从零部署【国际互联网、ISP骨干网、互联网数据中心、企业数据中心、企业私网】组成的大型综合型网络环境部署。

一、 实验拓扑

二、 实验需求及解法

本实验模拟国际互联网、ISP骨干网、互联网数据中心、企业数据中心、企业私网 网组成的综合型网络环境。概况如下:

a) 红色区域为ISP骨干网:负责传递公网路由,承载各私网访问互联网数据中心的流量。 同时满足大虫江西企业网到大虫企业数据中心的MPLS-VPN要求。

b) 蓝色区域为互联网数据中心(IDC):属于ISP下辖机构,Server1/2/3模拟各企业服务器 在IDC托管的情况。另外大虫企业数据中心也整体托管在IDC内部,通过R11连接到IDC 核心交换机SW1。互联网用户可以通过IDC访问大虫企业数据中心。

c) 绿色区域为大虫江西企业网:分为私网(PC3和R8)与生产办公网。私网与生产办公 网物理隔离,保障生产办公网的安全性。生产办公网通过MPLS-VPN与大虫企业数据 中心通信,访问生产/办公服务器。生产/办公专线作为备用线路,当ISP骨干网MPLS- VPN链路故障时,可用专线与生产办公服务器通信。

d) 灰色区域为大虫九江企业网:使用双互联网出口,可访问IDC、企业数据中心等公 网,还通过GRE-VPN与大虫江西企业网的私网互联。

所有设备已预配IP地址,请自行查看并测试直连。(vlanif/tunnel/vrf没有预配)

A: 国际互联网

该网络使用一台路由器模拟,已配置BGP AS800,并发布路由0.0.0.0/0和8.0.0.0/8。 你无权对该设备进行配置,但是可以登录设备使用display命令查看配置。

复制代码
<internet>dis cu con bgpbgp 800router-id 8.8.8.8peer 8.0.0.5 as-number 500 #ipv4-family unicastundo synchronizationaggregate 8.0.0.0 255.0.0.0 as-set detail-suppressed  \\聚合路由8.0.0.0/8 network 8.0.1.0 255.255.255.0 network 8.8.8.8 255.255.255.255 peer 8.0.0.5 enablepeer 8.0.0.5 default-route-advertise   \\发布默认路由

B:ISP 骨干网

该网络由R1/2/3/4/5,共五台设备组成。另外IDC的出口路由器R6/7由ISP管理。配置这七 台设备,完成以下需求:

1.1 运行ISIS。

1.1.1 进程1,全部为level-2路由器。

1.1.2 R1/2/3/4/5属于区域49.0500,R6/7属于区域49.0100

1.1.3 system-id规划如下:

1.1.4 将R1的is-name设置为R1,以此类推配置R1-7,便于查看邻居关系。 1.1.5 R3/4/5不激活与其他AS互联的接口。

1.1.6 R6/7不激活G0/0/1。

复制代码
R1:isis 1is-level level-2network-entity 49.0500.0000.0000.0001.00 is-name R1#interface GigabitEthernet0/0/0isis enable 1#interface GigabitEthernet0/0/1isis enable 1#interface LoopBack0isis enable 1#R2:isis 1is-level level-2network-entity 49.0500.0000.0000.0002.00 is-name R2#interface GigabitEthernet0/0/0isis enable 1#interface GigabitEthernet0/0/1isis enable 1#interface LoopBack0isis enable 1#R3:isis 1is-level level-2network-entity 49.0500.0000.0000.0003.00 is-name R3#interface GigabitEthernet0/0/0isis enable 1#interface LoopBack0isis enable 1#R4:isis 1is-level level-2network-entity 49.0500.0000.0000.0004.00 is-name R4#interface GigabitEthernet0/0/0isis enable 1#interface LoopBack0isis enable 1#R5:isis 1is-level level-2network-entity 49.0500.0000.0000.0005.00 is-name R5#interface GigabitEthernet1/0/0isis enable 1#interface GigabitEthernet2/0/0isis enable 1#interface GigabitEthernet3/0/0isis enable 1#interface GigabitEthernet4/0/0isis enable 1#interface LoopBack0isis enable 1#R6:isis 1is-level level-2network-entity 49.0100.0000.0000.0006.00is-name R6#interface GigabitEthernet0/0/0isis enable 1#interface LoopBack0isis enable 1R7:isis 1is-level level-2network-entity 49.0100.0000.0000.0007.00is-name R7#interface GigabitEthernet0/0/0isis enable 1#interface LoopBack0isis enable 1

