H3C杯---2020年山东省新一代信息技术创新应用大赛---计算机网络技术应用

使用的软件为H3C网络设备模拟器

1、需求背景

企业网内部R2下挂载两台服务器（loopback 接口1 、2 模拟）服务器中既有ipv4的业务也有ipv6的业务，企业网内的主机(pca pcc属于ipv4主机 pcb pcd属于ipv6主机)。总部通过FW连接到ISP 分部通过R3连接到 ISP， 总部访问分部时需穿越ISP，因此需考虑到业务的机密性和完整性，通过VPN技术实现（总部到分部仅仅只有IPv4的业务互访需求）。

2、网络设备虚拟化

数据中心交换机使用万兆以太网链路实现虚拟化技术IRF

IRF（Intelligent Resilient Framework，智能弹性架构）技术通过将多台设备连接在一起，虚拟化成一台设备，集成多台设备的硬件资源和软件处理能力，实现多台设备的协同工作、统一管理和不间断维护。

IRF主要具有以下优点：

· 统一管理：IRF形成之后，用户通过IRF中的任意端口都可以登录IRF系统，对所有成员设备进行统一管理。同时，对于网络中的其它设备和网管来说，整个IRF就是一个网络节点，简化了网络拓扑，降低了管理难度。

· 高可靠性：IRF中有多台成员设备，其中一台作为主设备，负责IRF的运行、管理和维护；其它成员设备作为从设备，从设备在作为备份的同时也可以处理业务。一旦主设备故障，系统会迅速自动选举新的主设备，以保证业务不中断，从而实现了设备的1:N备份。

· 星形拓扑：所有的成员设备接入二层网络，只要成员设备间二层互通，就可以利用现有的物理连接来转发成员设备间的流量和IRF协议报文，不需要专门的物理线路和接口来转发。

· 跨成员设备的链路聚合：IRF和上、下层设备之间的物理链路支持聚合功能，并且不同成员设备上的物理链路可以聚合成一个逻辑链路，多条物理链路之间可以互为备份也可以进行负载分担，当某个成员设备离开IRF，其它成员设备上的链路仍能收发报文，从而提高了聚合链路的可靠性。

· 强大的网络扩展能力：IRF的各成员设备都有CPU，能够独立处理协议报文、进行报文转发。增加成员设备，可以灵活扩展IRF的处理能力和端口数量。

具体要求如下：

S3的member id为1，S4的member id为2；

[S3]dis irf		设备中默认的irf配置
MemberID    Role    Priority  CPU-Mac         Description

 *+1        Master  1         4828-1a73-0404  ---
--------------------------------------------------

 * indicates the device is the master.

 + indicates the device through which the user logs in.

 The bridge MAC of the IRF is: 4828-1a73-0400
 Auto upgrade                : yes
 Mac persistent              : 6 min
 Domain ID                   : 0
 
 [S4]dis irf
MemberID    Role    Priority  CPU-Mac         Description
 *+1        Master  1         4828-1bac-0504  ---
--------------------------------------------------
 * indicates the device is the master.
 + indicates the device through which the user logs in.

 The bridge MAC of the IRF is: 4828-1bac-0500
 Auto upgrade                : yes
 Mac persistent              : 6 min
 Domain ID                   : 0

 [S4]dis irf
MemberID ?  Role ?  Priority  CPU-Mac ? ? ? ? Description
 *+1 ? ? ?  Master  1 ? ? ? ? 4828-1bac-0504  ---
--------------------------------------------------
 * indicates the device is the master.
 + indicates the device through which the user logs in.
?
 The bridge MAC of the IRF is: 4828-1bac-0500
 Auto upgrade ? ? ? ? ? ? ?  : yes
 Mac persistent ? ? ? ? ? ?  : 6 min
 Domain ID ? ? ? ? ? ? ? ? ? : 0

