实验需求
1、R4为ISP,其上只能配置IP地址;R4与其他所有直连设备间使用公有IP
2、R3---R5/6/7为MGRE环境,R3为中心站点
3、整个OSPF环境IP地址为172.16.0.0/16
4、所有设备均可访问R4的环回
5、减少LSA的更新量,加快收敛,保障更新安全
6、全网可达
实验拓扑
实验分析
1. R4为ISP,所以a0为R1、R5、R6、R7所搭建的MGRE环境
2. 为了方便汇总减少路由,需要提前合理规划ip地址
3. R3、R5、R6、R7均需写到R4的缺省
4. 创建一个星型结构的MGRE环境,以R3为中心站点
5. 要减少LSA更新量,汇总和配置特殊区域,汇总时看需求写空接口防止环路
6. 配置计时器加快收敛
7. 区域认证保证更新安全
8. 私网访问公网需要配置nat
实验配置
1. 配置各个路由器的接口及ip地址,具体配置如拓扑图
2. 搭建中心区域MGRE环境
2.1 在R3/5/6/7上写到R4的缺省路由
[R3]ip route-static 0.0.0.0 0.0.0.0 172.16.48.2
[R5]ip route-static 0.0.0.0 0.0.0.0 172.16.52.2
[R6]ip route-static 0.0.0.0 0.0.0.0 172.16.56.2
[R7]ip route-static 0.0.0.0 0.0.0.0 172.16.60.2
2.2 在R3/5/6/7上创建隧道接口,将R3设为中心站点,其他设为分支站点,并把接口工作模式改为broadcast
R3
R5
R6
R7
查看R3的分支站点表为
3. 配置ospf
a0区域
a1区域
a2区域
a3区域
a4区域
自此可实现全网互通
4. 在R3/6/7/9/12上写域间汇总
R3
[R3]ospf 1
[R3-ospf-1]area 1
[R3-ospf-1-area-0.0.0.1]abr-summary 172.16.0.0 255.255.224.0
R6
[R6]ospf 1
[R6-ospf-1]area 2
[R6-ospf-1-area-0.0.0.2]abr-summary 172.16.64.0 255.255.224.0
R7
[R7]ospf 1
[R7-ospf-1]area 3
[R7-ospf-1-area-0.0.0.3]abr-summary 172.16.96.0 255.255.224.0
R9
先做重发布,再汇总
[R9]ospf 1
[R9-ospf-1]import-route ospf 2
[R9]ospf 2
[R9-ospf-2]import-route ospf 1
[R7]ospf 1
[R7-ospf-1]area 3
[R7-ospf-1-area-0.0.0.3]abr-summary 172.16.96.0 255.255.224.0
[R7]ospf 2
[R7-ospf-2]area 4
[R7-ospf-2-area-0.0.0.4]abr-summary 172.16.128.0 255.255.224.0
R12
先重发布,再汇总
[R12]ospf 1
[R12-ospf-1]import-route rip 重发布
[R12-ospf-1]asbr-summary 172.16.160.0 255.255.224.0
5. 配置特殊区域
a1配置为完全末梢区域,a2、a3配置为完全NSSA区域
5.1 a1区域配置
[R3-ospf-1-area-0.0.0.1]stub no-summary
[R1-ospf-1-area-0.0.0.1]stub
[R2-ospf-1-area-0.0.0.1]stub
5.2 a2区域配置
[R6-ospf-1-area-0.0.0.1]nssa no-summary
[R11-ospf-1-area-0.0.0.1]stub
[R12-ospf-1-area-0.0.0.1]stub
5.3 a3区域配置
[R7-ospf-1-area-0.0.0.1]nssa no-summary
[R8-ospf-1-area-0.0.0.1]nssa
[R9-ospf-1-area-0.0.0.1]nssa
6. 在R10上写一条缺省指向R9
[R10]ip route-static 0.0.0.0 0 172.16.144.1
7. 为各个区域做区域认证
以a1为例,区域内每个路由器都要写
[R3]ospf 1
[R3-ospf-1]area 1
[R3-ospf-1-area-0.0.0.1]authentication-mode md5 1 cipher 123456
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]authentication-mode md5 1 cipher 123456
[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]authentication-mode md5 1 cipher 123456
8. 配置计时器加快收敛
以a1区域为例,相连的每个接口都要写
[R1]int g 0/0/0
[R1-GigabitEthernet0/0/0]ospf timer hello 8
[R2]int g 0/0/0
[R2-GigabitEthernet0/0/0]ospf timer hello 8
[R3]int g 0/0/0
[R3-GigabitEthernet0/0/0]ospf timer hello 8
9. 私网访问公网,在R3/6/7上配置nat
R3
[R3]acl 2000
[R3-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[R3-acl-basic-2000]int g0/0/1
[R3-GigabitEthernet0/0/0]nat outbound 2000
R6
[R6]acl 2000
[R6-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[R6-acl-basic-2000]int g0/0/0
[R6-GigabitEthernet0/0/0]nat outbound 2000
R7
[R7]acl 2000
[R7-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[R7-acl-basic-2000]int g0/0/0
[R7-GigabitEthernet0/0/0]nat outbound 2000
验证
全网可达
查看R5路由表
game over