安全实验作业

一 拓扑图

二 要求

1、R4为ISP，其上只能配置IP地址；R4与其他所有直连设备间均使用共有IP

2、R3-R5-R6-R7为MGRE环境，R3为中心站点；

3、整个OSPF环境IP基于172.16.0.0/16划分；

4、所有设备均可访问R4的环回；

5、减少LSA的更新量，加快收敛，保证更新安全；

6、全网可达

三 拓扑信息

根据需求描述，网络拓扑如下：

R4 是 ISP，只能配置 IP 地址，且与其他直连设备使用公有 IP。

R3 是 MGRE（多点 GRE）环境的中心站点，与 R5、R6、R7 组成 MGRE 网络。

R3 与 R4 直连，使用公有 IP。

R3、R5、R6、R7 之间通过 MGRE 隧道通信。

R4 的环回接口需要被所有设备访问。

OSPF 协议用于路由，IP 地址基于 172.16.0.0/16 划分。

四 需求分析
IP 地址规划：基于 172.16.0.0/16 进行子网划分，确保每个设备有唯一的 IP 地址。

MGRE 配置：R3 作为中心站点，R5、R6、R7 作为分支站点，通过 MGRE 隧道与 R3 通信。

OSPF 配置：在 MGRE 环境中运行 OSPF，确保全网路由可达。

LSA 优化：通过 OSPF 的区域划分、路由汇总等方式减少 LSA 的更新量，加快收敛速度。

安全性：确保 OSPF 更新安全，可以通过 OSPF 认证来实现。

全网可达：确保所有设备可以访问 R4 的环回接口，并且全网路由可达。

172.16.0.0/16

先分成2个网段（OSPF + RIP），借1位         

172.16.0.0/17         ---OSPF        

再按区域划分（5个区域），借3位                

172.16.0.0/20        ---Area 0                

三个环回 + MGRE = 4个网段，但一般网络只有200主机左右，所以直接规划到/24                         172.16.0.0/24        ---MGRE                         172.16.1.0/24        ---R5环回                         172.16.2.0/24        ---R6环回                         172.16.3.0/24        ---R7环回                         ...                         

172.16.15.0/24    ---保留备用                

172.16.16.0/20      ---Area 1                 三个环回 + 一个骨干 = 4个网段，但还是直接规划到/24                         

172.16.16.0/24        ---Area 1骨干                         需要3个IP，所以到/29                                 172.16.16.0/29        ---不能用                                

172.16.16.1/29        ---R1接口                                

172.16.16.2/29        ---R2接口                                

172.16.16.3/29        ---R3接口                                

172.16.16.4/29        ---保留备用                                

172.16.16.5/29        ---保留备用                                

172.16.16.6/29        ---保留备用                                

172.16.16.7/29        ---不能用                         

172.16.17.0/24        ---R1环回                         

172.16.18.0/24        ---R2环回                         

172.16.19.0/24        ---R3环回                         ...                         

