从零部署【国际互联网、ISP骨干网、互联网数据中心、企业数据中心、企业私网】组成的大型综合型网络环境部署。

一、实验拓扑

二、实验需求及解法

本实验模拟国际互联网、ISP骨干网、互联网数据中心、企业数据中心、企业私网网组成的综合型网络环境。概况如下：

a) 红色区域为ISP骨干网：负责传递公网路由，承载各私网访问互联网数据中心的流量。同时满足大虫江西企业网到大虫企业数据中心的MPLS-VPN要求。

b) 蓝色区域为互联网数据中心（IDC）：属于ISP下辖机构，Server1/2/3模拟各企业服务器在IDC托管的情况。另外大虫企业数据中心也整体托管在IDC内部，通过R11连接到IDC 核心交换机SW1。互联网用户可以通过IDC访问大虫企业数据中心。

c) 绿色区域为大虫江西企业网：分为私网（PC3和R8）与生产办公网。私网与生产办公网物理隔离，保障生产办公网的安全性。生产办公网通过MPLS-VPN与大虫企业数据中心通信，访问生产/办公服务器。生产/办公专线作为备用线路，当ISP骨干网MPLS- VPN链路故障时，可用专线与生产办公服务器通信。

d) 灰色区域为大虫九江企业网：使用双互联网出口，可访问IDC、企业数据中心等公网，还通过GRE-VPN与大虫江西企业网的私网互联。

所有设备已预配IP地址，请自行查看并测试直连。（vlanif/tunnel/vrf没有预配）

A： 国际互联网

该网络使用一台路由器模拟，已配置BGP AS800，并发布路由0.0.0.0/0和8.0.0.0/8。你无权对该设备进行配置，但是可以登录设备使用display命令查看配置。

<internet>dis cu con bgpbgp 800router-id 8.8.8.8peer 8.0.0.5 as-number 500 #ipv4-family unicastundo synchronizationaggregate 8.0.0.0 255.0.0.0 as-set detail-suppressed  \\聚合路由8.0.0.0/8 network 8.0.1.0 255.255.255.0 network 8.8.8.8 255.255.255.255 peer 8.0.0.5 enablepeer 8.0.0.5 default-route-advertise   \\发布默认路由

B：ISP 骨干网

该网络由R1/2/3/4/5，共五台设备组成。另外IDC的出口路由器R6/7由ISP管理。配置这七台设备，完成以下需求：

1.1 运行ISIS。

1.1.1 进程1，全部为level-2路由器。

1.1.2 R1/2/3/4/5属于区域49.0500，R6/7属于区域49.0100

1.1.3 system-id规划如下：

1.1.4 将R1的is-name设置为R1，以此类推配置R1-7，便于查看邻居关系。 1.1.5 R3/4/5不激活与其他AS互联的接口。

1.1.6 R6/7不激活G0/0/1。

R1:isis 1is-level level-2network-entity 49.0500.0000.0000.0001.00 is-name R1#interface GigabitEthernet0/0/0isis enable 1#interface GigabitEthernet0/0/1isis enable 1#interface LoopBack0isis enable 1#R2:isis 1is-level level-2network-entity 49.0500.0000.0000.0002.00 is-name R2#interface GigabitEthernet0/0/0isis enable 1#interface GigabitEthernet0/0/1isis enable 1#interface LoopBack0isis enable 1#R3:isis 1is-level level-2network-entity 49.0500.0000.0000.0003.00 is-name R3#interface GigabitEthernet0/0/0isis enable 1#interface LoopBack0isis enable 1#R4:isis 1is-level level-2network-entity 49.0500.0000.0000.0004.00 is-name R4#interface GigabitEthernet0/0/0isis enable 1#interface LoopBack0isis enable 1#R5:isis 1is-level level-2network-entity 49.0500.0000.0000.0005.00 is-name R5#interface GigabitEthernet1/0/0isis enable 1#interface GigabitEthernet2/0/0isis enable 1#interface GigabitEthernet3/0/0isis enable 1#interface GigabitEthernet4/0/0isis enable 1#interface LoopBack0isis enable 1#R6:isis 1is-level level-2network-entity 49.0100.0000.0000.0006.00is-name R6#interface GigabitEthernet0/0/0isis enable 1#interface LoopBack0isis enable 1R7:isis 1is-level level-2network-entity 49.0100.0000.0000.0007.00is-name R7#interface GigabitEthernet0/0/0isis enable 1#interface LoopBack0isis enable 1

