數據包跟踪器中的 OSPF 配置

假設我有 4 座建築物都連接到主樓，並且在每座建築物中我都有特權子網（紅色圓圈）。特權子網必須能夠相互連接，並且子網的其餘部分連接在一起。有人可以解釋我如何使用 OSPF 做到這一點嗎？謝謝

http://s22.postimg.org/5ctmeb9ip/Screen_Shot_2013_04_17_at_1_06_05_AM.png

我認為您可能會以錯誤的方式解決此問題。如果您想阻止某些子網與其他子網通信，則需要防火牆，而不是單獨的 OSPF 實例。Cisco 設備中的“OSPF ID”與 EIGRP 中的 AS 編號不同。ID 是本地有效的，“router ospf 1”和“router ospf 999”將很高興地形成鄰居關係並正常工作。

您可以使用專用防火牆設備（可能靠近您的邊緣路由器）或僅使用普通 ACL 來限制子網之間的訪問。例如，在 R4 上，您可能會這樣做……

! from the 192.168.6.0/24 into the router interface and towards other private subnets
ip access-list extended acl-private-subnet-in
permit ip 192.168.6.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.6.0 0.0.0.255 192.168.4.0 0.0.0.255

! from other private subnets and out of the router interface and towards 192.168.6.0/24
ip access-list extended acl-private-subnet-out
permit ip 192.168.3.0 0.0.0.255 192.168.6.0 0.0.0.255
permit ip 192.168.4.0 0.0.0.255 192.168.6.0 0.0.0.255

interface <interface towards switch6>
ip access-group acl-private-subnet-in in
ip access-group acl-private-subnet-out out

如果你真的想去瘋狂的小鎮，你還可以為你的“私有”子網創建一個單獨的 vrf，在你的核心執行 MPLS，啟用 MP-BGP 交換標籤，並將整個網路視為 L3VPN。但我敢打賭，這比你在這裡需要的要多一點。=)

希望這可以幫助，

-凱勒

引用自：https://serverfault.com/questions/499907