1.1.7 确认各设备间的ISIS邻居关系,确认各设备环回口互通。

R5\]dis isis peer ![](https://i-blog.csdnimg.cn/img_convert/694b0623146c352963e7c5ae22f978c0.png) \[R6\]dis isis peer ![](https://i-blog.csdnimg.cn/img_convert/481a048d6c241b4df99ee1ffc33a92fa.png) \[R7\]dis isis peer ![](https://i-blog.csdnimg.cn/img_convert/4e3b9512f385640be9ecebc2c5822450.png) 1.1.8 win10系统若运行isis无效,可配置完isis后,再配置ospf,完成各设备互通的需求。 标准答案会按照isis配置打分。 请注意R6/7的OSPF不要与IDC内部的OSPF互通,使用不同进程号即可。 1.2 运行BGP,R1/2/3/4/5属于AS500,R6/7属于AS65100。 1.2.1 手动配置所有设备Router id为Loopback0地址。 1.2.2 R5作为反射器,使用Loopback0与R1/2/3/4分别建立ibgp邻居关系,并将R1/2/3/4设 置为客户端。(不允许使用group配置) 1.2.3 R1/2/3/4之间不建立ibgp邻居关系,分别使用Loopback0与R5建立ibgp邻居关系。 1.2.4 配置必要的修改下一跳为本地命令,保证路由可达性。 R1:bgp 500router-id 5.1.1.1peer 5.5.5.5 as-number 500 peer 5.5.5.5 connect-interface LoopBack0 peer 5.5.5.5 next-hop-local#R2:bgp 500router-id 5.2.2.2peer 5.5.5.5 as-number 500 peer 5.5.5.5 connect-interface LoopBack0peer 5.5.5.5 next-hop-local#R3:bgp 500router-id 5.3.3.3peer 5.5.5.5 as-number 500 peer 5.5.5.5 connect-interface LoopBack0 peer 5.5.5.5 next-hop-local#R4:bgp 500router-id 5.4.4.4peer 5.5.5.5 as-number 500 peer 5.5.5.5 connect-interface LoopBack0 peer 5.5.5.5 next-hop-local#R5:bgp 500router-id 5.5.5.5peer 5.1.1.1 as-number 500 peer 5.1.1.1 connect-interface LoopBack0 peer 5.2.2.2 as-number 500 peer 5.2.2.2 connect-interface LoopBack0 peer 5.3.3.3 as-number 500 peer 5.3.3.3 connect-interface LoopBack0 peer 5.4.4.4 as-number 500 peer 5.4.4.4 connect-interface LoopBack0 ipv4-family unicastpeer 5.1.1.1 reflect-clientpeer 5.1.1.1 next-hop-local peer 5.2.2.2 reflect-clientpeer 5.2.2.2 next-hop-local peer 5.3.3.3 reflect-clientpeer 5.3.3.3 next-hop-local peer 5.4.4.4 reflect-clientpeer 5.4.4.4 next-hop-local 1.2.5 确认所有的ibgp邻居关系建立完成。 \[R5\]dis bgp peer ![](https://i-blog.csdnimg.cn/img_convert/ef4f1f805d7bc605947c7e551d0a3308.png) 1.2.6 R1与R6,R2与R7分别使用Loopback0建立ebgp邻居关系。 R1:bgp 500peer 5.6.6.6 as-number 65100 peer 5.6.6.6 ebgp-max-hop 2 peer 5.6.6.6 connect-interface LoopBack0#环回口建立ebgp邻居需要修改ebgp最大跳数,大于1即可。R6:bgp 65100router-id 5.6.6.6peer 5.1.1.1 as-number 500 peer 5.1.1.1 ebgp-max-hop 2 peer 5.1.1.1 connect-interface LoopBack0#R2:bgp 500peer 5.7.7.7 as-number 65100 peer 5.7.7.7 ebgp-max-hop 2 peer 5.7.7.7 connect-interface LoopBack0#R7:bgp 65100router-id 5.7.7.7peer 5.2.2.2 as-number 500 peer 5.2.2.2 ebgp-max-hop 2 peer 5.2.2.2 connect-interface LoopBack0# 1.2.7 R5与internet使用物理口建立ebgp邻居关系。internet设备已配置,IP地址为8.0.0.8, AS800,请完成R5的配置。 R5:bgp 500peer 8.0.0.8 as-number 800 # 1.2.8 确认所有的ebgp邻居关系建立完成。 \[R6\]dis bgp peer ![](https://i-blog.csdnimg.cn/img_convert/619b8e3ab36e3f18c33a35ca1aef8484.png) \[R7\]dis bgp peer ![](https://i-blog.csdnimg.cn/img_convert/8966939b6665105edce67603350494cc.png) \[R5\]dis bgp peer ![](https://i-blog.csdnimg.cn/img_convert/ad3d1e527c4126565e4ab32eaa99a203.png) 1.2.9 确认R1/2/3/4/5/6/7都能收到来自internet发布的路由8.0.0.0/8。 \[R5\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/00f892f34b49d4fc7143ba6a6bceb54d.png) \[R6\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/7035c9d5e41bc43f9a37fb2f33d50543.png) 其他设备略.....自行查看(继续下一步) 1.2.10 R5上预配置聚合路由5.0.0.0/8,抑制明细路由,且不保留AS号。 (将来在AS500中发布5.0.0.0/8的子网路由都会聚合后再发布给Internet,减少路由更新是 BGP很重要的基础配置。) R5:bgp 500aggregate 5.0.0.0 255.0.0.0 detail-suppressed 1.3 运行mpls 1.3.1 R1/2/3/4/5启用mpls。(虽然本实验只有R2/3/5有mpls-vpn需求,但是在实际网络中ISP会预配置mpls,当客户有mpls-vpn需求时无需临时配置mpls。) 1.3.2 lsr-id设置为Loopback0地址。 1.3.3 启用ldp。 R1:mpls lsr-id 5.1.1.1mplsmpls ldp#interface GigabitEthernet0/0/0 mplsmpls ldpR2:mpls lsr-id 5.2.2.2mplsmpls ldp#interface GigabitEthernet0/0/0 mplsmpls ldp#R3:mpls lsr-id 5.3.3.3mplsmpls ldp#interface GigabitEthernet0/0/0 mplsmpls ldp#R4:mpls lsr-id 5.4.4.4mplsmpls ldp#interface GigabitEthernet0/0/0 mplsmpls ldp#R5:mpls lsr-id 5.5.5.5mplsmpls ldp#interface GigabitEthernet1/0/0mplsmpls ldp#interface GigabitEthernet2/0/0mplsmpls ldp#interface GigabitEthernet3/0/0mplsmpls ldp#interface GigabitEthernet4/0/0mplsmpls ldp#​ 1.3.4 确认R5与R1/2/3/4都建立了ldp邻居关系。 \[R5\]dis mpls ldp peer ![](https://i-blog.csdnimg.cn/img_convert/d8ab03e7aefef5738bfa043e18fd2444.png) **C.大虫企业网(私网)** 2.1 大虫江西企业网通过R8接入到ISP,公网IP地址5.0.3.1/24,私网IP地址172.16.3.0/24。 2.1.1 ISP分配公网地址后,在R3的BGP中使用network命令发布路由5.0.3.0/24。 R3:bgp 500network 5.0.3.0 255.255.255.0 2.1.2 R8配置默认路由,请确认R8可以访问8.8.8.8。 R8:ip route-static 0.0.0.0 0.0.0.0 5.0.3.254 ![](https://i-blog.csdnimg.cn/img_convert/017d47c8b25de3864ccd618f2d053a00.png) 2.1.3 R8使用acl 2000和nat,在G0/0/0上部署eazy-ip,仅允许172.16.3.0/24访问公网。 R8:acl number 2000 rule 5 permit source 172.16.3.0 0.0.0.255 #interface GigabitEthernet0/0/0 nat outbound 2000# 2.1.4 确认PC3可以访问8.8.8.8。 ![](https://i-blog.csdnimg.cn/img_convert/6e8846722604995b4568330ccaf84387.png) 2.2 大虫九江企业网通过R14接入到ISP,双出口公网IP地址5.0.4.1/24和8.0.1.1/24 私网IP地址172.16.1.0/24和172.16.2.0/24 2.2.1 ISP分配公网地址后,在R4的BGP中使用network命令发布路由5.0.4.0/24。internet的 BGP中已发布8.0.1.0/24。 R4:bgp 500network 5.0.4.0 255.255.255.0 2.2.2 R14配置两条默认路由分别通过R4和internet访问公网,并要求R4为主要出口, internet为备份出口。通过修改某一条路由的协议优先级为70来实现这个需求。 R14:ip route-static 0.0.0.0 0.0.0.0 5.0.4.254ip route-static 0.0.0.0 0.0.0.0 8.0.1.254 preference 70 2.2.3 R14使用acl 2000和nat,在G0/0/0和G0/0/2上部署eazy-ip,仅允许172.16.1.0/24和 172.16.2.0/24访问公网 R14:acl number 2000 rule 5 permit source 172.16.1.0 0.0.0.255 rule 10 permit source 172.16.2.0 0.0.0.255#interface GigabitEthernet0/0/0nat outbound 2000#interface GigabitEthernet0/0/2nat outbound 2000 2.3 部署vlan 2.3.1 SW12创建vlan10 14 20,并关闭stp。 