一、 实验拓扑
二、 实验需求及解法
本实验模拟国际互联网、ISP骨干网、互联网数据中心、企业数据中心、企业私网 网组成的综合型网络环境。概况如下:
a) 红色区域为ISP骨干网:负责传递公网路由,承载各私网访问互联网数据中心的流量。 同时满足大虫江西企业网到大虫企业数据中心的MPLS-VPN要求。
b) 蓝色区域为互联网数据中心(IDC):属于ISP下辖机构,Server1/2/3模拟各企业服务器 在IDC托管的情况。另外大虫企业数据中心也整体托管在IDC内部,通过R11连接到IDC 核心交换机SW1。互联网用户可以通过IDC访问大虫企业数据中心。
c) 绿色区域为大虫江西企业网:分为私网(PC3和R8)与生产办公网。私网与生产办公 网物理隔离,保障生产办公网的安全性。生产办公网通过MPLS-VPN与大虫企业数据 中心通信,访问生产/办公服务器。生产/办公专线作为备用线路,当ISP骨干网MPLS- VPN链路故障时,可用专线与生产办公服务器通信。
d) 灰色区域为大虫九江企业网:使用双互联网出口,可访问IDC、企业数据中心等公 网,还通过GRE-VPN与大虫江西企业网的私网互联。
所有设备已预配IP地址,请自行查看并测试直连。(vlanif/tunnel/vrf没有预配)
A:国际互联网
该网络使用一台路由器模拟,已配置BGP AS800,并发布路由0.0.0.0/0和8.0.0.0/8。 你无权对该设备进行配置,但是可以登录设备使用display命令查看配置。
<internet>dis cu con bgp
bgp 800
router-id 8.8.8.8
peer 8.0.0.5 as-number 500
#
ipv4-family unicast
undo synchronization
aggregate 8.0.0.0 255.0.0.0 as-set detail-suppressed \\聚合路由8.0.0.0/8
network 8.0.1.0 255.255.255.0
network 8.8.8.8 255.255.255.255
peer 8.0.0.5 enable
peer 8.0.0.5 default-route-advertise \\发布默认路由
B:ISP 骨干网
该网络由R1/2/3/4/5,共五台设备组成。另外IDC的出口路由器R6/7由ISP管理。配置这七 台设备,完成以下需求:
1.1 运行ISIS。
1.1.1 进程1,全部为level-2路由器。
1.1.2 R1/2/3/4/5属于区域49.0500,R6/7属于区域49.0100
1.1.3 system-id规划如下:
1.1.4 将R1的is-name设置为R1,以此类推配置R1-7,便于查看邻居关系。 1.1.5 R3/4/5不激活与其他AS互联的接口。
1.1.6 R6/7不激活G0/0/1。
R1:
isis 1
is-level level-2
network-entity 49.0500.0000.0000.0001.00
is-name R1
#
interface GigabitEthernet0/0/0
isis enable 1
#
interface GigabitEthernet0/0/1
isis enable 1
#
interface LoopBack0
isis enable 1
#
R2:
isis 1
is-level level-2
network-entity 49.0500.0000.0000.0002.00
is-name R2
#
interface GigabitEthernet0/0/0
isis enable 1
#
interface GigabitEthernet0/0/1
isis enable 1
#
interface LoopBack0
isis enable 1
#
R3:
isis 1
is-level level-2
network-entity 49.0500.0000.0000.0003.00
is-name R3
#
interface GigabitEthernet0/0/0
isis enable 1
#
interface LoopBack0
isis enable 1
#
R4:
isis 1
is-level level-2
network-entity 49.0500.0000.0000.0004.00
is-name R4
#
interface GigabitEthernet0/0/0
isis enable 1
#
interface LoopBack0
isis enable 1
#
R5:
isis 1
is-level level-2
network-entity 49.0500.0000.0000.0005.00
is-name R5
#interface GigabitEthernet1/0/0
isis enable 1
#
interface GigabitEthernet2/0/0
isis enable 1
#
interface GigabitEthernet3/0/0
isis enable 1
#
interface GigabitEthernet4/0/0
isis enable 1
#
interface LoopBack0
isis enable 1
#
R6:
isis 1
is-level level-2
network-entity 49.0100.0000.0000.0006.00
is-name R6
#
interface GigabitEthernet0/0/0
isis enable 1
#
interface LoopBack0
isis enable 1
R7:
isis 1
is-level level-2
network-entity 49.0100.0000.0000.0007.00
is-name R7
#
interface GigabitEthernet0/0/0
isis enable 1
#
interface LoopBack0
isis enable 1
1.1.7 确认各设备间的ISIS邻居关系,确认各设备环回口互通。
[R5]dis isis peer
[R6]dis isis peer
[R7]dis isis peer
1.1.8 win10系统若运行isis无效,可配置完isis后,再配置ospf,完成各设备互通的需求。 标准答案会按照isis配置打分。
请注意R6/7的OSPF不要与IDC内部的OSPF互通,使用不同进程号即可。
1.2 运行BGP,R1/2/3/4/5属于AS500,R6/7属于AS65100。
1.2.1 手动配置所有设备Router id为Loopback0地址。
1.2.2 R5作为反射器,使用Loopback0与R1/2/3/4分别建立ibgp邻居关系,并将R1/2/3/4设 置为客户端。(不允许使用group配置)
1.2.3 R1/2/3/4之间不建立ibgp邻居关系,分别使用Loopback0与R5建立ibgp邻居关系。 1.2.4 配置必要的修改下一跳为本地命令,保证路由可达性。
R1:
bgp 500
router-id 5.1.1.1
peer 5.5.5.5 as-number 500
peer 5.5.5.5 connect-interface LoopBack0
peer 5.5.5.5 next-hop-local
#
R2:
bgp 500
router-id 5.2.2.2
peer 5.5.5.5 as-number 500
peer 5.5.5.5 connect-interface LoopBack0
peer 5.5.5.5 next-hop-local
#
R3:
bgp 500
router-id 5.3.3.3
peer 5.5.5.5 as-number 500
peer 5.5.5.5 connect-interface LoopBack0
peer 5.5.5.5 next-hop-local
#
R4:
bgp 500
router-id 5.4.4.4
peer 5.5.5.5 as-number 500
peer 5.5.5.5 connect-interface LoopBack0
peer 5.5.5.5 next-hop-local
#
R5:
bgp 500
router-id 5.5.5.5
peer 5.1.1.1 as-number 500
peer 5.1.1.1 connect-interface LoopBack0
peer 5.2.2.2 as-number 500
peer 5.2.2.2 connect-interface LoopBack0
peer 5.3.3.3 as-number 500
peer 5.3.3.3 connect-interface LoopBack0
peer 5.4.4.4 as-number 500
peer 5.4.4.4 connect-interface LoopBack0
ipv4-family unicast
peer 5.1.1.1 reflect-client
peer 5.1.1.1 next-hop-local
peer 5.2.2.2 reflect-client
peer 5.2.2.2 next-hop-local
peer 5.3.3.3 reflect-client
peer 5.3.3.3 next-hop-local
peer 5.4.4.4 reflect-client
peer 5.4.4.4 next-hop-local
1.2.5 确认所有的ibgp邻居关系建立完成。
[R5]dis bgp peer
