ospf实验3

要求：

1. 按照拓扑所示配置OSPF多区域，另外R3与R6，R4与R6间配置RIPv2。R1，R2，R3，R4的环回接口0通告入Area 0，R5的通告入Area 1，R6的直连接口通告入RIP中 

R3：

#dis ip int b

OSPF配置

[AR3]dis cu c ospf

[V200R003C00]

#

ospf 1 router-id 10.0.3.3 

 area 0.0.0.0 

  network 10.0.3.3 0.0.0.0 

  network 10.0.13.3 0.0.0.0 

 area 0.0.0.2 

  network 10.0.34.3 0.0.0.0 

 

rip配置

[AR3]dis cu configuration rip

[V200R003C00]

#

rip 1

 version 2

 network 10.0.0.0

 

查看OSPF邻居

[AR3]dis ospf pe br

2. R6上的公司内部业务网段192.168.10.0/24和192.168.20.0/24通告入RIP中，R5上的外部业务网段172.16.10.0/24和172.16.20.0/24引入OSPF中 

在R5上配置路由引入时需注意，要求是引入172.16.10.0/24与172.16.20.0/24该两个网段，不要将其余无关网段一并引入。

[AR5]dis cu | be ip ip

ip ip-prefix lan172 index 10 permit 172.16.10.0 24   前缀列表

ip ip-prefix lan172 index 20 permit 172.16.20.0 24

route-policy lan172 permit node 10    创建route-policy

 if-match ip-prefix lan172               匹配前缀列表

ospf 1

 import-route direct route-policy lan172

dis ip routing-table pro ospf

R6上的网段用宣告的方式宣告进rip

rip 1

 version 2

 network 10.0.0.0

 network 192.168.10.0

 network 192.168.20.0

整个网络只有R3和R4有全网路由，172网段从ospf学到，192网段从rip学到

3. 在R3，R4上配置OSPF与RIP间的双点双向路由引入，将业务网段192.168.10.0/24和192.168.20.0/24引入到OSPF中。 

在配置将RIP路由引入至OSPF时需注意，仅要求引入192.168.10.0/24与192.168.20.0/24该两个业务网段。

R3(R4):

ospf 1 

import-route rip 1

rip 1

 import-route ospf 1

在R5和R6上查看是否学到了路由

[AR3]dis cu | be ip ip

ip ip-prefix lan172 index 10 deny 172.16.10.0 24

ip ip-prefix lan172 index 20 deny 172.16.20.0 24

ip ip-prefix lan172 index 30 permit 0.0.0.0 0 less-equal 32

创建前缀列表，把172.16.10.0/24和172.16.20.0/24这两条路由deny了。其它路由放行

rip 1

 filter-policy ip-prefix lan172 import(在rip进程下启用过滤，匹配ip-prefix)

 

4. 通过配置减少Area 2中的维护的LSA条目数量，包括Type-3 LSA和Type-5 LSA

完全Stub区域或者完全NSSA区域均可以实现该需求。

R3/R4

ospf 1

area 2

nssa no-summary

5. 通过配置使得R5上的业务网段通过R1访问192.168.10.0/24网段，通过R2访问192.168.20.0/24网段，仅在R3上配置 

OSPF默认引入外部路由为Type-2，该类型路由Metric在传递过程中始终为1，同时可以在引入时修改类型，也可以修改Metric值。其中Type-1比Type-2更加优先。OSPF在收到邻居传递的多条相同的外部LSA时，默认会依据LSA-4来选择距离ASBR最近的邻居做为下一跳。

分析在默认情况下所产生现象的原因，结合仅在R3上进行配置的要求，可以采用修改Cost值的方法进行配置。

查看到192.168网段的路由表

 

可以看出到192.168网段均是走R1出去，跟踪可以知道

tracert -a 172.16.10.5 192.168.10.6

[AR3]dis cu | be acl

acl number 2010

 rule 5 permit source 192.168.10.0 0.0.0.255 

acl number 2020  

 rule 5 permit source 192.168.20.0 0.0.0.255 

在route-policy下，匹配ACL

route-policy lan192 permit node 10 

 if-match acl 2010 

#

route-policy lan192 permit node 20 

 if-match acl 2020 

ospf 1

 import-route rip 1 route-policy lan192

 apply cost 10 

6. 通过配置解决当前OSPF网络中存在的次优路径问题 

观察拓扑可知，R2与R4间的链路为串行链路，其带宽远小于以太网链路。结合该点进行分析，以环回接口0作为测试对象，使得OSPF网络中的每台设备上，其所拥有的其余设备的环回接口0所在网段的路由条目选路最优。

