一、实验要求
1、R4为ISP,其上只配置IP地址;R4与其他所直连设备间均使用公有IP;
2、R3-R5、R6、R7为MGRE环境,R3为中心站点;
3、整个OSPF环境IP基于172.16.0.0/16划分;除了R12有两个环回,其他路由器均有一个环回IP
4、所有设备均可访问R4的环回;
5、减少LSA的更新量,减少路由表的条目数量,加快收敛,保障更新安全;
6、全网可达;
二、实验拓扑
三、实验思路
基于172.16.0.0/16划分子网
总地址 用户地址
区域0 172.16.0.0/19 隧道:172.16.5.0/24
MA:172.16.6.0/24 —— 预留
p2p:172.16.7.0/24 —— 预留
r3环回:172.16.0.0/24 r4环回:172.16.1.0/24
r5环回:172.16.2.0/24 r6环回:172.16.3.0/24
r7环回:172.16.4.0/24
区域1 172.16.32.0/19 MA:172.16.32.0/24
P2P:172.16.35.0/24 —— 预留
R1环回:172.16.33.0/24
R2环回:172.16.34.0/24
区域2 172.16.64.0/19 MA:172.16.64.0/24
网段1:172.16.64.0/30
网段2:172.16.64.4/30
P2P:172.16.66.0/24 —— 预留
R11环回:172.16.65.0/24
区域3 172.16.96.0/19 MA:172.16.96.0/24
网段1:172.16.96.0/30
网段2172.16.96.4/30
P2P:172.16.98.0/24 —— 预留
R8环回:172.16.97.0/24
区域4 172.16.128.0/19 MA:172.16.128.0/24
网段:172.16.128.0/30
P2P:172.16.131.0/24 —— 预留
R9环回:172.16.129.0/24
R10环回:172.16.130.0/24
RIP 172.16.160.0/19 MA:172.16.160.0/24 —— 预留
P2P:172.16.163.0/24 —— 预留
R12环回0:172.16.161.0/24
R12环回1:172.16.162.0/24
1、配置物理接口和环回接口的IP地址
2、公私网边界路由器配置出口缺省路由,实现公网全网通
3、边界路由器配置基于OSPF的MGRE VPN,实现私网到私网的全网通
4、分区域配置OSPF,RIP协议
5、需要把域外的路由表导入到ospf域中
优化:
6、对处区域0外的其他区域做特殊区域处理,减少LSA的更新量和路由条目数
7、对各区域进行路由聚合,减少骨干区域的LSA的更新量和路由条目数
8、私网出接口设备配置NAT技术,实现私网访问公网
8、修改Hello包的时间,加快收敛
9、做区域认证或者接口认证,保证更新安全
四、实验步骤
1)配置IP地址,出接口设备配置缺省理由
[R1-GigabitEthernet0/0/0]int l0
[R1-LoopBack0]ip add 172.16.33.1 24
[R1-LoopBack0]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 172.16.32.1 24
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 172.16.32.2 24
[R2-GigabitEthernet0/0/0]int l0
[R2-LoopBack0]ip add 172.16.34.1 24
[r3]int s4/0/0
[r3-Serial4/0/0]ip add 34.0.0.3 24
[r3-Serial4/0/0]int l0
[r3-LoopBack0]ip add 172.16.0.1 24
[r3]int g0/0/0
[r3-GigabitEthernet0/0/0]ip add 172.16.32.3 24
[r3]ip route-static 0.0.0.0 0 34.0.0.4
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 47.0.0.4 24
[ISP-GigabitEthernet0/0/1]int s3/0/0
[ISP-Serial3/0/0]ip add 34.0.0.4 24
[ISP-Serial3/0/0]int s4/0/0
[ISP-Serial4/0/0]ip add 45.0.0.4 24
[ISP-Serial4/0/0]int s4/0/1
[ISP-Serial4/0/1]ip add 46.0.0.4 24
[ISP]int l0
[ISP-LoopBack0]ip add 172.16.1.1 24
[R5]int s4/0/0
[R5-Serial4/0/0]ip add 45.0.0.5 24
[R5-Serial4/0/0]int l0
[R5-LoopBack0]ip add 172.16.2.1 24
[R5]ip route-static 0.0.0.0 0 45.0.0.4
[R6]int s4/0/0
[R6-Serial4/0/0]ip add 46.0.0.6 24
[R6]int g0/0/0