1.2.6 R1与R6,R2与R7分别使用Loopback0建立ebgp邻居关系。
R1:
bgp 500
peer 5.6.6.6 as-number 65100
peer 5.6.6.6 ebgp-max-hop 2
peer 5.6.6.6 connect-interface LoopBack0
#环回口建立ebgp邻居需要修改ebgp最大跳数,大于1即可。
R6:
bgp 65100
router-id 5.6.6.6
peer 5.1.1.1 as-number 500
peer 5.1.1.1 ebgp-max-hop 2
peer 5.1.1.1 connect-interface LoopBack0
#
R2:
bgp 500
peer 5.7.7.7 as-number 65100
peer 5.7.7.7 ebgp-max-hop 2
peer 5.7.7.7 connect-interface LoopBack0
#
R7:
bgp 65100
router-id 5.7.7.7
peer 5.2.2.2 as-number 500
peer 5.2.2.2 ebgp-max-hop 2
peer 5.2.2.2 connect-interface LoopBack0
#
1.2.7 R5与internet使用物理口建立ebgp邻居关系。internet设备已配置,IP地址为8.0.0.8, AS800,请完成R5的配置。
R5:
bgp 500
peer 8.0.0.8 as-number 800
#
1.2.8 确认所有的ebgp邻居关系建立完成。
[R6]dis bgp peer
[R7]dis bgp peer
[R5]dis bgp peer
1.2.9 确认R1/2/3/4/5/6/7都能收到来自internet发布的路由8.0.0.0/8。
[R5]dis bgp routing-table
[R6]dis bgp routing-table
其他设备略.....自行查看(继续下一步)
1.2.10 R5上预配置聚合路由5.0.0.0/8,抑制明细路由,且不保留AS号。
(将来在AS500中发布5.0.0.0/8的子网路由都会聚合后再发布给Internet,减少路由更新是 BGP很重要的基础配置。)
R5:
bgp 500
aggregate 5.0.0.0 255.0.0.0 detail-suppressed
1.3 运行mpls
1.3.1 R1/2/3/4/5启用mpls。(虽然本实验只有R2/3/5有mpls-vpn需求,但是在实际网络中ISP会预配置mpls,当客户有mpls-vpn需求时无需临时配置mpls。)
1.3.2 lsr-id设置为Loopback0地址。
1.3.3 启用ldp。
R1:
mpls lsr-id 5.1.1.1
mpls
mpls ldp
#
interface GigabitEthernet0/0/0
mpls
mpls ldp
R2:
mpls lsr-id 5.2.2.2
mpls
mpls ldp
#
interface GigabitEthernet0/0/0
mpls
mpls ldp
#
R3:
mpls lsr-id 5.3.3.3
mpls
mpls ldp
#
interface GigabitEthernet0/0/0
mpls
mpls ldp
#
R4:
mpls lsr-id 5.4.4.4
mpls
mpls ldp
#
interface GigabitEthernet0/0/0
mpls
mpls ldp
#
R5:
mpls lsr-id 5.5.5.5
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
mpls
mpls ldp
#
interface GigabitEthernet2/0/0
mpls
mpls ldp
#
interface GigabitEthernet3/0/0
mpls
mpls ldp
#
interface GigabitEthernet4/0/0
mpls
mpls ldp
#
1.3.4 确认R5与R1/2/3/4都建立了ldp邻居关系。
[R5]dis mpls ldp peer
C.大虫企业网(私网)
2.1 大虫江西企业网通过R8接入到ISP,公网IP地址5.0.3.1/24,私网IP地址172.16.3.0/24。
2.1.1 ISP分配公网地址后,在R3的BGP中使用network命令发布路由5.0.3.0/24。
R3:
bgp 500
network 5.0.3.0 255.255.255.0
2.1.2 R8配置默认路由,请确认R8可以访问8.8.8.8。
R8:
ip route-static 0.0.0.0 0.0.0.0 5.0.3.254
2.1.3 R8使用acl 2000和nat,在G0/0/0上部署eazy-ip,仅允许172.16.3.0/24访问公网。
R8:
acl number 2000
rule 5 permit source 172.16.3.0 0.0.0.255 #
interface GigabitEthernet0/0/0
nat outbound 2000
#
2.1.4 确认PC3可以访问8.8.8.8。
2.2 大虫九江企业网通过R14接入到ISP,双出口公网IP地址5.0.4.1/24和8.0.1.1/24 私网IP地址172.16.1.0/24和172.16.2.0/24
2.2.1 ISP分配公网地址后,在R4的BGP中使用network命令发布路由5.0.4.0/24。internet的 BGP中已发布8.0.1.0/24。
R4:
bgp 500
network 5.0.4.0 255.255.255.0
2.2.2 R14配置两条默认路由分别通过R4和internet访问公网,并要求R4为主要出口, internet为备份出口。通过修改某一条路由的协议优先级为70来实现这个需求。
R14:
ip route-static 0.0.0.0 0.0.0.0 5.0.4.254
ip route-static 0.0.0.0 0.0.0.0 8.0.1.254 preference 70
2.2.3 R14使用acl 2000和nat,在G0/0/0和G0/0/2上部署eazy-ip,仅允许172.16.1.0/24和 172.16.2.0/24访问公网
R14:
acl number 2000
rule 5 permit source 172.16.1.0 0.0.0.255
rule 10 permit source 172.16.2.0 0.0.0.255
#
interface GigabitEthernet0/0/0
nat outbound 2000
#
interface GigabitEthernet0/0/2
nat outbound 2000
2.3 部署vlan
2.3.1 SW12创建vlan10 14 20,并关闭stp。
SW12:
vlan batch 10 14 20
#
stp disable
2.3.2 G0/0/1-3接口链路类型为access,并将PC1划入vlan10,PC2划入vlan20,R14划入 vlan14。
SW12:
interface GigabitEthernet0/0/1 port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 14
#
2.3.3 创建vlanif接口,并配置ip地址,规划如下:
vlanif10:172.16.1.254/24
vlanif20:172.16.2.254/24
vlanif14:172.16.14.12/24
SW12:
interface Vlanif10
ip address 172.16.1.254 255.255.255.0
#
interface Vlanif14
ip address 172.16.14.12 255.255.255.0
#
interface Vlanif20
ip address 172.16.2.254 255.255.255.0
#
2.4 部署ospf
2.4.1 SW12和R14运行ospf,进程1,router-id为Loopback0地址,区域0,使用network命令 宣告,通配符0.0.0.0。确认邻居关系建立完成。
SW12:
ospf 1 router-id 172.16.100.12
area 0.0.0.0
network 172.16.100.12 0.0.0.0
network 172.16.1.254 0.0.0.0
network 172.16.2.254 0.0.0.0
network 172.16.14.12 0.0.0.0
#
R14:
ospf 1 router-id 172.16.101.14
area 0.0.0.0
network 172.16.14.14 0.0.0.0
network 172.16.101.14 0.0.0.0
#
2.4.2 由于SW12访问公网也需要默认路由,在R14的ospf中引入默认路由,且无论R14本地 是否有默认路由都会引入。(提示:import-route对默认路由无效,需要使用专用命令。)
R14:
ospf 1 router-id 172.16.101.14
default-route-advertise always
#
2.4.3 确认PC1 PC2通过R4访问8.8.8.8,且R4故障时依旧可以访问8.8.8.8。
#通过R4访问8.8.8.8
[R4]int g0/0/1
[R4-GigabitEthernet0/0/1]shutdown
