问

MSR36-40路由器+OSPF路由表获取问题

OSPF

2018-08-15提问

0关注
1收藏，1493浏览

zhiliao_R0oHM

zhiliao_R0oHM 零段

粉丝：0人关注：0人

问题描述：

如题：

本侧路由通过2M线接入企业内网，按接入方式要求，接入网内部路由应通过OSPF获取，不允许使用GBP，通过以下配置接入后，对端截获到本侧有BGP协议，本侧路由表也确有GBP获取到的路由信息。

配置和接入方式如下，烦请指出配置哪里有问题，应如何修改，仅通过OSPF获取路由，不使用BGP的配置？谢谢！

拓扑：

<CQNA-DFSB.R1>dis cu

version 7.1.059, Release 0304P15

sysname CQNA-DFSB.R1

clock timezone beijing add 08:00:00

ip vpn-instance vpn-nrt

route-distinguisher 25513:2

vpn-target 25513:2110 30000:802 20000:200 import-extcommunity

vpn-target 25513:2110 25588:200 export-extcommunity

ip vpn-instance vpn-rt

route-distinguisher 25513:1

vpn-target 25513:1110 30000:801 20000:100 import-extcommunity

vpn-target 25513:1110 25588:100 export-extcommunity

router id 55.2.42.49

ospf 1

area 0.0.0.3

network 55.2.42.49 0.0.0.0

network 55.3.74.192 0.0.0.3

network 55.3.77.192 0.0.0.3

mpls lsr-id 55.2.42.49

mpls ttl propagate vpn

password-recovery enable

vlan 1

traffic classifier c_vpn-nrt-in operator and

if-match acl 2001

traffic classifier c_vpn-nrt-out operator and

if-match mpls-exp 3

traffic classifier c_vpn-rt-in operator and

if-match acl 2001

traffic classifier c_vpn-rt-out operator and

if-match mpls-exp 4

traffic behavior b_vpn-nrt-in

remark dscp af31

traffic behavior b_vpn-nrt-out

queue af bandwidth pct 30

traffic behavior b_vpn-rt-in

remark dscp af41

traffic behavior b_vpn-rt-out

queue af bandwidth pct 70

qos policy p_vpn-nrt-in

classifier c_vpn-nrt-in behavior b_vpn-nrt-in

qos policy p_vpn-out

classifier c_vpn-rt-out behavior b_vpn-rt-out

classifier c_vpn-nrt-out behavior b_vpn-nrt-out

qos policy p_vpn-rt-in

classifier c_vpn-rt-in behavior b_vpn-rt-in

mpls ldp

controller Cellular0/0

controller Cellular0/1

interface Aux0

interface Serial3/0

description DD2-DFSB1-2M

fe1 unframed

ip address 55.3.74.194 255.255.255.252

ospf authentication-mode md5 1 cipher $c$3$WMl1Z2MYGKzrg92B0lKzs9TjtchL/gbDGA==

mpls enable

mpls ldp enable

mpls ldp transport-address interface

interface Serial3/1

shutdown

interface Serial4/0

description BD2-DFSB1-2M

fe1 unframed

ip address 55.3.77.194 255.255.255.252

ospf authentication-mode md5 1 cipher $c$3$SPqUzpH7rwULmfoA0+aGtTRiCntrDuoa4g==

mpls enable

mpls ldp enable

mpls ldp transport-address interface

interface Serial4/1

shutdown

interface NULL0

interface LoopBack0

ip address 55.2.42.49 255.255.255.255

interface Ethernet2/0

port link-mode bridge

shutdown

interface Ethernet2/1

port link-mode bridge

shutdown

interface Ethernet2/2

port link-mode bridge

shutdown

interface Ethernet2/3

port link-mode bridge

shutdown

interface GigabitEthernet0/0

port link-mode route

description R1-S1

combo enable copper

ip binding vpn-instance vpn-rt

ip address 55.110.32.126 255.255.255.128

interface GigabitEthernet0/1

port link-mode route

description R1-S2

combo enable copper

ip binding vpn-instance vpn-nrt

ip address 55.111.32.126 255.255.255.128

interface GigabitEthernet0/2

port link-mode route

shutdown

bgp 25513

group ibgp-peer internal

peer ibgp-peer connect-interface LoopBack0

peer 55.2.40.2 group ibgp-peer

peer 55.2.40.5 group ibgp-peer

address-family ipv4 unicast

import-route direct

peer ibgp-peer enable

address-family vpnv4

peer ibgp-peer enable

ip vpn-instance vpn-nrt

address-family ipv4 unicast