[R6-GigabitEthernet0/0/0]ip add 172.16.64.1 30
[R6-Serial4/0/0]int l0
[R6-LoopBack0]ip add 172.16.3.1 24
[R6]ip route-static 0.0.0.0 0 46.0.0.4
[R7]int g0/0/0
[R7-GigabitEthernet0/0/0]ip add 47.0.0.7 24
[R7]int g0/0/1
[R7-GigabitEthernet0/0/1]ip add 172.16.96.1 30
[R7-GigabitEthernet0/0/0]int l0
[R7-LoopBack0]ip add 172.16.4.1 24
[R7-LoopBack0]ip route-static 0.0.0.0 0 47.0.0.4
[R8]int g0/0/0
[R8-GigabitEthernet0/0/0]ip add 172.16.96.2 30
[R8-GigabitEthernet0/0/0]int g0/0/1
[R8-GigabitEthernet0/0/1]ip add 172.16.96.5 30
[R8-GigabitEthernet0/0/1]int l0
[R8-LoopBack0]ip add 172.16.97.1 24
[R9]int g0/0/0
[R9-GigabitEthernet0/0/0]ip add 172.16.96.6 30
[R9-GigabitEthernet0/0/0]int g0/0/1
[R9-GigabitEthernet0/0/1]ip add 172.16.128.1 30
[R9-GigabitEthernet0/0/1]int l0
[R9-LoopBack0]ip add 172.16.129.1 24
[R10]int g0/0/0
[R10-GigabitEthernet0/0/0]ip add 172.16.128.2 30
[R10-GigabitEthernet0/0/0]int l0
[R10-LoopBack0]ip add 172.16.130.1 24
[R11-GigabitEthernet0/0/0]int g0/0/0
[R11-GigabitEthernet0/0/0]ip add 172.16.64.2 30
[R11-GigabitEthernet0/0/0]int g0/0/1
[R11-GigabitEthernet0/0/1]ip add 172.16.64.5 30
[R11-GigabitEthernet0/0/1]int l0
[R11-LoopBack0]ip add 172.16.65.1 24
[R12]int g0/0/0
[R12-GigabitEthernet0/0/0]ip add 172.16.64.6 30
[R12-GigabitEthernet0/0/0]int l0
[R12-LoopBack0]ip add 172.16.161.1 24
[R12-LoopBack0]int l1
[R12-LoopBack1]ip add 172.16.162.1 24
2)配置基于OSPF的MGRE VPN
分析:
1、配置完发现OSPF路由表学习不全,因为tunnel(隧道)口P2P网络类型,需要修改接口的网络类型为 广播型多点接入
2、修改完后发现DR和BDR的选举混乱,需把分支站点的DR选举优先级改为0,不参与选举
# 开启隧道接口,配置隧道协议
[r3]int t0/0/0
[r3-Tunnel0/0/0]ip add 172.16.5.1 24
[r3-Tunnel0/0/0]tunnel-protocol gre p2mp # 定义隧道接口的封装类型
[r3-Tunnel0/0/0]source 34.0.0.3 # 封装源公网IP
[r3-Tunnel0/0/0]nhrp network-id 100 # 定义NHRP域的编号
[r3-Tunnel0/0/0]nhrp entry multicast dynamic # 开启接口伪广播,为ospf做准备
# 注释同上
[R5]int Tunnel 0/0/0
[R5-Tunnel0/0/0]ip add 172.16.5.2 24
[R5-Tunnel0/0/0]tunnel-protocol gre p2mp
[R5-Tunnel0/0/0]source s4/0/0
[R5-Tunnel0/0/0]nhrp entry 172.16.5.1 34.0.0.3 register # 下一跳进入中心站点下载
[R5-Tunnel0/0/0]nhrp network-id 100 # NHRP域编号
[R6]int t0/0/0
[R6-Tunnel0/0/0]ip add 172.16.5.3 24
[R6-Tunnel0/0/0]tunnel-protocol gre p2mp
[R6-Tunnel0/0/0]source s4/0/0
[R6-Tunnel0/0/0]nhrp network-id 100
[R6-Tunnel0/0/0]nhrp entry 172.16.5.1 34.0.0.3 register
[R7]int t0/0/0
[R7-Tunnel0/0/0]ip add 172.16.5.4 24
[R7-Tunnel0/0/0]tunnel-protocol gre p2mp