#
#路径切换,保持通信。
[R4-GigabitEthernet0/0/1]undo shutdown
D.大虫企业网GRE-VPN
2.5.1 确认R14与R8的公网地址5.0.4.1与5.0.3.1互通。
[R14]ping 5.0.3.1
2.5.2 在R14与R8上建立GRE-VPN,规划如下:
R8:接口编号tunnel 0/0/0,接口协议GRE,源地址5.0.3.1,目的地址5.0.4.1,IP地址 172.16.148.8/24
interface Tunnel0/0/0
ip address 172.16.148.8 255.255.255.0
tunnel-protocol gre
source 5.0.3.1
destination 5.0.4.1
R14:接口编号tunnel 0/0/0,接口协议GRE,源地址5.0.4.1,目的地址5.0.3.1,IP地址 172.16.148.14/24
interface Tunnel0/0/0
ip address 172.16.148.14 255.255.255.0
tunnel-protocol gre
source 5.0.4.1
destination 5.0.3.1
确认R14与R8的Tunnel口可以互通。
[R14]ping 172.16.148.8
2.5.3 R14与R8通过GRE隧道建立ospf邻居关系,R8的ospf配置需求与R14相同(需求 2.4.1)。
R8:
ospf 1 router-id 172.16.101.8
area 0.0.0.0
network 172.16.3.254 0.0.0.0
network 172.16.101.8 0.0.0.0
network 172.16.148.8 0.0.0.0
#
R14:
ospf 1 router-id 172.16.101.14 area 0.0.0.0
network 172.16.148.14 0.0.0.0
[R8]dis ospf peer brief
2.5.4 确认PC1 PC2可以与PC3私网互通。
E:策略路由
为避免大虫江西企业网的internet出口链路空闲,在R14上部署策略路由。当PC2访问公网 时,优先走internet出口,且不能影响PC2访问PC3的流量。
2.6.1 配置ACL,规划如下:
acl 3000匹配172.16.2.0/24到172.16.3.0/24的流量; acl 3001匹配172.16.2.0/24到任意目的的流量。
R14:
acl number 3000
rule 5 permit ip source 172.16.2.0 0.0.0.255 destination 172.16.3.0 0.0.0.255
#
acl number 3001
rule 5 permit ip source 172.16.2.0 0.0.0.255
2.6.2 定义流分类:
流分类C1,匹配acl 3000
流分类C2,匹配acl 3001
traffic classifier C1
if-match acl 3000
traffic classifier C2
if-match acl 3001
2.6.3 定义流行为:
流行为B1,重定向下一跳为R8的GRE隧道IP地址172.16.148.8
流行为B2,重定向下一跳为internet出口对端公网IP地址8.0.1.254
traffic behavior B1
redirect ip-nexthop 172.16.148.8
traffic behavior B2
redirect ip-nexthop 8.0.1.254
2.6.4 定义流策略,名称PBR:
首先关联流分类C1与流行为B1
再关联流分类C2与流行为B2
traffic policy PBR
classifier C1 behavior B1
classifier C2 behavior B2
2.6.5 在G0/0/1上部署流策略PBR。
interface GigabitEthernet0/0/1
traffic-policy PBR inbound
2.6.6 确认PC1通过R4访问8.8.8.8,PC2通过Internet访问8.8.8.8。同时PC1和PC2依旧可以与 PC3通信。
PC1 通过 R4 访问 8.8.8.8
PC2 通过 internet 直接访问 8.8.8.8
PC3 与 PC1/2 通信不受影响
需求解析:
本需求使用 PBR 控制 PC2 的流量通过 Internet 直接访问 8.8.8.8,此策略会直接影响 PC2 的 所有流量包括 PC2 到 PC3。在 acl 3000 中先把 PC2 到 PC3 的流量定义出来并定向至 GRE 隧 道,然后再用 acl3001 把 PC2 其他流量定义到 internet 出口,这样就不会影响到 vpn 流量。
F.互联网数据中心(IDC)
1 链路捆绑eth-trunk
1.2 SW1与SW2分别创建eth-trunk0,使用lacp静态模式,基于源目mac地址负载均衡。
SW1/2:
interface Eth-Trunk0
mode lacp-static
load-balance src-dst-mac
1.3 SW1与SW3分别创建eth-trunk1,使用lacp静态模式,基于源目mac地址负载均衡。
SW1/3:
interface Eth-Trunk1
mode lacp-static
load-balance src-dst-mac
1.4 SW1/2/3分别将合适的物理接口加入eth-trunk链路。
SW1:
interface GigabitEthernet0/0/21
eth-trunk 0
#
interface GigabitEthernet0/0/22
eth-trunk 0
#
interface GigabitEthernet0/0/23
eth-trunk 1
#
interface GigabitEthernet0/0/24
eth-trunk 1
#
SW2:
interface GigabitEthernet0/0/21
eth-trunk 0
#
interface GigabitEthernet0/0/22
eth-trunk 0
#
SW3:
interface GigabitEthernet0/0/23
eth-trunk 1
#
interface GigabitEthernet0/0/24
eth-trunk 1
#
2 super-vlan
2.1 SW1创建vlan 3000 to 3003,SW2/3创建vlan 3001 to 3003。
SW1:
vlan batch 3000 to 3003
#
SW2/3:
vlan batch 3001 to 3003
#
2.2 SW1将vlan3000设置为super-vlan,3001 to 3003设置为子vlan。
SW1:
vlan 3000
aggregate-vlan
access-vlan 3001 to 3003
2.3 SW1/2/3之间的链路配置为trunk,允许vlan 3001 to 3003通过。
SW1/2:
interface Eth-Trunk0
port link-type trunk
port trunk allow-pass vlan 3001 to 3003
#
SW1/3:
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 3001 to 3003
#
2.4 使用access接口把Server划入对应vlan:
Server1-vlan3001 Server2-vlan3002 Server3-vlan3003
SW2:
interface GigabitEthernet0/0/1
port link-type access
port default vlan 3001
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 3002
#
SW3:
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3003
#
2.5 SW1创建vlanif 3000,ip地址5.0.1.254/24。
SW1:
interface Vlanif3000
ip address 5.0.1.254 255.255.255.0
2.6 确认SW1与Server1/2/3互通。
[SW1]ping 5.0.1.1
[SW1]ping 5.0.1.2
[SW1]ping 5.0.1.3
2.7 SW1创建vlan 6 7,使用access链路将R6划入vlan6,R7划入vlan7。
vlan batch 6 to 7
#
interface GigabitEthernet0/0/6
port link-type access
port default vlan 6
#
interface GigabitEthernet0/0/7
port link-type access
port default vlan 7
2.8 SW1创建vlanif6,IP地址192.168.6.1/24;创建vlanif7,IP地址192.168.7.1/24。
interface Vlanif6
ip address 192.168.6.1 255.255.255.0 #
interface Vlanif7
ip address 192.168.7.1 255.255.255.0
2.9 确认SW1与R6/7直连互通。
3 对接大虫企业数据中心
3.1 SW1创建vlan3004和vlanif3004,IP地址5.0.2.254/24