1.1.7 确认各设备间的ISIS邻居关系，确认各设备环回口互通。

[R5]dis isis peer

[R6]dis isis peer

[R7]dis isis peer

1.1.8 win10系统若运行isis无效，可配置完isis后，再配置ospf，完成各设备互通的需求。标准答案会按照isis配置打分。

请注意R6/7的OSPF不要与IDC内部的OSPF互通，使用不同进程号即可。

1.2 运行BGP，R1/2/3/4/5属于AS500，R6/7属于AS65100。

1.2.1 手动配置所有设备Router id为Loopback0地址。

1.2.2 R5作为反射器，使用Loopback0与R1/2/3/4分别建立ibgp邻居关系，并将R1/2/3/4设置为客户端。（不允许使用group配置）

1.2.3 R1/2/3/4之间不建立ibgp邻居关系，分别使用Loopback0与R5建立ibgp邻居关系。 1.2.4 配置必要的修改下一跳为本地命令，保证路由可达性。

R1:bgp 500router-id 5.1.1.1peer 5.5.5.5 as-number 500 peer 5.5.5.5 connect-interface LoopBack0 peer 5.5.5.5 next-hop-local#R2:bgp 500router-id 5.2.2.2peer 5.5.5.5 as-number 500 peer 5.5.5.5 connect-interface LoopBack0peer 5.5.5.5 next-hop-local#R3:bgp 500router-id 5.3.3.3peer 5.5.5.5 as-number 500 peer 5.5.5.5 connect-interface LoopBack0 peer 5.5.5.5 next-hop-local#R4:bgp 500router-id 5.4.4.4peer 5.5.5.5 as-number 500 peer 5.5.5.5 connect-interface LoopBack0 peer 5.5.5.5 next-hop-local#R5:bgp 500router-id 5.5.5.5peer 5.1.1.1 as-number 500 peer 5.1.1.1 connect-interface LoopBack0 peer 5.2.2.2 as-number 500 peer 5.2.2.2 connect-interface LoopBack0 peer 5.3.3.3 as-number 500 peer 5.3.3.3 connect-interface LoopBack0 peer 5.4.4.4 as-number 500 peer 5.4.4.4 connect-interface LoopBack0 ipv4-family unicastpeer 5.1.1.1 reflect-clientpeer 5.1.1.1 next-hop-local peer 5.2.2.2 reflect-clientpeer 5.2.2.2 next-hop-local peer 5.3.3.3 reflect-clientpeer 5.3.3.3 next-hop-local peer 5.4.4.4 reflect-clientpeer 5.4.4.4 next-hop-local

1.2.5 确认所有的ibgp邻居关系建立完成。

[R5]dis bgp peer

1.2.6 R1与R6，R2与R7分别使用Loopback0建立ebgp邻居关系。

R1:bgp 500peer 5.6.6.6 as-number 65100 peer 5.6.6.6 ebgp-max-hop 2 peer 5.6.6.6 connect-interface LoopBack0#环回口建立ebgp邻居需要修改ebgp最大跳数，大于1即可。R6:bgp 65100router-id 5.6.6.6peer 5.1.1.1 as-number 500 peer 5.1.1.1 ebgp-max-hop 2 peer 5.1.1.1 connect-interface LoopBack0#R2:bgp 500peer 5.7.7.7 as-number 65100 peer 5.7.7.7 ebgp-max-hop 2 peer 5.7.7.7 connect-interface LoopBack0#R7:bgp 65100router-id 5.7.7.7peer 5.2.2.2 as-number 500 peer 5.2.2.2 ebgp-max-hop 2 peer 5.2.2.2 connect-interface LoopBack0#

1.2.7 R5与internet使用物理口建立ebgp邻居关系。internet设备已配置，IP地址为8.0.0.8， AS800，请完成R5的配置。

R5:bgp 500peer 8.0.0.8 as-number 800 #

1.2.8 确认所有的ebgp邻居关系建立完成。

[R6]dis bgp peer

[R7]dis bgp peer

[R5]dis bgp peer

1.2.9 确认R1/2/3/4/5/6/7都能收到来自internet发布的路由8.0.0.0/8。

[R5]dis bgp routing-table

[R6]dis bgp routing-table

其他设备略.....自行查看（继续下一步）

1.2.10 R5上预配置聚合路由5.0.0.0/8，抑制明细路由，且不保留AS号。

（将来在AS500中发布5.0.0.0/8的子网路由都会聚合后再发布给Internet，减少路由更新是 BGP很重要的基础配置。）

R5:bgp 500aggregate 5.0.0.0 255.0.0.0 detail-suppressed

1.3 运行mpls

1.3.1 R1/2/3/4/5启用mpls。（虽然本实验只有R2/3/5有mpls-vpn需求，但是在实际网络中ISP会预配置mpls，当客户有mpls-vpn需求时无需临时配置mpls。）

1.3.2 lsr-id设置为Loopback0地址。

1.3.3 启用ldp。

R1:mpls lsr-id 5.1.1.1mplsmpls ldp#interface GigabitEthernet0/0/0 mplsmpls ldpR2:mpls lsr-id 5.2.2.2mplsmpls ldp#interface GigabitEthernet0/0/0 mplsmpls ldp#R3:mpls lsr-id 5.3.3.3mplsmpls ldp#interface GigabitEthernet0/0/0 mplsmpls ldp#R4:mpls lsr-id 5.4.4.4mplsmpls ldp#interface GigabitEthernet0/0/0 mplsmpls ldp#R5:mpls lsr-id 5.5.5.5mplsmpls ldp#interface GigabitEthernet1/0/0mplsmpls ldp#interface GigabitEthernet2/0/0mplsmpls ldp#interface GigabitEthernet3/0/0mplsmpls ldp#interface GigabitEthernet4/0/0mplsmpls ldp#

1.3.4 确认R5与R1/2/3/4都建立了ldp邻居关系。

[R5]dis mpls ldp peer

C.大虫企业网（私网）

2.1 大虫江西企业网通过R8接入到ISP，公网IP地址5.0.3.1/24，私网IP地址172.16.3.0/24。

2.1.1 ISP分配公网地址后，在R3的BGP中使用network命令发布路由5.0.3.0/24。

R3：bgp 500network 5.0.3.0 255.255.255.0

2.1.2 R8配置默认路由，请确认R8可以访问8.8.8.8。

R8：ip route-static 0.0.0.0 0.0.0.0 5.0.3.254

2.1.3 R8使用acl 2000和nat，在G0/0/0上部署eazy-ip，仅允许172.16.3.0/24访问公网。

R8:acl number 2000  rule 5 permit source 172.16.3.0 0.0.0.255 #interface GigabitEthernet0/0/0 nat outbound 2000#

2.1.4 确认PC3可以访问8.8.8.8。

2.2 大虫九江企业网通过R14接入到ISP，双出口公网IP地址5.0.4.1/24和8.0.1.1/24 私网IP地址172.16.1.0/24和172.16.2.0/24

2.2.1 ISP分配公网地址后，在R4的BGP中使用network命令发布路由5.0.4.0/24。internet的 BGP中已发布8.0.1.0/24。

R4:bgp 500network 5.0.4.0 255.255.255.0

2.2.2 R14配置两条默认路由分别通过R4和internet访问公网，并要求R4为主要出口， internet为备份出口。通过修改某一条路由的协议优先级为70来实现这个需求。

R14:ip route-static 0.0.0.0 0.0.0.0 5.0.4.254ip route-static 0.0.0.0 0.0.0.0 8.0.1.254 preference 70

