HCIP-进阶实验01-ospf高级组网

HCIP-进阶实验01-ospf高级组网

1 实验需求

某企业网络环境如图所示、内部网络由多台路由器联合起来，以GateWay作为出口路由器连接到ISP网络各网段IP地址规划如图所示，其中R1上面连接着3条内部条目需要通告进入OSPF的路由环境中，R8上面连接着两条外部直连条目需要导入即重分发到OSPF的环境中。OSPF个区域规划如图所示。

1. 请根据个网段IP地址规划、配置相应接口IP并测试直连网段的连通性
2. 根据OSPF的区域规划、运行OSPF协议，为每台路由器制定RID，其中Area3没有直接连接到Area0会产生什么问题？如何解决？请保障各个区域都学习到R1的环回口条目；(特殊要求, ospf设备都开启相同的进程号, 看看是否可以正常建立邻接关系)
3. 通过抓包或者debug等方式观察分析OSPF邻接状态建立的过程及几种报文的作用
4. 将R8上使用命令import-route direct将环回口条目导入OSPF环境中并在R1上检查条目学习情况。
5. 按照如下需求部署
   a)要求路由表中不能出现主机路由（修改网络类型）
   b) 要求R1成为Area1中的DR（修改接口优先级）
   c） 要求增加到达Area1内条目的流量开销（修改接口开销)
6. 采用明文的方式保证在骨干区域的安全性，并通过抓包查看传输的密码
7. 减少GateWay上关于R1环回口的条目；
8. R1、R2、R8路由器性能不足，尽量减少路由条目；
9. 在GateWay上下发默认路由，并通过EasyIP的方式实现NAT转换，，让内部网络能够访问ISP-Router
10. 查看路由器上产生的LSA、分析各类LSA组成及概括如何产生多种类型的路由条目

点我下载实验拓扑

2 配置脚本

Gateway

sy
int g0/0/0 
ip add 210.1.1.1 30
int s4/0/0
ip add 10.1.34.4 24
int s4/0/1
ip add 10.1.45.4 24
qu
ip route-static 0.0.0.0 0.0.0.0 210.1.1.2
ospf 4 router-id 4.4.4.4
area 0
network 10.1.34.4 0.0.0.0
network 10.1.45.4 0.0.0.0
qu
qu

ISP

sy
int g0/0/0
ip add 210.1.1.2 30
int loo0 
ip add 211.1.1.2 30
qu

R1

sy
int g0/0/0 
ip add 10.1.123.1 24
int loo0
ip add 192.168.0.1 24
int loo1
ip add 192.168.1.1 24
int loo2
ip add 192.168.2.1 24
qu
ospf 1 router-id 1.1.1.1
area 1
network 10.1.123.1 0.0.0.0
network 192.168.0.1 0.0.0.0
network 192.168.1.1 0.0.0.0
network 192.168.2.1 0.0.0.0
qu
qu

int g0/0/0

R2

sy
int g0/0/0
ip add 10.1.123.2 24
qu
ospf 2 router-id 2.2.2.2
area 1
network 10.1.123.2 0.0.0.0
qu
qu

R3

sy
int g0/0/0
ip add 10.1.123.3 24
int s4/0/0
ip add 10.1.34.3 24
qu
ospf 3 router-id 3.3.3.3
area 1
network 10.1.123.3 0.0.0.0
qu
area 0
network 10.1.34.3 0.0.0.0
qu
qu

R5

sy
int g0/0/0
ip add 10.1.56.5 24
int s4/0/1
ip add 10.1.45.5 24
qu
ospf 5 router-id 5.5.5.5
area 0 
network 10.1.45.5 0.0.0.0
area 2
network 10.1.56.5 0.0.0.0
qu
qu
ospf 5
area 2
vlink-peer 7.7.7.7
qu
qu

R6

sy
int g0/0/0
ip add 10.1.56.6 24
int g0/0/1
ip add 10.1.67.6 24
qu
ospf 6 router-id 6.6.6.6
area 2
network 10.1.56.6 0.0.0.0
network 10.1.67.6 0.0.0.0
qu
qu