vlan 3004
#
interface Vlanif3004
ip address 5.0.2.254 255.255.255.0
#
3.2 SW1的g0/0/11使用access链路类型,划入vlan3004。
interface GigabitEthernet0/0/11
port link-type access
port default vlan 3004
3.3 SW1开启bpdu保护功能,并将g0/0/11设置为边缘端口,防止大虫企业数据中心使用 交换机直接对接。
stp bpdu-protection
#
interface GigabitEthernet0/0/11 stp edged-port enable
#
3.4 确认SW1与R11直连互通。
3.4 路由发布
3.4.1 R6 R7 SW1运行OSPF,进程1,手动设置router-id为Loopback0地址,区域0,使用 network命令宣告,通配符0.0.0.0。确认邻居关系建立完成。
3.4.2 R6/7只宣告g0/0/1,SW1宣告所有接口。
3.4.3 为避免与R11建立ospf邻居,SW1将vlanif3004设置为静默接口(silent-interface)。 3.4.4 R6/7使用ospf引入默认路由,使得SW1获得默认路由可以访问AS500和AS800。 且当R6/7本地默认路由失效时,停止引入默认路由到OSPF。
R6:
ospf 1 router-id 5.6.6.6
default-route-advertise
area 0.0.0.0
network 192.168.6.254 0.0.0.0
#
R7:
ospf 1 router-id 5.7.7.7
default-route-advertise
area 0.0.0.0
network 192.168.7.254 0.0.0.0
#
SW1:
ospf 1 router-id 5.11.11.11
silent-interface Vlanif3004
area 0.0.0.0
network 192.168.6.1 0.0.0.0
network 192.168.7.1 0.0.0.0
network 5.0.1.254 0.0.0.0
network 5.0.2.254 0.0.0.0
静默接口可以阻止通过该接口建立ospf邻居,但是依旧会把该接口路由发布到OSPF。
[SW1]dis ospf peer brief
3.4.5 确认R6/7使用ospf学习到5.0.1.0/24和5.0.2.0/24,并在BGP中使用network命令,发布 这两条路由。
[R6]dis ospf routing
R7同R6配置如下:
bgp 65100
network 5.0.1.0 255.255.255.0
network 5.0.2.0 255.255.255.0
3.4.6 确认R5收到这两条路由,并产生聚合路由5.0.0.0/8;确认internet只收到5.0.0.0/8。
[R5]dis bgp routing-table
<internet>dis bgp routing-table
3.4.7 确认Server1/2/3都可以访问8.8.8.8,PC1/2/3都可以访问Server1/2/3。
其它server自行测试
其它PC自行测试
3.5 路由策略
查看R5的bgp路由表,发现去往5.0.1.0/24和5.0.2.0/24都选择R1。
[R5]dis bgp routing-table
IDC运维管理员希望访问5.0.2.0/24的流量从R7进入IDC,部署以下策略: 3.5.1 查看R6和R7发布5.0.2.0/24的MED值。
[R6]dis bgp routing-table
R7同R6
3.5.2 修改R6发布5.0.2.0/24的MED大于R7发布的MED,R6上部署策略如下: 前缀列表名称2,允许5.0.2.0/24
路由策略名称为toR1:
node 10 匹配前缀列表,修改cost为20
node 100 允许其他路由条目。
发布路由给R1时调用路由策略。
R6:
ip ip-prefix 2 index 10 permit 5.0.2.0 24
#
route-policy toR1 permit node 10
if-match ip-prefix 2
apply cost 20
#
route-policy toR1 permit node 100
#
bgp 65100
peer 5.1.1.1 route-policy toR1 export
#
3.5.3 确认R1上收到5.0.2.0/24的MED修改为20,R5上bgp路由5.0.2.0/24选路走R2。
F.大虫企业网(办公生产网)
1 SW9/10/11部署vlan
1.1 三台SW创建vlan40和50
SW9/10/11:
vlan batch 40 50
1.2 SW之间链路类型使用trunk,允许vlan40和50通过。
SW9/10:
interface GigabitEthernet0/0/11
port link-type trunk
port trunk allow-pass vlan 40 50 #
interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 40 50 #
SW11:
interface GigabitEthernet0/0/9
port link-type trunk
port trunk allow-pass vlan 40 50 #
interface GigabitEthernet0/0/10
port link-type trunk
port trunk allow-pass vlan 40 50
1.3 SW11使用access接口将PC4划入vlan40,PC5划入vlan50。
interface GigabitEthernet0/0/4
port link-type access
port default vlan 40
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 50
#
1.4 为保障内网安全,连接PC4/5的接口配置端口安全,自动学习mac地址,永不超时, 且SW11重启依旧保存mac。若PC4/5被更换或改变mac地址,则自动关闭SW11相应接口。
SW11:
interface GigabitEthernet0/0/4
port-security enable
port-security protect-action shutdown
port-security mac-address sticky
#
interface GigabitEthernet0/0/5
port-security enable
port-security protect-action shutdown
port-security mac-address sticky
#
1.5 SW9创建vlan90,使用access接口将R9划入vlan90。
vlan 90
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 90
#
1.6 SW10创建vlan100,使用access接口将R10划入vlan100。
vlan 100
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
2 SW9/10/11部署MSTP
2.1 MSTP域名为大虫,vlan40属于实例1,vlan50属于实例2。
SW9/10/11:
stp region-configuration
region-name dachong
instance 1 vlan 40
instance 2 vlan 50
active region-configuration
2.2 SW9为实例1主根,实例2次根;SW10为实例1次根,实例2主根。实现这个需求不允 许使用priority命令。
SW9:
stp instance 1 root primary
stp instance 2 root secondary
#
SW10:
stp instance 1 root secondary
stp instance 2 root primary
#
2.3 为加快STP收敛,SW11连接PC4/5的接口配置为边缘端口。
SW11:
interface GigabitEthernet0/0/4
stp edged-port enable
#
interface GigabitEthernet0/0/5
stp edged-port enable
#
3 部署vlanif
3.1 SW9创建vlanif40,ip地址172.17.40.254/24。创建vlanif90,ip地址172.17.90.1/24。
interface Vlanif40
ip address 172.17.40.254 255.255.255.0
#
interface Vlanif90
ip address 172.17.90.1 255.255.255.0
#
3.2 SW10创建vlanif50,ip地址172.17.50.254/24。创建vlanif100,ip地址172.17.100.1/24
interface Vlanif50
ip address 172.17.50.254 255.255.255.0
#
interface Vlanif100
ip address 172.17.100.1 255.255.255.0
3.3 确认PC4与SW9互通,PC5与SW10互通。
