首先进行IP地址的配置,将所有IP配好,记得在每个路由器上进行检查:dis ip int b,当我们把ip配好后,先将公网弄通,因为比较简单,而且MGRE也是在公网上进行的。
在区域一的所有abr设备(链接公私网的路由器)进行静态缺省。
公网通配置如下:
可以看到公网已经通了。
下面进行MGRE的配置,因为可以通过MGRE将其连接起来,相当于总部和分部之间的互通,R3为中心站点,其余abr为分支站点。
MGRE配置如下:
然后在r3查看一下注册情况:
虽然注册了,但是r3没有开启伪广播功能,这就会导致有些分支站点学习不全的情况,因此需要打开nhrp的伪广播:
至此,MGRE算是成功了。
接下来就要将私网的路由相互传递了,我们用ospf和rip以及ospf进程2进行配置:
区域一:
查看一下邻居是否起来:
接下来是区域零:
区域二:
rip:
然后要将RIP的路由引入到OSPF中:
引入rip之后,可以在R11上看到已经学到了rip的路由了,这里需要注意一下,没有必要在R12上引入ospf,因为R12后面没有任何路由器或者网段,将ospf引入没有人能学,因此就不需要引入了。
区域三:
区域四要在ospf进程2中去配置:
重发布:
然后在r8上看看是否学到进程2的路由:
可以看到已经学到了。
至此,ospf,rip,都配置完成了,按理说处在区域0的r5设备上应该要有所有人的路由,我们可以看一下:
但我们发现,少得可怜,这是因为基于ospf环境下的MGRE隧道接口类型是p2p和DR,BDR选举混乱导致的,我们需要修改接口类型,和干预选举:
修改接口类型和分支站点不参与选举:
然后再看r5路由:
我们ping一下测试:
做到这里,我们将总部与分部之间都打通了。
接下来就要做公网与私网的互通了,在内外网出口的路由器上做NAT(需要注意的是,r5也需要做NAT,虽然哪怕不做NAT,r5也能ping通R4的环回,这是因为直连导致的,也不定r5以后有其他网段的接入):
我们做了nat后,只有边界路由器能上网(与r4直连),其他的都不行,因为没有回去的路由,都能找到r4,但是r4想回包却不行,因此,需要在边界路由器上做默认缺省,但这条默认路由不用现在配,等做了特殊区域就会有的
现在我们要减少LSA更新量,减少路由表条目,加速收敛,保证更新安全
首先做路由聚合,在所有abr和asbr设备上做聚合:
abr:
asbr:
我们看一下r5的路由表:
我们发现这个不对劲,没有汇总,这是因为rip主类宣告,将这条本该是ospf域中的网段(R12的G0/0/0口)宣告到了rip中,相当于rip又宣告了一遍。
然后做特殊区域:
区域一的完全末梢:
此时我们可以看看r2上的路由表:
并且由于有了三类的缺省,r2就可以上网了:
区域二的完全NSSA:
此时可以看一下r11的路由表和lsdb表,并且有了缺省,可以上网了
区域三完全nssa:
此时也可以上网
但是r10不能上网,我们查看r10的路由表:
这是因为其他特殊区域都有缺省,唯独r4没有缺省,并且学不到其他区域的路由,因此需要在r10上做一条默认缺省指向r9,r9有缺省能指向r7:
此时就可以上网了:
加速收敛,我们要修改hello时间:
在接口下进行,每个路由器的接口都要改:
区域一:
r2,r3在区域一的配置都和上述一样。
区域0:
要在隧道接口上修改,同样每个都要改:
区域二,三都一样,唯独区域四上的hello时间不能改,改了就不能上网了。因为ospf优化是针对ospf域内的,虽然区域四运行的ospf进程二,但实际上,相当于域外。
最后,保证安全更新,我们要做的就是在汇总的网段上做空接口防环,和认证(区域认证和接口认证都行):
防环:
在R3,R6,R12,R7,R9上:
接着做接口认证:
只在ospf域中的接口中做,区域0在tunnel口做:
至此,实验结束