Cisco

數據包跟踪器中的 OSPF 配置

  • April 16, 2013

假設我有 4 座建築物都連接到主樓,並且在每座建築物中我都有特權子網(紅色圓圈)。特權子網必須能夠相互連接,並且子網的其餘部分連接在一起。有人可以解釋我如何使用 OSPF 做到這一點嗎?謝謝

http://s22.postimg.org/5ctmeb9ip/Screen_Shot_2013_04_17_at_1_06_05_AM.png

我認為您可能會以錯誤的方式解決此問題。如果您想阻止某些子網與其他子網通信,則需要防火牆,而不是單獨的 OSPF 實例。Cisco 設備中的“OSPF ID”與 EIGRP 中的 AS 編號不同。ID 是本地有效的,“router ospf 1”和“router ospf 999”將很高興地形成鄰居關係並正常工作。

您可以使用專用防火牆設備(可能靠近您的邊緣路由器)或僅使用普通 ACL 來限制子網之間的訪問。例如,在 R4 上,您可能會這樣做……

! from the 192.168.6.0/24 into the router interface and towards other private subnets
ip access-list extended acl-private-subnet-in
permit ip 192.168.6.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.6.0 0.0.0.255 192.168.4.0 0.0.0.255

! from other private subnets and out of the router interface and towards 192.168.6.0/24
ip access-list extended acl-private-subnet-out
permit ip 192.168.3.0 0.0.0.255 192.168.6.0 0.0.0.255
permit ip 192.168.4.0 0.0.0.255 192.168.6.0 0.0.0.255

interface <interface towards switch6>
ip access-group acl-private-subnet-in in
ip access-group acl-private-subnet-out out

如果你真的想去瘋狂的小鎮,你還可以為你的“私有”子網創建一個單獨的 vrf,在你的核心執行 MPLS,啟用 MP-BGP 交換標籤,並將整個網路視為 L3VPN。但我敢打賭,這比你在這裡需要的要多一點。=)

希望這可以幫助,

-凱勒

引用自:https://serverfault.com/questions/499907