[R7-Tunnel0/0/0]source g0/0/0
[R7-Tunnel0/0/0]nhrp network-id 100
[R7-Tunnel0/0/0]nhrp entry 172.16.5.1 34.0.0.3 register
# 配置OSPF协议,宣告私网地址和隧道地址
[r3]ospf 1 router-id 3.3.3.3
[r3-ospf-1]a 0
[r3-ospf-1-area-0.0.0.0]network 172.16.5.0 0.0.0.255
[r3-ospf-1]a 1
[r3-ospf-1-area-0.0.0.1]network 172.16.32.0 0.0.0.255
[r3-Tunnel0/0/0]ospf network-type broadcast # 修改接口网络类型为广播
[R5]ospf 1 router-id 5.5.5.5
[R5-ospf-1]a 0
[R5-ospf-1-area-0.0.0.0]network 172.16.2.1 0.0.0.0
[R5-ospf-1-area-0.0.0.0]network 172.16.5.0 0.0.0.255
[R5-Tunnel0/0/0]ospf network-type broadcast # 修改接口网络类型为广播
[R5-Tunnel0/0/0]ospf dr-priority 0 # DR选举的优先级设置为0
[R6]ospf 1 router-id 6.6.6.6
[R6-ospf-1]a 0
[R6-ospf-1-area-0.0.0.0]network 172.16.5.0 0.0.0.255
[R6-ospf-1]a 2
[R6-ospf-1-area-0.0.0.2]network 172.16.64.0 0.0.0.3
[R6-Tunnel0/0/0]ospf network-type broadcast
[R6-Tunnel0/0/0]ospf dr-priority 0
[R7]ospf 1 router-id 7.7.7.7
[R7-ospf-1]a 0
[R7-ospf-1-area-0.0.0.0]network 172.16.5.0 0.0.0.255
[R7-ospf-1]a 2
[R7-ospf-1-area-0.0.0.2]network 172.16.96.0 0.0.0.3
[R7-Tunnel0/0/0]ospf network-type broadcast
[R7-Tunnel0/0/0]ospf dr-priority 0
3)配置其他区域的OSPF协议,和RIP协议
分析:
区域4没有与骨干区域相连接,无法学习其他区域的路由
解决办法1:配置与骨干区域的虚连接,实现两个区域逻辑上的连接
注:虚连接不能穿越stub区域、NSSA区域
解决办法2:区域4配置为与骨干区域不同进程的ospf协议,使用多进程重发布实现路由学习
因为整个实验需要配置特殊区域,故使用第二种解决办法
# Area 1
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]a 1
[R1-ospf-1-area-0.0.0.1]network 172.16.32.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]network 172.16.33.0 0.0.0.255
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]a 1
[R2-ospf-1-area-0.0.0.1]network 172.16.32.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]network 172.16.34.0 0.0.0.255
# Area 2
[R11]ospf 1 router-id 11.11.11.11
[R11-ospf-1]a 2
[R11-ospf-1-area-0.0.0.2]network 172.16.64.0 0.0.0.3
[R11-ospf-1-area-0.0.0.2]network 172.16.65.0 0.0.0.255
[R11-ospf-1-area-0.0.0.2]network 172.16.64.4 0.0.0.3
[R12]ospf 1 router-id 12.12.12.12
[R12-ospf-1]a 2
[R12-ospf-1-area-0.0.0.2]network 172.16.64.4 0.0.0.3
# Area 3
[R8]ospf 1 router-id 8.8.8.8
[R8-ospf-1]a 3
[R8-ospf-1-area-0.0.0.3]network 172.16.96.0 0.0.0.3
[R8-ospf-1-area-0.0.0.3]network 172.16.96.4 0.0.0.3
[R8-ospf-1-area-0.0.0.3]network 172.16.97.0 0.0.0.255
[R9]ospf 1 router-id 9.9.9.9
[R9-ospf-1]a 3
[R9-ospf-1-area-0.0.0.3]network 172.16.96.4 0.0.0.3
# Area 4
[R9]ospf 2 router-id 9.9.9.9
