实验拓扑搭建以及IP地址规划:
1.IP地址配置,测试接口是否连通
R1接口pingR3接口
R4pingR3/5/6/7
R11pingR6/12接口
R8pingR7/R9接口
R9pingR8/10接口
2.在R3/5/6/7直接做MGRE(分别在R3/5/6/7上写一条静态缺省指向ISP)
配置
R3
(R5/6/7上同理)
R5
R6
R7
测试:
R3pingR5/6/7Tunnel接口
3.全网启用ospf
area 0配置(因为tunnel接口类型为点到点,启用ospf协议后应在tunnel接口修改ospf类型为broadcast(MA网络),将R3作为中心站点应在tunnel接口中修改dr优先级大于1就行(dr优先级默认为1))
R3
R5
R6
R7
area1配置(将area设置为stub区域)
R1
R2
R3
area2配置(将R2设置为nssa区域)
R6
(汇总在R6ABR上做,同时要写一条静态路由指向NULL0,防止路由黑洞)
R11
R12
在R12做RIP将RIP重发布到ospf中,在R12上做重发布进来的汇总路由,要写一条静态路由指向空接口防止路由黑洞。
area3配置(将area3设置为nssa区域)
R7
(R7是ABR汇总在R7上来做,同时需要一条静态汇总路由指向NULL0口,防止路由黑洞)
R8
R9
同时在R9上启用ospf100,将area4划入其中,然后在R9上将ospf100 发布到ospf10中。
同样在R9上做重发布进来路由的汇总需要写一条静态汇总路由指向NUll0口。
R10
此时私网全网可达,进行测试,R1环回pingR10/12环回
4.私网访问公网地址,在R3/5/6/7上做nat地址转换实现访问公网
R3
R5
R6
R7
测试R1/10/12pingR4环回地址
加快路由收敛,进接口修改ospfhello,dead时间(dead时间模拟器这里没有显示,设置为20秒)
例R1
增加安全性,做ospf区域认证,进入区域做
注意:
在配置区域认证模式时,如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。
Simple、MD5和HMAC-MD5密文验证模式存在安全风险,推荐使用HMAC-SHA256密文验证模式。
[AR1-ospf-1-area-0.0.0.0]authentication-mode { md5 | hmac-md5 | hmac-sha256 } [ key-id { plain plain-text | [ cipher ] cipher-text } ]
//配置OSPF区域的验证模式。
[AR1-ospf-1-area-0.0.0.0] authentication-mode keychain keychain-name
//配置OSPF区域的Keychain验证模式。
说明:
使用Keychain验证模式,需要在系统视图下配置Keychain信息。必须保证本端ActiveSendKey和对端ActiveRecvKey的key-id、algorithm、key-string相同,才能建立OSPF邻居。