OSPF大型实验
实验拓扑图
实验思路
1、R4为ISP,其上只配置IP地址;R4与其他所直连设备间均使用公有IP;
2、R3-R5、R6、R7为MGRE环境,R3为中心站点;
3、整个OSPF环境IP基于172.16.0.0/16划分;除了R12有两个环回,其他路由器均有一个环回IP
4、所有设备均可访问R4的环回;
5、减少LSA的更新量,加快收敛,保障更新安全;
6、全网可达.
1.首先我们要进行网段的划分,根据区域划分网段,实验图又6个区域。
#### 172.16.0.0/16---划分网段
先分为6个区域,避免网段汇总麻烦。
172.16.**000** 0 0000.0/19---- 172.16.0.0/19 区域
172.16.**001** 0 0000.0/19---172.16.32.0/19 区域1
172.16.**010** 0 0000.0/19--172.16.64.0/19 区域2
172.16.**011** 0 0000.0/19---172.16.96.0/19 区域3
172.16.**100** 0 0000.0/19---172.16.128.0/19 区域4
172.16.**101** 0 0000.0/19--172.16.160/19 RIP
##### 172.16.0.0/19 区域0
用户地址:
172.16.0.0/24--P2P
172.16.1.0/24--MA
172.16.2.0/24--R4(环回)
172.16.3.0/24--R5(环回)
172.16.4.0/24--R6(环回)
172.16.5.0/24--R7(环回)
172.16.6.0/24--隧道
##### 172.16.32.0/19 区域1
用户地址:
172.16.32.0/24--P2P
172.16.33.0/24--MA(环回)
172.16.34.0/24--R1(环回)
172.16.35.0/24--R2(环回)
172.16.36.0/24--R3(环回)
##### 172.16.64.0/19 区域2
172.16.64.0/24--P2P
172.16.65.0/24--MA
172.16.65.0/30
172.16.65.4/30
172.16.66.0/24--R11(环回)
##### 172.16.96.0/19 区域3
172.16.96.0/24--P2P
172.16.97.0/24--MA
172.16.97.0/30--
172.16.97.4/30--
172.16.98.0/24--R8(环回)
##### 172.16.128.0/19 区域4
172.16.128.0/24--P2P
172.16.129.0/24--MA
172.16.129.0/30
172.16.130.0/24--R9(环回)
172.16.131.0/24--R10(环回)
##### 172.16.160/19 RIP
L0:172.16.160.0/24
L1:172.16.161.0/24
2.对于全网可达
- 先配置私网配置,用ospf配置区域,进行网段宣告,对于域外路由RIP,我们用ospf路由引入技术,以及特殊区域4,采用多进程配置,进行路由引入。
- 公网ping通,在区域0中用缺省路由,用R3为例,[R3]ip route-static 0.0.0.0 0 172.16.33.3。
- 公网互相ping通后,为
3.R3-R5、R6、R7为MGRE环境,R3为中心站点,
首先建立隧道口,在隧道口下,配置隧道IP地址,以及隧道协议,进行源宣告,创建nhrp区域,以及中心站点的为广播开启,分站点的中心站点网段和接口的引入。
同时为了,在建立隧道后,确保ospf路由表学习不完全,要在中心站点隧道口建立为广播类型,以及防止分部之间DR/BDR选举混乱,也要在隧道下中取消用dr选举。
4.采用esay IP 制定172.16.0.0/24网段能够通过,再用NAT在接口下进行outbound
也要注意,这还是ping不通公网的环回口,这是因为私网并没有走向公网的环回路由:1.手动配置缺省路由2.配置特殊区域,自动缺省。
5.减少LSA更新量
1..减少路由条目,进行手动进行缺省,在边界路由器以及NASB配置。
2.设置特殊区域,自动优化路由。
6.加快收敛,保障更新安全;更改hello包时间,配置用户登路密码。
IP配置
[R1-GigabitEthernet0/0/0]ip ad 172.16.33.1 24
[R1-LoopBack0]ip ad 172.16.34.1 24
[R2-GigabitEthernet0/0/0]ip ad 172.16.33.2 24
[R2-LoopBack0]ip ad 172.16.35.2 24
[R3-GigabitEthernet0/0/0]ip ad 172.16.33.3 24
[R3-LoopBack0]ip ad 172.16.36.3 24
[R3-Serial4/0/0]ip ad 34.0.0.3 24
[R4-Serial4/0/0]ip ad 34.0.0.4 24
[R4-Serial4/0/1]ip ad 45.0.0.4 24
[R4-Serial3/0/0]ip ad 46.0.0.4 24
[R4-GigabitEthernet0/0/0]ip ad 47.0.0.4 24
[R4-LoopBack0]ip ad 172.16.2.4 24
[R5-Serial4/0/0]ip ad 45.0.0.5 24
[R5-LoopBack0]ip ad 172.16.3.5 24
[R6-Serial4/0/0]ip ad 46.0.0.6 24
[R6-GigabitEthernet0/0/0]ip ad 172.16.65.1 30
[R6-LoopBack0]ip ad 172.16.4.6 24
[R7-GigabitEthernet0/0/0]ip ad 47.0.0.7 24
[R7-LoopBack0]ip ad 172.16.5.7 24
[R7-GigabitEthernet0/0/1]ip ad 172.16.97.1 30
[R8-GigabitEthernet0/0/0]ip ad 172.16.97.2 30
[R8-GigabitEthernet0/0/1]ip ad 172.16.97.5 30
[R8-LoopBack0]ip ad 172.16.66.8 24
[R9-GigabitEthernet0/0/0]ip ad 172.16.97.6 30