2.2.3 R14使用acl 2000和nat，在G0/0/0和G0/0/2上部署eazy-ip，仅允许172.16.1.0/24和 172.16.2.0/24访问公网

R14:acl number 2000  rule 5 permit source 172.16.1.0 0.0.0.255 rule 10 permit source 172.16.2.0 0.0.0.255#interface GigabitEthernet0/0/0nat outbound 2000#interface GigabitEthernet0/0/2nat outbound 2000

2.3 部署vlan

2.3.1 SW12创建vlan10 14 20，并关闭stp。

SW12:vlan batch 10 14 20#stp disable

2.3.2 G0/0/1-3接口链路类型为access，并将PC1划入vlan10，PC2划入vlan20，R14划入 vlan14。

SW12:interface GigabitEthernet0/0/1 port link-type accessport default vlan 10#interface GigabitEthernet0/0/2port link-type accessport default vlan 20#interface GigabitEthernet0/0/3port link-type accessport default vlan 14#

2.3.3 创建vlanif接口，并配置ip地址，规划如下：

vlanif10:172.16.1.254/24

vlanif20:172.16.2.254/24

vlanif14:172.16.14.12/24

SW12:interface Vlanif10ip address 172.16.1.254 255.255.255.0#interface Vlanif14ip address 172.16.14.12 255.255.255.0#interface Vlanif20ip address 172.16.2.254 255.255.255.0#

2.4 部署ospf

2.4.1 SW12和R14运行ospf，进程1，router-id为Loopback0地址，区域0，使用network命令宣告，通配符0.0.0.0。确认邻居关系建立完成。

SW12:ospf 1 router-id 172.16.100.12area 0.0.0.0network 172.16.100.12 0.0.0.0network 172.16.1.254 0.0.0.0network 172.16.2.254 0.0.0.0network 172.16.14.12 0.0.0.0#R14:ospf 1 router-id 172.16.101.14 area 0.0.0.0 network 172.16.14.14 0.0.0.0 network 172.16.101.14 0.0.0.0 #

2.4.2 由于SW12访问公网也需要默认路由，在R14的ospf中引入默认路由，且无论R14本地是否有默认路由都会引入。（提示:import-route对默认路由无效，需要使用专用命令。）

R14:ospf 1 router-id 172.16.101.14 default-route-advertise always#

2.4.3 确认PC1 PC2通过R4访问8.8.8.8，且R4故障时依旧可以访问8.8.8.8。

#通过R4访问8.8.8.8

[R4]int g0/0/1[R4-GigabitEthernet0/0/1]shutdown #

#路径切换，保持通信。

[R4-GigabitEthernet0/0/1]undo shutdown

D.大虫企业网GRE-VPN

2.5.1 确认R14与R8的公网地址5.0.4.1与5.0.3.1互通。

[R14]ping 5.0.3.1

2.5.2 在R14与R8上建立GRE-VPN，规划如下：

R8：接口编号tunnel 0/0/0，接口协议GRE，源地址5.0.3.1，目的地址5.0.4.1，IP地址 172.16.148.8/24

interface Tunnel0/0/0ip address 172.16.148.8 255.255.255.0 tunnel-protocol gresource 5.0.3.1destination 5.0.4.1

R14：接口编号tunnel 0/0/0，接口协议GRE，源地址5.0.4.1，目的地址5.0.3.1，IP地址 172.16.148.14/24

interface Tunnel0/0/0ip address 172.16.148.14 255.255.255.0 tunnel-protocol gresource 5.0.4.1destination 5.0.3.1

确认R14与R8的Tunnel口可以互通。

[R14]ping 172.16.148.8

2.5.3 R14与R8通过GRE隧道建立ospf邻居关系，R8的ospf配置需求与R14相同（需求 2.4.1）。

R8:ospf 1 router-id 172.16.101.8 area 0.0.0.0 network 172.16.3.254 0.0.0.0 network 172.16.101.8 0.0.0.0 network 172.16.148.8 0.0.0.0#R14:ospf 1 router-id 172.16.101.14 area 0.0.0.0network 172.16.148.14 0.0.0.0

[R8]dis ospf peer brief

2.5.4 确认PC1 PC2可以与PC3私网互通。

E：策略路由

为避免大虫江西企业网的internet出口链路空闲，在R14上部署策略路由。当PC2访问公网时，优先走internet出口，且不能影响PC2访问PC3的流量。

2.6.1 配置ACL，规划如下：

acl 3000匹配172.16.2.0/24到172.16.3.0/24的流量； acl 3001匹配172.16.2.0/24到任意目的的流量。

R14:acl number 3000  rule 5 permit ip source 172.16.2.0 0.0.0.255 destination 172.16.3.0 0.0.0.255#acl number 3001  rule 5 permit ip source 172.16.2.0 0.0.0.255

2.6.2 定义流分类：

流分类C1，匹配acl 3000

流分类C2，匹配acl 3001

traffic classifier C1if-match acl 3000traffic classifier C2if-match acl 3001

2.6.3 定义流行为：

流行为B1，重定向下一跳为R8的GRE隧道IP地址172.16.148.8

流行为B2，重定向下一跳为internet出口对端公网IP地址8.0.1.254

traffic behavior B1redirect ip-nexthop 172.16.148.8traffic behavior B2redirect ip-nexthop 8.0.1.254

2.6.4 定义流策略，名称PBR：

首先关联流分类C1与流行为B1

再关联流分类C2与流行为B2

traffic policy PBRclassifier C1 behavior B1classifier C2 behavior B2

2.6.5 在G0/0/1上部署流策略PBR。

interface GigabitEthernet0/0/1traffic-policy PBR inbound

2.6.6 确认PC1通过R4访问8.8.8.8，PC2通过Internet访问8.8.8.8。同时PC1和PC2依旧可以与 PC3通信。

PC1 通过 R4 访问 8.8.8.8

PC2 通过 internet 直接访问 8.8.8.8

PC3 与 PC1/2 通信不受影响

需求解析：

本需求使用 PBR 控制 PC2 的流量通过 Internet 直接访问 8.8.8.8，此策略会直接影响 PC2 的所有流量包括 PC2 到 PC3。在 acl 3000 中先把 PC2 到 PC3 的流量定义出来并定向至 GRE 隧道，然后再用 acl3001 把 PC2 其他流量定义到 internet 出口，这样就不会影响到 vpn 流量。