[SW9]ping 172.17.40.4
[SW10]ping 172.17.50.5
3.4 确认R9与SW9互通,R10与SW10互通。
[R9]ping 172.17.90.1
[R10]ping 172.17.100.1
4 部署OSPF
4.1 SW9 SW10 R9 R10运行OSPF,进程1,手动配置router-id为Loopback0地址,区域1, 使用network命令,通配符0.0.0.0。
4.2 R9 R10不宣告g0/0/0,SW9 SW10宣告所有接口。
R9:
ospf 1 router-id 172.17.101.9 area 0.0.0.1
network 172.17.90.254 0.0.0.0
network 172.17.101.9 0.0.0.0
network 172.17.120.9 0.0.0.0
#
R10:
ospf 1 router-id 172.17.101.10
area 0.0.0.1
network 172.17.100.254 0.0.0.0
network 172.17.101.10 0.0.0.0
network 172.17.130.10 0.0.0.0
#
SW9:
ospf 1 router-id 172.17.100.9
area 0.0.0.1
network 172.17.100.9 0.0.0.0
network 172.17.90.1 0.0.0.0
network 172.17.40.254 0.0.0.0
#
SW10:
ospf 1 router-id 172.17.100.10
area 0.0.0.1
network 172.17.100.10 0.0.0.0
network 172.17.100.1 0.0.0.0
network 172.17.50.254 0.0.0.0
#
4.3 确认SW9与R9,SW10与R10分别建立ospf邻居关系。
[R9]dis ospf peer brief
[R10]dis ospf peer brief
4.4 当链路故障时,为加速ospf断开邻居,启用bfd,所有ospf接口自动建立bfd会话。
R9/10,SW9/10:
bfd
#
ospf 1
bfd all-interfaces enable #
4.5 确认SW9与R9,SW10与R10分别建立bfd会话。
[R9]dis bfd session all
[R10]dis bfd session all
4.6 确认PC4与R9,PC5与R10分别互通。
[R9]ping 172.17.40.4
[R10]ping 172.17.50.5
G.大虫企业数据中心
1 链路捆绑eth-trunk
1.1 SW4与SW5分别创建eth-trunk0,lacp静态模式,基于源目mac负载均衡。
SW4/5:
interface Eth-Trunk0
mode lacp-static
load-balance src-dst-mac
1.2 SW4与SW5分别将g0/0/23和g0/0/24加入eth-trunk0。
SW4/5:
interface GigabitEthernet0/0/23
eth-trunk 0
#
interface GigabitEthernet0/0/24
eth-trunk 0
#
2 SW4/5/6/7/8部署vlan
2.1 五台SW创建vlan 11 12 13 40 50。
SW4/5/6/7/8:
vlan batch 11 to 13 40 50
2.2 SW之间的链路全部配置为trunk,允许vlan 11 12 13 40 50通过。
SW4/5:
interface Eth-Trunk0
port link-type trunk
port trunk allow-pass vlan 11 to 13 40 50
#
interface GigabitEthernet0/0/6
port link-type trunk
port trunk allow-pass vlan 11 to 13 40 50
#
interface GigabitEthernet0/0/7
port link-type trunk
port trunk allow-pass vlan 11 to 13 40 50
#
interface GigabitEthernet0/0/8
port link-type trunk
port trunk allow-pass vlan 11 to 13 40 50
#
SW6/7/8:
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 11 to 13 40 50
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 11 to 13 40 50
2.3 使用access接口划分vlan,如下:
R11-vlan11 R12-vlan12 R13-vlan13 Server4-vlan40 Server5-vlan50
SW6:
interface GigabitEthernet0/0/11
port link-type access
port default vlan 11
#
SW7:
interface GigabitEthernet0/0/12
port link-type access
port default vlan 12
#
interface GigabitEthernet0/0/13
port link-type access
port default vlan 13
#
SW8:
interface GigabitEthernet0/0/1
port link-type access
port default vlan 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 50
#
3 SW4/5/6/7/8部署MSTP
3.1 MSTP域名为大虫,vlan11 40属于实例1,vlan12 13 50属于实例2。
SW4/5/6/7/8
stp region-configuration
region-name dachong
instance 1 vlan 11 40
instance 2 vlan 12 to 13 50
active region-configuration
3.2 SW4为实例1主根,实例2次根;SW5为实例1次根,实例2主根。实现这个需求不允许 使用priority命令。
SW4:
stp instance 1 root primary
stp instance 2 root secondary
#
SW5:
stp instance 1 root secondary
stp instance 2 root primary
#
3.3 SW6/7/8开启默认边缘端口,access接口会自动成为边缘端口,收到bpdu后自动放弃 边缘端口功能。
SW6/7/8:
stp edged-port default
4 SW4/5部署vlanif
4.1 SW4创建vlanif,如下:
Vlanif11 172.18.11.4/24
Vlanif12 172.18.12.4/24
Vlanif13 172.18.13.4/24
Vlanif40 172.18.40.40/24
Vlanif50 172.18.50.40/24
interface Vlanif11
ip address 172.18.11.4 255.255.255.0
#
interface Vlanif12
ip address 172.18.12.4 255.255.255.0
#
interface Vlanif13
ip address 172.18.13.4 255.255.255.0
#
interface Vlanif40
ip address 172.18.40.40 255.255.255.0
#
interface Vlanif50
ip address 172.18.50.40 255.255.255.0
#
4.2 SW5创建vlanif,如下:
Vlanif11 172.18.11.5/24
Vlanif12 172.18.12.5/24
Vlanif13 172.18.13.5/24
Vlanif40 172.18.40.50/24
Vlanif50 172.18.50.50/24
interface Vlanif11
ip address 172.18.11.5 255.255.255.0
#
interface Vlanif12
ip address 172.18.12.5 255.255.255.0
#
interface Vlanif13
ip address 172.18.13.5 255.255.255.0
#
interface Vlanif40
ip address 172.18.40.50 255.255.255.0
#
interface Vlanif50
ip address 172.18.50.50 255.255.255.0
#
4.3 确认SW4/5可以与R11 R12 R13 Server4 Server5互通。
SW5同SW4
5 SW4/5部署VRRP
5.1 SW4作为vlan40主网关和vlan50的备份网关,规划如下:
vlan40 : vrid:4 virtual-ip:172.18.40.254 优先级:150
vlan50 : vrid:5 virtual-ip:172.18.50.254 优先级:100
SW4:
interface Vlanif40
