题目
实验需求
根据上图可得,实验需求为:
1.R5作为ISP:其上只能配置IP地址;R4作为企业边界路由器,出口公网地址需要通过PPP协议获取,并进行CHAP认证。(PS:因PPP协议尚未学习,在此次实验中不使用)
2.每个OSPF邻居ID 基于IP地址172.16.0.0/16划分;
3.所有设备均可访问R5的环回;
4.减少LSA的数量,加快收敛,保障更新安全;
5.全网可达。
实验思路
1.首先确定网络拓扑结构,根据实验需求搭建网络拓扑图,确定每台路由器的接口以及互联关系。
2.子网划分与OSPF配置
基于IP地址划分OSPF邻居ID:
根据IP地址172.16.0.8/16划分OSPF区域,确保每个邻居ID唯一。
配置OSPF路由协议,并在每个路由器上配置相应的网络命令。
3.配置R5作为ISP
4.网络优化
减少LSA数量:
通过合理规划OSPF区域,使用区域划分来减少LSA的数量。
使用路由汇总来减少LSA的数量。
加快收敛:
配置OSPF的快速收敛特性,如调整Hello和Dead间隔。
确保网络中无环路,避免不必要的路由更新。
保障更新安全:
使用OSPF的认证功能,如明文认证或MD5认证,来保障路由更新安全。
5.配置NAT保证私网能正常访问公网
6.确保全网可达
测试连通性:
使用Ping命令测试网络中每个设备之间的连通性。
确认所有设备均能访问R5的环回接口。
实验步骤
子网划分与OSPF配置
子网划分
------对五个区域基于IP地址172.16.0.0进行划分,再对各个区域内进行详细的IP地址划分。
如图:
具体划分如下所示:
172.16.0.0/16
172.16.0.0/19 ----area0
172.16.0.0/24----骨干
172.16.0.0/30----R3-R4
172.16.0.4/30----R4-R6
172.16.0.8/30----R4-R7
45.0.0.0/30----R4-R5
100.1.1.0/24----R5环回
172.16.32.0/19----area1
172.16.32.0/24----R1
172.16.33.0/24----R2
172.16.34.0/24----R3
172.16.35.0/24----骨干
172.16.35.0/29
172.16.64.0/19----area2
172.16.64.0/24----R6环回
172.16.66.0/30----R6-R11
172.16.65.0/24----R11环回
172.16.66.4/30----R11-R12
172.16.96.0/19----area3
172.16.96.0/24----R7环回
172.16.98.0/30----R7-R8
172.16.97.0/24----R8环回
172.16.98.4/30----R8-R9
172.16.128.0/19----area4
172.16.128.0/24----R9环回
172.16.130.0/30----R9-R10
172.16.129.0/24----R10环回
rip
10.1.1.0/24
10.1.2.0/24
配置IP地址同时进行OSPF宣告
PS:R4的S接口是连接公网的,不可宣告!
R1
R2
R3
R4
ISP
R6
R7
R8
R9
R10
R11
R12
OSPF配置
在各个路由器上进行OSPF配置,由于area 4 是远离骨干的特殊区域所以不能直接进行宣告,且由于area 3需要进行优化,所以让R9成为ASBR设备进行双向重发布(不使用Vink是因为使用Vink可能会产生换路问题,且area 3需要优化),在配置R12时顺便将RIP同时进行配置与宣告。
R1
r1\]ospf 1 router-id 1.1.1.1 \[r1-ospf-1\]a 1 \[r1-ospf-1-area-0.0.0.1\]network 172.16.32.1 0.0.0.0 \[r1-ospf-1-area-0.0.0.1\]network 172.16.35.1 0.0.0.0
R2
r2\]ospf 1 rou \[r2\]ospf 1 router-id 2.2.2.2 \[r2-ospf-1\]a 1 \[r2-ospf-1-area-0.0.0.1\]network 172.16.33.1 0.0.0.0 \[r2-ospf-1-area-0.0.0.1\]network 172.16.35.2 0.0.0.0
R3
r3\]ospf 1 rou \[r3\]ospf 1 router-id 3.3.3.3 \[r3-ospf-1\]a 1 \[r3-ospf-1-area-0.0.0.1\]network 172.16.35.3 0.0.0.0 \[r3-ospf-1-area-0.0.0.1\]network 172.16.34.1 0.0.0.0 \[r3-ospf-1-area-0.0.0.0\]network 172.16.0.1 0.0.0.0