F.互联网数据中心（IDC）

1 链路捆绑eth-trunk

1.2 SW1与SW2分别创建eth-trunk0，使用lacp静态模式，基于源目mac地址负载均衡。

SW1/2:interface Eth-Trunk0mode lacp-staticload-balance src-dst-mac

1.3 SW1与SW3分别创建eth-trunk1，使用lacp静态模式，基于源目mac地址负载均衡。

SW1/3:interface Eth-Trunk1mode lacp-staticload-balance src-dst-mac

1.4 SW1/2/3分别将合适的物理接口加入eth-trunk链路。

SW1:interface GigabitEthernet0/0/21eth-trunk 0#interface GigabitEthernet0/0/22eth-trunk 0#interface GigabitEthernet0/0/23eth-trunk 1#interface GigabitEthernet0/0/24eth-trunk 1#SW2:interface GigabitEthernet0/0/21eth-trunk 0#interface GigabitEthernet0/0/22eth-trunk 0#SW3:interface GigabitEthernet0/0/23eth-trunk 1#interface GigabitEthernet0/0/24eth-trunk 1#

2 super-vlan

2.1 SW1创建vlan 3000 to 3003，SW2/3创建vlan 3001 to 3003。

SW1:vlan batch 3000 to 3003#SW2/3:vlan batch 3001 to 3003#

2.2 SW1将vlan3000设置为super-vlan，3001 to 3003设置为子vlan。

SW1:vlan 3000aggregate-vlanaccess-vlan 3001 to 3003

2.3 SW1/2/3之间的链路配置为trunk，允许vlan 3001 to 3003通过。

SW1/2:interface Eth-Trunk0port link-type trunkport trunk allow-pass vlan 3001 to 3003#SW1/3:interface Eth-Trunk1port link-type trunkport trunk allow-pass vlan 3001 to 3003#

2.4 使用access接口把Server划入对应vlan：

Server1-vlan3001 Server2-vlan3002 Server3-vlan3003

SW2:interface GigabitEthernet0/0/1port link-type accessport default vlan 3001#interface GigabitEthernet0/0/2port link-type accessport default vlan 3002#SW3:interface GigabitEthernet0/0/3port link-type accessport default vlan 3003#

2.5 SW1创建vlanif 3000，ip地址5.0.1.254/24。

SW1:interface Vlanif3000ip address 5.0.1.254 255.255.255.0

2.6 确认SW1与Server1/2/3互通。

[SW1]ping 5.0.1.1

[SW1]ping 5.0.1.2

[SW1]ping 5.0.1.3

2.7 SW1创建vlan 6 7，使用access链路将R6划入vlan6，R7划入vlan7。

vlan batch 6 to 7#interface GigabitEthernet0/0/6port link-type accessport default vlan 6#interface GigabitEthernet0/0/7port link-type accessport default vlan 7

2.8 SW1创建vlanif6，IP地址192.168.6.1/24；创建vlanif7，IP地址192.168.7.1/24。

interface Vlanif6ip address 192.168.6.1 255.255.255.0 #interface Vlanif7ip address 192.168.7.1 255.255.255.0

2.9 确认SW1与R6/7直连互通。

3 对接大虫企业数据中心

3.1 SW1创建vlan3004和vlanif3004，IP地址5.0.2.254/24

vlan 3004#interface Vlanif3004ip address 5.0.2.254 255.255.255.0#

3.2 SW1的g0/0/11使用access链路类型，划入vlan3004。

interface GigabitEthernet0/0/11port link-type accessport default vlan 3004

3.3 SW1开启bpdu保护功能，并将g0/0/11设置为边缘端口，防止大虫企业数据中心使用交换机直接对接。

stp bpdu-protection#interface GigabitEthernet0/0/11 stp edged-port enable#

3.4 确认SW1与R11直连互通。

3.4 路由发布

3.4.1 R6 R7 SW1运行OSPF，进程1，手动设置router-id为Loopback0地址，区域0，使用 network命令宣告，通配符0.0.0.0。确认邻居关系建立完成。

3.4.2 R6/7只宣告g0/0/1，SW1宣告所有接口。

3.4.3 为避免与R11建立ospf邻居，SW1将vlanif3004设置为静默接口（silent-interface）。 3.4.4 R6/7使用ospf引入默认路由，使得SW1获得默认路由可以访问AS500和AS800。且当R6/7本地默认路由失效时，停止引入默认路由到OSPF。

R6:ospf 1 router-id 5.6.6.6 default-route-advertisearea 0.0.0.0 network 192.168.6.254 0.0.0.0#R7:ospf 1 router-id 5.7.7.7 default-route-advertisearea 0.0.0.0 network 192.168.7.254 0.0.0.0#SW1:ospf 1 router-id 5.11.11.11silent-interface Vlanif3004area 0.0.0.0network 192.168.6.1 0.0.0.0network 192.168.7.1 0.0.0.0network 5.0.1.254 0.0.0.0network 5.0.2.254 0.0.0.0静默接口可以阻止通过该接口建立ospf邻居，但是依旧会把该接口路由发布到OSPF。