[S3]irf member 1 priority 10    修改设备的irf优先级，使其成为master设备，irf会选出master和savle设备
[S4]irf member 1 renumber 2     修改设备的编号，默认的编号为1，将设备的编号修改为2
[S4]save    设备的编号修改完成之后要进行保存，并进行重启使配置生效
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.
<S4>reboot      重启设备使配置生效
[S4]dis irf     设备的编号变成了2，由于未配置irf堆叠端口，所以irf未选出master和savle设备
MemberID ?  Role ?  Priority  CPU-Mac ? ? ? ? Description
 *+2 ? ? ?  Master  1 ? ? ? ? 4828-1bac-0504  ---
--------------------------------------------------
 * indicates the device is the master.
 + indicates the device through which the user logs in.
?
 The bridge MAC of the IRF is: 4828-1bac-0500
 Auto upgrade ? ? ? ? ? ? ?  : yes
 Mac persistent ? ? ? ? ? ?  : 6 min
 Domain ID ? ? ? ? ? ? ? ? ? : 0

使用链型方式堆叠（irf-port交叉相连的方式） 用IRF PORT 1 连接IRF PORT 2 ;

[S3]interface range Ten-GigabitEthernet 1/0/49 to Ten-GigabitEthernet 1/0/50    创建一个端口组，将需要进行堆叠的端口加入进去
[S3-if-range]shutdown   关闭端口
[S3]irf-port 1/1    配置堆叠口，前面的1为设备的编号，后面的为堆叠口号，并且两端设备的irf堆叠端口号不能相等
[S3-irf-port1/1]port group interface Ten-GigabitEthernet 1/0/49     将1/0/49接口加入到堆叠口中
[S3]irf-port 1/2
[S3-irf-port1/2]port group interface Ten-GigabitEthernet 1/0/50
[S3]int range Ten-GigabitEthernet 1/0/49 to Ten-GigabitEthernet 1/0/50
[S3-if-range]undo shutdown  打开关闭的端口
[S3]save    保存配置
[S3]irf-port-configuration active   激活irf配置，设备会自动进行重启
[S4]int range Ten-GigabitEthernet 2/0/49 to Ten-GigabitEthernet 2/0/50
[S4-if-range]shutdown
[S4]irf-port 2/1
[S4-irf-port2/1]port group interface Ten-GigabitEthernet 2/0/50     因为修改了设备的编号，所以是2/0/50不再是1/0/50
[S4-irf-port2/1]irf-port 2/2
[S4-irf-port2/2]port group interface Ten-GigabitEthernet 2/0/49
[S4]interface range Ten-GigabitEthernet 2/0/49 to Ten-GigabitEthernet 2/0/50
[S4-if-range]undo shutdown
[S4]save
[S4]irf-port-configuration active
[S3]dis irf     两台设备配置完成之后，查看irf，配置成功，并且s4交换机变成了s3交换机中的配置
MemberID ?  Role ?  Priority  CPU-Mac ? ? ? ? Description
 *+1 ? ? ?  Master  10 ? ? ?  4828-1a73-0404  ---
 ? 2 ? ? ?  Standby 1 ? ? ? ? 4828-1bac-0504  ---
--------------------------------------------------
 * indicates the device is the master.
 + indicates the device through which the user logs in.
?
 The bridge MAC of the IRF is: 4828-1a73-0400
 Auto upgrade ? ? ? ? ? ? ?  : yes
 Mac persistent ? ? ? ? ? ?  : 6 min
 Domain ID ? ? ? ? ? ? ? ? ? : 0
 [S3]sysname IRF    修改名称为irf

3、虚拟局域网

为了减少广播，需要规划并配置VLAN。具体要求如下：

链路上不允许不必要的数据流通过；删除vlan 1

在S1、S2、S3、S4上都创建业务VLAN 并且命名；

将主机划分至对应的VLAN当中；

[IRF]int g 1/0/3
[IRF-GigabitEthernet1/0/3]po ac vlan 10
[IRF-GigabitEthernet1/0/3]int g 1/0/4
[IRF-GigabitEthernet1/0/4]po ac vlan 20
[IRF-GigabitEthernet1/0/4]int g 2/0/3
[IRF-GigabitEthernet2/0/3]po ac vlan 30
[IRF-GigabitEthernet2/0/3]int g 2/0/4
[IRF-GigabitEthernet2/0/4]po ac vlan 40

要求交换机的链路类型规划合理；

链路聚合要求如下：

在IRF设备（S3 和S4）上创建两个聚合组 1 和 2

聚合组1 用于连接S1 聚合组2用于连接S2 并且修改链路类型允许对应的业务VLAN通过 ，禁止不必要的流量通过;

