安全实验作业

一 拓扑图

二 要求

1、R4为ISP，其上只能配置IP地址；R4与其他所有直连设备间均使用共有IP

2、R3-R5-R6-R7为MGRE环境，R3为中心站点；

3、整个OSPF环境IP基于172.16.0.0/16划分；

4、所有设备均可访问R4的环回；

5、减少LSA的更新量，加快收敛，保证更新安全；

6、全网可达

三 拓扑信息

根据需求描述，网络拓扑如下：

R4 是 ISP，只能配置 IP 地址，且与其他直连设备使用公有 IP。

R3 是 MGRE（多点 GRE）环境的中心站点，与 R5、R6、R7 组成 MGRE 网络。

R3 与 R4 直连，使用公有 IP。

R3、R5、R6、R7 之间通过 MGRE 隧道通信。

R4 的环回接口需要被所有设备访问。

OSPF 协议用于路由，IP 地址基于 172.16.0.0/16 划分。

四 需求分析
IP 地址规划：基于 172.16.0.0/16 进行子网划分，确保每个设备有唯一的 IP 地址。

MGRE 配置：R3 作为中心站点，R5、R6、R7 作为分支站点，通过 MGRE 隧道与 R3 通信。

OSPF 配置：在 MGRE 环境中运行 OSPF，确保全网路由可达。

LSA 优化：通过 OSPF 的区域划分、路由汇总等方式减少 LSA 的更新量，加快收敛速度。

安全性：确保 OSPF 更新安全，可以通过 OSPF 认证来实现。

全网可达：确保所有设备可以访问 R4 的环回接口，并且全网路由可达。

       

---

172.16.0.0/16

先分成2个网段（OSPF + RIP），借1位         

172.16.0.0/17         ---OSPF        

再按区域划分（5个区域），借3位                

172.16.0.0/20        ---Area 0                

三个环回 + MGRE = 4个网段，但一般网络只有200主机左右，所以直接规划到/24                         172.16.0.0/24        ---MGRE                         172.16.1.0/24        ---R5环回                         172.16.2.0/24        ---R6环回                         172.16.3.0/24        ---R7环回                         ...                         

172.16.15.0/24    ---保留备用                

172.16.16.0/20      ---Area 1                 三个环回 + 一个骨干 = 4个网段，但还是直接规划到/24                         

172.16.16.0/24        ---Area 1骨干                         需要3个IP，所以到/29                                 172.16.16.0/29        ---不能用                                

172.16.16.1/29        ---R1接口                                

172.16.16.2/29        ---R2接口                                

172.16.16.3/29        ---R3接口                                

172.16.16.4/29        ---保留备用                                

172.16.16.5/29        ---保留备用                                

172.16.16.6/29        ---保留备用                                

172.16.16.7/29        ---不能用                         

172.16.17.0/24        ---R1环回                         

172.16.18.0/24        ---R2环回                         

172.16.19.0/24        ---R3环回                         ...                         