[SW1]dis ospf peer brief

3.4.5 确认R6/7使用ospf学习到5.0.1.0/24和5.0.2.0/24，并在BGP中使用network命令，发布这两条路由。

[R6]dis ospf routing

R7同R6配置如下：

bgp 65100network 5.0.1.0 255.255.255.0 network 5.0.2.0 255.255.255.0

3.4.6 确认R5收到这两条路由，并产生聚合路由5.0.0.0/8；确认internet只收到5.0.0.0/8。

[R5]dis bgp routing-table

<internet>dis bgp routing-table

3.4.7 确认Server1/2/3都可以访问8.8.8.8，PC1/2/3都可以访问Server1/2/3。

其它server自行测试

其它PC自行测试

3.5 路由策略

查看R5的bgp路由表，发现去往5.0.1.0/24和5.0.2.0/24都选择R1。

[R5]dis bgp routing-table

IDC运维管理员希望访问5.0.2.0/24的流量从R7进入IDC，部署以下策略： 3.5.1 查看R6和R7发布5.0.2.0/24的MED值。

[R6]dis bgp routing-table

R7同R6

3.5.2 修改R6发布5.0.2.0/24的MED大于R7发布的MED，R6上部署策略如下：前缀列表名称2，允许5.0.2.0/24

路由策略名称为toR1：

node 10 匹配前缀列表，修改cost为20

node 100 允许其他路由条目。

发布路由给R1时调用路由策略。

R6：ip ip-prefix 2 index 10 permit 5.0.2.0 24#route-policy toR1 permit node 10 if-match ip-prefix 2 apply cost 20 #route-policy toR1 permit node 100#bgp 65100peer 5.1.1.1 route-policy toR1 export#

3.5.3 确认R1上收到5.0.2.0/24的MED修改为20，R5上bgp路由5.0.2.0/24选路走R2。

F.大虫企业网（办公生产网）

1 SW9/10/11部署vlan

1.1 三台SW创建vlan40和50

SW9/10/11:vlan batch 40 50

1.2 SW之间链路类型使用trunk，允许vlan40和50通过。

SW9/10:interface GigabitEthernet0/0/11 port link-type trunkport trunk allow-pass vlan 40 50 #interface GigabitEthernet0/0/24 port link-type trunkport trunk allow-pass vlan 40 50 #SW11:interface GigabitEthernet0/0/9 port link-type trunkport trunk allow-pass vlan 40 50 #interface GigabitEthernet0/0/10port link-type trunkport trunk allow-pass vlan 40 50

1.3 SW11使用access接口将PC4划入vlan40，PC5划入vlan50。

interface GigabitEthernet0/0/4port link-type accessport default vlan 40#interface GigabitEthernet0/0/5port link-type accessport default vlan 50#

1.4 为保障内网安全，连接PC4/5的接口配置端口安全，自动学习mac地址，永不超时，且SW11重启依旧保存mac。若PC4/5被更换或改变mac地址，则自动关闭SW11相应接口。

SW11:interface GigabitEthernet0/0/4port-security enableport-security protect-action shutdownport-security mac-address sticky#interface GigabitEthernet0/0/5port-security enableport-security protect-action shutdownport-security mac-address sticky#

1.5 SW9创建vlan90，使用access接口将R9划入vlan90。

vlan 90#interface GigabitEthernet0/0/1port link-type accessport default vlan 90#

1.6 SW10创建vlan100，使用access接口将R10划入vlan100。

vlan 100#interface GigabitEthernet0/0/1 port link-type accessport default vlan 100#

2 SW9/10/11部署MSTP

2.1 MSTP域名为大虫，vlan40属于实例1，vlan50属于实例2。

SW9/10/11:stp region-configurationregion-name dachonginstance 1 vlan 40instance 2 vlan 50active region-configuration

2.2 SW9为实例1主根，实例2次根；SW10为实例1次根，实例2主根。实现这个需求不允许使用priority命令。

SW9:stp instance 1 root primarystp instance 2 root secondary#SW10:stp instance 1 root secondarystp instance 2 root primary#

2.3 为加快STP收敛，SW11连接PC4/5的接口配置为边缘端口。

SW11:interface GigabitEthernet0/0/4stp edged-port enable#interface GigabitEthernet0/0/5stp edged-port enable#

3 部署vlanif

3.1 SW9创建vlanif40，ip地址172.17.40.254/24。创建vlanif90，ip地址172.17.90.1/24。

interface Vlanif40ip address 172.17.40.254 255.255.255.0#interface Vlanif90ip address 172.17.90.1 255.255.255.0#

3.2 SW10创建vlanif50，ip地址172.17.50.254/24。创建vlanif100，ip地址172.17.100.1/24

interface Vlanif50ip address 172.17.50.254 255.255.255.0 #interface Vlanif100ip address 172.17.100.1 255.255.255.0

3.3 确认PC4与SW9互通，PC5与SW10互通。

[SW9]ping 172.17.40.4

[SW10]ping 172.17.50.5

3.4 确认R9与SW9互通，R10与SW10互通。

[R9]ping 172.17.90.1

[R10]ping 172.17.100.1

4 部署OSPF

4.1 SW9 SW10 R9 R10运行OSPF，进程1，手动配置router-id为Loopback0地址，区域1，使用network命令，通配符0.0.0.0。

4.2 R9 R10不宣告g0/0/0，SW9 SW10宣告所有接口。

R9:ospf 1 router-id 172.17.101.9 area 0.0.0.1 network 172.17.90.254 0.0.0.0 network 172.17.101.9 0.0.0.0 network 172.17.120.9 0.0.0.0#R10:ospf 1 router-id 172.17.101.10area 0.0.0.1 network 172.17.100.254 0.0.0.0 network 172.17.101.10 0.0.0.0 network 172.17.130.10 0.0.0.0#SW9:ospf 1 router-id 172.17.100.9area 0.0.0.1network 172.17.100.9 0.0.0.0network 172.17.90.1 0.0.0.0network 172.17.40.254 0.0.0.0#SW10:ospf 1 router-id 172.17.100.10area 0.0.0.1network 172.17.100.10 0.0.0.0network 172.17.100.1 0.0.0.0network 172.17.50.254 0.0.0.0#