[IRF]int Bridge-Aggregation 1
[IRF]int g 1/0/1
[IRF-GigabitEthernet1/0/1]port link-aggregation group 1
[IRF-GigabitEthernet1/0/1]int g 2/0/2
[IRF-GigabitEthernet2/0/2]port link-aggregation group 1
[IRF]int Bridge-Aggregation 1
[IRF-Bridge-Aggregation1]po li tr
[IRF-Bridge-Aggregation1]po tr per vlan 10 20 30 40
[IRF-Bridge-Aggregation1]undo po tr per vlan 1
[IRF]int Bridge-Aggregation 2
[IRF]int g 1/0/2
[IRF-GigabitEthernet1/0/2]port link-aggregation group 2
[IRF-GigabitEthernet2/0/2]int g 2/0/1
[IRF-GigabitEthernet2/0/1]po li gr 2
[IRF]int Bridge-Aggregation 2
[IRF-Bridge-Aggregation2]po li tr
[IRF-Bridge-Aggregation2]po tr per vlan 10 20 30 40
[IRF-Bridge-Aggregation2]un po tr per vlan 1
[IRF]dis link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port: A -- Auto
Port Status: S -- Selected, U -- Unselected, I -- Individual
Flags:  A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
 ? ? ?  D -- Synchronization, E -- Collecting, F -- Distributing,
 ? ? ?  G -- Defaulted, H -- Expired
?
Aggregate Interface: Bridge-Aggregation1
Aggregation Mode: Static
Loadsharing Type: Shar
  Port ? ? ? ? ? ? Status  Priority Oper-Key
--------------------------------------------------------------------------------
  GE1/0/1 ? ? ? ?  S ? ? ? 32768 ?  1
  GE2/0/2 ? ? ? ?  S ? ? ? 32768 ?  1
?
Aggregate Interface: Bridge-Aggregation2
Aggregation Mode: Static
Loadsharing Type: Shar
  Port ? ? ? ? ? ? Status  Priority Oper-Key
--------------------------------------------------------------------------------
  GE1/0/2 ? ? ? ?  S ? ? ? 32768 ?  2
  GE2/0/1 ? ? ? ?  S ? ? ? 32768 ?  2

S1 和S2也创建两个聚合组，聚合组1 用于连接IRF设备， 聚合组2用于连接S1-S2

并且修改链路类型，允许相应的业务VLAN和互联VLAN 通过，禁止不必要的流量通过;

[S1]int br 1
[S1]int ra g1/0/1 to g1/0/2
[S1-if-range]po li gr 1
[S1]int br 1
[S1-Bridge-Aggregation1]po li tr
[S1-Bridge-Aggregation1]po tr per vlan 10 20 30 40
[S1-Bridge-Aggregation1]undo po tr per vlan 1
[S1]int br 2
[S1]int ra g1/0/3 to g1/0/4
[S1-if-range]po li gr 2
[S1]int br 2
[S1-Bridge-Aggregation2]po li tr
[S1-Bridge-Aggregation2]po tr per vlan 10 20 30 40
[S1-Bridge-Aggregation2]undo po tr per vlan 1
交换机2上进行上述同样的操作

