版块 其他产品 通用技术 配置OSPF
配置OSPF
  

এ塔铃独语别黄昏এ 2022-11-13 23:25801

{{ttag.title}}
配置OSPF[size=13.3333px]
本举例介绍了主备备份组网环境下,如何配置OSPF路由协议。
组网需求
图1所示,企业园区网的出口采用日字型部署路由器、防火墙和核心交换机(三层)。两台USG9000采用主备备份方式工作,上下行业务接口工作在三层,在保证企业网络安全的同时,提升了业务的可靠性。为了减少网络管理的难度,并利于网络的后期扩展,可以采用动态路由方式,路由协议选取OSPF协议。USG9000和路由器、核心交换机同处于OSPF的骨干区域(Area 0),USG9000作为一个中间的路由设备可以简化路由的管理。
图1 企业园区网采用OSPF协议的组网图



配置思路
  • 完成基础配置:
    为上下行业务接口、心跳口配置IP地址,并将接口加入相应的安全区域。
  • 配置OSPF:
    在两台USG9000上启动OSPF,配置OSPF基本功能。
  • 配置双机热备:

      接口GE 1/0/7作为心跳口,用于检测双机心跳、备份状态数据,不能用于转发业务流量,所以OSPF不要引入心跳口IP地址的路由。
      开启根据HRP状态调整OSPF的COST值功能。上下行设备根据不同的COST值,将流量送到主用设备上。
      配置HRP Track功能,监视USG9000的上下行业务接口的状态。
      主备倒换后,路由收敛需要一定的时间,为了保证流量不中断,可以将抢占延时设置为不小于60秒,本例中设置为60秒。
  • 配置安全策略:

      根据实际情况配置严格的安全策略,允许内网用户访问外网。
      对于OSPF协议报文,配置Local域与业务接口所在安全区域之间的安全策略,允许OSPF协议报文通过。

操作步骤
  • 在USG9000_A上配置各接口的IP地址,并将接口加入相应的安全区域。这里为心跳口创建了安全区域hrp_interface。
    <USG9000_A> system-view[USG9000_A] interface GigabitEthernet 1/0/1[USG9000_A-GigabitEthernet1/0/1] ip address 210.1.0.1 24[USG9000_A-GigabitEthernet1/0/1] quit[USG9000_A] firewall zone untrust[USG9000_A-zone-untrust] add interface GigabitEthernet 1/0/1[USG9000_A-zone-untrust] quit[USG9000_A] interface GigabitEthernet 1/0/2[USG9000_A-GigabitEthernet1/0/2] ip address 210.3.0.3 24[USG9000_A-GigabitEthernet1/0/2] quit[USG9000_A] firewall zone trust[USG9000_A-zone-trust] add interface GigabitEthernet 1/0/2[USG9000_A-zone-trust] quit[USG9000_A] interface GigabitEthernet 1/0/7[USG9000_A-GigabitEthernet1/0/7] ip address 10.1.0.1 24[USG9000_A-GigabitEthernet1/0/7] quit[USG9000_A] firewall zone name hrp_interface[USG9000_A-zone-hrp_interface] description for_hrp_interface[USG9000_A-zone-hrp_interface] set priority 60[USG9000_A-zone-hrp_interface] quit[USG9000_A] firewall zone hrp_interface[USG9000_A-zone-hrp_interface] add interface GigabitEthernet 1/0/7[USG9000_A-zone-hrp_interface] quit
  • 在USG9000_A上配置OSPF路由协议。
    [USG9000_A] ospf 1[USG9000_A-ospf-1] area 0[USG9000_A-ospf-1-area-0.0.0.0] network 210.1.0.0 0.0.0.255[USG9000_A-ospf-1-area-0.0.0.0] network 210.3.0.0 0.0.0.255[USG9000_A-ospf-1-area-0.0.0.0] quit[USG9000_A-ospf-1] quit
  • 在USG9000_A上配置双机热备功能。
    # 配置HRP Track监控上下行业务接口的状态。
    [USG9000_A] hrp track interface GigabitEthernet 1/0/1[USG9000_A] hrp track interface GigabitEthernet 1/0/2
    # 开启根据HRP状态调整OSPF的COST值功能。
    [USG9000_A] hrp adjust ospf-cost enable
    # 指定心跳口。
    [USG9000_A] hrp interface GigabitEthernet 1/0/7 remote 10.1.0.2
    # 开启HRP功能。
    [USG9000_A] hrp enable
    # 配置抢占延迟时间为60秒,同时也开启了抢占功能。
    HRP_M[USG9000_A] hrp preempt delay 60
  • 配置USG9000_B。
    USG9000_B和USG9000_A的配置基本相同,不同之处在于:

      USG9000_B各接口的IP地址与USG9000_A各接口的IP地址不相同,且USG9000_B和USG9000_A业务接口的IP地址不能在同一网段。
      在USG9000_B上配置运行OSPF动态路由协议时,应该发布与USG9000_B的业务接口直接相连的网段的路由。
      在USG9000_B的系统视图下配置命令hrp standby-device,指定USG9000_B为备设备。
      在USG9000_B上配置心跳口时,对端IP地址为10.1.0.1。

