实验七：企业级OSPF实验

实验报告：企业级OSPF实验

实验拓扑图

Requirment

• 注意：R5和R6之间只需要连一根线，PVC设备可以忽略。
• 如上图，本实验结合真实案例，用来检验学员对OSPF协议的掌握情况
• R5为A公司总部网关，R2和R4分别是一号楼和二号楼的核心交换机，这里用路由器模拟，R1和R3分别为一号楼和二号楼的分发层交换机，这里也是用路由器模拟，每一栋楼是一个ospf区域，包含着诺干个vlan，核心交换机和网关之间是骨干区域。R6是A公司分公司网关，和总部通过帧中继互联，R7是分部核心交换机，分部的ospf是区域3，因为分部业务扩展，合并了B公司（R8，R9），B公司原来是ospf区域4。
  1. 根据上图，搭建好拓扑，ISP用一台路由器模拟，服务器和PC机全部采用回环口模拟(R3上的回环口不用network通告，在路由进程下 import-route diretct来通告、切记)
  2. 依据上图，配置好OSPF协议，验证邻接建立(包括虚链路）；
  3. 确保整个内网全网可达；
  4. 确保骨干区域邻居建立高安全性；
  5. 尽量减少网关的路由表条目；
  6. R1,R3,R9性能不足，尽量减少其路由表条目;
  7. 确保总部和分部都只通过自己的ISP上网，在链路失效时候相互做备份；
  8. 不能出现回环口的路由条目别人学习到是32/的;

实验步骤

• 第一步，按照实验要求，正确连接好实验拓扑图，如下图所示：

  

  1. 按照图示，正确配置好IP地址、子网掩码，这里PC1_LP1 表示PC1 用回环口1表示

• 第二部，在各个区域开启OSPF 动态路由协议，这里我们对area1 和area2 做一个简单的讲解。

  1. 在area1 区域里面我们需要在AR1 和AR2 路由器上面配置OSPF动态路由协议：
     • 首先是AR1 ：
       1. [AR1]ospf 1 router-id 172.16.3.1 //启动OSPF进程1，并且手动指定RID为172.16.3.1，避免OSPF重启造成RID不确定
       2. [AR1-ospf-1]area 1 //进入OSPF进程的区域1中进行相关配置
       3. [AR1-ospf-1-area-0.0.0.1]network 172.16.1.0 0.0.0.255 //该路由器的属于172.16.1.0 /24网络的接口加到ospf协议的区域1中
       4. [AR1-ospf-1-area-0.0.0.1]network 172.16.2.0 0.0.0.255 //该路由器的属于172.16.2.0 /24网络的接口加到ospf协议的区域1中
       5. [AR1-ospf-1-area-0.0.0.1]network 172.16.3.0 0.0.0.255 //该路由器的属于172.16.3.0 /24网络的接口加到ospf协议的区域1中
     • 然后是AR2：
       1. [AR2]ospf 1 router-id 172.16.3.2
       2. [AR2-ospf-1]area 1 //进入OSPF进程的区域1中进行相关配置
       3. [AR2-ospf-1-area-0.0.0.1] network 172.16.3.0 0.0.0.255
  2. 在area2区域里面配置：
     • 首先是AR5 ：
       1. [AR5]ospf 1 router-id 172.16.6.1
       2. [AR5-ospf-1-area-0.0.0.2]network 172.16.6.0 0.0.0.255
       3. [AR5-ospf-1]import-route direct //重分发AR5直连网络
       4. 上面的重分发AR5直连网络，其中包括172.16.6.0 /24和与AR5相连的两个回环口，具体作用：使得这三个网络以Type5 LSA 的类型封装到OSPF 的LSU 报文中，但是172.16.6.0 /24 也以network 的形式宣告过，宣告的优先级大于import-route导入，所以172.16.6.0 /24还是以ospf宣告的方式传递泛洪出去
     • 然后是AR4：
       1. [AR4]ospf 1 router-id 172.16.6.2
       2. [AR4-ospf-1-area-0.0.0.2]network 172.16.6.0 0.0.0.255
  3. 按照这样的方法，把每台路由器正确配置OSPF路由协议，这里需要特别注意的地方就是，AR3和AR6是都是出口网关，所以我们不能把网关的出接口划分到区域里面了，这是错误的
  4. 这个时候我们可以发现区域4没有和骨干区域直接相连接，而是直接和区域3相连接的，因此这里违反了普通区域必须和骨干区域相互连接的原则，因此我们该如何解决这个问题了，很明显区域3阻断了区域4和区域0的连接，那我们可以通过虚连接技术，在阻断区域的两个ABR上面配置一个虚拟连接，来解决这个问题，配置如下：
     1. 在AR8上面配置：
        • [AR8-ospf-1-area-0.0.0.3]vlink-peer 172.16.10.2
     2. 在AR6上面配置：
        • [AR6-ospf-1-area-0.0.0.3]vlink-peer 10.1.3.2
     3. 然后，区域4的路由信息就可以传递出去了，这个时候可以理解为AR8的G0/0/1接口也是属于区域0，但是我们在AR6上面还是找不到10.1.4.0 /24和10.1.5.0 /24网段的路由信息，为什么了，因为我提前在区域0做了一个区域认证，既然AR8也属于区域0，所以在配置虚连接的时候，要顺便配置认证，命令如下：
        • 在AR8上面配置：
          • [AR8-ospf-1-area-0.0.0.3]vlink-peer 172.16.10.2 simple cipher dada
        • 在AR6上面配置：
          • [AR6-ospf-1-area-0.0.0.3]vlink-peer 10.1.3.2 simple cipher dada
     4. 这下就可以正常的建立邻接关系，交互报文信息了，全部内网都可以相互通信了