R4
r4\]ospf 1 router-id 4.4.4.4 \[r4-ospf-1\]a 0 \[r4-ospf-1-area-0.0.0.0\]network 172.16.0.2 0.0.0.0 \[r4-ospf-1-area-0.0.0.0\]network 172.16.0.5 0.0.0.0 \[r4-ospf-1-area-0.0.0.0\]network 172.16.0.9 0.0.0.0
R6
r6\]ospf 1 router-id 6.6.6.6 \[r6-ospf-1\]a 0 \[r6-ospf-1-area-0.0.0.0\]network 172.16.0.6 0.0.0.0 \[r6-ospf-1-area-0.0.0.2\]network 172.16.66.1 0.0.0.0 \[r6-ospf-1-area-0.0.0.2\]network 172.16.64.1 0.0.0.0
R7
r7\]ospf 1 router-id 7.7.7.7 \[r7-ospf-1\]a 0 \[r7-ospf-1-area-0.0.0.0\]network 172.16.0.10 0.0.0.0 \[r7-ospf-1\]a 3 \[r7-ospf-1-area-0.0.0.3\]network 172.16.96.1 0.0.0.0 \[r7-ospf-1-area-0.0.0.3\]network 172.16.98.1 0.0.0.0
R8
r8\]ospf 1 router-id 8.8.8.8 \[r8-ospf-1\]a 3 \[r8-ospf-1-area-0.0.0.3\]network 172.16.98.2 0.0.0.0 \[r8-ospf-1-area-0.0.0.3\]network 172.16.97.1 0.0.0.0 \[r8-ospf-1-area-0.0.0.3\]network 172.16.98.5 0.0.0.0
R9
r9\]ospf 2 router-id 9.9.9.9 \[r9-ospf-2\]area 4 \[r9-ospf-2-area-0.0.0.4\]network 172.16.128.1 0.0.0.0 \[r9-ospf-2-area-0.0.0.4\]network 172.16.130.1 0.0.0.0
R10
r10\]ospf 1 router-id 10.10.10.10 \[r10-ospf-1\]a 4 \[r10-ospf-1-area-0.0.0.4\]network 172.16.129.1 0.0.0.0 \[r10-ospf-1-area-0.0.0.4\]network 172.16.130.2 0.0.0.0
R11
r11\]ospf 1 router-id 11.11.11.11 \[r11-ospf-1\]a 2 \[r11-ospf-1-area-0.0.0.2\]network 172.16.65.1 0.0.0.0 \[r11-ospf-1-area-0.0.0.2\]network 172.16.66.5 0.0.0.0
R12
r12\]ospf 1 router-id 12.12.12.12 \[r12-ospf-1\]a 2 \[r12-ospf-1-area-0.0.0.2\]network 172.16.66.6 0.0.0.0 \[r12-rip-1\]ver 2 \[r12-rip-1\]network 10.0.0.0
检查OSPF邻居
R1
R2
R3
R4
R6
R7
R8
R9
R10
R11
R12
连通性测试
由于该实验设备太多,故我们举例 测试,不展示所有设备的测试
R1pingR3的环回
R3pingR6的环回
配置缺省路由
R4
在R4上配置一条0.0.0.0的缺省路由指向R5的 4/0/0方向
R4\]ip route-static 0.0.0.0 0 45.0.0.2
通过pingR5的环回检测是否可通,可通则没问题
PS :当前不用急着去下放R4的缺省路由,因为下放路由操作是在**私网全部做完(优化后)**时再去下放
OSPF优化部分
路由汇总
域间路由汇总
因为域间路由汇总是针对骨干区域(area 0)的优化,所以配置域间路由汇总的应该是与area 0直连(直接相连的)的区域,即区域1、2、3;那么则在这三个区域的ABR上进行配置:
Area 1的ABR
r3\]ospf 1 \[r3-ospf-1\]a 1 ---配置路由汇总在区域1做的原因是因为R3上的明细路由是通过区域1的1/2类LSA学到的 \[r3-ospf-1-area-0.0.0.1\]abr-summary 172.16.64.0 255.255.224.0
Area 2的ABR
r6\]ospf 1 \[r6-ospf-1\]a 2 \[r6-ospf-1-area-0.0.0.2\]abr-summary 172.16.64.0 255.255.224.0