R7

sy
int g0/0/0
ip add 10.1.67.7 24
int g0/0/1
ip add 10.1.78.7 24
qu
ospf 7 router-id 7.7.7.7
area 2
network 10.1.67.7 0.0.0.0
area 3
network 10.1.78.7 0.0.0.0
qu
qu
ospf 7
area 2
vlink-peer 5.5.5.5
qu
qu

R8

sy
int g0/0/0
ip add 10.1.78.8 24
int loo0
ip add 172.16.1.8 24
int loo1
ip add 172.16.2.8 24
qu
ospf 8 router-id 8.8.8.8
area 3
network 10.1.78.8 0.0.0.0
qu
qu

debug

terminal debug	//开启debug
undo debug all	//关闭

查看

dis ospf peer	//ospf邻居
dis ospf vlink	//虚链路
dis ospf lsdb [router/network/...]	//ospf lsdb

重置ospf进程(用户视图下)

reset ospf process
y

3 实验步骤

3.1 检测网络连通性

1. R8 ping R1的环回口:

   

2. R1 ping ISP:

   

3. R2 ping R8:

   

4. R8(Area 3) ping R6(Area 2)[虚连接测试]

   

3.2 通过抓包或者debug等方式观察分析OSPF邻接状态建立的过程及几种报文的作用

1. Hello:发现邻居, 并通告自己的RID、邻接关系、AreaID、区域设备属性(N=0, E=1, 不支持七类LSA, 支持五类LSA)、DR/BDR等, 收到hello报文的ospf设备变成init状态, 收到回复的hello报文的设备变成2-way状态

   

2. DD:设备由2-way状态变为ex-start状态后, 向邻居发送dd报文, 包含本身的RID和areaID、接口最大传输单元MTU、主从关系确认、DD序列号和描述报文开始和后续的的I/M位, 一共要进行至少6次DD报文交互. 收到报文的邻居也从2-way变为ex-strat. 开始交互2次空DD确定主从关系后, 双方通过收发有LSA摘要的DD报文相继变为exchange状态.

   

3. LSR:设备发送和收到LSR由exchange变成loading状态, LSR意在请求对方的LSA完整信息(DD中只是摘要信息), 报文中包含多条LSR信息, 其中有LSA类型, LinkID(不同类型LSA里的含义不同)和传递这个LSA设备的RID

   

4. LSU:设备在loading状态会互相请求和回复LSA信息, LSA通过LSU报文传递, 报文包含LSA的数量及多条具体的LSA信息

   

5. LSAck:用于确认收到了LSU中的LSA信息, 直到所有LSA信息交互完毕, 设备才从loading状态变为full状态.

   

3.3 将R8上使用命令import-route direct将环回口条目导入OSPF环境中并在R1上检查条目学习情况

R8:

ospf 8
import-route direct
qu

R1路由表: 可以看到R1通过五类LSA学习到了R8引入的外部路由

3.4 按照如下需求部署

3.4.1 要求路由表中不能出现主机路由（修改网络类型）

先判断那些网络属于ospf认定的主机路由(32位掩码), 检查骨干区域路由信息

很遗憾, 没有看到任何一条主机路由, 主机路由出现有两种情况:

1. 环回口之间network进入ospf网络(无论这个环回口掩码是多少, ospf都会认定为32位);
2. 引入的为外部路由, 可能掩码是32位的.

如果不希望主机路由, 一般指的是希望环回口掩码正常显示

遇到的问题: 在Gateway上查看五类LSA学习到的R1的环回口, 掩码并非32位

查看R1上的lsdb router, 发现邻居只有R3

于是猜想, 是否是因为未向环回口通告ospf, 倒回去查看配置脚本

果然如此, 这里错把R1的环回口当成外部路由引入.