SW12:vlan batch 10 14 20#stp disable 2.3.2 G0/0/1-3接口链路类型为access,并将PC1划入vlan10,PC2划入vlan20,R14划入 vlan14。 SW12:interface GigabitEthernet0/0/1 port link-type accessport default vlan 10#interface GigabitEthernet0/0/2port link-type accessport default vlan 20#interface GigabitEthernet0/0/3port link-type accessport default vlan 14# 2.3.3 创建vlanif接口,并配置ip地址,规划如下: vlanif10:172.16.1.254/24 vlanif20:172.16.2.254/24 vlanif14:172.16.14.12/24 SW12:interface Vlanif10ip address 172.16.1.254 255.255.255.0#interface Vlanif14ip address 172.16.14.12 255.255.255.0#interface Vlanif20ip address 172.16.2.254 255.255.255.0# 2.4 部署ospf 2.4.1 SW12和R14运行ospf,进程1,router-id为Loopback0地址,区域0,使用network命令 宣告,通配符0.0.0.0。确认邻居关系建立完成。 SW12:ospf 1 router-id 172.16.100.12area 0.0.0.0network 172.16.100.12 0.0.0.0network 172.16.1.254 0.0.0.0network 172.16.2.254 0.0.0.0network 172.16.14.12 0.0.0.0#R14:ospf 1 router-id 172.16.101.14 area 0.0.0.0 network 172.16.14.14 0.0.0.0 network 172.16.101.14 0.0.0.0 # 2.4.2 由于SW12访问公网也需要默认路由,在R14的ospf中引入默认路由,且无论R14本地 是否有默认路由都会引入。(提示:import-route对默认路由无效,需要使用专用命令。) R14:ospf 1 router-id 172.16.101.14 default-route-advertise always# 2.4.3 确认PC1 PC2通过R4访问8.8.8.8,且R4故障时依旧可以访问8.8.8.8。 ![](https://i-blog.csdnimg.cn/img_convert/4b45429309e0533e10b77dd15e85ba96.png) #通过R4访问8.8.8.8 [R4]int g0/0/1[R4-GigabitEthernet0/0/1]shutdown # ![](https://i-blog.csdnimg.cn/img_convert/87a875d6ce4993cc569d0bfc50bfbde4.png) #路径切换,保持通信。 [R4-GigabitEthernet0/0/1]undo shutdown **D.大虫企业网GRE-VPN** 2.5.1 确认R14与R8的公网地址5.0.4.1与5.0.3.1互通。 \[R14\]ping 5.0.3.1 ![](https://i-blog.csdnimg.cn/img_convert/b20366b22365ffc071683b702552914d.png) 2.5.2 在R14与R8上建立GRE-VPN,规划如下: R8:接口编号tunnel 0/0/0,接口协议GRE,源地址5.0.3.1,目的地址5.0.4.1,IP地址 172.16.148.8/24 interface Tunnel0/0/0ip address 172.16.148.8 255.255.255.0 tunnel-protocol gresource 5.0.3.1destination 5.0.4.1​ R14:接口编号tunnel 0/0/0,接口协议GRE,源地址5.0.4.1,目的地址5.0.3.1,IP地址 172.16.148.14/24 interface Tunnel0/0/0ip address 172.16.148.14 255.255.255.0 tunnel-protocol gresource 5.0.4.1destination 5.0.3.1 确认R14与R8的Tunnel口可以互通。 \[R14\]ping 172.16.148.8 ![](https://i-blog.csdnimg.cn/img_convert/455d4555515870c247159aaf3b366cad.png) 2.5.3 R14与R8通过GRE隧道建立ospf邻居关系,R8的ospf配置需求与R14相同(需求 2.4.1)。 R8:ospf 1 router-id 172.16.101.8 area 0.0.0.0 network 172.16.3.254 0.0.0.0 network 172.16.101.8 0.0.0.0 network 172.16.148.8 0.0.0.0#R14:ospf 1 router-id 172.16.101.14 area 0.0.0.0network 172.16.148.14 0.0.0.0 \[R8\]dis ospf peer brief ![](https://i-blog.csdnimg.cn/img_convert/7308e05b227796870fac5277fd4c5db8.png) 2.5.4 确认PC1 PC2可以与PC3私网互通。 ![](https://i-blog.csdnimg.cn/img_convert/37b1e9fe38cbbb5f57a0ba3b16275f63.png) **E:策略路由** 为避免大虫江西企业网的internet出口链路空闲,在R14上部署策略路由。当PC2访问公网 时,优先走internet出口,且不能影响PC2访问PC3的流量。 2.6.1 配置ACL,规划如下: acl 3000匹配172.16.2.0/24到172.16.3.0/24的流量; acl 3001匹配172.16.2.0/24到任意目的的流量。 R14:acl number 3000 rule 5 permit ip source 172.16.2.0 0.0.0.255 destination 172.16.3.0 0.0.0.255#acl number 3001 rule 5 permit ip source 172.16.2.0 0.0.0.255 2.6.2 定义流分类: 流分类C1,匹配acl 3000 流分类C2,匹配acl 3001 traffic classifier C1if-match acl 3000traffic classifier C2if-match acl 3001 2.6.3 定义流行为: 流行为B1,重定向下一跳为R8的GRE隧道IP地址172.16.148.8 流行为B2,重定向下一跳为internet出口对端公网IP地址8.0.1.254 traffic behavior B1redirect ip-nexthop 172.16.148.8traffic behavior B2redirect ip-nexthop 8.0.1.254​ 2.6.4 定义流策略,名称PBR: 首先关联流分类C1与流行为B1 再关联流分类C2与流行为B2 traffic policy PBRclassifier C1 behavior B1classifier C2 behavior B2 2.6.5 在G0/0/1上部署流策略PBR。 interface GigabitEthernet0/0/1traffic-policy PBR inbound 2.6.6 确认PC1通过R4访问8.8.8.8,PC2通过Internet访问8.8.8.8。同时PC1和PC2依旧可以与 PC3通信。 ![](https://i-blog.csdnimg.cn/img_convert/74d918df2158908773e08f970fd43c59.png) PC1 通过 R4 访问 8.8.8.8 ![](https://i-blog.csdnimg.cn/img_convert/a9c4cdc2b7648350604650558c62d41b.png) PC2 通过 internet 直接访问 8.8.8.8 ![](https://i-blog.csdnimg.cn/img_convert/43a0a80b1e34d2b89d6210fb804b2371.png) PC3 与 PC1/2 通信不受影响 需求解析: 本需求使用 PBR 控制 PC2 的流量通过 Internet 直接访问 8.8.8.8,此策略会直接影响 PC2 的 所有流量包括 PC2 到 PC3。在 acl 3000 中先把 PC2 到 PC3 的流量定义出来并定向至 GRE 隧 道,然后再用 acl3001 把 PC2 其他流量定义到 internet 出口,这样就不会影响到 vpn 流量。 **F.互联网数据中心(IDC)** 1 链路捆绑eth-trunk 1.2 SW1与SW2分别创建eth-trunk0,使用lacp静态模式,基于源目mac地址负载均衡。 SW1/2:interface Eth-Trunk0mode lacp-staticload-balance src-dst-mac 1.3 SW1与SW3分别创建eth-trunk1,使用lacp静态模式,基于源目mac地址负载均衡。 SW1/3:interface Eth-Trunk1mode lacp-staticload-balance src-dst-mac​ 1.4 SW1/2/3分别将合适的物理接口加入eth-trunk链路。 SW1:interface GigabitEthernet0/0/21eth-trunk 0#interface GigabitEthernet0/0/22eth-trunk 0#interface GigabitEthernet0/0/23eth-trunk 1#interface GigabitEthernet0/0/24eth-trunk 1#SW2:interface GigabitEthernet0/0/21eth-trunk 0#interface GigabitEthernet0/0/22eth-trunk 0#SW3:interface GigabitEthernet0/0/23eth-trunk 1#interface GigabitEthernet0/0/24eth-trunk 1# 2 super-vlan 2.1 SW1创建vlan 3000 to 3003,SW2/3创建vlan 3001 to 3003。 SW1:vlan batch 3000 to 3003#SW2/3:vlan batch 3001 to 3003#​ 2.2 SW1将vlan3000设置为super-vlan,3001 to 3003设置为子vlan。 SW1:vlan 3000aggregate-vlanaccess-vlan 3001 to 3003​ 2.3 SW1/2/3之间的链路配置为trunk,允许vlan 3001 to 3003通过。 SW1/2:interface Eth-Trunk0port link-type trunkport trunk allow-pass vlan 3001 to 3003#SW1/3:interface Eth-Trunk1port link-type trunkport trunk allow-pass vlan 3001 to 3003# 2.4 使用access接口把Server划入对应vlan: Server1-vlan3001 Server2-vlan3002 Server3-vlan3003 SW2:interface GigabitEthernet0/0/1port link-type accessport default vlan 3001#interface GigabitEthernet0/0/2port link-type accessport default vlan 3002#SW3:interface GigabitEthernet0/0/3port link-type accessport default vlan 3003# 2.5 SW1创建vlanif 3000,ip地址5.0.1.254/24。 