OSPF大型实验

OSPF大型实验

实验拓扑图

实验思路

1、R4为ISP，其上只配置IP地址；R4与其他所直连设备间均使用公有IP；

2、R3-R5、R6、R7为MGRE环境，R3为中心站点；

3、整个OSPF环境IP基于172.16.0.0/16划分；除了R12有两个环回，其他路由器均有一个环回IP

4、所有设备均可访问R4的环回；

5、减少LSA的更新量，加快收敛，保障更新安全；

6、全网可达.

1.首先我们要进行网段的划分，根据区域划分网段，实验图又6个区域。

#### 172.16.0.0/16---划分网段

先分为6个区域，避免网段汇总麻烦。

172.16.**000** 0 0000.0/19---- 172.16.0.0/19 区域

172.16.**001** 0 0000.0/19---172.16.32.0/19 区域1

172.16.**010** 0 0000.0/19--172.16.64.0/19 区域2

172.16.**011** 0 0000.0/19---172.16.96.0/19 区域3

172.16.**100** 0 0000.0/19---172.16.128.0/19 区域4

172.16.**101** 0 0000.0/19--172.16.160/19 RIP

##### 172.16.0.0/19 区域0

用户地址：

172.16.0.0/24--P2P

172.16.1.0/24--MA

172.16.2.0/24--R4（环回）

172.16.3.0/24--R5（环回）

172.16.4.0/24--R6（环回）

172.16.5.0/24--R7（环回）

172.16.6.0/24--隧道

##### 172.16.32.0/19 区域1

用户地址：

172.16.32.0/24--P2P

172.16.33.0/24--MA（环回）

172.16.34.0/24--R1（环回）

172.16.35.0/24--R2（环回）

172.16.36.0/24--R3（环回）

##### 172.16.64.0/19 区域2

172.16.64.0/24--P2P

172.16.65.0/24--MA

172.16.65.0/30

172.16.65.4/30

172.16.66.0/24--R11（环回）

##### 172.16.96.0/19 区域3

172.16.96.0/24--P2P

172.16.97.0/24--MA

172.16.97.0/30--

172.16.97.4/30--

172.16.98.0/24--R8（环回）

##### 172.16.128.0/19 区域4

172.16.128.0/24--P2P

172.16.129.0/24--MA

172.16.129.0/30

172.16.130.0/24--R9（环回）

172.16.131.0/24--R10（环回）

##### 172.16.160/19 RIP

L0:172.16.160.0/24

L1:172.16.161.0/24

2.对于全网可达

先配置私网配置，用ospf配置区域，进行网段宣告，对于域外路由RIP，我们用ospf路由引入技术，以及特殊区域4，采用多进程配置，进行路由引入。
公网ping通,在区域0中用缺省路由，用R3为例，[R3]ip route-static 0.0.0.0 0 172.16.33.3。
公网互相ping通后，为