[R9-GigabitEthernet0/0/1]ip ad 172.16.129.1 30
[R9-LoopBack0]ip ad 172.16.130.9 24
[R10-GigabitEthernet0/0/0]ip ad 172.16.129.2 30
[R10-LoopBack0]ip ad 172.16.131.1 24
[R11-GigabitEthernet0/0/0]ip ad 172.16.65.2
30
[R11-GigabitEthernet0/0/1]ip ad 172.16.65.5 30
[R11-LoopBack0]ip ad 172.16.66.11 24
[R12-GigabitEthernet0/0/0]ip ad 172.16.65.6 30
[R12-LoopBack0]ip ad 172.16.160.12 24
[R12-LoopBack1]ip ad 172.16.161.12 24实验配置
1.内网配置
区域1
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]a 1
[R1-ospf-1-area-0.0.0.1]ne 172.16.33.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]ne 172.16.34.0 0.0.0.255
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]a 1
[R2-ospf-1-area-0.0.0.1]ne 172.16.33.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]ne 172.16.35.0 0.0.0.255
[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]a 1
[R3-ospf-1-area-0.0.0.1]ne 172.16.33.0 0.0.0.255
[R3-ospf-1-area-0.0.0.1]ne 172.16.36.0 0.0.0.255
区域0
[R4]ospf 1 router-id 4.4.4.4
[R4-ospf-1]a 0
[R4-ospf-1-area-0.0.0.0]ne 172.16.2.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]
[R5]ospf 1 router-id 5.5.5.5
[R5-ospf-1]a 0
[R5-ospf-1-area-0.0.0.0]ne 172.16.3.0 0.0.0.255
[R6]ospf 1 router-id 6.6.6.6
[R6-ospf-1]a 0
[R6-ospf-1-area-0.0.0.0]ne 172.16.4.0 0.0.0.255
[R7]ospf 1 router-id 7.7.7.7
[R7-ospf-1]a 0
[R7-ospf-1-area-0.0.0.0]ne 172.16.5.0 0.0.0.255区域2
[R6-ospf-1]a 2
[R6-ospf-1-area-0.0.0.2]ne 172.16.65.1 0.0.0.0
[R11]ospf 1 router-id 11.11.11.11
[R11-ospf-1]a 2
[R11-ospf-1-area-0.0.0.2]ne 172.16.65.2 0.0.0.0
[R11-ospf-1-area-0.0.0.2]ne 172.16.65.5 0.0.0.0
[R11-ospf-1-area-0.0.0.2]ne 172.16.66.0 0.0.0.255
[R12]ospf 1 router-id 12.12.12.12
[R12-ospf-1]a 2
[R12-ospf-1-area-0.0.0.2]ne 172.16.65.6 0.0.0.0R12 环回接口处于RIP为ospf域外,若R6要学到172.16.160.0/19
网段,需要采用域外路由引入
[R12]rip 1
[R12-rip-1]v 2
[R12-rip-1]undo summary
[R12-rip-1]ne 172.16.0.0
[R12-rip-1]q
[R12]ospf 1
[R12-ospf-1]import-route ripR6
区域3
[R7-ospf-1]a 3
[R7-ospf-1-area-0.0.0.3]ne 172.16.97.1 0.0.0.0
[R8]ospf 1 router-id 8.8.8.8
[R8-ospf-1]a 3
[R8-ospf-1-area-0.0.0.3]ne 172.16.97.2 0.0.0.0
[R8-ospf-1-area-0.0.0.3]ne 172.16.97.5 0.0.0.0
[R8-ospf-1-area-0.0.0.3]ne 172.16.98.0 0.0.0.255
[R9]ospf 1 router-id 9.9.9.9
[R9-ospf-1]a 3
[R9-ospf-1-area-0.0.0.3]ne 172.16.97.6 0.0.0.0
区域4:为特殊区域,应该建立多进程进行引入。
[R9]ospf 1 router-id 9.9.9.9
[R9-ospf-1]a 3
[R9-ospf-1-area-0.0.0.3]ne 172.16.97.6 0.0.0.0
[R9]ospf 2 router-id 9.9.9.9
[R9-ospf-2]a 4
[R9-ospf-2-area-0.0.0.4]ne 172.16.129.1 0.0.0.0
[R9-ospf-2-area-0.0.0.4]ne 172.16.130.0 0.0.0.255
[R10]ospf 2 router-id 10.10.10.10
[R10-ospf-2]a 4
[R10-ospf-2-area-0.0.0.4]ne 172.16.129.2 0.0.0.0
[R10-ospf-2-area-0.0.0.4]ne 172.16.131.0 0.0.0.255
2.公网配置
[R3]ip route-static 0.0.0.0 0 34.0.0.4
[R5]ip route-static 0.0.0.0 0 45.0.0.4
[R6]ip route-static 0.0.0.0 0 46.0.0.4
[R7]ip route-static 0.0.0.0 0 47.0.0.4