import-route direct

ip vpn-instance vpn-rt

address-family ipv4 unicast

import-route direct

scheduler logfile size 16

line class aux

user-role network-admin

line class tty

user-role network-operator

line class vty

user-role network-operator

line aux 0

authentication-mode scheme

user-role level-15

user-role network-admin

idle-timeout 5 0

line vty 0 4

authentication-mode scheme

user-role level-15

user-role network-admin

protocol inbound ssh

idle-timeout 5 0

line vty 5 63

user-role network-operator

info-center loghost 55.254.13.1

snmp-agent

snmp-agent local-engineid 800063A280D461FE43CA2900000001

snmp-agent community read CQEP-READ

snmp-agent community write CQEP-WRITE

snmp-agent sys-info version v3

snmp-agent group v3 CQEP privacy read-view CQEP-READ write-view CQEP-WRITE notify-view CQEP-READ

snmp-agent target-host trap address udp-domain 55.254.13.1 params securityname CQEP-READ

snmp-agent mib-view included CQEP-READ iso

snmp-agent mib-view included CQEP-WRITE iso

snmp-agent usm-user v3 cqdl CQEP cipher authentication-mode sha $c$3$zUJ3vlz2/td/QKfBkBlH7tD5YyNV1GTTzikvWCMGN2iTISyS3cw= privacy-mode des56 $c$3$5xdVHLv69qIpcvayjR45JyTa3TcB7YtLUIIxSqEryG0clg==

snmp-agent trap source LoopBack0

ssh server enable

ssh user cqdl-ssh service-type stelnet authentication-type password

ntp-service unicast-server 55.2.40.2

ntp-service unicast-server 55.2.40.5

acl basic 2001

rule 0 permit source 55.254.13.0 0.0.0.255

rule 5 permit source 55.3.0.0 0.0.255.255

domain system

domain default enable system

role name level-0

description Predefined level-0 role

role name level-1

description Predefined level-1 role

role name level-2

description Predefined level-2 role

role name level-3

description Predefined level-3 role

role name level-4

description Predefined level-4 role

role name level-5

description Predefined level-5 role

role name level-6

description Predefined level-6 role

role name level-7

description Predefined level-7 role

role name level-8

description Predefined level-8 role

role name level-9

description Predefined level-9 role

role name level-10

description Predefined level-10 role

role name level-11

description Predefined level-11 role

role name level-12

description Predefined level-12 role

role name level-13

description Predefined level-13 role

role name level-14

description Predefined level-14 role

user-group system

local-user cqdl-con class manage

password hash $h$6$spxLOTDn+b99u2k4$bhcSm9KNOfjxbcw5Qwk5BN31nDwXR0W8KQ0S3jDTP1qtctEmG2Dv5iWhCIOBKxtkyRgbmvE0uEiVpGOHbsFaww==

service-type terminal

authorization-attribute user-role level-15

authorization-attribute user-role network-admin

local-user cqdl-ssh class manage

password hash $h$6$UvnTyFOktg0s5tvl$yJy5divtM8HQ+lMxC+mqKSO6O4N22ItRByP/3memdCgJFOT+DkeYI8IMgICHHQRk0872PV5tpn6Si9b7pFYYlA==

service-type ssh

authorization-attribute user-role level-15

authorization-attribute user-role network-admin

public-key peer 55.110.32.124

public-key-code begin

308201B73082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD

96E5F061C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1E

DBD13EC8B274DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941D

DD77FE6B12893DA76EEBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B36895038