4.3 确认SW9与R9，SW10与R10分别建立ospf邻居关系。

[R9]dis ospf peer brief

[R10]dis ospf peer brief

4.4 当链路故障时，为加速ospf断开邻居，启用bfd，所有ospf接口自动建立bfd会话。

R9/10,SW9/10:bfd#ospf 1bfd all-interfaces enable #

4.5 确认SW9与R9，SW10与R10分别建立bfd会话。

[R9]dis bfd session all

[R10]dis bfd session all

4.6 确认PC4与R9，PC5与R10分别互通。

[R9]ping 172.17.40.4

[R10]ping 172.17.50.5

G.大虫企业数据中心

1 链路捆绑eth-trunk

1.1 SW4与SW5分别创建eth-trunk0，lacp静态模式，基于源目mac负载均衡。

SW4/5:interface Eth-Trunk0mode lacp-staticload-balance src-dst-mac

1.2 SW4与SW5分别将g0/0/23和g0/0/24加入eth-trunk0。

SW4/5:interface GigabitEthernet0/0/23 eth-trunk 0#interface GigabitEthernet0/0/24eth-trunk 0#

2 SW4/5/6/7/8部署vlan

2.1 五台SW创建vlan 11 12 13 40 50。

SW4/5/6/7/8:vlan batch 11 to 13 40 50

2.2 SW之间的链路全部配置为trunk，允许vlan 11 12 13 40 50通过。

SW4/5:interface Eth-Trunk0port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#interface GigabitEthernet0/0/6port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#interface GigabitEthernet0/0/7port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#interface GigabitEthernet0/0/8port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#SW6/7/8:interface GigabitEthernet0/0/4port link-type trunkport trunk allow-pass vlan 11 to 13 40 50#interface GigabitEthernet0/0/5port link-type trunkport trunk allow-pass vlan 11 to 13 40 50

2.3 使用access接口划分vlan，如下：

R11-vlan11 R12-vlan12 R13-vlan13 Server4-vlan40 Server5-vlan50

SW6:interface GigabitEthernet0/0/11 port link-type accessport default vlan 11#SW7:interface GigabitEthernet0/0/12port link-type accessport default vlan 12#interface GigabitEthernet0/0/13port link-type accessport default vlan 13#SW8:interface GigabitEthernet0/0/1port link-type accessport default vlan 40#interface GigabitEthernet0/0/2port link-type accessport default vlan 50#

3 SW4/5/6/7/8部署MSTP

3.1 MSTP域名为大虫，vlan11 40属于实例1，vlan12 13 50属于实例2。

SW4/5/6/7/8stp region-configurationregion-name dachonginstance 1 vlan 11 40instance 2 vlan 12 to 13 50active region-configuration

3.2 SW4为实例1主根，实例2次根；SW5为实例1次根，实例2主根。实现这个需求不允许使用priority命令。

SW4:stp instance 1 root primarystp instance 2 root secondary#SW5:stp instance 1 root secondarystp instance 2 root primary#

3.3 SW6/7/8开启默认边缘端口，access接口会自动成为边缘端口，收到bpdu后自动放弃边缘端口功能。

SW6/7/8:stp edged-port default

4 SW4/5部署vlanif

4.1 SW4创建vlanif，如下：

Vlanif11 172.18.11.4/24

Vlanif12 172.18.12.4/24

Vlanif13 172.18.13.4/24

Vlanif40 172.18.40.40/24

Vlanif50 172.18.50.40/24

interface Vlanif11ip address 172.18.11.4 255.255.255.0#interface Vlanif12ip address 172.18.12.4 255.255.255.0#interface Vlanif13ip address 172.18.13.4 255.255.255.0     #interface Vlanif40ip address 172.18.40.40 255.255.255.0#interface Vlanif50ip address 172.18.50.40 255.255.255.0#

4.2 SW5创建vlanif，如下：

Vlanif11 172.18.11.5/24

Vlanif12 172.18.12.5/24

Vlanif13 172.18.13.5/24

Vlanif40 172.18.40.50/24

Vlanif50 172.18.50.50/24

interface Vlanif11ip address 172.18.11.5 255.255.255.0#interface Vlanif12ip address 172.18.12.5 255.255.255.0#interface Vlanif13ip address 172.18.13.5 255.255.255.0     #interface Vlanif40ip address 172.18.40.50 255.255.255.0#interface Vlanif50ip address 172.18.50.50 255.255.255.0#

4.3 确认SW4/5可以与R11 R12 R13 Server4 Server5互通。

SW5同SW4

5 SW4/5部署VRRP

5.1 SW4作为vlan40主网关和vlan50的备份网关，规划如下：

vlan40 : vrid:4 virtual-ip:172.18.40.254 优先级:150

vlan50 : vrid:5 virtual-ip:172.18.50.254 优先级:100

SW4:interface Vlanif40vrrp vrid 4 virtual-ip 172.18.40.254vrrp vrid 4 priority 150#interface Vlanif50vrrp vrid 5 virtual-ip 172.18.50.254#

5.2 SW5作为vlan40备份网关和vlan50的主网关，规划如下：

vlan40 : vrid:4 virtual-ip:172.18.40.254 优先级:100

vlan50 : vrid:5 virtual-ip:172.18.50.254 优先级:150

SW5:interface Vlanif40vrrp vrid 4 virtual-ip 172.18.40.254 #interface Vlanif50vrrp vrid 5 virtual-ip 172.18.50.254 vrrp vrid 5 priority 150