3.R3-R5、R6、R7为MGRE环境，R3为中心站点，

首先建立隧道口，在隧道口下，配置隧道IP地址，以及隧道协议，进行源宣告，创建nhrp区域，以及中心站点的为广播开启，分站点的中心站点网段和接口的引入。

同时为了，在建立隧道后，确保ospf路由表学习不完全,要在中心站点隧道口建立为广播类型，以及防止分部之间DR/BDR选举混乱，也要在隧道下中取消用dr选举。

4.采用esay IP 制定172.16.0.0/24网段能够通过，再用NAT在接口下进行outbound

也要注意，这还是ping不通公网的环回口，这是因为私网并没有走向公网的环回路由：1.手动配置缺省路由2.配置特殊区域，自动缺省。

5.减少LSA更新量

1..减少路由条目，进行手动进行缺省，在边界路由器以及NASB配置。

2.设置特殊区域，自动优化路由。

6.加快收敛，保障更新安全；更改hello包时间，配置用户登路密码。

IP配置

[R1-GigabitEthernet0/0/0]ip ad 172.16.33.1 24[R1-LoopBack0]ip ad 172.16.34.1 24[R2-GigabitEthernet0/0/0]ip ad 172.16.33.2 24[R2-LoopBack0]ip ad 172.16.35.2 24[R3-GigabitEthernet0/0/0]ip ad 172.16.33.3 24[R3-LoopBack0]ip ad 172.16.36.3 24[R3-Serial4/0/0]ip ad 34.0.0.3 24[R4-Serial4/0/0]ip ad 34.0.0.4 24[R4-Serial4/0/1]ip ad 45.0.0.4 24[R4-Serial3/0/0]ip ad 46.0.0.4 24[R4-GigabitEthernet0/0/0]ip ad 47.0.0.4 24[R4-LoopBack0]ip ad 172.16.2.4 24[R5-Serial4/0/0]ip ad 45.0.0.5 24[R5-LoopBack0]ip ad 172.16.3.5 24[R6-Serial4/0/0]ip ad 46.0.0.6 24[R6-GigabitEthernet0/0/0]ip ad 172.16.65.1 30[R6-LoopBack0]ip ad 172.16.4.6 24[R7-GigabitEthernet0/0/0]ip ad 47.0.0.7 24[R7-LoopBack0]ip ad 172.16.5.7 24[R7-GigabitEthernet0/0/1]ip ad 172.16.97.1 30[R8-GigabitEthernet0/0/0]ip ad 172.16.97.2 30[R8-GigabitEthernet0/0/1]ip ad 172.16.97.5 30[R8-LoopBack0]ip ad 172.16.66.8 24[R9-GigabitEthernet0/0/0]ip ad 172.16.97.6 30[R9-GigabitEthernet0/0/1]ip ad 172.16.129.1 30[R9-LoopBack0]ip ad 172.16.130.9 24[R10-GigabitEthernet0/0/0]ip ad 172.16.129.2 30[R10-LoopBack0]ip ad 172.16.131.1 24[R11-GigabitEthernet0/0/0]ip ad 172.16.65.230[R11-GigabitEthernet0/0/1]ip ad 172.16.65.5 30[R11-LoopBack0]ip ad 172.16.66.11 24[R12-GigabitEthernet0/0/0]ip ad 172.16.65.6 30[R12-LoopBack0]ip ad 172.16.160.12 24[R12-LoopBack1]ip ad 172.16.161.12 24

实验配置

1.内网配置

区域1

[R1]ospf 1 router-id 1.1.1.1[R1-ospf-1]a 1[R1-ospf-1-area-0.0.0.1]ne 172.16.33.0 0.0.0.255[R1-ospf-1-area-0.0.0.1]ne 172.16.34.0 0.0.0.255[R2]ospf 1 router-id 2.2.2.2[R2-ospf-1]a 1[R2-ospf-1-area-0.0.0.1]ne 172.16.33.0 0.0.0.255[R2-ospf-1-area-0.0.0.1]ne 172.16.35.0 0.0.0.255[R3]ospf 1 router-id 3.3.3.3[R3-ospf-1]a 1[R3-ospf-1-area-0.0.0.1]ne 172.16.33.0 0.0.0.255[R3-ospf-1-area-0.0.0.1]ne 172.16.36.0 0.0.0.255

区域0

[R4]ospf 1 router-id 4.4.4.4[R4-ospf-1]a 0[R4-ospf-1-area-0.0.0.0]ne 172.16.2.0 0.0.0.255[R4-ospf-1-area-0.0.0.0][R5]ospf 1 router-id 5.5.5.5[R5-ospf-1]a 0[R5-ospf-1-area-0.0.0.0]ne 172.16.3.0 0.0.0.255[R6]ospf 1 router-id 6.6.6.6[R6-ospf-1]a 0[R6-ospf-1-area-0.0.0.0]ne 172.16.4.0 0.0.0.255[R7]ospf 1 router-id 7.7.7.7[R7-ospf-1]a 0[R7-ospf-1-area-0.0.0.0]ne 172.16.5.0 0.0.0.255

区域2

[R6-ospf-1]a 2[R6-ospf-1-area-0.0.0.2]ne 172.16.65.1 0.0.0.0[R11]ospf 1 router-id 11.11.11.11[R11-ospf-1]a 2[R11-ospf-1-area-0.0.0.2]ne 172.16.65.2 0.0.0.0[R11-ospf-1-area-0.0.0.2]ne 172.16.65.5 0.0.0.0[R11-ospf-1-area-0.0.0.2]ne 172.16.66.0 0.0.0.255[R12]ospf 1 router-id 12.12.12.12[R12-ospf-1]a 2[R12-ospf-1-area-0.0.0.2]ne 172.16.65.6 0.0.0.0

R12 环回接口处于RIP为ospf域外，若R6要学到172.16.160.0/19

网段，需要采用域外路由引入

[R12]rip 1[R12-rip-1]v 2[R12-rip-1]undo summary[R12-rip-1]ne 172.16.0.0[R12-rip-1]q[R12]ospf 1[R12-ospf-1]import-route rip