3.隧道配置
总部
[R3-Tunnel0/0/0]ip ad 172.16.6.3 24
[R3-Tunnel0/0/0]tunnel-protocol gre p2mp
[R3-Tunnel0/0/0]source 34.0.0.3
[R3-Tunnel0/0/0]nhrp network-id 100
[R3-Tunnel0/0/0]nhrp entry multicast dynamic
分部
[R5]int t0/0/0
[R5-Tunnel0/0/0]ip ad 172.16.6.5 24
[R5-Tunnel0/0/0]tunnel-protocol gre p2mp
[R5-Tunnel0/0/0]source Serial 4/0/0
[R5-Tunnel0/0/0]nhrp network-id 100
[R5-Tunnel0/0/0]nhrp entry 172.16.6.3 34.0.0.3 register
[R6]int t0/0/0
[R6-Tunnel0/0/0]ip ad 172.16.6.6 24
[R6-Tunnel0/0/0]tunnel-protocol gre p2mp
[R6-Tunnel0/0/0]source Serial 4/0/0
[R6-Tunnel0/0/0]nhrp network-id 100
[R6-Tunnel0/0/0]nhrp entry 172.16.6.3 34.0.0.3 register
[R7]int t0/0/0
[R7-Tunnel0/0/0]ip ad 172.16.6.7 24
[R7-Tunnel0/0/0]tunnel-protocol gre p2mp
[R7-Tunnel0/0/0]source GigabitEthernet 0/0/0
[R7-Tunnel0/0/0]nhrp network-id 100
[R7-Tunnel0/0/0]nhrp entry 172.16.6.3 34.0.0.3 register
[R3-ospf-1]a 0
[R3-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255
进行宣告隧道口
[R3-ospf-1]a 0
[R3-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255
[R5-ospf-1]a 0
[R5-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255
[R6-ospf-1]a 0
[R6-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255
[R7-ospf-1]a 0
[R7-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255
更改网络中tunnel接口类型为广播或者P2MP
[R3-Tunnel0/0/0]ospf network-type broadcast
[R5-Tunnel0/0/0]ospf network-type broadcast
[R6-Tunnel0/0/0]ospf network-type broadcast
[R7-Tunnel0/0/0]ospf network-type broadcastDR和BDR选举混乱,无法正常建邻
[R2-Tunnel0/0/0]ospf dr-priority 0
[R3-Tunnel0/0/0]ospf dr-priority 0
[R4-Tunnel0/0/0]ospf dr-priority 0
查看关键路由表路由邻居表
在R10和R12查看路由表信息
通过ping命令,能够到达
4.访问公网环回口
采用esay IP 制定172.16.0.0/24网段能够通过,再用NAT在接口下进行outbound
[R3-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[R3]int s4/0/0
[R3-Serial4/0/0]nat outbound 2000
[R5]acl 2000
[R5-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[R5-acl-basic-2000]q
[R5]int s4/0/0
[R5-Serial4/0/0]nat outbound 2000
[R6]acl 2000
[R6-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[R6-acl-basic-2000]q
[R6]int s4/0/0
[R6-Serial4/0/0]nat outbound 2000
[R7]acl 2000
[R7-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[R7-acl-basic-2000]q
[R7]int g0/0/0
[R7-GigabitEthernet0/0/0]nat outbound 2000
配置完成,但R1并不能访问公网环回,主要原因是R1私网网段并没有,所以需要在R3上进行路由缺省,把R1网段引入到R3上,访问到公网环回,解决办法如下:
1.手动配置默认缺省,
[R1]ip route-static 0.0.0.0 0 172.16.33.3
2.通过设置默认特殊区域,自动缺省。
5.减少LSA的更新量
减少LSA更新量,减少路由条目,进行手动进行缺省,在边界路由器以及NASB配置。
[R3]ospf 1
[R3-ospf-1-area-0.0.0.0]q
[R3-ospf-1]a 1
[R3-ospf-1-area-0.0.0.1]abr-summary 172.16.32.0 255.255.224.0
[R6]ospf 1
[R6-ospf-1]a 2
[R6-ospf-1-area-0.0.0.2]abr-summary 172.16.64.0 255.255.224.0
[R12]ospf 1
[R12-ospf-1]asbr-summary 172.16.168.0 255.255.224.0
[R7]ospf 1
[R7-ospf-1]a 3
[R7-ospf-1-area-0.0.0.3]abr-summary 172.16.96.0 255.255.224.0
[R9]ospf 1