Ps ：聚合均使用二层静态聚合。

[S2-Bridge-Aggregation1]link-aggregation mode dynamic   将链路聚合模式修改为动态，默认的是静态

4、IPv4地址部署

防火墙的默认的用户名和密码为admin，tunnel接口使用ip码为admin，tunnel接口使用模式为ipv4-ipv4

[FW1]int Tunnel 0 mode ipv4-ipv4
[FW1-Tunnel0]ip ad 172.16.0.1 24

5、OSPFv2协议部署

总部使用OSPF协议作为IGP以达到互通。具体要求如下：

OSPF进程1，使用area 0，手工指定router-id为loopback0口地址（这个router id仅仅允许当前进程的OSPFv2使用）；

要求业务网段中不出现协议报文；

修改接口网络类型，加快OSPF收敛速度；

为了管理方便，需要发布Loopback地址；

请合理规划cost值使s1 s2之间的互联链路作为备份链路（cost 值请使用100）；

[S2]int vlan 99
[S2-Vlan-interface99]ospf cost 100

因S1 S2数据中心交换机最近将有更新版本的计划，那么为了不影响业务正常进行请将S1 S2开启GR（优雅重启）功能

• 使用IETF标准GR

• S1 S2之间互为helper

• 请支持计划重启与非计划重启

[S1]ospf 1 router-id 192.168.255.1	进入ospf视图中
[S1-ospf-1]opaque-capability enable	使能opaque lsa报文的接收发布能力，默认的是开启状态
[S1-ospf-1]graceful-restart ietf global	使能ospf的ietf标准的GR能力，默认的关闭的状态
[S1-ospf-1]graceful-restart helper enable	使用GR helper能力，默认是开启状态
[S2]ospf 1 router-id 192.168.255.2
[S2-ospf-1]opaque-capability enable
[S2-ospf-1]graceful-restart ietf global
[S2-ospf-1]graceful-restart helper enable

GR（Graceful Restart，平滑重启）是一种通过备份OSPF配置信息，在协议重启或主备倒换时OSPF进行平滑重启，从邻居那里获得邻居关系，并对LSDB进行同步，从而保证转发业务不中断的机制。

GR有两个角色：

• GR Restarter：发生协议重启或主备倒换事件且具有GR能力的设备。

• GR Helper：和GR Restarter具有邻居关系，协助完成GR流程的设备。

目前有两种方式实现OSPF GR技术：

• 一种是基于IETF标准，GR Restarter通过向GR Helper发送一种称为Grace LSA的9类Opaque LSA来控制GR的交互过程。

• 另外一种是非IETF标准，GR Restarter与GR Helper之间是通过相互发送携带LLS与OOB扩展信息的OSPF报文来完成GR的交互过程。

一台设备可以同时充当GR Restarter和GR Helper。

为保证数据中心交换机可以不中断的转发业务数据，通过BFD与OSPF联动，监视OSPF邻居关系

• BFD双方均采用主动方式

[S1]bfd session init-mode active	配置bfd会话建立前的运行模式为主动模式，默认就是主动模式
[S2]bfd session init-mode active
[R1]bfd session init-mode active

• BFD采用control报文进行双向状态监测（在接口开启BFD功能）

[S1]int g 1/0/5
[S1-GigabitEthernet1/0/5]ospf bfd enable
[S1-GigabitEthernet1/0/5]int vlan 99
[S1-Vlan-interface99]ospf bfd enable
[S2]in g 1/0/5
[S2-GigabitEthernet1/0/5]ospf bfd enable
[S2-GigabitEthernet1/0/5]int vlan 99
[S2-Vlan-interface99]ospf bfd en
[R1]int g 0/0
[R1-GigabitEthernet0/0]ospf bfd enable
[R1-GigabitEthernet0/0]int g 0/1
[R1-GigabitEthernet0/1]ospf bfd enable

• 通过BFD监视S1-R1-S2-R2之间的邻居状态

最后应使IPV4的主机（pca pcc）可以访问R2后挂载的IPV4服务器 8.8.8.8/32 和9.9.9.9/32；

Fw1 应在IGP内发布缺省路由，供总部访问分部 ；

[FW1]ospf 1 router-id 192.168.255.4
[FW1-ospf-1]default-route-advertise always

6、 IGP选路规划

通过修改OSPFV2的cost值实现R1去往VLAN 10 30的流量优先经过S1 转发，S1失效后经过S2转发，VLAN 20 40的流量优先经过S2转发，S2失效后经过S1转发

主路径和备份路径的COST值请使用固定的 10 ,20 10作为主路径，20作为备份路径

7、防火墙安全域部署

FW上配置安全域和域间策略。具体要求如下：

FW1 G1/0/0属于trust域，G1/0/2 属于DMZ区域（DMZ军事隔离区下连接的R2上挂载了ipv4 和ipv6服务器），连接分部的接口 属于Untrust区域

[FW1]security-zone name Trust	进入安全域视图
[FW1-security-zone-Trust]import interface GigabitEthernet 1/0/0		向安全域中加入接口
[FW1]security-zone name DMZ
[FW1-security-zone-DMZ]import interface GigabitEthernet 1/0/2
[FW1]security-zone name Untrust
[FW1-security-zone-Untrust]import interface GigabitEthernet 1/0/1
[FW1-security-zone-Untrust]import interface Tunnel 0
[FW1]security-zone name Local	本地安全域中不需要配置任何的东西