172.16.31.0/24    ---保留备用                

172.16.32.0/20      ---Area 2                 1个环回+2个骨干                        

172.16.32.0/24        ---R11环回                        

172.16.33.0/30        ---R6-R11                        

172.16.33.4/30        ---R11-R12                

172.16.48.0/20      ---Area 3                 1个环回+2个骨干                        

172.16.48.0/24        ---R8环回                        

172.16.49.0/30        ---R7-R8                        

172.16.49.4/30        ---R8-R9                

172.16.64.0/20      ---Area 4                 2个环回+1个骨干                        

172.16.64.0/24        ---R9环回                        

172.16.65.0/24        ---R10环回                        

172.16.66.0/30        ---R9-R10                                  

172.16.80.0/20      ---保留备用                

172.16.96.0/20      ---保留备用                

172.16.112.0/20    ---保留备用         

172.16.128.0/17     ---RIP        

2个环回                 172.16.128.0/18                 172.16.192.0/18               

六 配置

r1配置

<Huawei>sys

[Huawei]sys r1

[r1]int g0/0/0

[r1-GigabitEthernet0/0/0]ip add 172.16.16.1 29

[r1-GigabitEthernet0/0/0]int l 0

[r1-LoopBack0]ip add 172.16.17.1 24

r2配置

<Huawei>sys

[Huawei]sys r2

[r2]int g0/0/0

[r2-GigabitEthernet0/0/0]ip add 172.16.16.2 29

[r2-GigabitEthernet0/0/0]int l 0

[r2-LoopBack0]ip add 172.16.18.1 24

r3

<Huawei>sys

[Huawei]sys r3

[r3]int g0/0/0

[r3-GigabitEthernet0/0/0]ip add 172.16.16.3 29

[r3-GigabitEthernet0/0/0]int l 0

[r3-LoopBack0]ip add 172.16.19.1 24

[r3-LoopBack0]int s4/0/0

[r3-Serial4/0/0]ip add 34.0.0.3 24 

r4

<Huawei>sys
[Huawei]sys r4

[r4]int g0/0/0
[r4-GigabitEthernet0/0/0]ip add 47.0.0.4 24
[r4-GigabitEthernet0/0/0]int s4/0/0
[r4-Serial4/0/0]ip add 34.0.0.4 24
[r4-Serial4/0/0]int s4/0/1
[r4-Serial4/0/1]ip add 45.0.0.4 24
[r4-Serial4/0/1]int s3/0/0
[r4-Serial3/0/0]ip add 46.0.0.4 24
[r4-Serial3/0/0]int l 0
[r4-LoopBack0]ip add 4.4.4.4 32