R3和R4的Loopback 0 接口默认在Area 0里面，区域内路由优先于区域间路由，对于R4的Loopback 0访问R3时，必须经过R2才能转发出去，这里应该考虑建立一个虚拟线路连通R3和R4，可以考虑使用GRE隧道，并修改合理的cost值 

 R3/R4:

interface Tunnel0/0/0

 ip address 202.101.34.3(202.101.34.4) 255.255.255.0 

 tunnel-protocol gre

 source 10.0.34.3(10.0.34.4)

 destination 10.0.34.4(10.0.34.3)

 ospf cost 1

 ospf network-type broadcast

然后把接口宣告进ospf区域0中，如下

ospf 1

area 0

network 202.101.34.3 0.0.0.0 

dis ospf pe br

只需一跳即可。

7） R1与R2间的物理链路状态不稳定，尝试通过适当配置以提高OSPF网络的健壮性；

R1R2之间需要保证稳定，如果R1和R2之间的链路down后，骨干区域就会被分割开，这是不被允许的，当区域0被分割后，R1R2学习不到彼此的路由，网络出现故障。

查看路由表，没有R2的路由

R1:ping 10.0.2.2,网断开不通

因此此处为了网络的健壮性，可用虚链接，虚链接的作用是网络在设计的时候由于没有规范性设计，使网络的其它区域与骨干区域不能直接相连，这时可用虚链接使网络在逻辑上相连，此处可以选择在区域1和区域2上创建虚链接，因为区域2已经做nssa区域，虚链接不能穿越stub和nssa区域，所以只能选择在区域1上创建vlink

R1/R2:

ospf 1

area 1

vlink-peer 10.0.2.2(vlink-peer 10.0.1.1)

dis ospf vlink

查看接口状态

此时R1和R2之间的链路状态为down，查看路由

dis ip routing-table

 

也能学到路由，逻辑上两个区域还是连在一起的，测试连通性

8. 优化R5的OSPF路由表，减少其需要维护的LSA条目，并汇总R5上的两条业务网段 

OSPF和ISIS都是链路状态路由协议，它们在区域内传递路由时使用的是LSA和LSP，路由信息没有被直接传递。但是OSPF的LSA-3和LSA-5和LSA-7传递的是路由信息。R1和R2同样可以在Area 1里面部署Filter-policy 来限制LSA-3。

理解OSPF过滤路由与过滤LSA的异同，选用合适的命令完成需求。

再R5上查看LSA维护的条目（dis ospf lsdb）可以看到有许多条sum-net

1类2类传递的是链路状态，而三类传输的是路由信息，对于ospf而言，有链路状态便可以计算出路由信息，所以可以把lsa3类过滤掉，在R1和R2上操作，

acl number 2000

 rule 1 permit source 10.0.1.0 0.0.0.255 

 rule 2 permit source 10.0.2.0 0.0.0.255 

 rule 3 permit source 10.0.3.0 0.0.0.255 

 rule 4 permit source 10.0.4.0 0.0.0.255 

 rule 5 permit source 10.0.12.0 0.0.0.255 

 rule 6 permit source 10.0.13.0 0.0.0.255 

 rule 7 permit source 10.0.24.0 0.0.0.255 

 rule 8 permit source 10.0.34.0 0.0.0.255 

 rule 9 permit source 202.101.34.0 0.0.0.255 

创建route-policy，匹配acl后deny

route-policy lsa deny node 10 

 if-match acl 2000

在ospf的区域1下过滤

filter route-policy lsa import 

结果：

过滤了3类lsa，路由如下

 

9. 根据R2与R4间的链路状况，适当调整OSPF相关计时器 

理解OSPF的邻居建立规则，根据实际情况做相应调整。

R2和R4之间使用串口连接，带宽较小，ospf默认hello时间为10秒，为了减少带宽的浪费，可以把串口的hello时间做一下调整，

Serial线路是低速线路，OSPF默认P2P和Broadcast链路上的Hello和Dead时间均为10s和40s。为降低对低速线路的带宽占用，这里可以调整Hello时间来实现。其中Dead 时间默认是Hello的4倍，它会自动计算，无需设置。

R2/R4:

调整前：

#interface Serial1/0/0

# ospf timer hello 60

调整后：

10. 为了提高OSPF网络安全性，部署OSPF区域密文认证 

在三个OSPF区域中分别部署区域密文认证，密钥可采用huawei。

OSPF中虚连接默认是Area 0的逻辑线路，所以区域0的认证也会对虚连接上收发的数据包进行加密。此外，虚连接本身可以实现加密功能，优先级比区域认证