SW1:interface Vlanif3000ip address 5.0.1.254 255.255.255.0 2.6 确认SW1与Server1/2/3互通。 \[SW1\]ping 5.0.1.1 ![](https://i-blog.csdnimg.cn/img_convert/487b5275f234476d2027b4bfab9d481a.png) \[SW1\]ping 5.0.1.2 ![](https://i-blog.csdnimg.cn/img_convert/394ac5fbc8f02ea79bc224bc5baf65d2.png) \[SW1\]ping 5.0.1.3 ![](https://i-blog.csdnimg.cn/img_convert/bd9095915488de3e08fac349cfad60f2.png) 2.7 SW1创建vlan 6 7,使用access链路将R6划入vlan6,R7划入vlan7。 vlan batch 6 to 7#interface GigabitEthernet0/0/6port link-type accessport default vlan 6#interface GigabitEthernet0/0/7port link-type accessport default vlan 7 2.8 SW1创建vlanif6,IP地址192.168.6.1/24;创建vlanif7,IP地址192.168.7.1/24。 interface Vlanif6ip address 192.168.6.1 255.255.255.0 #interface Vlanif7ip address 192.168.7.1 255.255.255.0​ 2.9 确认SW1与R6/7直连互通。 ![](https://i-blog.csdnimg.cn/img_convert/77bbc75f2791d22a816a15cc6770f0b1.png) 3 对接大虫企业数据中心 3.1 SW1创建vlan3004和vlanif3004,IP地址5.0.2.254/24 vlan 3004#interface Vlanif3004ip address 5.0.2.254 255.255.255.0#​ 3.2 SW1的g0/0/11使用access链路类型,划入vlan3004。 interface GigabitEthernet0/0/11port link-type accessport default vlan 3004 3.3 SW1开启bpdu保护功能,并将g0/0/11设置为边缘端口,防止大虫企业数据中心使用 交换机直接对接。 stp bpdu-protection#interface GigabitEthernet0/0/11 stp edged-port enable# 3.4 确认SW1与R11直连互通。 ![](https://i-blog.csdnimg.cn/img_convert/b1c2b352dd7a6692301d170844b4585c.png) 3.4 路由发布 3.4.1 R6 R7 SW1运行OSPF,进程1,手动设置router-id为Loopback0地址,区域0,使用 network命令宣告,通配符0.0.0.0。确认邻居关系建立完成。 3.4.2 R6/7只宣告g0/0/1,SW1宣告所有接口。 3.4.3 为避免与R11建立ospf邻居,SW1将vlanif3004设置为静默接口(silent-interface)。 3.4.4 R6/7使用ospf引入默认路由,使得SW1获得默认路由可以访问AS500和AS800。 且当R6/7本地默认路由失效时,停止引入默认路由到OSPF。 R6:ospf 1 router-id 5.6.6.6 default-route-advertisearea 0.0.0.0 network 192.168.6.254 0.0.0.0#R7:ospf 1 router-id 5.7.7.7 default-route-advertisearea 0.0.0.0 network 192.168.7.254 0.0.0.0#SW1:ospf 1 router-id 5.11.11.11silent-interface Vlanif3004area 0.0.0.0network 192.168.6.1 0.0.0.0network 192.168.7.1 0.0.0.0network 5.0.1.254 0.0.0.0network 5.0.2.254 0.0.0.0静默接口可以阻止通过该接口建立ospf邻居,但是依旧会把该接口路由发布到OSPF。 \[SW1\]dis ospf peer brief ![](https://i-blog.csdnimg.cn/img_convert/7009fbffc6538163c785b0ac90b00478.png) 3.4.5 确认R6/7使用ospf学习到5.0.1.0/24和5.0.2.0/24,并在BGP中使用network命令,发布 这两条路由。 \[R6\]dis ospf routing ![](https://i-blog.csdnimg.cn/img_convert/5e440c89e39d98c9f1678c507ed265a2.png) R7同R6配置如下: bgp 65100network 5.0.1.0 255.255.255.0 network 5.0.2.0 255.255.255.0 3.4.6 确认R5收到这两条路由,并产生聚合路由5.0.0.0/8;确认internet只收到5.0.0.0/8。 \[R5\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/5308351bd62f0fbd75e99034ea30411f.png) \dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/4c0409dbf509d813cdc7903193cc3e8c.png) 3.4.7 确认Server1/2/3都可以访问8.8.8.8,PC1/2/3都可以访问Server1/2/3。 ![](https://i-blog.csdnimg.cn/img_convert/4edacccf95495a2e60482722a29e1ea0.png) 其它server自行测试 ![](https://i-blog.csdnimg.cn/img_convert/5317be6547fe7ae66f5612cfe94f2134.png) 其它PC自行测试 3.5 路由策略 查看R5的bgp路由表,发现去往5.0.1.0/24和5.0.2.0/24都选择R1。 \[R5\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/df92714ad7648023daba0a7452a0071a.png) IDC运维管理员希望访问5.0.2.0/24的流量从R7进入IDC,部署以下策略: 3.5.1 查看R6和R7发布5.0.2.0/24的MED值。 \[R6\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/21e9e899c3f6903d93b8b820f0fc241b.png) R7同R6 3.5.2 修改R6发布5.0.2.0/24的MED大于R7发布的MED,R6上部署策略如下: 前缀列表名称2,允许5.0.2.0/24 路由策略名称为toR1: node 10 匹配前缀列表,修改cost为20 node 100 允许其他路由条目。 发布路由给R1时调用路由策略。 R6:ip ip-prefix 2 index 10 permit 5.0.2.0 24#route-policy toR1 permit node 10 if-match ip-prefix 2 apply cost 20 #route-policy toR1 permit node 100#bgp 65100peer 5.1.1.1 route-policy toR1 export# 3.5.3 确认R1上收到5.0.2.0/24的MED修改为20,R5上bgp路由5.0.2.0/24选路走R2。 ![](https://i-blog.csdnimg.cn/img_convert/59da4f8074d9a982f911dcb7dcac57d9.png) **F.大虫企业网(办公生产网)** 1 SW9/10/11部署vlan 1.1 三台SW创建vlan40和50 SW9/10/11:vlan batch 40 50 1.2 SW之间链路类型使用trunk,允许vlan40和50通过。 SW9/10:interface GigabitEthernet0/0/11 port link-type trunkport trunk allow-pass vlan 40 50 #interface GigabitEthernet0/0/24 port link-type trunkport trunk allow-pass vlan 40 50 #SW11:interface GigabitEthernet0/0/9 port link-type trunkport trunk allow-pass vlan 40 50 #interface GigabitEthernet0/0/10port link-type trunkport trunk allow-pass vlan 40 50​ 1.3 SW11使用access接口将PC4划入vlan40,PC5划入vlan50。 interface GigabitEthernet0/0/4port link-type accessport default vlan 40#interface GigabitEthernet0/0/5port link-type accessport default vlan 50# 1.4 为保障内网安全,连接PC4/5的接口配置端口安全,自动学习mac地址,永不超时, 且SW11重启依旧保存mac。若PC4/5被更换或改变mac地址,则自动关闭SW11相应接口。 SW11:interface GigabitEthernet0/0/4port-security enableport-security protect-action shutdownport-security mac-address sticky#interface GigabitEthernet0/0/5port-security enableport-security protect-action shutdownport-security mac-address sticky# 1.5 SW9创建vlan90,使用access接口将R9划入vlan90。 vlan 90#interface GigabitEthernet0/0/1port link-type accessport default vlan 90# 1.6 SW10创建vlan100,使用access接口将R10划入vlan100。 vlan 100#interface GigabitEthernet0/0/1 port link-type accessport default vlan 100# 2 SW9/10/11部署MSTP 2.1 MSTP域名为大虫,vlan40属于实例1,vlan50属于实例2。 SW9/10/11:stp region-configurationregion-name dachonginstance 1 vlan 40instance 2 vlan 50active region-configuration​ 2.2 SW9为实例1主根,实例2次根;SW10为实例1次根,实例2主根。实现这个需求不允 许使用priority命令。 