8.3 上海AS BOOTCAMP实战演练2 题目+图文详解

Alice、袜

一、问题描述：

随着经济的发展，A银行希望在B市开展业务，开设新网点。A银行内部使用OSPF协议，要求B市网点通过网络连接到省数据库存储数据，但是B市比较偏远，而且预算有限，不打算租用专线，并且要求在链路出现问题时能有灾难应急方案。

二、需求分析：

• 市级网点和省级数据库使用OSPF互联，并且开启安全认证；
• 市级网点本地建立OSPF Area2，建立VPN隧道跨越Area1连接到省银行内部Area0；（可选用技术：虚电路）；
• 市级网点使用HSRP技术提供冗余网关，提供灾难应急方案；
• HSRP技术开启抢占功能，能够短时间内切换线路，恢复通信；
• 市级网点主链路使用10M带宽的MSTP线路连接到省数据库，备份链路使用2M的E1线路连接到省数据库。
  
  

三、拓扑规划：

见下图。

地址规划及选型：

四、实施方案：

1.端口IP

略

2.路由配置

1. 
   
2. EJ_R1
   
3. router ospf 1
   
4. network 100.1.1.0 0.0.0.255 area 1
   
5. network 100.1.3.0 0.0.0.255 area 0
   
6. network 192.168.1.253 0.0.0.0 area 2
   
7. !
   
8. 
   
9. EJ_R2
   
10. router ospf 1
    
11. network 100.1.2.254 0.0.0.0 area 1
    
12. network 100.1.4.2 0.0.0.0 area 0
    
13. network 192.168.1.252 0.0.0.0 area 2
    
14. !
    
15. 
    
16. YJCS
    
17. router ospf 1
    
18. router-id 200.0.0.0
    
19. redistribute connected subnets   //直连路由重分布
    
20. network 10.0.1.0 0.0.0.255 area 0
    
21. network 10.0.2.0 0.0.0.255 area 0
    
22. !
    
23. 
    
24. YJ_R1
    
25. router ospf 1
    
26. network 10.0.1.0 0.0.0.255 area 0
    
27. network 100.1.1.0 0.0.0.255 area 1
    
28. network 100.1.3.0 0.0.0.255 area 0
    
29. !
    
30. 
    
31. YJ_R2
    
32. router ospf 1
    
33. network 10.0.2.0 0.0.0.255 area 0
    
34. network 100.1.2.0 0.0.0.255 area 1
    
35. network 100.1.4.1 0.0.0.0 area 0
    
36. 
    

复制代码

3.VPN隧道

在两端路由器配置GRE VPN隧道互联，使Area 2和Area 0跨越其他区域形成相邻区域关系。

1. 
   
2. EJ_R1
   
3. interface Tunnel0
   
4. ip address 100.1.3.2 255.255.255.0   //隧道地址
   
5. tunnel source 100.1.1.254   //隧道起始地址
   
6. tunnel destination 100.1.1.1   //隧道结束地址
   
7. !
   
8. 
   
9. EJ_R2
   
10. interface Tunnel0
    
11. ip address 100.1.4.2 255.255.255.0   //隧道地址
    
12. tunnel source 100.1.2.254   //隧道起始地址
    
13. tunnel destination 100.1.2.1   //隧道结束地址
    
14. !
    
15. 
    
16. YJ_R1
    
17. interface Tunnel0
    
18. ip address 100.1.3.1 255.255.255.0   //隧道地址
    
19. tunnel source 100.1.1.1   //隧道起始地址
    
20. tunnel destination 100.1.1.254   //隧道结束地址
    
21. !
    
22. 
    
23. YJ_R2
    
24. interface Tunnel0
    
25. ip address 100.1.4.1 255.255.255.0   //隧道地址
    
26. tunnel source 100.1.2.1   //隧道起始地址
    
27. tunnel destination 100.1.2.254   //隧道结束地址
    
28. !
    
29. 
    

复制代码

4.OSPF区域安全认证

端口使用md5校验和算法，区域间使用message-digest认证方式。

1. 
   