区域3

[R7-ospf-1]a 3[R7-ospf-1-area-0.0.0.3]ne 172.16.97.1 0.0.0.0[R8]ospf 1 router-id 8.8.8.8[R8-ospf-1]a 3[R8-ospf-1-area-0.0.0.3]ne 172.16.97.2 0.0.0.0[R8-ospf-1-area-0.0.0.3]ne 172.16.97.5 0.0.0.0[R8-ospf-1-area-0.0.0.3]ne 172.16.98.0 0.0.0.255[R9]ospf 1 router-id 9.9.9.9[R9-ospf-1]a 3[R9-ospf-1-area-0.0.0.3]ne 172.16.97.6 0.0.0.0区域4：为特殊区域，应该建立多进程进行引入。[R9]ospf 1 router-id 9.9.9.9[R9-ospf-1]a 3[R9-ospf-1-area-0.0.0.3]ne 172.16.97.6 0.0.0.0[R9]ospf 2 router-id 9.9.9.9[R9-ospf-2]a 4[R9-ospf-2-area-0.0.0.4]ne 172.16.129.1 0.0.0.0[R9-ospf-2-area-0.0.0.4]ne 172.16.130.0 0.0.0.255[R10]ospf 2 router-id 10.10.10.10[R10-ospf-2]a 4[R10-ospf-2-area-0.0.0.4]ne 172.16.129.2 0.0.0.0[R10-ospf-2-area-0.0.0.4]ne 172.16.131.0 0.0.0.255

2.公网配置

[R3]ip route-static 0.0.0.0 0 34.0.0.4[R5]ip route-static 0.0.0.0 0 45.0.0.4[R6]ip route-static 0.0.0.0 0 46.0.0.4[R7]ip route-static 0.0.0.0 0 47.0.0.4

3.隧道配置

总部

[R3-Tunnel0/0/0]ip ad 172.16.6.3 24[R3-Tunnel0/0/0]tunnel-protocol gre p2mp[R3-Tunnel0/0/0]source 34.0.0.3[R3-Tunnel0/0/0]nhrp network-id 100[R3-Tunnel0/0/0]nhrp entry multicast dynamic分部[R5]int t0/0/0[R5-Tunnel0/0/0]ip ad 172.16.6.5 24[R5-Tunnel0/0/0]tunnel-protocol gre p2mp[R5-Tunnel0/0/0]source Serial 4/0/0[R5-Tunnel0/0/0]nhrp network-id 100[R5-Tunnel0/0/0]nhrp entry 172.16.6.3 34.0.0.3 register[R6]int t0/0/0[R6-Tunnel0/0/0]ip ad 172.16.6.6 24[R6-Tunnel0/0/0]tunnel-protocol gre p2mp[R6-Tunnel0/0/0]source Serial 4/0/0[R6-Tunnel0/0/0]nhrp network-id 100[R6-Tunnel0/0/0]nhrp entry 172.16.6.3 34.0.0.3 register[R7]int t0/0/0[R7-Tunnel0/0/0]ip ad 172.16.6.7 24[R7-Tunnel0/0/0]tunnel-protocol gre p2mp[R7-Tunnel0/0/0]source GigabitEthernet 0/0/0[R7-Tunnel0/0/0]nhrp network-id 100[R7-Tunnel0/0/0]nhrp entry 172.16.6.3 34.0.0.3 register[R3-ospf-1]a 0[R3-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255

进行宣告隧道口

[R3-ospf-1]a 0[R3-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255[R5-ospf-1]a 0[R5-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255[R6-ospf-1]a 0[R6-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255[R7-ospf-1]a 0[R7-ospf-1-area-0.0.0.0]ne 172.16.6.0 0.0.0.255

更改网络中tunnel接口类型为广播或者P2MP

[R3-Tunnel0/0/0]ospf network-type broadcast[R5-Tunnel0/0/0]ospf network-type broadcast[R6-Tunnel0/0/0]ospf network-type broadcast[R7-Tunnel0/0/0]ospf network-type broadcast

DR和BDR选举混乱，无法正常建邻

[R2-Tunnel0/0/0]ospf dr-priority 0
[R3-Tunnel0/0/0]ospf dr-priority 0
[R4-Tunnel0/0/0]ospf dr-priority 0

查看关键路由表路由邻居表

在R10和R12查看路由表信息

通过ping命令，能够到达

4.访问公网环回口

采用esay IP 制定172.16.0.0/24网段能够通过，再用NAT在接口下进行outbound

[R3-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255[R3]int s4/0/0[R3-Serial4/0/0]nat outbound 2000[R5]acl 2000[R5-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255[R5-acl-basic-2000]q[R5]int s4/0/0[R5-Serial4/0/0]nat outbound 2000[R6]acl 2000[R6-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255[R6-acl-basic-2000]q[R6]int s4/0/0[R6-Serial4/0/0]nat outbound 2000[R7]acl 2000[R7-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255[R7-acl-basic-2000]q[R7]int g0/0/0[R7-GigabitEthernet0/0/0]nat outbound 2000