5.3 确认SW4和SW5的VRRP角色。

6 SW4 SW5 R11 R12 R13部署OSPF

6.1 运行OSPF，进程1，手动配置router-id为Loopback0地址，区域0，使用network命令，通配符0.0.0.0。

6.2 R11只宣告g0/0/1和Loopback0，其他设备宣告所有接口。

6.3 为保障ospf邻居安全性，在区域0中启用md5验证，key-id为1，密钥www.spoto.net，使用display查看配置时，可以看到明文的密钥。

SW4:ospf 1 router-id 172.18.100.4area 0.0.0.0authentication-mode md5 1 plain www.spoto.netnetwork 172.18.100.4 0.0.0.0network 172.18.12.4 0.0.0.0network 172.18.13.4 0.0.0.0network 172.18.50.40 0.0.0.0network 172.18.11.4 0.0.0.0network 172.18.40.40 0.0.0.0#SW5:ospf 1 router-id 172.18.100.5area 0.0.0.0authentication-mode md5 1 plain www.spoto.netnetwork 172.18.100.5 0.0.0.0network 172.18.12.5 0.0.0.0network 172.18.13.5 0.0.0.0network 172.18.50.50 0.0.0.0network 172.18.11.5 0.0.0.0network 172.18.40.50 0.0.0.0#R11:ospf 1 router-id 172.18.101.11 area 0.0.0.0 authentication-mode md5 1 plain www.spoto.net network 172.18.11.11 0.0.0.0 network 172.18.101.11 0.0.0.0#R12:ospf 1 router-id 172.18.101.12area 0.0.0.0authentication-mode md5 1 plain www.spoto.net network 172.18.12.12 0.0.0.0network 172.18.101.12 0.0.0.0 #R13:ospf 1 router-id 172.18.101.13 area 0.0.0.0authentication-mode md5 1 plain www.spoto.netnetwork 172.18.13.13 0.0.0.0network 172.18.101.13 0.0.0.0

6.4 在vlan11中，SW4为DR优先级100，SW5为BDR优先级50，R11不参与选举。

SW4:interface Vlanif11ospf dr-priority 100#SW5:interface Vlanif11ospf dr-priority 50R11:interface GigabitEthernet0/0/1ospf dr-priority 0

6.5 在vlan12和13中，SW5为DR优先级100，SW4为BDR优先级50，R12/13不参与选举。

SW4:interface Vlanif12ospf dr-priority 50#interface Vlanif13ospf dr-priority 50#SW5:interface Vlanif12ospf dr-priority 100#interface Vlanif13ospf dr-priority 100#R12/13:interface GigabitEthernet0/0/1ospf dr-priority 0

6.6 确认SW4 SW5之间建立五次邻居关系；确认SW4/5分别与R11/12/13建立邻居关系。

6.7 当链路故障时，为加速ospf断开邻居，启用bfd，所有ospf接口自动建立bfd会话。

SW4 SW5 R11 R12 R13:bfdospf 1 bfd all-interfaces enable

6.8 确认R11/12/13与Server4/5互通。

R12/13自行测试

6.9 路径优化：查看R11路由表，发现172.18.40.0/24（vlan40）和172.18.50.0/24（vlan50）都有两个等价下一跳，进行负载均衡。

[R11]dis ip routing-table

考虑到vlan40的主网关是SW4，vlan50的主网关是SW5，为保障来回流量的一致性，希望 R11的路由表中，172.18.40.0/24选择SW4作为最佳下一跳，172.18.50.0/24选择SW5作为最佳下一跳。R12和R13同理。部署增加cost策略如下：

SW4的vlanif50修改ospf的cost为10。

SW5的vlanif40修改ospf的cost为10。

SW4:interface Vlanif50ospf cost 10#SW5:interface Vlanif40ospf cost 10#

6.10 再次查看R11的路由表，确认172.18.40.0/24选择SW4，172.18.50.0/24选择SW5。

[R11]dis ip routing-table

7 对接互联网数据中心

7.1 R11配置默认路由，确认R11可以访问公网如8.8.8.8。

ip route-static 0.0.0.0 0.0.0.0 5.0.2.254

7.2 R11使用ospf发布默认路（总是有效），确认SW4/5都能获得默认路由。

R11:ospf 1default-route-advertise always

[SW4]dis ip routing-table

7.3 R11部署nat server，将生产服务器私网地址172.18.40.4转换为公网地址5.0.2.4。

R11：interface GigabitEthernet0/0/0nat server global 5.0.2.4 inside 172.18.40.4

7.4 确认互联网用户PC1/2/3可以访问5.0.2.4。

8 专线对接大虫江西企业网

8.1 R12与R9，R13与R10分别使用ppp专线互联。

8.2 为保障专线安全性，R12和R13分别启用验证，规划如下：

验证方式：本地aaa验证

用户名：大虫

密钥：www.dachong.net

服务类型：ppp

验证协议：chap

R12/13:aaalocal-user spoto password cipher www.dachong.net local-user spoto service-type ppp#interface Serial1/0/0link-protocol pppppp authentication-mode chap#R9/10:interface Serial1/0/0link-protocol pppppp chap user dachongppp chap password simple www.dachong.net#

8.3 确认R12与R9，R13与R10分别直连互通。

8.4 专线链路划入ospf区域1。

R9:ospf 1area 0.0.0.1network 172.17.120.9 0.0.0.0#需求4.2已配置，若未配置在此配置亦可。 R10:ospf 1area 0.0.0.1network 172.17.130.10 0.0.0.0#需求4.2已配置，若未配置在此配置亦可。 R12:ospf 1area 0.0.0.1 network 172.17.120.12 0.0.0.0 R13:ospf 1area 0.0.0.1 network 172.17.130.13 0.0.0.0

8.5 确认R12收到172.17.40.0/24，R13收到172.17.50.0/24。

8.7 为减少SW9/10路由表，将区域1配置为NSSA区域，并过滤所有3类LSA。

R12/13:ospf 1area 0.0.0.1nssa no-summary#R9/10、SW9/SW10:ospf 1area 0.0.0.1nssa

8.8 确认SW9/10收不到任何172.18.0.0/16的子网路由，只获得默认路由。

[SW9]dis ip routing-table

[SW10]dis ip routing-table

8.9 确认PC4/5可以访问Server4/5.