配置域间策略，按照以下要求放行流量，创建源安全域到目的安全域间的域间实例

• 所以区域都可以和local互访，以保证协议正常工作(ipv4 ipv6都使用该策略)

[FW1]zone-pair security source any destination local	创建安全域间实例
[FW1-zone-pair-security-Any-Local]packet-filter 3000	在安全域间实例上应用包过滤策略
[FW1-zone-pair-security-Any-Local]packet-filter ipv6 3000
[FW1]zone-pair security source local destination any
[FW1-zone-pair-security-Local-Any]packet-filter 3000
[FW1-zone-pair-security-Local-Any]packet-filter ipv6 3000

• 允许trust区域和DMZ区域互访（ipv4 ipv6都使用该策略）

[FW1]zone-pair security source trust destination dmz
[FW1-zone-pair-security-Trust-DMZ]packet-filter 3000
[FW1-zone-pair-security-Trust-DMZ]packet-filter ipv6 3000
[FW1]zone-pair security source dmz destination trust
[FW1-zone-pair-security-DMZ-Trust]packet-filter 3000
[FW1-zone-pair-security-DMZ-Trust]packet-filter ipv6 3000

• 允许trust 区域和untrust区域互访（仅ipv4使用该策略）

[FW1]zone-pair security source trust destination untrust
[FW1-zone-pair-security-Trust-Untrust]packet-filter 3000
[FW1]zone-pair security source untrust destination trust
[FW1-zone-pair-security-Untrust-Trust]packet-filter 3000

• 域间策略通过ACL实现，ipv4 和 ipv6的ACL编号为3000

[FW1]acl number 3000	定义一个高级acl
[FW1-acl-ipv4-adv-3000]rule permit ip	允许IP数据包的通过
[FW1]acl ipv6 number 3000	定义一个基于ipv6的高级acl
[FW1-acl-ipv6-adv-3000]rule permit ipv6		允许ipv6数据包的通过

Ps : 这里请注意tunnel接口的安全域划分

8、安全VPN规划

总部和分部之间有业务往来， 通过FW1 和R3之间的ISP链路来承载，但是在该链路上需要保证业务数据的机密性和完整性，并且存在一定的组播业务，使用GRE OVER IPSEC VPN的方式来保护总部到分部的业务，为了更方便的控制总部和分部之间的路由学习，使用BGP在总部和分部之间发布路由。

GRE over IPSEC（GRE嵌套在IPSEC中，主流应用，解决了IPSEC不传组播的的缺陷）：

• ipsec中acl匹配的是tunnle流，源和目的是隧道的源和目的（先经过GRE封装之后，GRE会给IP报文新添加IP报文头，报文头的源目就是隧道的源目）

• ike对等体中remote-address地址是对方公网口的物理地址（Ike、ipsec中所配置的对端地址和本端地址都为物理地址）

• ipsec policy应用在本地物理接口上

IPSEC over GRE（IPSEC嵌套在GRE中）：

• acl匹配的就是业务流

• ike对等体中remote-address地址是对方tunnel接口地址

• ipsec policy应用在本地tunnel接口上

FW1和R3之间的Tunnel接口的源和目的均使用物理接口的地址即可 （需注意FW这侧的Tunnel接口安全域规划）

为了感知隧道的状态，使用keepalive 来监测GRE隧道的状态

• ipsec是一种用于网络通信的安全协议集合

• GRE是一种用于封装数据包的隧道协议

• 隧道接口必须配置的四项：封装类型、隧道接口地址、源地址、目的地址

[FW1]interface Tunnel 0 mode gre	tunnel接口的模式为GRE，所以前面配置的ipv4-ipv4是错误的
[FW1-Tunnel0]source 100.0.0.1	隧道源地址
[FW1-Tunnel0]description 100.0.0.2	隧道目的地址
[FW1-Tunnel0]keepalive 5 3	5代表keepalive消息发送的间隔为5秒，3是最大的尝试次数
[R3]interface Tunnel 0 mode gre
[R3-Tunnel0]source 100.0.0.2
[R3-Tunnel0]description 100.0.0.1
[R3-Tunnel0]keepalive 5 3