Area 3的ABR
r7\]ospf 1 \[r7-ospf-1\]a 3 \[r7-ospf-1-area-0.0.0.3\]abr-summary 172.16.96.0 255.255.224.0
查表
在R4上查OSPF表,发现三个区域已经汇总
域外路由汇总
非直连的远离骨干区域则为域外路由汇总
RIP区域的ASBR
r12\]ospf 1 \[r12-ospf-1\]asbr-summary 10.1.0.0 255.255.252.0
OSPF 2区域的ASBR
r9\]ospf 1 \[r9-ospf-1\]asbr-summary 172.16.128.0 255.255.224.0
查表
在R4上查OSPF表,发现RIP区域和OSPF 2区域都已汇总
做特殊区域
区域1可以做成完全末梢区域、区域2可以做成完全NSSA区域、区域3也可以做成完全NSSA区域、区域4则不能做特殊区域(因为区域4上ospf 2的骨干区域 !骨干区域不能做成特殊区域!!!)
Area 1
----- R1 -----
r1\]ospf 1 \[r1-ospf-1\]a 1 \[r1-ospf-1-area-0.0.0.1\]stub ----- R2 ----- \[r2\]ospf 1 \[r2-ospf-1\]a 1 \[r2-ospf-1-area-0.0.0.1\]stub ----- R3 ----- \[r3\]ospf 1 \[r3-ospf-1\]a 1 \[r3-ospf-1-area-0.0.0.1\]stub no-summary
Area 2
----- R6 -----
r6\]ospf 1 \[r6-ospf-1\]a 2 \[r6-ospf-1-area-0.0.0.2\]nssa no-summary ----- R11 ----- \[r11\]ospf 1 \[r11-ospf-1\]a 2 \[r11-ospf-1-area-0.0.0.2\]nssa ----- R12 ----- \[r12\]ospf 1 \[r12-ospf-1\]a 2 \[r12-ospf-1-area-0.0.0.2\]nssa
Area 3
----- R7 -----
r7\]ospf 1 \[r7-ospf-1\]a 3 \[r7-ospf-1-area-0.0.0.3\]nssa no-summary ----- R8 ----- \[r8\]ospf 1 \[r8-ospf-1\]a 3 \[r8-ospf-1-area-0.0.0.3\]nssa ----- R9 ----- \[r9\]ospf 1 \[r9-ospf-1\]a 3 \[r9-ospf-1-area-0.0.0.3\]nssa
查表
在R2/12/9上
做完特殊区域后的缺省下放
在R9上下放缺省(OSPF 2)
----- R9 -----
r9\]ospf 2 \[r9-ospf-2\]default-route-advertise
下放完毕,我们在R10上查看是否有缺省路由
有,则下方成功
但因为有了缺省,R10能通过缺省获取R9的所有路由,所以R9上的一个重发布就不用执行了,故我们undo一下
r9-ospf-2\]undo import-route ospf 1
在R4上下放缺省
目前我们做完了私网的所有包括优化,所以我们可以正式下放缺省路由了
r4\]ospf 1 \[r4-ospf-1\]default-route-advertise
那么这样对于与R4直连的区域而言,就有了缺省,下面举例R3的查表:
加快收敛配置
修改network-type类型
加快收敛操作即把此图的多个两个端点链路修改成P2P类型,如遇一点对多点,则修改为P2MP类型即可,因为P2P不需要选举DR和BDR,这样即可加快收敛
----- R3-R1/2 -----
r3\]int g0/0/0 \[r3-GigabitEthernet0/0/0\]ospf network-type p2mp \[r1\]int g0/0/0 \[r1-GigabitEthernet0/0/0\]ospf network-type p2mp \[r2\]int g0/0/0 \[r2-GigabitEthernet0/0/0\]ospf network-type p2mp ----- R3-R4 ----- \[r3\]int g0/0/1 \[r3-GigabitEthernet0/0/1\]ospf network-type p2p \[r4\]int g0/0/1 \[r4-GigabitEthernet0/0/1\]ospf network-type p2p ----- R4-R6 ----- \[r4\]int g0/0/2 \[r4-GigabitEthernet0/0/2\]ospf network-type p2p \[r6\]int g0/0/1 \[r6-GigabitEthernet0/0/1\]ospf