2. EJ_R1
   
3. interface Tunnel0
   
4. ip address 100.1.3.2 255.255.255.0
   
5. ip ospf message-digest-key 1 md5 area0  //使用md5校验验证
   
6. tunnel source 100.1.1.254
   
7. tunnel destination 100.1.1.1
   
8. !
   
9. router ospf 1
   
10. log-adjacency-changes
    
11. area 0 authentication message-digest   //使用message-disgest认证方式
    
12. network 100.1.1.0 0.0.0.255 area 1
    
13. network 100.1.3.0 0.0.0.255 area 0
    
14. network 192.168.1.253 0.0.0.0 area 2
    
15. !
    
16. 
    
17. EJ_R2
    
18. interface Tunnel0
    
19. ip address 100.1.4.2 255.255.255.0
    
20. ip ospf message-digest-key 1 md5 area0  //使用md5校验验证
    
21. tunnel source 100.1.2.254
    
22. tunnel destination 100.1.2.1
    
23. !
    
24. router ospf 100
    
25. log-adjacency-changes
    
26. area 0 authentication message-digest   //使用message-disgest认证方式
    
27. network 100.1.2.254 0.0.0.0 area 1
    
28. network 100.1.4.2 0.0.0.0 area 0
    
29. network 192.168.1.252 0.0.0.0 area 2
    
30. !
    
31. 
    
32. YJCS
    
33. interface FastEthernet0/23
    
34. no switchport
    
35. ip address 10.0.1.254 255.255.255.0
    
36. ip ospf message-digest-key 1 md5 area0  //使用md5校验验证
    
37. !
    
38. interface FastEthernet0/24
    
39. no switchport
    
40. ip address 10.0.2.254 255.255.255.0
    
41. ip ospf message-digest-key 1 md5 area0  //使用md5校验验证
    
42. !
    
43. router ospf 1
    
44. router-id 200.0.0.0
    
45. log-adjacency-changes
    
46. area 0 authentication message-digest   //使用message-disgest认证方式
    
47. redistribute connected subnets   //直连路由重分布
    
48. network 10.0.1.0 0.0.0.255 area 0
    
49. network 10.0.2.0 0.0.0.255 area 0
    
50. !
    
51. 
    
52. YJ_R1
    
53. interface Ethernet0
    
54. ip address 10.0.1.1 255.255.255.0
    
55. ip ospf message-digest-key 1 md5 area0  //使用md5校验验证
    
56. ip ospf network broadcast
    
57. no ip mroute-cache
    
58. !
    
59. router ospf 1
    
60. log-adjacency-changes
    
61. area 0 authentication message-digest   //使用message-disgest认证方式
    
62. network 10.0.1.0 0.0.0.255 area 0
    
63. network 100.1.1.0 0.0.0.255 area 1
    
64. network 100.1.3.0 0.0.0.255 area 0
    
65. !
    
66. 
    
67. YJ_R2
    
68. interface Tunnel0
    
69. ip address 100.1.4.1 255.255.255.0
    
70. ip ospf message-digest-key 1 md5 area0  //使用md5校验验证
    
71. tunnel source 100.1.2.1
    
72. tunnel destination 100.1.2.254
    
73. !
    
74. router ospf 1
    
75. log-adjacency-changes
    
76. area 0 authentication message-digest   //使用message-disgest认证方式
    
77. network 10.0.2.0 0.0.0.255 area 0
    
78. network 100.1.2.0 0.0.0.255 area 1
    
79. network 100.1.4.1 0.0.0.0 area 0
    
80. !
    

复制代码

5.HSRP冗余备份配置

1. 
   
2. EJ_R1
   
3. interface Ethernet0
   
4. ip address 192.168.1.253 255.255.255.0
   
5. standby 1 ip 192.168.1.254   //虚拟网关
   
6. standby 1 priority 110   //路由优先级
   
7. standby 1 preempt   //抢占功能
   
8. standby 1 track Serial0 30   //惩罚
   
9. !
   