• 全网虽然可以相互通信了，但是整个OSPF网络的路由信息太多了，不免会加重网络负担，所以我们可以在ABR或者ASBR上面做一个LSA的汇总，然后就可以减少骨干区域的路由信息了，因此我们可以在AR2和AR6和AR8上面做一个ABR汇总，这里我们不在AR5上面做一个ASBR的汇总，因为区域2配置了特殊区域stub，AR5的回环口信息被AR5阻断了，不能发送出去，所以没有必要汇总，什么是特殊区域下面会讲解，相关命令如下：

  1. 首先是AR2：

     • [AR2-ospf-1-area-0.0.0.1]abr-summary 172.16.0.0 255.255.252.0

  2. 然后是AR6：

     • [AR6-ospf-1-area-0.0.0.3]abr-summary 10.1.0.0 255.255.252.0

  3. 然后是AR8：

     • [AR8-ospf-1-area-0.0.0.3]abr-summary 10.1.0.0 255.255.252.0
     • [AR8-ospf-1-area-0.0.0.4]abr-summary 10.1.4.0 255.255.254.0
     • 这里为啥需要对区域3在做一次汇总了，没办法谁叫AR8做了虚连接之后，接口g0/0/1可以理解为属于区域0，但是实际的AR8属于区域3和4，必须和AR6对区域3做的汇总保持一致，否则区域3的汇总可能会存在问题

  4. 做完了，这里说明一下，在做汇总的路由器上面，条目还是明细的，但是我们在区域外面看，就可以发现，的确是成功汇总了，比如查看AR3，如图：

     • 10.1.1.0 /22的汇总

     

     • 10.1.4.0 /23的汇总

     

     • 172.16.0.0 /22的汇总：

       

• 加入R1、R3、R9的性能不足，不能够负载太多的路由信息，这个该如何处理了，能不能有一个方法，可以减少路由条目了，当然把普通的区域(骨干区域也归类到普通区域)划分成特殊区域，我们这里配置为stub区域，他可以过滤Type-5 LSA和Type-4 LSA，还有我们一般在网络拓扑的末节配置，因为这是为了防止特殊区域过滤掉需要的LSA，所以配置特殊区域的时候，一定要注意了：

  1. 首先对区域1配置：
     • [AR1-ospf-1-area-0.0.0.1]stub
     • [AR2-ospf-1-area-0.0.0.1]stub
  2. 同样的方法对区域2和区域4配置，注意，凡是属于这个区域的路由器都要配置
  3. 配置成功后，特殊区域里面的路由器的对应的LSDB不会保存相应的LSA

• 现在还需要更改区域2路由器的接口网络类型，因为现在AR4和AR5的接口是一对一连接，所以就属于P2P了，所以回环口宣告出去就是32bit的网络类型，所以需要改成广播类型的，命令如下：

  1. [AR4-GigabitEthernet0/0/1]ospf network-type broadcast
  2. [AR5-GigabitEthernet0/0/0]ospf network-type broadcast

• 最后只需要在出口网关做一个NAT就可以访问外网了，注意需要在出口网关AR3和AR6上面都要配置默认静态路由，指向相应的下一跳200.1.1.2和202.1.1.2，但是向AR1这样的路由器该如何访问外网了，因为没有路由条目啊，所以需要在AR3的OSPF进程里面做一个默认路由下发的配置，配置完成之后，所有路由器都会有一条默认路由指向外网的

  1. 区域1和区域2走出口网关AR3
  2. 区域3和区域4走出口网关AR6
  3. 如果有一个网关出现问题，会走另外一个网关出去，大家这里可能存在一个问题，我们这里实在路由器AR3里面做了一个默认路由下发，那么AR6也会收到一条指向AR3的默认路由用来到外网，需要注意一下，AR6里面直接到外网的静态默认路由cost比指向AR3的默认路由的cost小，所以路由表里面只会保存静态默认路由，只有AR6出外网的链路出现问题时，才会选择指向AR3的默认路由到外网