vrrp vrid 4 virtual-ip 172.18.40.254
vrrp vrid 4 priority 150
#
interface Vlanif50
vrrp vrid 5 virtual-ip 172.18.50.254
#
5.2 SW5作为vlan40备份网关和vlan50的主网关,规划如下:
vlan40 : vrid:4 virtual-ip:172.18.40.254 优先级:100
vlan50 : vrid:5 virtual-ip:172.18.50.254 优先级:150
SW5:
interface Vlanif40
vrrp vrid 4 virtual-ip 172.18.40.254 #
interface Vlanif50
vrrp vrid 5 virtual-ip 172.18.50.254
vrrp vrid 5 priority 150
5.3 确认SW4和SW5的VRRP角色。
6 SW4 SW5 R11 R12 R13部署OSPF
6.1 运行OSPF,进程1,手动配置router-id为Loopback0地址,区域0,使用network命 令,通配符0.0.0.0。
6.2 R11只宣告g0/0/1和Loopback0,其他设备宣告所有接口。
6.3 为保障ospf邻居安全性,在区域0中启用md5验证,key-id为1,密钥www.spoto.net,使用display查看配置时,可以看到明文的密钥。
SW4:
ospf 1 router-id 172.18.100.4
area 0.0.0.0
authentication-mode md5 1 plain www.spoto.net
network 172.18.100.4 0.0.0.0
network 172.18.12.4 0.0.0.0
network 172.18.13.4 0.0.0.0
network 172.18.50.40 0.0.0.0
network 172.18.11.4 0.0.0.0
network 172.18.40.40 0.0.0.0
#
SW5:
ospf 1 router-id 172.18.100.5
area 0.0.0.0
authentication-mode md5 1 plain www.spoto.net
network 172.18.100.5 0.0.0.0
network 172.18.12.5 0.0.0.0
network 172.18.13.5 0.0.0.0
network 172.18.50.50 0.0.0.0
network 172.18.11.5 0.0.0.0
network 172.18.40.50 0.0.0.0
#
R11:
ospf 1 router-id 172.18.101.11
area 0.0.0.0
authentication-mode md5 1 plain www.spoto.net network 172.18.11.11 0.0.0.0
network 172.18.101.11 0.0.0.0
#
R12:
ospf 1 router-id 172.18.101.12
area 0.0.0.0
authentication-mode md5 1 plain www.spoto.net network 172.18.12.12 0.0.0.0
network 172.18.101.12 0.0.0.0 #
R13:
ospf 1 router-id 172.18.101.13 area 0.0.0.0
authentication-mode md5 1 plain www.spoto.net
network 172.18.13.13 0.0.0.0
network 172.18.101.13 0.0.0.0
6.4 在vlan11中,SW4为DR优先级100,SW5为BDR优先级50,R11不参与选举。
SW4:
interface Vlanif11
ospf dr-priority 100
#
SW5:
interface Vlanif11
ospf dr-priority 50
R11:
interface GigabitEthernet0/0/1
ospf dr-priority 0
6.5 在vlan12和13中,SW5为DR优先级100,SW4为BDR优先级50,R12/13不参与选举。
SW4:
interface Vlanif12
ospf dr-priority 50
#
interface Vlanif13
ospf dr-priority 50
#
SW5:
interface Vlanif12
ospf dr-priority 100
#
interface Vlanif13
ospf dr-priority 100
#
R12/13:
interface GigabitEthernet0/0/1
ospf dr-priority 0
6.6 确认SW4 SW5之间建立五次邻居关系;确认SW4/5分别与R11/12/13建立邻居关系。
6.7 当链路故障时,为加速ospf断开邻居,启用bfd,所有ospf接口自动建立bfd会话。
SW4 SW5 R11 R12 R13:
bfd
ospf 1
bfd all-interfaces enable
6.8 确认R11/12/13与Server4/5互通。
R12/13自行测试
6.9 路径优化:查看R11路由表,发现172.18.40.0/24(vlan40)和172.18.50.0/24(vlan50)都有两个等价 下一跳,进行负载均衡。
[R11]dis ip routing-table
考虑到vlan40的主网关是SW4,vlan50的主网关是SW5,为保障来回流量的一致性,希望 R11的路由表中,172.18.40.0/24选择SW4作为最佳下一跳,172.18.50.0/24选择SW5作为最 佳下一跳。R12和R13同理。部署增加cost策略如下:
SW4的vlanif50修改ospf的cost为10。
SW5的vlanif40修改ospf的cost为10。
SW4:
interface Vlanif50
ospf cost 10
#
SW5:
interface Vlanif40
ospf cost 10
#
6.10 再次查看R11的路由表,确认172.18.40.0/24选择SW4,172.18.50.0/24选择SW5。
[R11]dis ip routing-table
7 对接互联网数据中心
7.1 R11配置默认路由,确认R11可以访问公网如8.8.8.8。
ip route-static 0.0.0.0 0.0.0.0 5.0.2.254
7.2 R11使用ospf发布默认路(总是有效),确认SW4/5都能获得默认路由。
R11:
ospf 1
default-route-advertise always
[SW4]dis ip routing-table
7.3 R11部署nat server,将生产服务器私网地址172.18.40.4转换为公网地址5.0.2.4。
R11:
interface GigabitEthernet0/0/0
nat server global 5.0.2.4 inside 172.18.40.4
7.4 确认互联网用户PC1/2/3可以访问5.0.2.4。
8 专线对接大虫江西企业网
8.1 R12与R9,R13与R10分别使用ppp专线互联。
8.2 为保障专线安全性,R12和R13分别启用验证,规划如下:
验证方式:本地aaa验证
用户名:大虫
密钥:www.dachong.net
服务类型:ppp
验证协议:chap
R12/13:
aaa
local-user spoto password cipher www.dachong.net
local-user spoto service-type ppp
#
interface Serial1/0/0
link-protocol ppp
ppp authentication-mode chap
#
R9/10:
interface Serial1/0/0
link-protocol ppp
ppp chap user dachong
ppp chap password simple www.dachong.net
#
8.3 确认R12与R9,R13与R10分别直连互通。
8.4 专线链路划入ospf区域1。
R9:
ospf 1
area 0.0.0.1
network 172.17.120.9 0.0.0.0
#需求4.2已配置,若未配置在此配置亦可。 R10:
ospf 1
area 0.0.0.1
network 172.17.130.10 0.0.0.0
#需求4.2已配置,若未配置在此配置亦可。 R12:
ospf 1
area 0.0.0.1
network 172.17.120.12 0.0.0.0 R13:
ospf 1
area 0.0.0.1
network 172.17.130.13 0.0.0.0
8.5 确认R12收到172.17.40.0/24,R13收到172.17.50.0/24。
8.7 为减少SW9/10路由表,将区域1配置为NSSA区域,并过滤所有3类LSA。
R12/13:
ospf 1
area 0.0.0.1
nssa no-summary
#
R9/10、SW9/SW10:
ospf 1
area 0.0.0.1
nssa
8.8 确认SW9/10收不到任何172.18.0.0/16的子网路由,只获得默认路由。
[SW9]dis ip routing-table
[SW10]dis ip routing-table
8.9 确认PC4/5可以访问Server4/5.
