HCIP-进阶实验03-网络流量路径控制
实验需求
某城域网网络环境部署规划如图所示,该网络通过OSPF协议进行部署设计,分为四个区域,分别为骨干区域0、普通区域1.2.3。其中普通区域1为特殊区域NSSA,普通区域2为Stub区域。由于网络中部分设备存在性能不足情况,需要对网络中的路由进行控制。你作为该网络部署负责人,请根据需求完成项目部署:
| 设备名 | 接口号 | IP地址 | 备注 |
|---|---|---|---|
| AR1 | G0/0/0 | 10.1.12.1/24 | |
| Loopback 0 | 1.1.1.1/32 | 属于区域1 | |
| AR2 | G0/0/0 | 10.1.12.2/24 | |
| G0/0/1 | 10.0.23.2/24 | ||
| G0/0/2 | 10.0.24.2/24 | ||
| Loopback 0 | 2.2.2.2/32 | 属于区域0 | |
| AR3 | G0/0/1 | 10.0. 23.3/24 | |
| G0/0/2 | 10.3.35.3/24 | ||
| Loopback 0 | 3.3.3.3/32 | 属于区域0 | |
| AR4 | G0/0/0 | 10.2.46.4/24 | |
| G0/0/1 | 10.0.24.4/24 | ||
| G0/0/2 | 10.3.45.4/24 | ||
| Loopback 0 | 4.4.4.4/32 | 属于区域0 | |
| AR5 | G0/0/1 | 10.3.35.5/24 | |
| G0/0/2 | 10.3.45.5/24 | ||
| Loopback 0 | 5.5.5.5/32 | 引入外部路由 | |
| Loopback 1 | 15.15.15.15/32 | 引入外部路由 | |
| Loopback 2 | 25.25.25.25/32 | 引入外部路由 | |
| AR6 | G0/0/0 | 10.2.46.6/24 | |
| Loopback 0 | 6.6.6.6/32 | 属于区域2 |
IP地址已预配
实验内容
1 根据IP规划表配置相应接口IP地址,并测试直连网段的连通性(已预配);
配置验证
简单两两间ping一下就好, 这里不做展示.
2 根据拓扑图及IP规划表,在各个设备上部署OSPF协议,手动指定OSPF的Router-ID,ID为各自的路由器编号,如R1为1.1.1.1。其他需求如下
a) 在路由器R1,R2上运行OSPF进程1,区域1,并通告相应网段;
b) 在路由器R2,R3,R4上运行OSPF进程1,区域0,并通告相应网段;
c) 在路由器R4,R6上运行OSPF进程1,区域2,并通告相应网段;
d) 在路由器R3,R4,R5上运行OSPF进程1,区域3,并通告相应网段,注意环回口通过import-route direct方式通告;
配置命令
R1:
sy
ospf 1 router-id 1.1.1.1
area 1
network 1.1.1.1 0.0.0.0
network 10.1.12.1 0.0.0.0
qu
qu
R2:
sy
ospf 1 router-id 2.2.2.2
area 1
network 10.1.12.2 0.0.0.0
area 0
network 10.0.23.2 0.0.0.0
network 10.0.24.2 0.0.0.0
network 2.2.2.2 0.0.0.0
qu
qu
R3:
sy
ospf 1 router-id 3.3.3.3
area 0
network 10.0.23.3 0.0.0.0
network 3.3.3.3 0.0.0.0
area 3
network 10.3.35.3 0.0.0.0
qu
qu
R4:
sy
ospf 1 router-id 4.4.4.4
area 0
network 10.0.24.4 0.0.0.0
network 4.4.4.4 0.0.0.0
area 2
network 10.2.46.4 0.0.0.0
area 3
network 10.3.45.4 0.0.0.0
qu
qu
R5:
sy
ospf 1 router-id 5.5.5.5
area 3
network 10.3.35.5 0.0.0.0
network 10.3.45.5 0.0.0.0
qu
import-route direct
qu
R6:
sy
ospf 1 router-id 6.6.6.6
area 2
network 10.2.46.6 0.0.0.0
network 6.6.6.6 0.0.0.0
qu
qu
验证配置
dis ospf peer
dis ospf lsdb
dis ip routing-table
ping
-
查看R1 ospf lsdb:
其余的挨个检查的结果就不展示了, 总之是没问题的.