SW9:stp instance 1 root primarystp instance 2 root secondary#SW10:stp instance 1 root secondarystp instance 2 root primary# 2.3 为加快STP收敛,SW11连接PC4/5的接口配置为边缘端口。 SW11:interface GigabitEthernet0/0/4stp edged-port enable#interface GigabitEthernet0/0/5stp edged-port enable#​ 3 部署vlanif 3.1 SW9创建vlanif40,ip地址172.17.40.254/24。创建vlanif90,ip地址172.17.90.1/24。 interface Vlanif40ip address 172.17.40.254 255.255.255.0#interface Vlanif90ip address 172.17.90.1 255.255.255.0# 3.2 SW10创建vlanif50,ip地址172.17.50.254/24。创建vlanif100,ip地址172.17.100.1/24 interface Vlanif50ip address 172.17.50.254 255.255.255.0 #interface Vlanif100ip address 172.17.100.1 255.255.255.0 3.3 确认PC4与SW9互通,PC5与SW10互通。 \[SW9\]ping 172.17.40.4 ![](https://i-blog.csdnimg.cn/img_convert/38ab9406a2fe408fca7235dd1718ad7a.png) \[SW10\]ping 172.17.50.5 ![](https://i-blog.csdnimg.cn/img_convert/02bf98da27a1aaee1f4aeac56972a6cc.png) 3.4 确认R9与SW9互通,R10与SW10互通。 \[R9\]ping 172.17.90.1 ![](https://i-blog.csdnimg.cn/img_convert/159decb5e647f837c79027758cc77af2.png) \[R10\]ping 172.17.100.1 ![](https://i-blog.csdnimg.cn/img_convert/357ab57079d0019210e0f370783646d3.png) 4 部署OSPF 4.1 SW9 SW10 R9 R10运行OSPF,进程1,手动配置router-id为Loopback0地址,区域1, 使用network命令,通配符0.0.0.0。 4.2 R9 R10不宣告g0/0/0,SW9 SW10宣告所有接口。 R9:ospf 1 router-id 172.17.101.9 area 0.0.0.1 network 172.17.90.254 0.0.0.0 network 172.17.101.9 0.0.0.0 network 172.17.120.9 0.0.0.0#R10:ospf 1 router-id 172.17.101.10area 0.0.0.1 network 172.17.100.254 0.0.0.0 network 172.17.101.10 0.0.0.0 network 172.17.130.10 0.0.0.0#SW9:ospf 1 router-id 172.17.100.9area 0.0.0.1network 172.17.100.9 0.0.0.0network 172.17.90.1 0.0.0.0network 172.17.40.254 0.0.0.0#SW10:ospf 1 router-id 172.17.100.10area 0.0.0.1network 172.17.100.10 0.0.0.0network 172.17.100.1 0.0.0.0network 172.17.50.254 0.0.0.0# 4.3 确认SW9与R9,SW10与R10分别建立ospf邻居关系。 \[R9\]dis ospf peer brief ![](https://i-blog.csdnimg.cn/img_convert/e5926a3d73efe472d07ba186a2c4a812.png) \[R10\]dis ospf peer brief ![](https://i-blog.csdnimg.cn/img_convert/74acc0a2961a82d1b5e31ec260e862ee.png) 4.4 当链路故障时,为加速ospf断开邻居,启用bfd,所有ospf接口自动建立bfd会话。 R9/10,SW9/10:bfd#ospf 1bfd all-interfaces enable # 4.5 确认SW9与R9,SW10与R10分别建立bfd会话。 \[R9\]dis bfd session all ![](https://i-blog.csdnimg.cn/img_convert/9565647d4c3f2b55b39f7360aa05c511.png) \[R10\]dis bfd session all ![](https://i-blog.csdnimg.cn/img_convert/ba5cfffa688985c0168c8b2fcb026802.png) 4.6 确认PC4与R9,PC5与R10分别互通。 \[R9\]ping 172.17.40.4 ![](https://i-blog.csdnimg.cn/img_convert/7068f9aef21bc901856a6526b80f08fe.png) \[R10\]ping 172.17.50.5 ![](https://i-blog.csdnimg.cn/img_convert/12c09e665649898f41658e7f3e5e795f.png) **G.大虫企业数据中心** 1 链路捆绑eth-trunk 1.1 SW4与SW5分别创建eth-trunk0,lacp静态模式,基于源目mac负载均衡。 SW4/5:interface Eth-Trunk0mode lacp-staticload-balance src-dst-mac 1.2 SW4与SW5分别将g0/0/23和g0/0/24加入eth-trunk0。 SW4/5:interface GigabitEthernet0/0/23 eth-trunk 0#interface GigabitEthernet0/0/24eth-trunk 0#​ 2 SW4/5/6/7/8部署vlan 2.1 五台SW创建vlan 11 12 13 40 50。 SW4/5/6/7/8:vlan batch 11 to 13 40 50 2.2 SW之间的链路全部配置为trunk,允许vlan 11 12 13 40 50通过。 SW4/5:interface Eth-Trunk0port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#interface GigabitEthernet0/0/6port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#interface GigabitEthernet0/0/7port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#interface GigabitEthernet0/0/8port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#SW6/7/8:interface GigabitEthernet0/0/4port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#interface GigabitEthernet0/0/5port link-type trunkport trunk allow-pass vlan 11 to 13 40 50 2.3 使用access接口划分vlan,如下: R11-vlan11 R12-vlan12 R13-vlan13 Server4-vlan40 Server5-vlan50 SW6:interface GigabitEthernet0/0/11 port link-type accessport default vlan 11#SW7:interface GigabitEthernet0/0/12port link-type accessport default vlan 12#interface GigabitEthernet0/0/13port link-type accessport default vlan 13#SW8:interface GigabitEthernet0/0/1port link-type accessport default vlan 40#interface GigabitEthernet0/0/2port link-type accessport default vlan 50#​ 3 SW4/5/6/7/8部署MSTP 3.1 MSTP域名为大虫,vlan11 40属于实例1,vlan12 13 50属于实例2。 SW4/5/6/7/8stp region-configurationregion-name dachonginstance 1 vlan 11 40instance 2 vlan 12 to 13 50active region-configuration 3.2 SW4为实例1主根,实例2次根;SW5为实例1次根,实例2主根。实现这个需求不允许 使用priority命令。 SW4:stp instance 1 root primarystp instance 2 root secondary#SW5:stp instance 1 root secondarystp instance 2 root primary# 3.3 SW6/7/8开启默认边缘端口,access接口会自动成为边缘端口,收到bpdu后自动放弃 边缘端口功能。 SW6/7/8:stp edged-port default​ 4 SW4/5部署vlanif 4.1 SW4创建vlanif,如下: Vlanif11 172.18.11.4/24 Vlanif12 172.18.12.4/24 Vlanif13 172.18.13.4/24 Vlanif40 172.18.40.40/24 Vlanif50 172.18.50.40/24 interface Vlanif11ip address 172.18.11.4 255.255.255.0#interface Vlanif12ip address 172.18.12.4 255.255.255.0#interface Vlanif13ip address 172.18.13.4 255.255.255.0 #interface Vlanif40ip address 172.18.40.40 255.255.255.0#interface Vlanif50ip address 172.18.50.40 255.255.255.0# 4.2 SW5创建vlanif,如下: Vlanif11 172.18.11.5/24 Vlanif12 172.18.12.5/24 Vlanif13 172.18.13.5/24 Vlanif40 172.18.40.50/24 Vlanif50 172.18.50.50/24 interface Vlanif11ip address 172.18.11.5 255.255.255.0#interface Vlanif12ip address 172.18.12.5 255.255.255.0#interface Vlanif13ip address 172.18.13.5 255.255.255.0 #interface Vlanif40ip address 172.18.40.50 255.255.255.0#interface Vlanif50ip address 172.18.50.50 255.255.255.0# 4.3 确认SW4/5可以与R11 R12 R13 Server4 Server5互通。 ![](https://i-blog.csdnimg.cn/img_convert/f83792d89a97d26ba35b886423f53da8.png) ![](https://i-blog.csdnimg.cn/img_convert/147abcf2793243f009942a93706db916.png) SW5同SW4 5 SW4/5部署VRRP 5.1 SW4作为vlan40主网关和vlan50的备份网关,规划如下: vlan40 : vrid:4 virtual-ip:172.18.40.254 优先级:150 vlan50 : vrid:5 virtual-ip:172.18.50.254 优先级:100 SW4:interface Vlanif40vrrp vrid 4 virtual-ip 172.18.40.254vrrp vrid 4 priority 150#interface Vlanif50vrrp vrid 5 virtual-ip 172.18.50.254# 5.2 SW5作为vlan40备份网关和vlan50的主网关,规划如下: vlan40 : vrid:4 virtual-ip:172.18.40.254 优先级:100 vlan50 : vrid:5 virtual-ip:172.18.50.254 优先级:150 SW5:interface Vlanif40vrrp vrid 4 virtual-ip 172.18.40.254 #interface Vlanif50vrrp vrid 5 virtual-ip 172.18.50.254 vrrp vrid 5 priority 150 5.3 确认SW4和SW5的VRRP角色。 ![](https://i-blog.csdnimg.cn/img_convert/acaae8cccc28fc805c25bb69174e3c62.png) 6 SW4 SW5 R11 R12 R13部署OSPF 6.1 运行OSPF,进程1,手动配置router-id为Loopback0地址,区域0,使用network命 令,通配符0.0.0.0。 6.2 R11只宣告g0/0/1和Loopback0,其他设备宣告所有接口。 6.3 为保障ospf邻居安全性,在区域0中启用md5验证,key-id为1,密钥www.spoto.net,使用display查看配置时,可以看到明文的密钥。 SW4:ospf 1 router-id 172.18.100.4area 0.0.0.0authentication-mode md5 1 plain www.spoto.netnetwork 172.18.100.4 0.0.0.0network 172.18.12.4 0.0.0.0network 172.18.13.4 0.0.0.0network 172.18.50.40 0.0.0.0network 172.18.11.4 0.0.0.0network 172.18.40.40 0.0.0.0#SW5:ospf 1 router-id 172.18.100.5area 0.0.0.0authentication-mode md5 1 plain www.spoto.netnetwork 172.18.100.5 0.0.0.0network 172.18.12.5 0.0.0.0network 172.18.13.5 0.0.0.0network 172.18.50.50 0.0.0.0network 172.18.11.5 0.0.0.0network 172.18.40.50 0.0.0.0#R11:ospf 1 router-id 172.18.101.11 area 0.0.0.0 authentication-mode md5 1 plain www.spoto.net network 172.18.11.11 0.0.0.0 network 172.18.101.11 0.0.0.0#R12:ospf 1 router-id 172.18.101.12area 0.0.0.0authentication-mode md5 1 plain www.spoto.net network 172.18.12.12 0.0.0.0network 172.18.101.12 0.0.0.0 #R13:ospf 1 router-id 172.18.101.13 area 0.0.0.0authentication-mode md5 1 plain www.spoto.netnetwork 172.18.13.13 0.0.0.0network 172.18.101.13 0.0.0.0​ 6.4 在vlan11中,SW4为DR优先级100,SW5为BDR优先级50,R11不参与选举。 SW4:interface Vlanif11ospf dr-priority 100#SW5:interface Vlanif11ospf dr-priority 50R11:interface GigabitEthernet0/0/1ospf dr-priority 0​ 6.5 在vlan12和13中,SW5为DR优先级100,SW4为BDR优先级50,R12/13不参与选举。 SW4:interface Vlanif12ospf dr-priority 50#interface Vlanif13ospf dr-priority 50#SW5:interface Vlanif12ospf dr-priority 100#interface Vlanif13ospf dr-priority 100#R12/13:interface GigabitEthernet0/0/1ospf dr-priority 0 6.6 确认SW4 SW5之间建立五次邻居关系;确认SW4/5分别与R11/12/13建立邻居关系。 6.7 当链路故障时,为加速ospf断开邻居,启用bfd,所有ospf接口自动建立bfd会话。 SW4 SW5 R11 R12 R13:bfdospf 1 bfd all-interfaces enable​ 6.8 确认R11/12/13与Server4/5互通。 ![](https://i-blog.csdnimg.cn/img_convert/359c5125d30b86820e90960f7439cdcb.png) R12/13自行测试 6.9 路径优化:查看R11路由表,发现172.18.40.0/24(vlan40)和172.18.50.0/24(vlan50)都有两个等价 下一跳,进行负载均衡。 \[R11\]dis ip routing-table ![](https://i-blog.csdnimg.cn/img_convert/b5611bc3ce8b511f851451c95641915d.png) 考虑到vlan40的主网关是SW4,vlan50的主网关是SW5,为保障来回流量的一致性,希望 R11的路由表中,172.18.40.0/24选择SW4作为最佳下一跳,172.18.50.0/24选择SW5作为最 佳下一跳。R12和R13同理。部署增加cost策略如下: SW4的vlanif50修改ospf的cost为10。 SW5的vlanif40修改ospf的cost为10。 SW4:interface Vlanif50ospf cost 10#SW5:interface Vlanif40ospf cost 10#​ 6.10 再次查看R11的路由表,确认172.18.40.0/24选择SW4,172.18.50.0/24选择SW5。 \[R11\]dis ip routing-table ![](https://i-blog.csdnimg.cn/img_convert/1896f49820a705852abe79cc068059e4.png) 7 对接互联网数据中心 7.1 R11配置默认路由,确认R11可以访问公网如8.8.8.8。 ip route-static 0.0.0.0 0.0.0.0 5.0.2.254 ![](https://i-blog.csdnimg.cn/img_convert/c0e4e9ac809801c04f34440c9b97042a.png) 7.2 R11使用ospf发布默认路(总是有效),确认SW4/5都能获得默认路由。 R11:ospf 1default-route-advertise always \[SW4\]dis ip routing-table ![](https://i-blog.csdnimg.cn/img_convert/d74b7f79551b1495626643bc94de1507.png) 7.3 R11部署nat server,将生产服务器私网地址172.18.40.4转换为公网地址5.0.2.4。 R11:interface GigabitEthernet0/0/0nat server global 5.0.2.4 inside 172.18.40.4 7.4 确认互联网用户PC1/2/3可以访问5.0.2.4。 ![](https://i-blog.csdnimg.cn/img_convert/2312a57485d9171ebb3ed90f67384dff.png) 8 专线对接大虫江西企业网 8.1 R12与R9,R13与R10分别使用ppp专线互联。 8.2 为保障专线安全性,R12和R13分别启用验证,规划如下: 验证方式:本地aaa验证 用户名:大虫 密钥:www.dachong.net 服务类型:ppp 验证协议:chap R12/13:aaalocal-user spoto password cipher www.dachong.net local-user spoto service-type ppp#interface Serial1/0/0link-protocol pppppp authentication-mode chap#R9/10:interface Serial1/0/0link-protocol pppppp chap user dachongppp chap password simple www.dachong.net# 8.3 确认R12与R9,R13与R10分别直连互通。 ![](https://i-blog.csdnimg.cn/img_convert/1544850f8a0cbebcbb85b60c260f6a83.png) ![](https://i-blog.csdnimg.cn/img_convert/1544850f8a0cbebcbb85b60c260f6a83.png) 8.4 专线链路划入ospf区域1。 R9:ospf 1area 0.0.0.1network 172.17.120.9 0.0.0.0#需求4.2已配置,若未配置在此配置亦可。 R10:ospf 1area 0.0.0.1network 172.17.130.10 0.0.0.0#需求4.2已配置,若未配置在此配置亦可。 R12:ospf 1area 0.0.0.1 network 172.17.120.12 0.0.0.0 R13:ospf 1area 0.0.0.1 network 172.17.130.13 0.0.0.0 ![](https://i-blog.csdnimg.cn/img_convert/f677ea4c6e3e445607dbf5e0245bb480.png) 8.5 确认R12收到172.17.40.0/24,R13收到172.17.50.0/24。 ![](https://i-blog.csdnimg.cn/img_convert/f625672ea6ba715d0b8ced0f3da48b2e.png) 8.7 为减少SW9/10路由表,将区域1配置为NSSA区域,并过滤所有3类LSA。 R12/13:ospf 1area 0.0.0.1nssa no-summary#R9/10、SW9/SW10:ospf 1area 0.0.0.1nssa 8.8 确认SW9/10收不到任何172.18.0.0/16的子网路由,只获得默认路由。 \[SW9\]dis ip routing-table ![](https://i-blog.csdnimg.cn/img_convert/67c9e85149a045f8da2cbf1601740419.png) \[SW10\]dis ip routing-table ![](https://i-blog.csdnimg.cn/img_convert/5cefb7430768b54e448b7cffed91c8d4.png) 8.9 确认PC4/5可以访问Server4/5. ![](https://i-blog.csdnimg.cn/img_convert/a61e42e88cea9eca52f6cf898876e41c.png) PC4可以同时访问Server4/5,PC5相同。 9 路由策略 为确保生产专线只走生产流量,办公专线只走办公流量,部署如下策略。 5.9.1 R12拒绝学习办公网络的路由。 前缀列表名称50 index 10,拒绝172.17.50.0/24 index 20,拒绝172.18.50.0/24 index 30,拒绝默认路由 index 100 ,允许所有路由 在ospf中使用过滤策略调用前缀列表 R12:ip ip-prefix 50 index 10 deny 172.17.50.0 24ip ip-prefix 50 index 20 deny 172.18.50.0 24ip ip-prefix 50 index 30 deny 0.0.0.0 0ip ip-prefix 50 index 100 permit 0.0.0.0 0 less-equal 32 # ospf 1 router-id 172.18.101.12 filter-policy ip-prefix 50 import#​ 9.2 R13拒绝学习生产网络的路由。 前缀列表名称40 index 10,拒绝172.17.40.0/24 index 20,拒绝172.18.40.0/24 index 30,拒绝默认路由 index 100 ,允许所有路由 在ospf中使用过滤策略调用前缀列表。 R13:ip ip-prefix 40 index 10 deny 172.17.40.0 24ip ip-prefix 40 index 20 deny 172.18.40.0 24ip ip-prefix 40 index 30 deny 0.0.0.0 0ip ip-prefix 40 index 100 permit 0.0.0.0 0 less-equal 32#ospf 1 router-id 172.18.101.13 filter-policy ip-prefix 40 import#​ 9.3 确认PC4只能访问Server4,不能访问Server5;确认PC5只能访问Server5,不能访问 Server4。 ![](https://i-blog.csdnimg.cn/img_convert/04f2604bfd8aa7b0d77b36106aeb55f4.png) ![](https://i-blog.csdnimg.cn/img_convert/4ed49cc142e2fa966624076a237b7730.png) **H.部署 MPLS-VPN** ISP骨干网为大虫江西企业网和大虫企业数据中心之间提供mpls-vpn服务。 大虫江西企业网与数据中心之间主要使用这条mpls-vpn链路通信,专线作为备份链路。 MPLS已在需求1.3中预先配置。 6.1 R5为P设备,R2 R3为PE设备,R9 R10 R11为CE设备。 6.2 R2与R3使用Loopback0建立mp-bgp的vpnv4邻居关系,为避免R2与R3自动建立ipv4邻 居关系,请先关闭默认的ipv4邻居功能。 R2:bgp 500undo default ipv4-unicastpeer 5.3.3.3 as-number 500 peer 5.3.3.3 connect-interface LoopBack0 ipv4-family unicastundo peer 5.3.3.3 enable ipv4-family vpnv4policy vpn-target peer 5.3.3.3 enable#R3:bgp 500undo default ipv4-unicastpeer 5.2.2.2 as-number 500peer 5.2.2.2 connect-interface LoopBack0 ipv4-family unicastundo peer 5.2.2.2 enable ipv4-family vpnv4policy vpn-target peer 5.2.2.2 enable \[R2\]dis bgp vpnv4 all peer ![](https://i-blog.csdnimg.cn/img_convert/919ca9e99e3cf1529f15fd7179f3b709.png) 确认vpnv4邻居关系。 6.3 R3创建vrf如下: 名称R9,RD 9:9,出发向RT9:11,入方向RT11:9。 名称R10,RD 10:10,出发向RT10:11,入方向RT11:10。 R3:ip vpn-instance R10ipv4-familyroute-distinguisher 10:10vpn-target 10:11 export-extcommunityvpn-target 11:10 import-extcommunity #ip vpn-instance R9ipv4-familyroute-distinguisher 9:9vpn-target 9:11 export-extcommunityvpn-target 11:9 import-extcommunity# 6.4 R2创建vrf如下: 名称R11,RD11:11,配置合适的RT,可以同时与R3的两个VRF传递路由。 R2:ip vpn-instance R11ipv4-familyroute-distinguisher 11:11vpn-target 11:9 11:10 export-extcommunityvpn-target 9:11 10:11 import-extcommunity#​ 6.5 R3将G1/0/0划入vrfR9,配置IP地址172.17.93.3/24;G2/0/0划入vrfR10,配置IP地址 172.17.103.3/24。R2将G0/0/2划入vrfR11,配置IP地址172.18.112.11/24。 R3:interface GigabitEthernet1/0/0ip binding vpn-instance R9ip address 172.17.93.3 255.255.255.0 #interface GigabitEthernet2/0/0ip binding vpn-instance R10ip address 172.17.103.3 255.255.255.0 #R2:interface GigabitEthernet0/0/2ip binding vpn-instance R11ip address 172.18.112.2 255.255.255.0#​ 6.6 R9 R10 R11运行BGP AS65200,手动设置RID为Loopback0地址。 6.7 使用物理接口建立以下ebgp邻居关系: R2-R11 R3-R9 R3-R10 R2:bgp 500ipv4-family vpn-instance R11 peer 172.18.112.11 as-number 65200#R11:bgp 65200router-id 172.18.101.11peer 172.18.112.2 as-number 500#R3:bgp 500ipv4-family vpn-instance R10 peer 172.17.103.10 as-number 65200 #ipv4-family vpn-instance R9 peer 172.17.93.9 as-number 65200#R9:bgp 65200router-id 172.17.101.9peer 172.17.93.3 as-number 500 #R10:bgp 65200router-id 172.17.101.10peer 172.17.103.3 as-number 500 # ![](https://i-blog.csdnimg.cn/img_convert/2f8f048628588373782c13e26d5d7640.png) 6.8 R9在bgp中使用network发布172.17.40.0/24;R10在BGP中使用network发布172.17.50.0/24。 R9:bgp 65200network 172.17.40.0 255.255.255.0#R10:bgp 65200network 172.17.50.0 255.255.255.0# 6.9 分别查看R3 R2 R11的bgp路由表,发现R11收不到路由,试分析原因。 注意:R3和R2都是vrf表保存路由,所以要查看vpnv4传递路由。R11是用全局表保存路由, 所以要直接查看ipv4路由。 \[R3\]dis bgp vpnv4 all routing-table ![](https://i-blog.csdnimg.cn/img_convert/112925a365f68239901375585aed70b8.png) ![](https://i-blog.csdnimg.cn/img_convert/a899797dcd1cacb43a607c6113f66e8a.png) R11:bgp 65200peer 172.18.112.2 allow-as-loop # 6.9.2 确认R11可以收到bgp路由。 R11\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/e1138b3e734205890ea9da4e027d16a3.png) 6.10 R11在bgp中使用network发布172.18.40.0/24和172.18.50.0/24。 R11:bgp 65200network 172.18.40.0 255.255.255.0 network 172.18.50.0 255.255.255.0 6.11分别查看R2 R3 R9 R10的bgp路由表,发现R9/10收不到路由,试分析原因。 同需求6.9,R2和R3查看vpnv4路由,R9和R10查看ipv4路由。 \[R2\]dis bgp vpnv4 all routing-table ![](https://i-blog.csdnimg.cn/img_convert/889d75f9aace6e865374126c5129f905.png) \[R3\]dis bgp vpnv4 all routing-table ![](https://i-blog.csdnimg.cn/img_convert/00b1dd2d68bfa1985eb7ac90a6e15113.png) \[R9\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/96b70ae0f3d754ede916eb07395fac13.png) \[R10\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/8ba71a81fd4ebb36dd999cd549446124.png) 原因分析:由于172.18.40.0/24和172.18.50.0/24都有AS-patch属性65200。R9和R10对比本 地AS号,发现有相同的AS号,丢弃路由。 6.11.1 在R9/10上部署策略,从R3收bgp路由时允许AS环路。 R9:bgp 65200peer 172.17.93.3 allow-as-loop#R10:bgp 65200peer 172.17.103.3 allow-as-loop# 6.11.2 确认R9/10可以收到bgp路由。 ![](https://i-blog.csdnimg.cn/img_convert/a1d66ceb471237184145c22e7f2e6be9.png) 6.11.3 确认PC4可以访问Server4,追踪并确认路径。试分析为什么会选择mpls-vpn作为主 要链路,生产专线作为备用链路。 ![](https://i-blog.csdnimg.cn/img_convert/33223c281ec3a8936e8a21abdfd1018c.png) 原因分析:决定走mpls还是走专线的主要选路设备是R9,我们可以查看R9上的路由表 ![](https://i-blog.csdnimg.cn/img_convert/288ec1ef90b169e864bd03c6811e5b91.png) **J.