSA,拒绝了3/4/5类的LSA信息,但是还有重发布引入的Area3的OSPF信息,所以能看到Area3的路由信息而看不到其他区域的路由信息
R9重发布的时候没有将缺省引入进来,重发布不能引入缺省路由
解决办法:在R9的OSPF2进程中正常下发(非强制下发)一条缺省路由
其中,强制下发和非强制下发的区别是:对于本地的缺省路由看有没有需求,如果本地拥有缺省路由,就可以非强制性下发也就是正常下发;反之,本地没有缺省路由,就不能强制下发下来。
但是R9本地是有一条缺省的,是由Area3变为Totally-NSSA完全的非完全末梢区域时,R7向区域内下发的缺省路由,所以我们直接采用非强制下发缺省即可
在R9的OSPF2中正常下发一条缺省
再次到R10上去查看路由信息
此时R10就有了到域外的缺省路由
至此全网可达,优化也算完美
假设还能进行的优化猜想
猜想:这张图中还能进行的优化:
路由策略:用于干涉路由选路,这张图中没有多台ABR,不存在一个选路的情况,所以用不到
修改参考带宽:目的是干涉开销,干涉开销的目的也是选路,所以也用不到
静默接口:用于连接用户的接口,图中环回都是用于连接用户的,如果配置了,就相当于是让环回不接收也不发送路由,但是大部分设备处于OSPF协议中,此方式没有意义
PS:在RIP中,静默接口只收不发
在OSPF中,静默接口不收也不发
原因:在RIP中,一端配置成静默接口,他只收不发,而他能收是因为RIP中的机制是,对方发一个请求包,我给你回一个应答包,而路由信息在应答报文中,周期更新的时候,发送的是应答包,RIP正常情况下靠应答报文保活,将对方信息保存在自己的本地路由表中
在OSPF中,一端设置成静默接口,他不收也不发。如果静默接口的设备想要收到LSU这个报文(携带LSA信息),就要先成为邻居,成为邻居就要相互发送Hello包,自己不能发,两设备就不能成为邻居,就不能收到LSU包,就没有LSA信息