话不多说,直接看园区网中的常用环境。R2是出口路由器,R5是公网路由器,上面的IP 200.1.1.1模拟百度服务器。因为业务网段192.168.1.0/24需要访问互联网,所以需要在R2上写一条默认路由,下一跳指向R5。园区内网路由器不允许访问互联网,且运行ospf协议。具体需求见配置实例。
一、OSPF配置实例
1. 配置拓扑
2. 配置需求
(1)按照图示配置 IP 地址;
(2)R1,R2,R3 运行 OSPF 使内网互通,所有接口(公网接口除外)全部宣告进 Area 0;要求使用环回口作为 Router-id;
(3)业务网段不允许出现协议报文;
(4)R5 模拟互联网,内网通过 R1 连接互联网,在 R1 上配置默认路由并引入到 OSPF;
(5)R1 上配置NAT,只允许业务网段访问互联网;
(6)要求业务网段访问互联网流量经过 R3,R1,R2;
3. 配置步骤
(1)按照拓扑所示,配置IP地址
[R1]int LoopBack 0
[R1-LoopBack0]ip a 1.1.1.1 32
[R1-LoopBack0]int g 0/0
[R1-GigabitEthernet0/0]ip a 30.1.1.1 30
[R1-GigabitEthernet0/0]int g 0/1
[R1-GigabitEthernet0/1]ip a 10.1.1.2 30
[R1-GigabitEthernet0/1]quit
[R1][R2]int LoopBack 0
[R2-LoopBack0]ip a 2.2.2.2 32
[R2-LoopBack0]int g 0/0
[R2-GigabitEthernet0/0]ip a 30.1.1.2 30
[R2-GigabitEthernet0/0]int g 0/1
[R2-GigabitEthernet0/1]ip a 100.1.1.1 30
[R2-GigabitEthernet0/1]int g 0/2
[R2-GigabitEthernet0/2]ip a 20.1.1.2 30
[R2-GigabitEthernet0/2]quit
[R2][R3]interface LoopBack 0
[R3-LoopBack0]ip a 3.3.3.3 32
[R3-LoopBack0]int g 0/0
[R3-GigabitEthernet0/0]ip a 192.168.1.254 24
[R3-GigabitEthernet0/0]int g 0/1
[R3-GigabitEthernet0/1]ip a 10.1.1.1 30
[R3-GigabitEthernet0/1]int g 0/2
[R3-GigabitEthernet0/2]ip a 20.1.1.1 30
[R3-GigabitEthernet0/2]quit
[R3][R5]int LoopBack 0
[R5-LoopBack0]ip a 200.1.1.1 24
[R5-LoopBack0]int g 0/1
[R5-GigabitEthernet0/1]ip a 100.1.1.2 30
[R5-GigabitEthernet0/1]quit
[R5]
(2)R1,R2,R3 运行 OSPF 使内网互通,所有接口(公网接口除外)全部宣告进 Area 0;要求使用环回口作为 Router-id
创建 OSPF 进程,手动指定环回口地址为 Router-id,把所有内网接口宣告进 Area 0
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 30.1.1.0 0.0.0.3
[R1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.3
[R1-ospf-1-area-0.0.0.0]dis this
#
area 0.0.0.0
network 10.1.1.0 0.0.0.3
network 30.1.1.0 0.0.0.3
#
return
[R1-ospf-1-area-0.0.0.0]quit
[R1-ospf-1]quit
[R1][R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 30.1.1.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.3[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.3
[R3-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.3
[R3-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]quit
[R3-ospf-1]quit
[R3]把 R3 连接业务网段的 g0/0 口配置为静默接口,防止协议报文冲击业务网段
[R3]ospf 1
[R3-ospf-1]silent-interface GigabitEthernet 0/0(4)R5 模拟互联网,内网通过 R2 连接互联网,在 R2 上配置默认路由并引入到 OSPF
1. 在 R2 上配置默认路由,下一跳指向为 100.1.1.2
[R2]ip route-static 0.0.0.0 0 100.1.1.22. 在 R2 上把默认路由引入到 OSPF
[R2]ospf 1
[R2-ospf-1]default-route-advertise
效果测试:在 R1 和 R3 上查看路由表,发现已经有了默认路由,路由来源是 O_ASE2,说明是从 OSPF 学习到的外部路由
(5)R2 上配置NAT,只允许业务网段访问互联网
1. 在 R1 上创建基本 ACL,只允许业务网段 192.168.1.0/24
[R2]acl basic 2000
[R2-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R2-acl-ipv4-basic-2000]quit
[R2]2. 在 R1 的公网接口上,配置NAT,使内网可以访问互联网
[R2]int g 0/1
[R2-GigabitEthernet0/1]nat outbound 2000
[R2-GigabitEthernet0/1]quit
[R2]效果测试:在 PC4 上 PING R5的环回口地址,PING 通说明可以访问互联网
(6)要求业务网段访问互联网流量经过 R3,R1,R2,来回路径一致
分析:按照 OSPF 选路规则,内网各链路 Cost 一致,业务网段到互联网的流量会优先选择路由经过 R3,R2,而不会经过 R1
要想使流量经过 R2,就需要通过修改链路 Cost,使 R3-R2 的 Cost 比 R3-R1-R2的 Cost 大,这里把 R2-R2 的 Cost 修改为 100,来影响 OSPF 选路
1. 把 R3 和 R2 相连的接口的 Cost 修改为 100
[R3]int g 0/2
[R3-GigabitEthernet0/2]ospf cost 100[R2]int g 0/2
[R2-GigabitEthernet0/2]ospf cost 100说明:如果不改R2的接口cost,回包时到192.168.1.0/24业务网段的流量R2→R3,而不是R2→R1→R3,来回路径不一致
效果测试:查看 R1,R2,R3 的路由表,确认默认路由和 192.168.1.0/24 网段的路由是经过 R3,R1,R2
附:
关注我,加微信,获取此次配置工程、更多配置案例,也可以承接远程调试各厂商交换机、路由器、防火墙等私活,欢迎各位老板加微信私聊。