PC4可以同时访问Server4/5,PC5相同。
9 路由策略
为确保生产专线只走生产流量,办公专线只走办公流量,部署如下策略。 5.9.1 R12拒绝学习办公网络的路由。
前缀列表名称50
index 10,拒绝172.17.50.0/24
index 20,拒绝172.18.50.0/24
index 30,拒绝默认路由
index 100 ,允许所有路由
在ospf中使用过滤策略调用前缀列表
R12:
ip ip-prefix 50 index 10 deny 172.17.50.0 24
ip ip-prefix 50 index 20 deny 172.18.50.0 24
ip ip-prefix 50 index 30 deny 0.0.0.0 0
ip ip-prefix 50 index 100 permit 0.0.0.0 0 less-equal 32
#
ospf 1 router-id 172.18.101.12
filter-policy ip-prefix 50 import
#
9.2 R13拒绝学习生产网络的路由。
前缀列表名称40
index 10,拒绝172.17.40.0/24
index 20,拒绝172.18.40.0/24
index 30,拒绝默认路由
index 100 ,允许所有路由
在ospf中使用过滤策略调用前缀列表。
R13:
ip ip-prefix 40 index 10 deny 172.17.40.0 24
ip ip-prefix 40 index 20 deny 172.18.40.0 24
ip ip-prefix 40 index 30 deny 0.0.0.0 0
ip ip-prefix 40 index 100 permit 0.0.0.0 0 less-equal 32
#
ospf 1 router-id 172.18.101.13
filter-policy ip-prefix 40 import
#
9.3 确认PC4只能访问Server4,不能访问Server5;确认PC5只能访问Server5,不能访问 Server4。
H.部署 MPLS-VPN
ISP骨干网为大虫江西企业网和大虫企业数据中心之间提供mpls-vpn服务。
大虫江西企业网与数据中心之间主要使用这条mpls-vpn链路通信,专线作为备份链路。 MPLS已在需求1.3中预先配置。
6.1 R5为P设备,R2 R3为PE设备,R9 R10 R11为CE设备。
6.2 R2与R3使用Loopback0建立mp-bgp的vpnv4邻居关系,为避免R2与R3自动建立ipv4邻 居关系,请先关闭默认的ipv4邻居功能。
R2:
bgp 500
undo default ipv4-unicast
peer 5.3.3.3 as-number 500
peer 5.3.3.3 connect-interface LoopBack0
ipv4-family unicast
undo peer 5.3.3.3 enable ipv4-family vpnv4
policy vpn-target
peer 5.3.3.3 enable
#
R3:
bgp 500
undo default ipv4-unicast
peer 5.2.2.2 as-number 500
peer 5.2.2.2 connect-interface LoopBack0
ipv4-family unicast
undo peer 5.2.2.2 enable
ipv4-family vpnv4
policy vpn-target
peer 5.2.2.2 enable
[R2]dis bgp vpnv4 all peer
确认vpnv4邻居关系。
6.3 R3创建vrf如下:
名称R9,RD 9:9,出发向RT9:11,入方向RT11:9。
名称R10,RD 10:10,出发向RT10:11,入方向RT11:10。
R3:
ip vpn-instance R10
ipv4-family
route-distinguisher 10:10
vpn-target 10:11 export-extcommunity
vpn-target 11:10 import-extcommunity
#
ip vpn-instance R9
ipv4-family
route-distinguisher 9:9
vpn-target 9:11 export-extcommunity
vpn-target 11:9 import-extcommunity
#
6.4 R2创建vrf如下:
名称R11,RD11:11,配置合适的RT,可以同时与R3的两个VRF传递路由。
R2:
ip vpn-instance R11
ipv4-family
route-distinguisher 11:11
vpn-target 11:9 11:10 export-extcommunity
vpn-target 9:11 10:11 import-extcommunity
#
6.5 R3将G1/0/0划入vrfR9,配置IP地址172.17.93.3/24;G2/0/0划入vrfR10,配置IP地址 172.17.103.3/24。R2将G0/0/2划入vrfR11,配置IP地址172.18.112.11/24。
R3:
interface GigabitEthernet1/0/0
ip binding vpn-instance R9
ip address 172.17.93.3 255.255.255.0
#
interface GigabitEthernet2/0/0
ip binding vpn-instance R10
ip address 172.17.103.3 255.255.255.0
#
R2:
interface GigabitEthernet0/0/2
ip binding vpn-instance R11
ip address 172.18.112.2 255.255.255.0
#
6.6 R9 R10 R11运行BGP AS65200,手动设置RID为Loopback0地址。 6.7 使用物理接口建立以下ebgp邻居关系:
R2-R11 R3-R9 R3-R10
R2:
bgp 500
ipv4-family vpn-instance R11
peer 172.18.112.11 as-number 65200
#
R11:
bgp 65200
router-id 172.18.101.11
peer 172.18.112.2 as-number 500
#
R3:
bgp 500
ipv4-family vpn-instance R10
peer 172.17.103.10 as-number 65200
#
ipv4-family vpn-instance R9
peer 172.17.93.9 as-number 65200
#
R9:
bgp 65200
router-id 172.17.101.9
peer 172.17.93.3 as-number 500
#
R10:
bgp 65200
router-id 172.17.101.10
peer 172.17.103.3 as-number 500
#
6.8 R9在bgp中使用network发布172.17.40.0/24;R10在BGP中使用network发布172.17.50.0/24。
R9:
bgp 65200
network 172.17.40.0 255.255.255.0
#
R10:
bgp 65200
network 172.17.50.0 255.255.255.0
#
6.9 分别查看R3 R2 R11的bgp路由表,发现R11收不到路由,试分析原因。
注意:R3和R2都是vrf表保存路由,所以要查看vpnv4传递路由。R11是用全局表保存路由, 所以要直接查看ipv4路由。
[R3]dis bgp vpnv4 all routing-table
R11:
bgp 65200
peer 172.18.112.2 allow-as-loop
#
6.9.2 确认R11可以收到bgp路由。
R11]dis bgp routing-table
6.10 R11在bgp中使用network发布172.18.40.0/24和172.18.50.0/24。
R11:
bgp 65200
network 172.18.40.0 255.255.255.0
network 172.18.50.0 255.255.255.0
6.11分别查看R2 R3 R9 R10的bgp路由表,发现R9/10收不到路由,试分析原因。 同需求6.9,R2和R3查看vpnv4路由,R9和R10查看ipv4路由。
[R2]dis bgp vpnv4 all routing-table
[R3]dis bgp vpnv4 all routing-table
[R9]dis bgp routing-table
[R10]dis bgp routing-table
原因分析:由于172.18.40.0/24和172.18.50.0/24都有AS-patch属性65200。R9和R10对比本 地AS号,发现有相同的AS号,丢弃路由。
6.11.1 在R9/10上部署策略,从R3收bgp路由时允许AS环路。
R9:
bgp 65200
peer 172.17.93.3 allow-as-loop
#
R10:
bgp 65200
peer 172.17.103.3 allow-as-loop
#
6.11.2 确认R9/10可以收到bgp路由。
6.11.3 确认PC4可以访问Server4,追踪并确认路径。试分析为什么会选择mpls-vpn作为主 要链路,生产专线作为备用链路。
原因分析:决定走mpls还是走专线的主要选路设备是R9,我们可以查看R9上的路由表
J.选路调整:
7.1 在Server4上追踪172.17.40.4(PC4),发现选择生产专线作为最佳路径。与PC4访问 Server4的路径不一致,试分析原因。(提示:注意查看R11路由表)
7.1.1 在R11上部署策略,修改BGP协议优先级:EBGP修改为8,IBGP与本地路由使用默认 值255.