172.16.31.0/24    ---保留备用                

172.16.32.0/20      ---Area 2                 1个环回+2个骨干                        

172.16.32.0/24        ---R11环回                        

172.16.33.0/30        ---R6-R11                        

172.16.33.4/30        ---R11-R12                

172.16.48.0/20      ---Area 3                 1个环回+2个骨干                        

172.16.48.0/24        ---R8环回                        

172.16.49.0/30        ---R7-R8                        

172.16.49.4/30        ---R8-R9                

172.16.64.0/20      ---Area 4                 2个环回+1个骨干                        

172.16.64.0/24        ---R9环回                        

172.16.65.0/24        ---R10环回                        

172.16.66.0/30        ---R9-R10                                  

172.16.80.0/20      ---保留备用                

172.16.96.0/20      ---保留备用                

172.16.112.0/20    ---保留备用         

172.16.128.0/17     ---RIP        

2个环回                 172.16.128.0/18                 172.16.192.0/18               

六 配置

r1配置

<Huawei>sys

[Huawei]sys r1

[r1]int g0/0/0

[r1-GigabitEthernet0/0/0]ip add 172.16.16.1 29

[r1-GigabitEthernet0/0/0]int l 0

[r1-LoopBack0]ip add 172.16.17.1 24

r2配置

<Huawei>sys

[Huawei]sys r2

[r2]int g0/0/0

[r2-GigabitEthernet0/0/0]ip add 172.16.16.2 29

[r2-GigabitEthernet0/0/0]int l 0

[r2-LoopBack0]ip add 172.16.18.1 24

r3

<Huawei>sys

[Huawei]sys r3

[r3]int g0/0/0

[r3-GigabitEthernet0/0/0]ip add 172.16.16.3 29

[r3-GigabitEthernet0/0/0]int l 0

[r3-LoopBack0]ip add 172.16.19.1 24

[r3-LoopBack0]int s4/0/0

[r3-Serial4/0/0]ip add 34.0.0.3 24 

r4

<Huawei>sys
[Huawei]sys r4

[r4]int g0/0/0
[r4-GigabitEthernet0/0/0]ip add 47.0.0.4 24
[r4-GigabitEthernet0/0/0]int s4/0/0
[r4-Serial4/0/0]ip add 34.0.0.4 24
[r4-Serial4/0/0]int s4/0/1
[r4-Serial4/0/1]ip add 45.0.0.4 24
[r4-Serial4/0/1]int s3/0/0
[r4-Serial3/0/0]ip add 46.0.0.4 24
[r4-Serial3/0/0]int l 0
[r4-LoopBack0]ip add 4.4.4.4 32