  • 配置安全策略。由于已经配置双机热备功能,所以安全策略只需在USG9000_A上配置,USG9000_B会自动备份相关配置。
    # 配置安全策略允许内网用户访问外网,假设内网网段为202.10.0.0/16。
    HRP_M[USG9000_A] policy interzone trust untrust outboundHRP_M[USG9000_A-policy-interzone-trust-untrust-outbound] policy 1HRP_M[USG9000_A-policy-interzone-trust-untrust-outbound-1] policy source 202.10.0.0 mask 16HRP_M[USG9000_A-policy-interzone-trust-untrust-outbound-1] action permitHRP_M[USG9000_A-policy-interzone-trust-untrust-outbound-1] quitHRP_M[USG9000_A-policy-interzone-trust-untrust-outbound] quit
    # 配置上下行业务接口所在安全区域与Local区域之间的域间安全策略,允许OSPF协议报文通过。
    HRP_M[USG9000_A] ip service-set ospf type objectHRP_M[USG9000_A-object-service-set-ospf] service protocol 89HRP_M[USG9000_A-object-service-set-ospf] quitHRP_M[USG9000_A] policy interzone local untrust outboundHRP_M[USG9000_A-policy-interzone-local-untrust-outbound] policy 1HRP_M[USG9000_A-policy-interzone-local-untrust-outbound-1] policy service service-set ospfHRP_M[USG9000_A-policy-interzone-local-untrust-outbound-1] action permitHRP_M[USG9000_A-policy-interzone-local-untrust-outbound-1] quitHRP_M[USG9000_A-policy-interzone-local-untrust-outbound] quitHRP_M[USG9000_A] policy interzone local untrust inboundHRP_M[USG9000_A-policy-interzone-local-untrust-inbound] policy 1HRP_M[USG9000_A-policy-interzone-local-untrust-inbound-1] policy service service-set ospfHRP_M[USG9000_A-policy-interzone-local-untrust-inbound-1] action permitHRP_M[USG9000_A-policy-interzone-local-untrust-inbound-1] quitHRP_M[USG9000_A-policy-interzone-local-untrust-inbound] quitHRP_M[USG9000_A] policy interzone local trust outboundHRP_M[USG9000_A-policy-interzone-local-trust-outbound] policy 1HRP_M[USG9000_A-policy-interzone-local-trust-outbound-1] policy service service-set ospfHRP_M[USG9000_A-policy-interzone-local-trust-outbound-1] action permitHRP_M[USG9000_A-policy-interzone-local-trust-outbound-1] quitHRP_M[USG9000_A-policy-interzone-local-trust-outbound] quitHRP_M[USG9000_A] policy interzone local trust inboundHRP_M[USG9000_A-policy-interzone-local-trust-inbound] policy 1HRP_M[USG9000_A-policy-interzone-local-trust-inbound-1] policy service service-set ospfHRP_M[USG9000_A-policy-interzone-local-trust-inbound-1] action permitHRP_M[USG9000_A-policy-interzone-local-trust-inbound-1] quitHRP_M[USG9000_A-policy-interzone-local-trust-inbound] quit

结果验证
配置完成后,在USG9000_A和USG9000_B上进行结果验证,下面以USG9000_A为例。
  • 执行命令display hrp state,检查双机热备的状态,显示以下信息表示HRP建立成功。
    HRP_M[USG9000_A] display hrp state Role: active, peer: standby Running priority: 47002, peer: 47000 Core state: normal, peer: normal Backup channel usage: 3% Stable time: 0 days, 5 hours, 1 minutes
  • 执行命令display ospf peer,查看OSPF的邻居信息。
    HRP_M[USG9000_A] display ospf peer          OSPF Process 1 with Router ID 210.2.0.2                  NeighborsArea 0.0.0.0 interface 210.1.0.1(GigabitEthernet1/0/1)'s neighbors Router ID: 210.1.0.2          Address: 210.1.0.2   State: Full  Mode:Nbr is  Master  Priority: 1   DR: 210.1.0.1  BDR: 210.1.0.2  MTU: 0   Dead timer due in 38  sec   Neighbor is up for 00:00:15   Authentication Sequence: [ 0 ]                  NeighborsArea 0.0.0.0 interface 210.2.0.2(GigabitEthernet1/0/2)'s neighbors Router ID: 210.2.0.1          Address: 210.2.0.1   State: Full  Mode:Nbr is  Master  Priority: 1   DR: 210.2.0.2  BDR: 210.2.0.1  MTU: 0   Dead timer due in 25  sec   Neighbor is up for 00:00:59   Authentication Sequence: [ 0 ]
  • 查看OSPF路由表的信息,应该有去往上下行设备的路由表项。
    HRP_M[USG9000_A] display ospf routing          OSPF Process 1 with Router ID 210.2.0.2                   Routing Tables Routing for Network Destination        Cost  Type        NextHop         AdvRouter       Area 210.1.0.0/24       2     stub        210.1.0.1       210.2.0.2       0.0.0.0 210.2.0.0/24       1     stub        210.2.0.2       210.2.0.2       0.0.0.0 Total Nets: 2 Intra Area: 2  Inter Area: 0  ASE: 0  NSSA: 0


打赏鼓励作者,期待更多好文!

打赏
1人已打赏

新手719320 发表于 2022-11-19 18:43
  
感谢分享,有助于工资和学习!!
发表新帖
作者其他文章
介绍Auto-Start功能的应用场景。 配置双主检测示例(Eth-Trunk口代理方式) CLI举例:防火墙直路部署,上下行连接交换机的主备备份组网
热门标签
全部标签>
每日一问
技术盲盒
干货满满
技术笔记
新版本体验
产品连连看
2023技术争霸赛专题
功能体验
技术咨询
GIF动图学习
自助服务平台操作指引
信服课堂视频
标准化排查
社区帮助指南
通用技术
秒懂零信任
答题自测
安装部署配置
上网策略
SANGFOR资讯
技术晨报
项目案例
专家分享
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
转盘
任务
商城
勋章
成长计划

本版版主

深粉
12
185
6

发帖

粉丝

关注

2017万圣节勋章

本版热帖

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人