3 由于区域1和区域2的路由器性能相对不足,需要进行设置路由条目减少,需求如下:
a) 区域1设置为NSSA区域;
b) 区域2设置为Stub区域;
c) 在边界路由器R2的OSPF区域0中,通过Filter和ACL,减少向普通区域1的三类LSA发送,只发送环回口路由即可;
d) 在边界路由器R4的OSPF区域2中,通过Filter和IP-prefix,减少普通区域2的三类LSA接收,只接收环回口路由即可;
配置命令
R1:
ospf 1
area 1
nssa
qu
qu
R2:
ospf 1
area 1
nssa
qu
qu
acl 2000
rule permit source 2.2.2.2 0.0.0.0
rule permit source 3.3.3.3 0.0.0.0
rule permit source 4.4.4.4 0.0.0.0
rule permit source 6.6.6.6 0.0.0.0
rule 1000 deny
qu
ospf 1
area 0
filter 2000 export
qu
qu
R5上的三个回环口是五类LSA
R4:
ospf 1
area 2
stub
qu
qu
ip ip-prefix loopback permit 0.0.0.0 0 gr 32
ip ip-prefix loopback index 1000 deny 0.0.0.0 0 le 32
ospf 1
area 2
filter ip-prefix loopback import
R6:
ospf 1
area 2
stub
qu
qu
验证配置
-
在R1上查看ospf-area1的信息:
-
在R6上查看ospf-area2的信息:
-
R1配置特殊区域后五类LSA减少:
-
在R1上检查R2对于三类LSA的过滤情况:
-
在R6上检查R4对三类LSA的过滤情况:
减少接收三类LSA之前:
过滤三类LSA之后:
4 根据业务需求、现需要调整导入条目属性信息,需求如下:
a) 在路由器R5上将环回口条目引入的时候,将部分路由进行过滤,只保留15.15.15.15/32和25.25.25.25/32的两条路由,同时将条目的cost修改为5,type类型为1;
b) 注意所有的修改操作通过route-policy实现;
配置
R5:
acl 2000
rule permit source 15.15.15.15 0
rule permit source 25.25.25.25 0
rule 1000 deny
qu
route-policy import permit node 10
if-match acl 2000
apply cost 5
apply cost-type type-1
qu
ospf 1
import-route direct route-policy import
qu
acl也能换成IP-Prefix
ip ip-prefix test permit 15.15.15.15 32
ip ip-prefix test permit 25.25.25.25 32
ip ip-prefix test dent 0.0.0.0 0 le 32
验证配置
在R5上查看ospf的lsdb:
dis ospf lsdb ase self-originate
5 在网络的数据通信过程中,由于业务需要,需要对路径进行调整,需求如下:
a) 在路由器R2上,通过使用MQC配置方式,实现当路由器R1环回口访问15.15.15.15/32的网络时,数据从R2-R3-R5走。当路由器R1访问25.25.25.25/32网络时,数据从R2-R4-R5走;
b) 在路由器R5上,通过PBR配置方式,实现当15.15.15.15/32需要访问路由器R1环回口时,数据从R5-R3-R2走。当25.25.25.25/32需要访问路由器R1环回口时,数据从R5-R4-R2走。
R2 MQC配置
acl 3000
rule permit ip source 1.1.1.1 0 des 15.15.15.15 0
qu
acl 3001
rule permit ip source 1.1.1.1 0 des 25.25.25.25 0
rule permit ip source 10.1.12.1 0 des 25.25.25.25 0
qu
traffic classifier 235
if-match acl 3000
qu
traffic classifier 245
if-match acl 3001
qu
traffic behavior 235
redirect ip-nexthop 10.0.23.3
qu
traffic behavior 245
redirect ip-nexthop 10.0.24.4
qu
traffic policy test
classifier 235 behavior 235
classifier 245 behavior 245
qu
int g0/0/0
traffic-policy test inbound
qu
R5 PBR配置
acl 3000
rule permit ip source 15.15.15.15 0 des 1.1.1.1 0
qu
acl 3001
rule permit ip source 25.25.25.25 0 des 1.1.1.1 0
qu
policy-based-route test permit node 10
if-match acl 3000
apply ip-address next-hop 10.3.35.3
qu
policy-based-route test permit node 20
if-match acl 3001
apply ip-address next-hop 10.3.45.4
qu
ip local policy-based-route test
验证配置
-
在R1上查看配置的traffic-policy:
dis traffic-policy applied-record
-
在R5上查看配置的PBR:
dis policy-based-route test
-
在R1上tracert验证:
环回口tracert 15.15.15.15:
tracert -a 1.1.1.1 15.15.15.15R1 tracert 25.25.25.25:
tracert 25.25.25.25成功:
-
在R5上tracert验证:
tracert -a 15.15.15.15 1.1.1.115.15.15.15 tracert 1.1.1.1
tracert -a 25.25.25.25 1.1.1.125.25.25.25 tracert 1.1.1.1
成功:
遇到问题
-
步骤5中, 在完成R2上的MQC配置后, 想要使用R1 tracert R5的两个环回口, 发现不通.
检查路由表发现七类LSA生成的默认路由消失了:
查看acl, 猜想是两条rule 100的问题:
取消这俩条规则:
R1与外部的连接重新恢复:
实验验证通过:
实验完成后再次在R2的ACL 3000中加入rule deny ip用来不匹配其他的路由/数据, 只对1.1.1.1/32->15.15.15.15/32进行匹配:
R1再次出现这种情况:
无奈只能删除rule deny ip, 但就在这时, 设备上出现了ospf的邻居建立信息:
猜想是这条acl中断了R1与R2之间的OSPF邻居关系, 再次验证:
果然如此, 抓包进一步看看情况:
基本确认了是ospf报文被拦截
再次deny ip:
出现了几条关键报文, 都是R2发给R1的更新报文, R1回复了但R2没收到, 一直进行重传.
到这里基本确定R2将R1的ip流量全过滤掉了.
翻了翻之前路由策略的笔记, 发现这样一条说法:
行吧.
标签:03,qu,1.1,0.0,网络流量,ip,15.15,25.25,进阶 From: https://www.cnblogs.com/konjac-wjh/p/16897815.html