|
AF OSPF和GRE场景部署案例 By- Travelnight
最近遇到了AF在OSPF场景下的配置下面给大家来某公司。
一 . OSPF基本介绍。 关于OSPF,学过数通的应该都不会陌生吧。作为一个动态路由协议,OSPF作为基于链路状态的协议,能够解决可以完美解决早起RIP的收敛慢、路由环路、可扩展性差等问题。 OSPF协议具有以下特点: OSPF把自治系统划分成逻辑意义上的一个或多个区域;
OSPF通过LSA的形式发布路由; OSPF依靠在OSPF区域内各设备间交互OSPF报文来达到路由信息的统一;
OSPF报文封装在IP报文内,可以采用单播或组播的形式发送。
其余的我就不多赘述了,大家可以去翻翻NP的资料。
二 . GRE基本介绍。GRE是一种隧道技术,提供了一条通路使封装的数据报文能够在这个通路上传输,在隧道的两端分别对数据报进行封装及解封装。 加封装过程 隧道模块收到GRE报文后进行如下处理: RouterA从连接X网络的接口接收到报文后,首先交由自己的X网络协议模块处理。 RouterA的X协议模块检查报文头中的目的地址,在路由表中查找出接口,如果发现出接口是Tunnel接口,则将此报文发给隧道模块。 RouterA的隧道模块根据报文的协议类型和当前GRE隧道所配置的认证字和校验参数,对报文进行GRE封装,添加GRE头。 RouterA根据隧道配置的参数(传输协议为IP),为报文添加IP头。该IP头的源地址就是隧道源地址,IP头的目的地址就是隧道目的地址。 RouterA将该报文交给IP模块处理。 RouterA的IP模块根据该IP头目的地址,在公网路由表中查找相应的出接口并发送报文,报文将在该IP公共网络中传输。
三.客户环境介绍以上就是两个协议的基本介绍了。现在客户的环境是怎样的呢。
客户原先使用的是某为的防火墙。出口有两条专线,一条是走GRE。一条是走专线OSPF。主要流量走OSPF,专线断了走GRE,具体为啥这么搞,我也不清楚,据说是以前组网的遗留问题。网段A和网段B网关都在防火墙上,防火墙OSPF直接宣告直接网段。 现在我们要做的就是换掉它!并且网关下移到三层核心交换机上面去。 那么网络改造后的网络将会是这样的。
出口防火墙替换成AF,网关下移至核心交换机。并且给内网增加了几个网段。
四.具体配置。 1. 首先用CRT等工具,记录下客户数通设备的所有配置,并且留档。这一步十分重要。可以给我们配置AF一个参考。避免很多的坑!而且,AF切换上去之后万一有什么问题。这个给我们的排错也带来很大的方便!
这是我记录的客户的部分配置。 2. AF区域配置。这里我划分了trust,untrust等几个区域。 3. AF 接口配置。配置好接口应用到区域中去。
4. GRE口配置。 根据防火墙设备之前的配置。配置隧道口,部署GRE隧道,通过静态路由指定到达对端的报文通过Tunnel接口转发,分支两个网段就可以互相通信了。
注意:1.配置GRE要求网段路由可达。 2.记得给Tunnel口配置相应的区域。
相关静态路由配置,配置静态路由,将数据引入隧道口:
这样GRE通道就配置好了! 5. OSPF配置。 1. 启用OSPF,宣告和上一路由器的直连网段 2. 配置相应的接口,配置网络类型是P2P,也就是点对点。
3. 配置静态路由重分发,将去往内网的静态路由引入。这样其他路由器就可以学习到去往内网的静态路由了。 配置完成之后,就可以在信息里面看到邻接状态,LSA等内容了。后面就是配置相应的安全策略了。 | 
发表于 2017-12-28 20:41
发表于 2017-12-29 11:36
技术员3级 