R11:
bgp 65200
preference 8 255 255
7.1.2 确认R11的全局路由表中172.17.40.0/24和172.17.50.0/24选择了BGP路由。
此时EBGP路由的协议优先级为8,小于OSPF的10,所以R11优选EBGP路由。但是,SW4和SW5兵没有收到R11传递的路由,并不会考虑R11作为最佳路径。那么,首先让R11把路由传给SW4/5,然后再去考虑SW4/5的选路问题。此时解决方案有两种,一是让R11把BGP路由引入OSPF,二是让SW4/5启用BGP。
-------------支线任务--------------
支线任务就是第一种解决方案
7.2 R11在OSPF中引入BGP,将以上两条路由发布到OSPF。(无策略)
R11:
ospf 1
import-route bgp
7.2.1 观察SW4与SW5路由表,发现172.17.40.0/24选择R12,172.17.50.0/24选择R13。并没 有选择R11,这会导致生产办公服务器的流量总是走专线,而不会走mpls-vpn。试分析原因,思考解决方案。
7.2.2 删除需求7.2中在R11上配置的引入命令,及其他相关配置。
R11:
ospf 1
undo import-route bgp
R12:
[R12-GigabitEthernet0/0/1]undo shutdown
-------------支线任务结束---------
主线任务就是第二种解决方案
7.3 SW4/5运行BGP AS65200,手动设置RID为Loopback0地址。
7.3.1 R11与SW4/5分别使用Loopback0建立ibgp邻居关系,SW4/5之间不建立ibgp邻居。
SW4:
bgp 65200
router-id 172.18.100.4
peer 172.18.101.11 as-number 65200
peer 172.18.101.11 connect-interface LoopBack0
#
SW5:
bgp 65200
router-id 172.18.100.5
peer 172.18.101.11 as-number 65200
peer 172.18.101.11 connect-interface LoopBack0
#
R11:
bgp 65200
peer 172.18.100.4 as-number 65200
peer 172.18.100.4 connect-interface LoopBack0
peer 172.18.100.4 next-hop-local
peer 172.18.100.5 as-number 65200
peer 172.18.100.5 connect-interface LoopBack0
peer 172.18.100.5 next-hop-local
#
7.3.2 确认SW4/5收到bgp路由172.17.40.0/24和172.17.50.0/24。
[SW4]dis bgp routing-table
[SW5]dis bgp routing-table
7.4 查看SW4/5全局路由表,发现以上两条路由选择了OSPF协议,试分析原因。
[SW4]dis ip routing-table 172.17.40.0 24
原因分析:SW4同时从OSPF和BGP学习到相同路由,优选了协议优先级更小的OSPF。SW5 同理。
7.4.1 在SW4/5上部署策略,修改BGP协议优先级:IBGP修改为8,EBGP与本地路由使用默 认值255.
SW4/5:
bgp 65200
preference 255 8 255
#由于R11和SW4/5是ibgp邻居,所以修改的是ibgp路由协议优先级。
7.4.2 确认SW4/5的全局路由表中172.17.40.0/24和172.17.50.0/24选择了BGP协议。
[SW4]dis ip routing-table 172.17.40.0 24
#SW5同SW4
7.6 关闭R2的G0/0/2,再次测试PC4和Server4,可以通过生产专线通信。 测试完成后恢复R2的G0/0/2。
R2:
[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]shutdown
K.组播
8.1 Server5是办公服务器,作为组播源;PC5是办公网PC作为接收者;R13是汇聚点RP;组 播流量通过办公专线发送到PC。
8.2 SW5 R13 R10 SW10上开启组播功能,在各互联接口上开启pim-sm,同时设置R13的 Loopback0作为RP地址。
SW5:
multicast routing-enable
#
interface Vlanif50
pim sm
#
interface Vlanif13
pim sm
#
pim
static-rp 172.18.101.13
#
R13:
multicast routing-enable
#
interface GigabitEthernet0/0/1
pim sm
#
interface Serial1/0/0
pim sm
#
pim
static-rp 172.18.101.13
#
R10:
multicast routing-enable
#
interface GigabitEthernet0/0/1
pim sm
#
interface Serial1/0/0
pim sm
#
pim
static-rp 172.18.101.13
#
SW10:
multicast routing-enable
#
interface Vlanif50
pim sm
#
interface Vlanif100
pim sm
#
pim
static-rp 172.18.101.13
#
8.3 确认pim邻居关系建立完成。
8.4 建立汇聚树(RPT)
8.4.1 PC5上使用igmpv2加入组224.1.1.1,确认SW10上收到IGMP加组信息。
SW10:
interface Vlanif50 igmp enable
#
[SW10]dis igmp group
8.4.2 确认SW10 R10 R13的组播表,都有(*,224.1.1.1)路由,汇聚树(RPT)建立完成。
[SW10]dis pim routing-table
[R10]dis pim routing-table
[R13]dis pim routing-table
#目前只有接收者,没有组播源,所以R13作为RP,只有下游接口,没有上游接口。 (下游接口是发出组播流量的接口,上游接口是收到组播流量的接口。)
8.5 建立最短路径树(SPT)
8.5.1 办公服务器启动VLC发送组播流量,地址224.1.1.1。
#选择视频文件,输入组播地址,开始运行。
8.5.2 确认R13和SW5产生(172.18.50.5,224.1.1.1)组播路由,最短路径树(SPT)建立完 成。
[R13]dis pim routing-table
[SW5]dis pim routing-table
8.6 在PC端启动VLC,确认PC5可以收到组播流量。
至此:整个实验完成配置及验证的部署。
此实验来源于思博金牌讲师童驰阳的HCIP毕业实验作业模版加以复刻。
标签:24,数据中心,部署,0.0,GigabitEthernet0,互联网,172.17,interface,172.18 From: https://blog.csdn.net/weixin_46046012/article/details/145055507