7811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F0281810082269009E1

4EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD

35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B6123

91C76C1FB2E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1

585DA7F42519718CC9B09EEF0381840002818071810E8D5F8C3609D843DA2750E8E9ADAB69

58FDD3D827BBEE75344568A7E730FBD132712F53217F3F1C96B128246CDE826BC284224FA7

42A0E49B0C44645D731F5ADB53F4FA19920FABD1697ED9BC000A936FB23575A6C1F8389615

1954AD65FA22E95E33AE7C9FBEB36346845492266FF905B6B7AFD9F8A4DFD3DBB777DBAF

public-key-code end

peer-public-key end

return

<CQNA-DFSB.R1>

接入方式要求：

调度数据网接入网网络设备/应用系统接入方式单

方式单编号：201807 日期：2018年07月13日

厂站名称

110千伏大佛寺电站

接入网名称

南岸地调接入网

网络设备接入方式

基本参数

LoopBack地址

55.2.42.49

router id

55.2.42.49

Mplslsr-id

55.2.42.49

sysname

CQNA-DFSB.R1

上联节点1相关

上联节点1

LoopBack地址

55.2.40.2

上联节点1名称

CQNA-DD.R2

本侧互联地址

55.3.74.194/30

端口号

S5/0

对侧互联地址

55.3.74.193/30

端口号

链路名称

DD2-DFSB1-2M

OSPF区域

链路协议

PPP

ospf timer hello

10s

ospf timer dead

40s

上联节点2相关

上联节点2

LoopBack地址

55.2.40.5

上联节点2名称

CQNA-BD.R1

本侧互联地址

55.3.77.194/30

端口号

S6/0

对侧互联地址

55.3.77.193/30

端口号

链路名称

BD1-DFSB1-2M

OSPF区域

链路协议

PPP

ospf timer hello

10s

ospf timer dead

40s

OSPF要求

1、关闭网络边界OSPF路由功能

2、启用OSPF MD5认证，key为1,至县调汇聚密码：5J74Vn

实时交换机

sysname

CQNA-DFSB.S1

路由器侧

互联地址

55.110.32.126/25

端口号

GE0/0

交换机侧互联VLAN

端口号

DFSH0/0/1

交换机侧互联地址

55.110.32.124/25

I区加密认证装置管理地址

55.110.32.125/25

业务VLAN

未使用端口情况

全部关闭

非实时交换机

sysname

CQNA-DFSB.S2

路由器侧

互联地址

55.111.32.126/25

端口号

GE0/1

交换机侧互联VLAN

端口号

DFSH0/0/1

交换机侧互联地址

55.111.32.124/25

II区加密认证装置管理地址

55.111.32.125/25

业务VLAN

未使用端口情况

全部关闭

设备基本配置

自治系统号

25513

BGP邻居

55.2.40.2/55.2.40.5

RD编码实时VPN

vpn-rt25513:1

RD编码非实时VPN

vpn-nrt25513:2

实时RT编码 VPN TargDFS import

25513:1110 30000:801 20000:100

实时RT编码 VPN TargDFS export

25513:1110 25588:100

非实时RT编码 VPN TargDFS import

25513:2110 30000:802 20000:200

非实时RT编码 VPN TargDFS export

25513:2110 25588:200

QoS参数

实时业务匹配ACL 2001，标记为MPLS EXP 4,设置DSCP为af41，保证70％带宽；非实时业务匹配ACL 2001，标记为MPLS EXP 3，设置DSCP为af31，保证30％带宽；将QOS策略应用与相应的端口，保证QOS能正常运行并起作用。

SNMP 版本

仅启用V3

SNMP ACL

Ø 启用group CQEP；

Ø 启用snmp v3 用户cqdl；

Ø 发送TRAP地址：

55.254.13.1

Ø authentication-mode：sha，密码：cqep-123

Ø privacy-mode:des56,密码：cqep-zdhc

Ø 设置ACL，仅允许55.254.13.0/24能远程SNMP管理。

路由器管理要求

Ø 远程管理只开启SSH，最高级权限。用户名cqdl-ssh,密码cqep-123!