配置完成，但R1并不能访问公网环回，主要原因是R1私网网段并没有，所以需要在R3上进行路由缺省，把R1网段引入到R3上，访问到公网环回，解决办法如下：

1.手动配置默认缺省，

[R1]ip route-static 0.0.0.0 0 172.16.33.3

2.通过设置默认特殊区域，自动缺省。

5.减少LSA的更新量

减少LSA更新量，减少路由条目，进行手动进行缺省，在边界路由器以及NASB配置。

[R3]ospf 1[R3-ospf-1-area-0.0.0.0]q[R3-ospf-1]a 1[R3-ospf-1-area-0.0.0.1]abr-summary 172.16.32.0 255.255.224.0[R6]ospf 1[R6-ospf-1]a 2[R6-ospf-1-area-0.0.0.2]abr-summary 172.16.64.0 255.255.224.0[R12]ospf 1[R12-ospf-1]asbr-summary 172.16.168.0 255.255.224.0[R7]ospf 1[R7-ospf-1]a 3[R7-ospf-1-area-0.0.0.3]abr-summary 172.16.96.0 255.255.224.0[R9]ospf 1[R9-ospf-1]asbr-summary 172.16.128.0 255.255.224.0

查看汇总结果

172.16.65.4/30网段，在RIP以主类宣告，被宣进了，RIP域外路由是由五类LSA传输，所以172.16.65.4/30以五类宣告。

1.设置特殊区域，自动优化路由。

区域1为stub区域：

[R1]ospf 1[R1-ospf-1]a 1[R1-ospf-1-area-0.0.0.1]stub no-summary[R2]ospf 1[R2-ospf-1]a 1[R2-ospf-1-area-0.0.0.1]stu no-summary[R3]ospf 1[R3-ospf-1]a 1[R3-ospf-1-area-0.0.0.1]stub no-summary区域2 nssa：[R6]ospf 1[R6-ospf-1]a 2[R6-ospf-1-area-0.0.0.2] nssa no-summary[R11]ospf 1[R11-ospf-1]a 2[R11-ospf-1-area-0.0.0.2]nssa no-summary[R12]ospf 1[R12-ospf-1]a 2[R12-ospf-1-area-0.0.0.2]nssa no-summary区域3 nssa：[R7]ospf 1[R7-ospf-1]a 3[R7-ospf-1-area-0.0.0.3]nssa no-summary[R8]ospf 1[R8-ospf-1]a 3[R8-ospf-1-area-0.0.0.3]nssa no-summary[R9]ospf 1[R9-ospf-1]a 3[R9-ospf-1-area-0.0.0.3]nssa no-summary

查看是否汇总成功

同时也还可以达到私网ping到公网环回

当路由优化，区域1、区域2、区域3都只有默认缺省，区域4就不能够学到其他区域的路由，所以解决方法如下：

在R10上配置默认缺省，下一跳为172.16.129.1
在R9ospf上进行配置缺省

[R9]ospf 2

[R9-ospf-2]default-route-advertise

6.加快收敛，更改路由条目HELLO时间

区域1

[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ospf timer hello 5[R2]int g0/0/0[R2-GigabitEthernet0/0/0]ospf timer hello 5[R3]int g0/0/0[R3-GigabitEthernet0/0/0]ospf timer hello 5

区域2

[R6]int g0/0/0[R6-GigabitEthernet0/0/0]ospf timer hello 5[R11-GigabitEthernet0/0/0]ospf timer hello 5[R11-GigabitEthernet0/0/0]int g0/0/1[R11-GigabitEthernet0/0/1]ospf timer hello 5[R12]int g0/0/0[R12-GigabitEthernet0/0/0]ospf timer hello 5

区域3

[R7]int g0/0/1[R7-GigabitEthernet0/0/1]ospf timer hello 5[R8]int g0/0/0[R8-GigabitEthernet0/0/0]ospf timer hello 5[R8-GigabitEthernet0/0/0]int g0/0/1[R8-GigabitEthernet0/0/1]ospf timer hello 5[R9]int g0/0/0[R9-GigabitEthernet0/0/0]ospf timer hello 5

区域4

[R9-GigabitEthernet0/0/0]int g0/0/1[R9-GigabitEthernet0/0/1]ospf timer hello 5[R10]int g0/0/0[R10-GigabitEthernet0/0/0]ospf timer hello 5

7.安全验证：链路两端的接口必须配置一致的密码才能建立邻居关系

区域1

[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345[R2]int g0/0/0[R2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345[R3]int g0/0/0[R3-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345

区域2

[R6]int g0/0/0[R6-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345[R11-GigabitEthernet0/0/0]int g0/0/0[R11-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345[R11-GigabitEthernet0/0/0]int g0/0/1[R11-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 12345[R12]int g0/0/0[R12-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

区域3

[R7]int g0/0/1[R7-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 12345[R8]int g0/0/0[R8-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345[R8-GigabitEthernet0/0/0]int g0/0/1[R8-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 12345[R9]int g0/0/0[R9-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345

区域4

[R9-GigabitEthernet0/0/0]int g0/0/1[R9-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 12345[R10]int g0/0/0[R10-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12345