[R9-ospf-2]a 4
[R9-ospf-2-area-0.0.0.4]network 172.16.128.0 0.0.0.3
[R9-ospf-2-area-0.0.0.4]network 172.16.129.0 0.0.0.255
[R10]ospf 2 router-id 10.10.10.10
[R10-ospf-2-area-0.0.0.4]network 172.16.128.0 0.0.0.3
[R10-ospf-2-area-0.0.0.4]network 172.16.130.0 0.0.0.255
# RIP
[R12]rip 1
[R12-rip-1]undo summary
[R12-rip-1]v 2
[R12-rip-1]network 172.16.0.0
4)对RIP、OSPF 2进行多进程双向重发布
[R9]ospf 1
[R9-ospf-1]import-route ospf 2
[R9]ospf 2
[R9-ospf-2]import-route ospf 1
[R12]ospf 1
[R12-ospf-1]import-route rip 1
测试:检查域外路由是否学习成功
5)对区域1、2、3做特殊区域配置,减少LSA的更新量和路由条目数
# Area 1
[R1]ospf
[R1-ospf-1]a 1
[R1-ospf-1-area-0.0.0.1]stub no-summary # 完全末梢区域
[R2]ospf
[R2-ospf-1]a 1
[R2-ospf-1-area-0.0.0.1]stub no-summary
[r3]ospf
[r3-ospf-1]a 1
[r3-ospf-1-area-0.0.0.1]stub no-summary
# Area 2
[R6]ospf
[R6-ospf-1]a 2
[R6-ospf-1-area-0.0.0.2]nssa no-summary # 完全非纯末梢区域
[R11]ospf
[R11-ospf-1]a 2
[R11-ospf-1-area-0.0.0.2]nssa no-summary
[R12]ospf
[R12-ospf-1]a 2
[R12-ospf-1-area-0.0.0.2]nssa no-summary
# Area 3
[R7]ospf
[R7-ospf-1]a 3
[R7-ospf-1-area-0.0.0.3]nssa no-summary
[R8]ospf
[R8-ospf-1]a 3
[R8-ospf-1-area-0.0.0.3]nssa no-summary
[R9]ospf
[R9-ospf-1]a 3
[R9-ospf-1-area-0.0.0.3]nssa no-summary
6)做区域聚合(汇总),减少区域0的LSA的更新量和路由条目数
[r3]ospf
[r3-ospf-1]a 1
[r3-ospf-1-area-0.0.0.1]abr-summary 172.16.32.0 255.255.224.0
[R6]ospf
[R6-ospf-1]a 2
[R6-ospf-1-area-0.0.0.2]abr-summary 172.16.64.0 255.255.224.0
[R7]ospf
[R7-ospf-1]a 3
[R7-ospf-1-area-0.0.0.3]abr-summary 172.16.96.0 255.255.224.0
[R12]ospf
[R12-ospf-1]asbr-summary 172.16.160.0 255.255.224.0
[R9]ospf
[R9-ospf-1]asbr-summary 172.16.128.0 255.255.224.0
7)私网出接口设备配置NAT
[r3]acl 2000
[r3-acl-basic-2000]rule permit source 172.16.32.0 0.0.31.255
[r3-acl-basic-2000]q
[r3]int s4/0/0
[r3-Serial4/0/0]nat outbound 2000
[R6]acl 2000
[R6-acl-basic-2000]rule permit source 172.16.64.0 0.0.31.255
[R6-acl-basic-2000]q
[R6]int s4/0/0
[R6-Serial4/0/0]nat outbound 2000
[R7]acl 2000
[R7-acl-basic-2000]rule permit source 172.16.128.0 0.0.31.255
[R7-acl-basic-2000]q
[R7]int g0/0/0
[R7-GigabitEthernet0/0/0]nat outbound 2000
[R9]ospf 2
[R9-ospf-2]default-route-advertise alway
8)修改Hello包时间,配置区域认证,实现加快收敛和更新安全
# 加速收敛
# 每个配置ospf的路由器进入接口视图下修改hello包时长
命令:ospf timer hello 5
# 安全认证
# 每个配置ospf协议的路由器进入对应区域视图下配置区域安全认证
命令:authentication-mode md5 1 cipher 123456
1208
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