10. 
    
11. EJ_R2
    
12. interface Ethernet0
    
13. ip address 192.168.1.252 255.255.255.0
    
14. standby 1 ip 192.168.1.254   //虚拟网关
    
15. standby 1 priority 90   //路由优先级
    
16. standby 1 preempt   //抢占功能
    
17. standby 1 track Serial0   //惩罚
    

复制代码

五、备选方案

和VPN隧道技术不同，虚链路是直接发布到OSPF区域中，所以较之不安全。

但是VPN隧道技术需要运营商内部服务器支持才能开启，所以虚链路是跨区域OSPF比较常用的技术。

1. 
   
2. EJ_R1
   
3. router ospf 100
   
4. log-adjacency-changes
   
5. area 1 virtual-link 100.1.1.1   //配置OSPF虚电路
   
6. network 100.1.1.254 0.0.0.0 area 1
   
7. network 192.168.1.253 0.0.0.0 area 2
   
8. !
   
9. EJ_R2
   
10. router ospf 1
    
11. log-adjacency-changes
    
12. area 1 virtual-link 100.1.2.1   //配置OSPF虚电路
    
13. network 100.1.2.254 0.0.0.0 area 1
    
14. network 192.168.1.252 0.0.0.0 area 2
    
15. !
    
16. YJ_R1
    
17. router ospf 1
    
18. log-adjacency-changes
    
19. area 1 virtual-link 192.168.1.253   //配置OSPF虚电路
    
20. network 10.0.1.0 0.0.0.255 area 0
    
21. network 100.1.1.0 0.0.0.255 area 1
    
22. !
    
23. YJ_R2
    
24. router ospf 1
    
25. log-adjacency-changes
    
26. area 1 virtual-link 192.168.1.252   //配置OSPF虚电路
    
27. network 10.0.2.0 0.0.0.255 area 0
    
28. network 100.1.2.0 0.0.0.255 area 1
    
29. !
    
30. 
    

复制代码

六、实施文档下载

》》》点击下面附件下载：《《《

七、心得总结

这次实战演练，我们小组依然输了，拿了个安慰的第二名。

我们只能说是天时和地利都不占，所以输了。一开始突然被换成第一个组上台演讲，演讲者沙童鞋很被动很紧张。然后文档我写到半夜3点多，也因为投影器坏了没被展示出来。

下次我们会做的更好，这次我们学习到的是一个心态。太计较输赢了反而拿得起放不下。

技术点有3个点要注意：

1.链路冗余

从拓扑中不同位置断了后，数据流向是不同的。

本次拓扑中，

EJ-R1 to YJ_R1断了，数据会直接从右边链路通过；

YJ_R1 to YJCS断了，数据第一次先到YJ_R1，发现没有到目的地址的路由，然后从OSPF里学习到备份路由器有到目的地址的路由，然后回头从备份链路走；之后就一直往右边备份链路走了。

2.OSPF认证

OSPF认证有2种，一种端口认证和一种区域认证。

配置命令的时候需要看清楚。

3.直连路由重发布

金融网络是一个严密的网络系统，不能所有的直连设备都重发布到整个金融网络里，这很不安全。

这就需要利用到重发布里的路由策略。

感谢阅读！

有不同意见或文中出现错误请回帖~ thx~

Alice、袜

自己的杀花 自己杀掉~

沙滩的裤角

加油

薯薯

呃。。。从做个这个项目的角度顶楼主。。。不过表示这个资料小邪恶。。。

bookpig

下次我们会做的更好，这次我们学习到的是一个心态。太计较输赢了反而拿得起放不下。

加油哦。。

bookpig

下次我们会做的更好，这次我们学习到的是一个心态。太计较输赢了反而拿得起放不下。

加油哦。。

linda.!

LZ对刚做完的项目进行整理，分析，习惯很好！LZ继续加油！
UP!

喵喵

小嘉同学真不错，每次都做项目总结，保持住，加油！

林原静羽

up
LZ越来越强大了~~~~

task

很不错，支持一个。^_^