通告之后再查看R1的一类lsa

满足ospf出现主机路由的第一种情况

于是修改环回口网络类型为非p2p即可

R1:

int l0
ospf network-type broadcast
int l1
ospf network-type broadcast
int l2
ospf network-type broadcast
qu

再在Gateway上查看

3.4.2 要求R1成为Area1中的DR（修改接口优先级）

修改前DR是R3, BDR是R2:

R1

int g0/0/0
ospf dr-priority 60
qu

重置ospf进程后观察到R1已经成为area1的DR

3.4.3 要求增加到达Area1内条目的流量开销（修改接口开销）

R3:

int g0/0/0
ospf cost 10

广播网络默认cost=1, p2p网络默认cost=48

对于ospf认为环回口的开销, 华为设备cost=1, 思科设备cost=0

3.5 采用明文的方式保证在骨干区域的安全性，并通过抓包查看传输的密码

R3

ospf 3
area 0
authentication-mode simple cipher gok
qu
qu

Gateway:

ospf 4
area 0
authentication-mode simple cipher gok
qu
qu

R5:

ospf 5
area 0
authentication-mode simple cipher gok
qu
qu

展示Gateway:

simple/md5: 明文/MD5加密 传输;

plain/cipher: 明文/密文 本地保存.

认证做完之后, 发现R5-R7的vlink断开

原因在于, 虚连接(vlink)也属于骨干区域(area 0), R7与R5建立虚连接的接口也需要进行认证

R7:

ospf 7
area 0
authentication-mode simple cipher gok
qu
qu

认证后虚连接恢复

除了在R7上配置区域认证, 还有一种方法是在R5上配置接口(area 0的接口)认证

R5:

int s4/0/1
ospf authentication-mode simple cipher gok
qu

效果不展示, 总之是没问题的.

3.6 减少GateWay上关于R1环回口的条目

在R3上开启路由汇总

R3:

ospf 3
area 1
abr-summary 192.168.1.0 255.255.252.0
qu
qu

汇总后:

3.7 R1、R2、R8路由器性能不足，尽量减少路由条目

减少路由条目->减少三类/五类LSA->配置area1、area3特殊区域Totally Stub和Totally NSSA

R1

ospf 1
area 1
stub

R2

ospf 2
area 1
stub

R3

ospf 3
area 1
stub no-summary

R7

ospf 7
area 3
nssa no-summary

R8

ospf 8
area 3
nssa

可以看到配置了特殊区域的R1和R8的路由条目里已经没有从默认路由以外的三类和五类LSA了

3.8 在GateWay上下发默认路由，并通过EasyIP的方式实现NAT转换，，让内部网络能够访问ISP-Router

这里静态路由我已经提前在最开始配置好了

Gateway:

acl 2000
rule permit
qu
int g0/0/0
nat outbound 2000
qu

ospf 4
import-route static
qu

没说要用NAPT, 懒得搞了, 下次接触到再说

R1 ping ISP:

3.9 查看路由器上产生的LSA、分析各类LSA组成及概括如何产生多种类型的路由条目

dis ospf lsdb [router|network|summary|asbr|ase|nssa]

用命令查看各台设备的lsdb, 无非是判断各路由条目是由通过那台设备的哪类LSA学习到的, 就不做过多介绍了.

4 实验遗留问题

4.1 问题一

在修改R1优先级使其成为DR后, 查看R3上的ospf邻接表, 发现area 0内没有选举DR和BDR

猜测方向: area0区域通过串口(serial)连接.
解疑:

通过serial串行连接的设备之间属于P2P网络, 查看Gateway上的一类LSA:

DR的选举是为了简化MA网络中ospf的邻接关系, 而P2P网络不属于MA网络, 不需要选举DR.

MA网络是指一条链路上有多个访问点，一般分为两种：广播式多路访问网络(BMA)、非广播式多路访问网络(NBMA).

1. 广播式多路访问网络(BMA): 一般指的是以太网，这种网络是支持广播发送的，正常情况下，DR只在多路访问时选取.
2. 非广播式多路访问网络(NBMA): 一般常见的有帧中继，ATM等网络，在这种网络上广播是无法发送的.