[R9-ospf-1]asbr-summary 172.16.128.0 255.255.224.0查看汇总结果
172.16.65.4/30网段,在RIP以主类宣告,被宣进了,RIP域外路由是由五类LSA传输,所以172.16.65.4/30以五类宣告。
1.设置特殊区域,自动优化路由。
区域1为stub区域:
[R1]ospf 1
[R1-ospf-1]a 1
[R1-ospf-1-area-0.0.0.1]stub no-summary
[R2]ospf 1
[R2-ospf-1]a 1
[R2-ospf-1-area-0.0.0.1]stu no-summary
[R3]ospf 1
[R3-ospf-1]a 1
[R3-ospf-1-area-0.0.0.1]stub no-summary
区域2 nssa:
[R6]ospf 1
[R6-ospf-1]a 2
[R6-ospf-1-area-0.0.0.2] nssa no-summary
[R11]ospf 1
[R11-ospf-1]a 2
[R11-ospf-1-area-0.0.0.2]nssa no-summary
[R12]ospf 1
[R12-ospf-1]a 2
[R12-ospf-1-area-0.0.0.2]nssa no-summary
区域3 nssa:
[R7]ospf 1
[R7-ospf-1]a 3
[R7-ospf-1-area-0.0.0.3]nssa no-summary
[R8]ospf 1
[R8-ospf-1]a 3
[R8-ospf-1-area-0.0.0.3]nssa no-summary
[R9]ospf 1
[R9-ospf-1]a 3
[R9-ospf-1-area-0.0.0.3]nssa no-summary查看是否汇总成功
同时也还可以达到私网ping到公网环回
当路由优化,区域1、区域2、区域3都只有默认缺省,区域4就不能够学到其他区域的路由,所以解决方法如下:
在R10上配置默认缺省,下一跳为172.16.129.1
在R9ospf上进行配置缺省
[R9]ospf 2
[R9-ospf-2]default-route-advertise
6.加快收敛,更改路由条目HELLO时间
区域1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ospf timer hello 5
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ospf timer hello 5
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ospf timer hello 5
区域2
[R6]int g0/0/0
[R6-GigabitEthernet0/0/0]ospf timer hello 5
[R11-GigabitEthernet0/0/0]ospf timer hello 5
[R11-GigabitEthernet0/0/0]int g0/0/1
[R11-GigabitEthernet0/0/1]ospf timer hello 5
[R12]int g0/0/0
[R12-GigabitEthernet0/0/0]ospf timer hello 5
区域3
[R7]int g0/0/1
[R7-GigabitEthernet0/0/1]ospf timer hello 5
[R8]int g0/0/0
[R8-GigabitEthernet0/0/0]ospf timer hello 5
[R8-GigabitEthernet0/0/0]int g0/0/1
[R8-GigabitEthernet0/0/1]ospf timer hello 5
[R9]int g0/0/0
[R9-GigabitEthernet0/0/0]ospf timer hello 5
区域4
[R9-GigabitEthernet0/0/0]int g0/0/1
[R9-GigabitEthernet0/0/1]ospf timer hello 5
[R10]int g0/0/0
[R10-GigabitEthernet0/0/0]ospf timer hello 5
7.安全验证:链路两端的接口必须配置一致的密码才能建立邻居关系
区域1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345
区域2
[R6]int g0/0/0
[R6-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345
[R11-GigabitEthernet0/0/0]int g0/0/0
[R11-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345
[R11-GigabitEthernet0/0/0]int g0/0/1
[R11-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 12345
[R12]int g0/0/0
[R12-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456
区域3
[R7]int g0/0/1
[R7-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 12345
[R8]int g0/0/0
[R8-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345
[R8-GigabitEthernet0/0/0]int g0/0/1
[R8-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 12345
[R9]int g0/0/0
[R9-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345
区域4
[R9-GigabitEthernet0/0/0]int g0/0/1
[R9-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 12345
[R10]int g0/0/0
[R10-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345