选路调整:** 7.1 在Server4上追踪172.17.40.4(PC4),发现选择生产专线作为最佳路径。与PC4访问 Server4的路径不一致,试分析原因。(提示:注意查看R11路由表) ![](https://i-blog.csdnimg.cn/img_convert/4b82cfc51a1d73fe750d520ec6492415.png) ![](https://i-blog.csdnimg.cn/img_convert/4784eaac6f62063c3b5b0b91b533b520.png) 7.1.1 在R11上部署策略,修改BGP协议优先级:EBGP修改为8,IBGP与本地路由使用默认 值255. R11:bgp 65200preference 8 255 255 7.1.2 确认R11的全局路由表中172.17.40.0/24和172.17.50.0/24选择了BGP路由。 ![](https://i-blog.csdnimg.cn/img_convert/8623101e343bed99b2fe6b3a2af271db.png) 此时EBGP路由的协议优先级为8,小于OSPF的10,所以R11优选EBGP路由。但是,SW4和SW5兵没有收到R11传递的路由,并不会考虑R11作为最佳路径。那么,首先让R11把路由传给SW4/5,然后再去考虑SW4/5的选路问题。此时解决方案有两种,一是让R11把BGP路由引入OSPF,二是让SW4/5启用BGP。 -------------支线任务-------------- 支线任务就是第一种解决方案 7.2 R11在OSPF中引入BGP,将以上两条路由发布到OSPF。(无策略) R11:ospf 1 import-route bgp 7.2.1 观察SW4与SW5路由表,发现172.17.40.0/24选择R12,172.17.50.0/24选择R13。并没 有选择R11,这会导致生产办公服务器的流量总是走专线,而不会走mpls-vpn。试分析原因,思考解决方案。 ![](https://i-blog.csdnimg.cn/img_convert/03c61b9494354e9536abfc3130505552.png) 7.2.2 删除需求7.2中在R11上配置的引入命令,及其他相关配置。 R11:ospf 1 undo import-route bgpR12:[R12-GigabitEthernet0/0/1]undo shutdown -------------支线任务结束--------- 主线任务就是第二种解决方案 7.3 SW4/5运行BGP AS65200,手动设置RID为Loopback0地址。 7.3.1 R11与SW4/5分别使用Loopback0建立ibgp邻居关系,SW4/5之间不建立ibgp邻居。 SW4:bgp 65200router-id 172.18.100.4peer 172.18.101.11 as-number 65200peer 172.18.101.11 connect-interface LoopBack0#SW5:bgp 65200router-id 172.18.100.5peer 172.18.101.11 as-number 65200peer 172.18.101.11 connect-interface LoopBack0#R11:bgp 65200peer 172.18.100.4 as-number 65200 peer 172.18.100.4 connect-interface LoopBack0peer 172.18.100.4 next-hop-localpeer 172.18.100.5 as-number 65200 peer 172.18.100.5 connect-interface LoopBack0peer 172.18.100.5 next-hop-local# 7.3.2 确认SW4/5收到bgp路由172.17.40.0/24和172.17.50.0/24。 \[SW4\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/6bbeec3cd178d93bd8309a58f85d16fa.png) \[SW5\]dis bgp routing-table ![](https://i-blog.csdnimg.cn/img_convert/d4e909e11d81da3c94d632c047207537.png) 7.4 查看SW4/5全局路由表,发现以上两条路由选择了OSPF协议,试分析原因。 \[SW4\]dis ip routing-table 172.17.40.0 24 ![](https://i-blog.csdnimg.cn/img_convert/ca5e36c2e2d421fffb77e2429e9e8966.png) 原因分析:SW4同时从OSPF和BGP学习到相同路由,优选了协议优先级更小的OSPF。SW5 同理。 7.4.1 在SW4/5上部署策略,修改BGP协议优先级:IBGP修改为8,EBGP与本地路由使用默 认值255. SW4/5:bgp 65200preference 255 8 255#由于R11和SW4/5是ibgp邻居,所以修改的是ibgp路由协议优先级。 7.4.2 确认SW4/5的全局路由表中172.17.40.0/24和172.17.50.0/24选择了BGP协议。 \[SW4\]dis ip routing-table 172.17.40.0 24 ![](https://i-blog.csdnimg.cn/img_convert/f37738067ba99ddc1343d8d9fbdebc1a.png) #SW5同SW4 ![](https://i-blog.csdnimg.cn/img_convert/7828d792a6f11736134c6812954daf9d.png) 7.6 关闭R2的G0/0/2,再次测试PC4和Server4,可以通过生产专线通信。 测试完成后恢复R2的G0/0/2。 R2:[R2]int g0/0/2[R2-GigabitEthernet0/0/2]shutdown ![](https://i-blog.csdnimg.cn/img_convert/05a52c1a0de7c77db502659b6dae17a1.png) **K.组播** 8.1 Server5是办公服务器,作为组播源;PC5是办公网PC作为接收者;R13是汇聚点RP;组 播流量通过办公专线发送到PC。 8.2 SW5 R13 R10 SW10上开启组播功能,在各互联接口上开启pim-sm,同时设置R13的 Loopback0作为RP地址。 SW5:multicast routing-enable #interface Vlanif50 pim sm#interface Vlanif13 pim sm#pimstatic-rp 172.18.101.13#R13:multicast routing-enable#interface GigabitEthernet0/0/1 pim sm#interface Serial1/0/0pim sm#pimstatic-rp 172.18.101.13#R10:multicast routing-enable#interface GigabitEthernet0/0/1 pim sm#interface Serial1/0/0 pim sm#pimstatic-rp 172.18.101.13 #SW10:multicast routing-enable #interface Vlanif50pim sm#interface Vlanif100pim sm#pimstatic-rp 172.18.101.13 # 8.3 确认pim邻居关系建立完成。 ![](https://i-blog.csdnimg.cn/img_convert/0604557a33520e86cbf39e0e9962c0be.png) 8.4 建立汇聚树(RPT) 8.4.1 PC5上使用igmpv2加入组224.1.1.1,确认SW10上收到IGMP加组信息。 ![](https://i-blog.csdnimg.cn/img_convert/5f82ecf279d7deadb2a96fc33ba8a1a8.png) SW10:interface Vlanif50 igmp enable# \[SW10\]dis igmp group ![](https://i-blog.csdnimg.cn/img_convert/025476ce0c892d83b502f88a998eec0e.png) 8.4.2 确认SW10 R10 R13的组播表,都有(\*,224.1.1.1)路由,汇聚树(RPT)建立完成。 \[SW10\]dis pim routing-table ![](https://i-blog.csdnimg.cn/img_convert/25cff2535d609e28e54d27c8ad2ec960.png) \[R10\]dis pim routing-table ![](https://i-blog.csdnimg.cn/img_convert/c79676b6b98dc95bd20e6867bd519770.png) \[R13\]dis pim routing-table ![](https://i-blog.csdnimg.cn/img_convert/1dbccac28f1a27bd7f6d1f4cb26611aa.png) #目前只有接收者,没有组播源,所以R13作为RP,只有下游接口,没有上游接口。 (下游接口是发出组播流量的接口,上游接口是收到组播流量的接口。) 8.5 建立最短路径树(SPT) 8.5.1 办公服务器启动VLC发送组播流量,地址224.1.1.1。 ![](https://i-blog.csdnimg.cn/img_convert/2683cf7c268c0c2bf9cee9805e56f847.png) #选择视频文件,输入组播地址,开始运行。 8.5.2 确认R13和SW5产生(172.18.50.5,224.1.1.1)组播路由,最短路径树(SPT)建立完 成。 \[R13\]dis pim routing-table ![](https://i-blog.csdnimg.cn/img_convert/94ed511ee3d75ff256b5b7d144da9656.png) \[SW5\]dis pim routing-table ![](https://i-blog.csdnimg.cn/img_convert/9c9f61cbebc96873691f64cf127102ab.png) 8.6 在PC端启动VLC,确认PC5可以收到组播流量。 ![](https://i-blog.csdnimg.cn/img_convert/c6d6c7601465e06451c46480ac6fc66b.png) 至此:整个实验完成配置及验证的部署。 此实验来源于思博金牌讲师童驰阳的HCIP毕业实验作业模版加以复刻。

相关推荐
李元豪21 分钟前
华为面试,机器学习深度学习知识点:
机器学习·华为·面试
23zhgjx-hyh23 分钟前
IS-IS认证
运维·服务器·网络
KangkangLoveNLP32 分钟前
手动实现一个迷你Llama:手动实现Llama模型
网络·人工智能·python·算法·机器学习·自然语言处理·llama
网络工程师_ling1 小时前
【内网安全】DHCP 饿死攻击和防护
网络安全
武帝为此1 小时前
【计算机网络中的网桥设备】
网络·计算机网络·php
rufeike1 小时前
OSI模型中协议数据单元(PDU)
运维·网络
故事与他6452 小时前
迅饶科技X2Modbus网关-GetUser信息泄露漏洞
网络·科技·计算机网络·安全·web安全
写代码的小王吧3 小时前
【网络安全】 防火墙技术
java·python·安全·web安全·网络安全·docker
北海屿鹿3 小时前
Linux网络:数据链路层&以太网
linux·运维·网络
【云轩】3 小时前
《比特城的七重结界:从数据洪流到量子盾牌的终极守护》
网络·安全·web安全