r5

<Huawei>sys

[Huawei]sys r5

[r5]int s4/0/0

[r5-Serial4/0/0]ip add 45.0.0.5 24

[r5-Serial4/0/0]int l 0

[r5-LoopBack0]ip add 172.16.1.1 24 

r6

<Huawei>sys

[Huawei]sys r6

[r6]int s4/0/0

[r6-Serial4/0/0]ip add 46.0.0.6 24

[r6-Serial4/0/0]int g0/0/0

[r6-GigabitEthernet0/0/0]ip add 172.16.33.1 30

[r6-GigabitEthernet0/0/0]int l 0

[r6-LoopBack0]ip add 172.16.2.1 24 

r7

<Huawei>sys

[Huawei]sys r7

[r7]int g0/0/0

[r7-GigabitEthernet0/0/0]ip add 47.0.0.7 24

[r7-GigabitEthernet0/0/0]int l 0

[r7-LoopBack0]ip add 172.16.3.1 24

[r7-LoopBack0]int g0/0/1

[r7-GigabitEthernet0/0/1]ip add 172.16.49.1 30 

r8

<Huawei>sys

[Huawei]sys r8

[r8]int g0/0/0

[r8-GigabitEthernet0/0/0]ip add 172.16.49.2 30

[r8-GigabitEthernet0/0/0]int g0/0/1

[r8-GigabitEthernet0/0/1]ip add 172.16.49.5 30

[r8-GigabitEthernet0/0/1]int l 0

[r8-LoopBack0]ip add 172.16.48.1 24 

r9

<Huawei>sys

[Huawei]sys r9

[r9]int g0/0/0

[r9-GigabitEthernet0/0/0]ip add 172.16.49.6 30

[r9-GigabitEthernet0/0/0]int l 0

[r9-LoopBack0]ip add 172.16.64.1 24

[r9-LoopBack0]int g0/0/1

[r9-GigabitEthernet0/0/1]ip add 172.16.66.1 30 

r10

<Huawei>sys

[Huawei]sys r10

[r10]int g0/0/0

[r10-GigabitEthernet0/0/0]ip add 172.16.66.2 30

[r10-GigabitEthernet0/0/0]int l 0

[r10-LoopBack0]ip add 172.16.65.1 24 

r11

<Huawei>sys

[Huawei]sys r11

[r11]int g0/0/0

[r11-GigabitEthernet0/0/0]ip add 172.16.33.2 30

[r11-GigabitEthernet0/0/0]int g0/0/1

[r11-GigabitEthernet0/0/1]ip add 172.16.33.5 30

[r11-GigabitEthernet0/0/1]int l 0

[r11-LoopBack0]ip add 172.16.32.1 24 

r12

<Huawei>sys

[Huawei]sys r12

[r12]int g0/0/0

[r12-GigabitEthernet0/0/0]ip add 172.16.33.6 30

[r12-GigabitEthernet0/0/0]int l 0

[r12-LoopBack0]ip add 172.16.128.1 18

[r12-LoopBack0]int l 1

[r12-LoopBack1]ip add 172.16.192.1 18 

用ping来测试所有网段通不通

七，用非shortcut方式搭建MGRE环境

首先在r3上配置

[r3]int t0/0/0

[r3-Tunnel0/0/0]ip add 172.16.0.1 24

[r3-Tunnel0/0/0]tunnel-protocol gre p2mp 

[r3-Tunnel0/0/0]source 34.0.0.3

[r3-Tunnel0/0/0]nhrp entry multicast dynamic 

[r3]ip route-static 0.0.0.0 0 34.0.0.4 

r5

[r5]int t0/0/0

[r5-Tunnel0/0/0]ip add 172.16.0.2 24

[r5-Tunnel0/0/0]tunnel-protocol gre p2mp 

[r5-Tunnel0/0/0]source Serial 4/0/0

[r5-Tunnel0/0/0]nhrp entry 172.16.0.1 34.0.0.3 register 

[r5]ip route-static 0.0.0.0 0 45.0.0.4

r6

[r6]int t0/0/0

[r6-Tunnel0/0/0]ip add 172.16.0.3 24

[r6-Tunnel0/0/0]tunnel-protocol gre p2mp 

[r6-Tunnel0/0/0]source Serial 4/0/0

[r6-Tunnel0/0/0]nhrp entry 172.16.0.1 34.0.0.3 register 

[r6]ip route-static 0.0.0.0 0 46.0.0.4

r7

[r7]int t0/0/0

[r7-Tunnel0/0/0]ip add 172.16.0.4 24

[r7-Tunnel0/0/0]tunnel-protocol gre p2mp 

[r7-Tunnel0/0/0]source GigabitEthernet 0/0/0

[r7-Tunnel0/0/0]nhrp entry 172.16.0.1 34.0.0.3 register 

[r7]ip route-static 0.0.0.0 0 47.0.0.4 

全配置完成后检查NHRP表

 

八，配置ospf协议，使得私网可以互通

1，ospf区域内的命令

2，rip区域

3检查邻居表建邻情况

r1

 与R2,R3建邻成功达到FULL状态

R3--R5--R6--R7的邻居表

r3

r5

r6

r7

九，减少lsa更新量，加快收敛

方法:手工汇总

域间路由汇总：只能在区域间传递3类LSA时，进行手工汇总的路由汇总在ABR上配置，将非骨干区域的路由汇总成一条，传递给骨干区域。

首先汇总区域123的路由

查看r5的链路数据库表（lsdb）

命令配置：

r3

[r3]ospf 1 [r3-ospf-1]area 1   

[r3-ospf-1-area-0.0.0.1]abr-summary 172.16.1.0 255.255.255.0

r6

[r6]ospf 1 [r6-ospf-1]area 2 

[r6-ospf-1-area-0.0.0.2]abr-summary 172.16.2.0 255.255.255.0

r7

[r7]ospf 1

[r7-ospf-1]area 3  

[r7-ospf-1-area-0.0.0.3]abr-summary 172.16.3.0 255.255.255.0

 配置后再次查看链路数据库表

很明显3类LSA由之前的10条汇总成3条汇总好的1.0/2.0/3.0 网段

域外路由汇总：当ASBR将其他协议产生的路由条目重发布进入ospf域时，可以进行汇总配置

将OSPF2与RIP两个域外路由信息汇总

OSPF2的ASBR是r9

r9的命令配置

[r9]ospf 1

[r9-ospf-1]asbr-summary 172.16.4.0 255.255.255.0

RIP的ASBR是r12

r12的命令配置

[r12]ospf 1

[r12-ospf-1]asbr-summary 172.16.5.0 255.255.255.0 

最后再看一次链路数据库表

将之前5类LSA汇总成两个4.0/5.0的汇总网段

10，访问公网

使用NAT技术实现，

（1）先进行acl流量抓取将私网IP获取，在配置NAT将私网转换为公网IP 

以上要求都达到即可全网可达