Ø 对console要求：最高级权限。用户名cqdl-con,密码cqep-456!

Ø 关闭dhcp、ftp、telnet、http、https等服务；

Ø 设置ACL，仅允许55.254.13.0/24及55.3.0.0/16能远程登录管理。

Ø 设置5分钟超时退出。

NTP Server地址及时区配置

55.2.40.2/55.2.40.5 时区：北京

未使用端口

全部关闭

syslog服务器地址

55.254.13.1

其他要求

请参见国网公司或重庆电力公司相关规范

交换机基本配置

交换机管理要求

Ø 远程登录管理只开启SSH，最高级权限。用户名cqdl-ssh,密码cqep-123!

Ø 对console要求：最高级权限。用户名cqdl-con,密码cqep-456!

Ø 关闭dhcp、ftp、telnet、http、https等服务；

Ø 设置ACL，交换机仅允许10.55.0.0/16和55.13.0.0/16能远程登录及SNMP管理；

Ø 设置5分钟超时退出。

SNMP相关要求

Ø 仅启用V3

Ø 启用group CQEP；

Ø 启用snmp v3 用户cqdl；

Ø 认证模式：sha，密码：cqep-123

Ø 加密模式:des56,密码：cqep-zdhc

Ø 设置ACL，仅允许10.55.0.0.0/16及55.13.0.0/16能远程SNMP管理。

NTP Server地址及时区配置

实时交换机：以本地实时业务网关地址为NTP server；

非实时交换机：以本地非实时业务网关地址为NTP server；

时区：北京

路由表项

1、不允许使用缺省路由；

2、交换机静态路由目的地址：10.55.0.0/16和55.13.0.0/16

未使用端口

全部关闭

安全要求（此项作为验收必查项）

1、配置交换机时请严格按照上报的mac地址与对相应端口进行绑定。

2、设置业务系统ACL，在交换机的出方向对业务系统进行限制。具体业务走向询问现场各业务系统厂家。

其他要求

请参见国网公司或重庆电力公司相关规范

应用系统接入方式

实时VPN（I区）

应用系统名称

业务地址/掩码

网关地址

交换机端口

监控系统

55.110.32.1/25

55.110.32.126

监控系统

55.110.32.2/25

55.110.32.126

告警直传和远程浏览

55.110.32.3/25

55.110.32.126

告警直传和远程浏览

55.110.32.4/25

55.110.32.126

非实时VPN（II区）

应用系统名称

业务地址/掩码

网关地址

交换机端口

电量采集系统

55.111.32.1 /25

55.111.32.126

备注

应用系统：已接入监控系统、电量采集系统，后续系统接入需提交方式申请。

实时：监控系统端口号：2404；告警直传：3000；远程调阅：3001

非实时：端口号：9001

要求交换机其余未用端口全部关闭

批准单位名称

审核人

联系电话

制单人

联系电话

最佳答案

你还要我怎样

你还要我怎样九段

粉丝：36人关注：1人

问题描述太笼统了，就一个配置也看不出问题

1.OSPF是公网的

2.BGP从哪里获取的路由，公网还是私网？

并且：您把客户信息漏出来，会不会被追责

暂无评论

1 个回答

按时间按赞数

溪风

溪风二段

粉丝：1人关注：0人

你的问题描述不是很清晰，但是根据你说的一些重点分析，判断应该是公网BGP与上联节点建立邻居关系不符合用户要求，建议操作：

bgp 25513

undo address-family ipv4 unicast

暂无评论

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

MSR36-40路由器+OSPF路由表获取问题

问题描述：

编辑答案

提出建议