Ipsec使用的安全acl 的编号请使用3001,协议类型请使用IP（Ipv4）

[FW1-acl-ipv4-adv-3001]ru 5 per ip sou 100.0.0.1 0.0.0.3 des 100.0.0.2 0.0.0.3
[R3-acl-ipv4-adv-3001]ru 5 per ip sou 100.0.0.2 0.0.0.3 destination 100.0.0.1 0.0.0.3

使用IKE来为ipsec创建ipsec sa 具体参数如下

• Ike keychain的名字采用h3c 密码采用123

[FW1-ike-keychain-h3c]pre-shared-key address 100.0.0.2 30 key simple 123
[R3-ike-keychain-h3c]pre-shared-key address 100.0.0.1 30 key simple 123

• Ike profile 名字为h3c 第一阶段采用主模式，使用地址作为Ike身份标识

[FW1]ike profile h3c
[FW1-ike-profile-h3c]exchange-mode main		默认情况下，第一阶段使用主模式
[FW1-ike-profile-h3c]keychain h3c	引用keychain
[FW1-ike-profile-h3c]local-identity address 100.0.0.1	Ike身份标识
[FW1-ike-profile-h3c]match remote identity address 100.0.0.2	匹配对端身份规则
[R3]ike profile h3c
[R3-ike-profile-h3c]exchange-mode main
[R3-ike-profile-h3c]keychain h3c
[R3-ike-profile-h3c]local-identity address 100.0.0.2
[R3-ike-profile-h3c]match remote identity address 100.0.0.1

ipsec 配置要求如下

• 使用esp协议保护总部到分部的流量，加密算法采用des-cbs 散列函数算法采用sha1 ，transform 名字采用 h3c

• 封装方式是隧道模式

[FW1]ipsec transform-set h3c
[FW1-ipsec-transform-set-h3c]encapsulation-mode tunnel
[FW1-ipsec-transform-set-h3c]protocol esp
[FW1-ipsec-transform-set-h3c]esp encryption-algorithm des-cbc
[FW1-ipsec-transform-set-h3c]esp authentication-algorithm sha1
[R3]ipsec transform-set h3c
[R3-ipsec-transform-set-h3c]encapsulation-mode tunnel
[R3-ipsec-transform-set-h3c]protocol esp
[R3-ipsec-transform-set-h3c]esp encryption-algorithm des-cbc
[R3-ipsec-transform-set-h3c]esp authentication-algorithm sha1

• 创建ipsec policy 时使用IKE协商ipsec sa所需要的参数 ipsec policy的名字是h3c 序列号是1

[FW1]ipsec policy h3c 1 isakmp
[FW1-ipsec-policy-isakmp-h3c-1]security acl 3001
[FW1-ipsec-policy-isakmp-h3c-1]transform-set h3c
[FW1-ipsec-policy-isakmp-h3c-1]ike-profile h3c
[FW1-ipsec-policy-isakmp-h3c-1]remote-address 100.0.0.2
[R3]ipsec policy h3c 1 isakmp
[R3-ipsec-policy-isakmp-h3c-1]security acl 3001
[R3-ipsec-policy-isakmp-h3c-1]ike-profile h3c
[R3-ipsec-policy-isakmp-h3c-1]transform-set h3c
[R3-ipsec-policy-isakmp-h3c-1]remote-address 100.0.0.1

• 接口上应用配置的ipsec策略

[FW1]int g 1/0/1
[FW1-GigabitEthernet1/0/1]ipsec apply policy h3c
[R3]int g 0/0
[R3-GigabitEthernet0/0]ipsec apply policy h3c

使用BGP学习分部和总部之间的私网路由 具体要求如下

• FW1和R3之间通过BGP建立IBGP对等体关系，as 65001，不允许使用物理接口建立

• 通过network的方式发布私网路由 在FW1上发布RD（vlan 10）和Supply (VLAN 30)的路由通告给分部R3

• 在R3上将LoopBack 1 （192.168.11.0/24）和 LoopBack 2（192.168.31.1/24）通告给总部FW1

完成vpn 配置后 总部内ipv4主机（pca pcc）应该可以通过vpn访问R3的Loopback 1 和Loopback 2 (192.168.11.1/24和 192.168.31.1/24)

9、剩余部分

IPv6和OSPFv3部分之前没有接触过，也没有进行系统的学习，知识还需要再进一步的积累，后续做出来，会继续发布。