network-type p2p ----- R4-R7 ----- \[r4\]int g0/0/0 \[r4-GigabitEthernet0/0/0\]ospf network-type p2p \[r7\]int g0/0/0 \[r7-GigabitEthernet0/0/0\]ospf network-type p2p ----- R6-R11 ----- \[r6\]int g0/0/0 \[r6-GigabitEthernet0/0/0\]ospf network-type p2p \[r11\]int g0/0/0 \[r11-GigabitEthernet0/0/0\]ospf network-type p2p ----- R11-R12 ----- \[r11-GigabitEthernet0/0/0\]int g0/0/1 \[r11-GigabitEthernet0/0/1\]ospf network-type p2p \[r12\]int g0/0/0 \[r12-GigabitEthernet0/0/0\]ospf network-type p2p ----- R7-R8 ----- \[r7\]int g0/0/1 \[r7-GigabitEthernet0/0/1\]ospf network-type p2p \[r8\]int g0/0/0 \[r8-GigabitEthernet0/0/0\]ospf network-type p2p ----- R8-R9 ----- \[r8-GigabitEthernet0/0/0\]int g0/0/1 \[r8-GigabitEthernet0/0/1\]ospf network-type p2p \[r9\]int g0/0/0 \[r9-GigabitEthernet0/0/0\]ospf network-type p2p ----- R9-R10 ----- \[r9\]int g0/0/1 \[r9-GigabitEthernet0/0/1\]ospf network-type p2p \[r10\]int g0/0/0 \[r10-GigabitEthernet0/0/0\]ospf network-type p2p
修改hello时间
改完network-type后确实加快了收敛,但是P2P和P2MP类型的hello时间和dead时间是比ospf原本的要长的,所以为了完成加快收敛的要求,我们还要修改其hello与dead时间(但修改只用改hello时间,因为dead时间随hello时间变化,无需修改)
由于修改hello时间的配置思路与上面的"修改network-type类型"思路类似,所以这里就只展示R3-R1/2区域的修改配置指令,其余路由器配置同理,不做赘述
----- R3-R1/2 -----
r1\]int g0/0/0 \[r1-GigabitEthernet0/0/0\]ospf timer hello 10 -- hello时间统一修改成10s,如还想再快,缩短时间即可 \[r2\]int g0/0/0 \[r2-GigabitEthernet0/0/0\]ospf timer hello 10 \[r3\]int g0/0/0 \[r3-GigabitEthernet0/0/0\]ospf timer hello 10
配置OSPF认证
一般情况下,ospf的认证只在骨干区域0配置即可,故我们在此只配置区域0的
----- Area 0 -----
r4\]ospf 1 \[r4-ospf-1\]a 0 \[r4-ospf-1-area-0.0.0.0\]authentication-mode md5 1 cipher 123456 \[r3\]ospf 1 \[r3-ospf-1\]a 0 \[r3-ospf-1-area-0.0.0.0\]authentication-mode md5 1 cipher 123456 \[r6\]ospf 1 \[r6-ospf-1\]a 0 \[r6-ospf-1-area-0.0.0.0\]authentication-mode md5 1 cipher 123456 \[r7\]ospf 1 \[r7-ospf-1\]a 0 \[r7-ospf-1-area-0.0.0.0\]authentication-mode md5 1 cipher 123456
保障更新安全
通过设置密码来保障更新安全
配置NAT
配置NAT来访问外网环境
r4\]acl 2000 \[r4-acl-basic-2000\]rule permit source 172.16.0.0 0.0.255.255 \[r4\]int s4/0/1 \[r4-Serial4/0/1\]nat outbound 2000
R1pingISP
R10的环回上进行ping测试
都可通,则配置无误
至此,整个OSPF综合实验配置完毕。
如有错误,请多指正。