数据包跟踪器中的 OSPF 配置

Question

我认为你可能做错了。如果你想阻止某些子网与其他子网通信，你需要防火墙，而不是单独的 OSPF 实例。思科设备中的“OSPF ID”与 EIGRP 中的 AS 编号不同。该 ID 具有本地意义，“路由器 ospf 1”和“路由器 ospf 999”将愉快地形成邻居并正常工作。

您可以使用专用防火墙设备（可能位于边缘路由器附近）或仅使用普通 ACL 来限制子网之间的访问。例如，在 R4 上，您可以这样做...

! from the 192.168.6.0/24 into the router interface and towards other private subnets
ip access-list extended acl-private-subnet-in
permit ip 192.168.6.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.6.0 0.0.0.255 192.168.4.0 0.0.0.255

! from other private subnets and out of the router interface and towards 192.168.6.0/24
ip access-list extended acl-private-subnet-out
permit ip 192.168.3.0 0.0.0.255 192.168.6.0 0.0.0.255
permit ip 192.168.4.0 0.0.0.255 192.168.6.0 0.0.0.255

interface <interface towards switch6>
ip access-group acl-private-subnet-in in
ip access-group acl-private-subnet-out out

如果您真的想去疯狂小镇，您还可以为您的“私有”子网创建一个单独的 vrf，在您的核心中运行 MPLS，启用 MP-BGP 来交换标签，并将整个网络视为 L3VPN。但我敢打赌，这比您在这里需要的要多一点。=)

希望这可以帮助，

—凯勒

Answer 1

我认为你可能做错了。如果你想阻止某些子网与其他子网通信，你需要防火墙，而不是单独的 OSPF 实例。思科设备中的“OSPF ID”与 EIGRP 中的 AS 编号不同。该 ID 具有本地意义，“路由器 ospf 1”和“路由器 ospf 999”将愉快地形成邻居并正常工作。

您可以使用专用防火墙设备（可能位于边缘路由器附近）或仅使用普通 ACL 来限制子网之间的访问。例如，在 R4 上，您可以这样做...

! from the 192.168.6.0/24 into the router interface and towards other private subnets
ip access-list extended acl-private-subnet-in
permit ip 192.168.6.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.6.0 0.0.0.255 192.168.4.0 0.0.0.255

! from other private subnets and out of the router interface and towards 192.168.6.0/24
ip access-list extended acl-private-subnet-out
permit ip 192.168.3.0 0.0.0.255 192.168.6.0 0.0.0.255
permit ip 192.168.4.0 0.0.0.255 192.168.6.0 0.0.0.255

interface <interface towards switch6>
ip access-group acl-private-subnet-in in
ip access-group acl-private-subnet-out out

如果您真的想去疯狂小镇，您还可以为您的“私有”子网创建一个单独的 vrf，在您的核心中运行 MPLS，启用 MP-BGP 来交换标签，并将整个网络视为 L3VPN。但我敢打赌，这比您在这里需要的要多一点。=)

希望这可以帮助，

—凯勒

数据包跟踪器中的 OSPF 配置

答案1

相关内容