r5

<Huawei>sys

[Huawei]sys r5

[r5]int s4/0/0

[r5-Serial4/0/0]ip add 45.0.0.5 24

[r5-Serial4/0/0]int l 0

[r5-LoopBack0]ip add 172.16.1.1 24 

r6

<Huawei>sys

[Huawei]sys r6

[r6]int s4/0/0

[r6-Serial4/0/0]ip add 46.0.0.6 24

[r6-Serial4/0/0]int g0/0/0

[r6-GigabitEthernet0/0/0]ip add 172.16.33.1 30

[r6-GigabitEthernet0/0/0]int l 0

[r6-LoopBack0]ip add 172.16.2.1 24 

r7

<Huawei>sys

[Huawei]sys r7

[r7]int g0/0/0

[r7-GigabitEthernet0/0/0]ip add 47.0.0.7 24

[r7-GigabitEthernet0/0/0]int l 0

[r7-LoopBack0]ip add 172.16.3.1 24

[r7-LoopBack0]int g0/0/1

[r7-GigabitEthernet0/0/1]ip add 172.16.49.1 30 

r8

<Huawei>sys

[Huawei]sys r8

[r8]int g0/0/0

[r8-GigabitEthernet0/0/0]ip add 172.16.49.2 30

[r8-GigabitEthernet0/0/0]int g0/0/1

[r8-GigabitEthernet0/0/1]ip add 172.16.49.5 30

[r8-GigabitEthernet0/0/1]int l 0

[r8-LoopBack0]ip add 172.16.48.1 24 

r9

<Huawei>sys

[Huawei]sys r9

[r9]int g0/0/0

[r9-GigabitEthernet0/0/0]ip add 172.16.49.6 30

[r9-GigabitEthernet0/0/0]int l 0

[r9-LoopBack0]ip add 172.16.64.1 24

[r9-LoopBack0]int g0/0/1

[r9-GigabitEthernet0/0/1]ip add 172.16.66.1 30 

r10

<Huawei>sys

[Huawei]sys r10

[r10]int g0/0/0

[r10-GigabitEthernet0/0/0]ip add 172.16.66.2 30

[r10-GigabitEthernet0/0/0]int l 0

[r10-LoopBack0]ip add 172.16.65.1 24 

r11

<Huawei>sys

[Huawei]sys r11

[r11]int g0/0/0

[r11-GigabitEthernet0/0/0]ip add 172.16.33.2 30

[r11-GigabitEthernet0/0/0]int g0/0/1

[r11-GigabitEthernet0/0/1]ip add 172.16.33.5 30

[r11-GigabitEthernet0/0/1]int l 0

[r11-LoopBack0]ip add 172.16.32.1 24 

r12

<Huawei>sys

[Huawei]sys r12

[r12]int g0/0/0

[r12-GigabitEthernet0/0/0]ip add 172.16.33.6 30

[r12-GigabitEthernet0/0/0]int l 0

[r12-LoopBack0]ip add 172.16.128.1 18

[r12-LoopBack0]int l 1

[r12-LoopBack1]ip add 172.16.192.1 18 

用ping来测试所有网段通不通

七，用非shortcut方式搭建MGRE环境

首先在r3上配置

[r3]int t0/0/0

[r3-Tunnel0/0/0]ip add 172.16.0.1 24

[r3-Tunnel0/0/0]tunnel-protocol gre p2mp 

[r3-Tunnel0/0/0]source 34.0.0.3

[r3-Tunnel0/0/0]nhrp entry multicast dynamic 

[r3]ip route-static 0.0.0.0 0 34.0.0.4 

r5

[r5]int t0/0/0

[r5-Tunnel0/0/0]ip add 172.16.0.2 24

[r5-Tunnel0/0/0]tunnel-protocol gre p2mp 

[r5-Tunnel0/0/0]source Serial 4/0/0

[r5-Tunnel0/0/0]nhrp entry 172.16.0.1 34.0.0.3 register 

[r5]ip route-static 0.0.0.0 0 45.0.0.4

r6

[r6]int t0/0/0

[r6-Tunnel0/0/0]ip add 172.16.0.3 24

[r6-Tunnel0/0/0]tunnel-protocol gre p2mp 

[r6-Tunnel0/0/0]source Serial 4/0/0

[r6-Tunnel0/0/0]nhrp entry 172.16.0.1 34.0.0.3 register 

[r6]ip route-static 0.0.0.0 0 46.0.0.4

r7

[r7]int t0/0/0

[r7-Tunnel0/0/0]ip add 172.16.0.4 24

[r7-Tunnel0/0/0]tunnel-protocol gre p2mp 

[r7-Tunnel0/0/0]source GigabitEthernet 0/0/0

[r7-Tunnel0/0/0]nhrp entry 172.16.0.1 34.0.0.3 register 

[r7]ip route-static 0.0.0.0 0 47.0.0.4 

全配置完成后检查NHRP表

八，配置ospf协议，使得私网可以互通

1，ospf区域内的命令

2，rip区域

3检查邻居表建邻情况

r1

 与R2,R3建邻成功达到FULL状态

R3--R5--R6--R7的邻居表

r3

r5

r6

r7

九，减少lsa更新量，加快收敛

方法:手工汇总

域间路由汇总：只能在区域间传递3类LSA时，进行手工汇总的路由汇总在ABR上配置，将非骨干区域的路由汇总成一条，传递给骨干区域。

首先汇总区域123的路由

查看r5的链路数据库表（lsdb）

命令配置：

r3

[r3]ospf 1 [r3-ospf-1]area 1   

[r3-ospf-1-area-0.0.0.1]abr-summary 172.16.1.0 255.255.255.0

r6

[r6]ospf 1 [r6-ospf-1]area 2 

[r6-ospf-1-area-0.0.0.2]abr-summary 172.16.2.0 255.255.255.0

r7

[r7]ospf 1

[r7-ospf-1]area 3  

[r7-ospf-1-area-0.0.0.3]abr-summary 172.16.3.0 255.255.255.0

 配置后再次查看链路数据库表

很明显3类LSA由之前的10条汇总成3条汇总好的1.0/2.0/3.0 网段

域外路由汇总：当ASBR将其他协议产生的路由条目重发布进入ospf域时，可以进行汇总配置

将OSPF2与RIP两个域外路由信息汇总

OSPF2的ASBR是r9

r9的命令配置

[r9]ospf 1

[r9-ospf-1]asbr-summary 172.16.4.0 255.255.255.0

RIP的ASBR是r12

r12的命令配置

[r12]ospf 1

[r12-ospf-1]asbr-summary 172.16.5.0 255.255.255.0 

最后再看一次链路数据库表

将之前5类LSA汇总成两个4.0/5.0的汇总网段

10，访问公网

使用NAT技术实现，

（1）先进行acl流量抓取将私网IP获取，在配置NAT将私网转换为公网IP 

以上要求都达到即可全网可达