PC4可以同时访问Server4/5，PC5相同。

9 路由策略

为确保生产专线只走生产流量，办公专线只走办公流量，部署如下策略。 5.9.1 R12拒绝学习办公网络的路由。

前缀列表名称50

index 10，拒绝172.17.50.0/24

index 20，拒绝172.18.50.0/24

index 30，拒绝默认路由

index 100 ，允许所有路由

在ospf中使用过滤策略调用前缀列表

R12:ip ip-prefix 50 index 10 deny 172.17.50.0 24ip ip-prefix 50 index 20 deny 172.18.50.0 24ip ip-prefix 50 index 30 deny 0.0.0.0 0ip ip-prefix 50 index 100 permit 0.0.0.0 0 less-equal 32 # ospf 1 router-id 172.18.101.12 filter-policy ip-prefix 50 import#

9.2 R13拒绝学习生产网络的路由。

前缀列表名称40

index 10，拒绝172.17.40.0/24

index 20，拒绝172.18.40.0/24

index 30，拒绝默认路由

index 100 ，允许所有路由

在ospf中使用过滤策略调用前缀列表。

R13:ip ip-prefix 40 index 10 deny 172.17.40.0 24ip ip-prefix 40 index 20 deny 172.18.40.0 24ip ip-prefix 40 index 30 deny 0.0.0.0 0ip ip-prefix 40 index 100 permit 0.0.0.0 0 less-equal 32#ospf 1 router-id 172.18.101.13 filter-policy ip-prefix 40 import#

9.3 确认PC4只能访问Server4，不能访问Server5；确认PC5只能访问Server5，不能访问 Server4。

H.部署 MPLS-VPN

ISP骨干网为大虫江西企业网和大虫企业数据中心之间提供mpls-vpn服务。

大虫江西企业网与数据中心之间主要使用这条mpls-vpn链路通信，专线作为备份链路。 MPLS已在需求1.3中预先配置。

6.1 R5为P设备，R2 R3为PE设备，R9 R10 R11为CE设备。

6.2 R2与R3使用Loopback0建立mp-bgp的vpnv4邻居关系，为避免R2与R3自动建立ipv4邻居关系，请先关闭默认的ipv4邻居功能。

R2:bgp 500undo default ipv4-unicastpeer 5.3.3.3 as-number 500 peer 5.3.3.3 connect-interface LoopBack0 ipv4-family unicastundo peer 5.3.3.3 enable ipv4-family vpnv4policy vpn-target peer 5.3.3.3 enable#R3:bgp 500undo default ipv4-unicastpeer 5.2.2.2 as-number 500peer 5.2.2.2 connect-interface LoopBack0 ipv4-family unicastundo peer 5.2.2.2 enable ipv4-family vpnv4policy vpn-target peer 5.2.2.2 enable

[R2]dis bgp vpnv4 all peer

确认vpnv4邻居关系。

6.3 R3创建vrf如下：

名称R9，RD 9:9，出发向RT9:11，入方向RT11:9。

名称R10，RD 10:10，出发向RT10:11，入方向RT11:10。

R3:ip vpn-instance R10ipv4-familyroute-distinguisher 10:10vpn-target 10:11 export-extcommunityvpn-target 11:10 import-extcommunity    #ip vpn-instance R9ipv4-familyroute-distinguisher 9:9vpn-target 9:11 export-extcommunityvpn-target 11:9 import-extcommunity#

6.4 R2创建vrf如下：

名称R11，RD11:11，配置合适的RT，可以同时与R3的两个VRF传递路由。

R2:ip vpn-instance R11ipv4-familyroute-distinguisher 11:11vpn-target 11:9 11:10 export-extcommunityvpn-target 9:11 10:11 import-extcommunity#

6.5 R3将G1/0/0划入vrfR9，配置IP地址172.17.93.3/24；G2/0/0划入vrfR10，配置IP地址 172.17.103.3/24。R2将G0/0/2划入vrfR11，配置IP地址172.18.112.11/24。

R3:interface GigabitEthernet1/0/0ip binding vpn-instance R9ip address 172.17.93.3 255.255.255.0 #interface GigabitEthernet2/0/0ip binding vpn-instance R10ip address 172.17.103.3 255.255.255.0  #R2:interface GigabitEthernet0/0/2ip binding vpn-instance R11ip address 172.18.112.2 255.255.255.0#

6.6 R9 R10 R11运行BGP AS65200，手动设置RID为Loopback0地址。 6.7 使用物理接口建立以下ebgp邻居关系：

R2-R11 R3-R9 R3-R10

R2:bgp 500ipv4-family vpn-instance R11 peer 172.18.112.11 as-number 65200#R11:bgp 65200router-id 172.18.101.11peer 172.18.112.2 as-number 500#R3:bgp 500ipv4-family vpn-instance R10 peer 172.17.103.10 as-number 65200 #ipv4-family vpn-instance R9              peer 172.17.93.9 as-number 65200#R9:bgp 65200router-id 172.17.101.9peer 172.17.93.3 as-number 500 #R10:bgp 65200router-id 172.17.101.10peer 172.17.103.3 as-number 500 #

6.8 R9在bgp中使用network发布172.17.40.0/24；R10在BGP中使用network发布172.17.50.0/24。

R9:bgp 65200network 172.17.40.0 255.255.255.0#R10:bgp 65200network 172.17.50.0 255.255.255.0#

6.9 分别查看R3 R2 R11的bgp路由表，发现R11收不到路由，试分析原因。

注意：R3和R2都是vrf表保存路由，所以要查看vpnv4传递路由。R11是用全局表保存路由，所以要直接查看ipv4路由。

[R3]dis bgp vpnv4 all routing-table

R11:bgp 65200peer 172.18.112.2 allow-as-loop #

6.9.2 确认R11可以收到bgp路由。

R11]dis bgp routing-table

6.10 R11在bgp中使用network发布172.18.40.0/24和172.18.50.0/24。

R11:bgp 65200network 172.18.40.0 255.255.255.0 network 172.18.50.0 255.255.255.0

6.11分别查看R2 R3 R9 R10的bgp路由表，发现R9/10收不到路由，试分析原因。同需求6.9，R2和R3查看vpnv4路由，R9和R10查看ipv4路由。

[R2]dis bgp vpnv4 all routing-table

[R3]dis bgp vpnv4 all routing-table

[R9]dis bgp routing-table

[R10]dis bgp routing-table

原因分析：由于172.18.40.0/24和172.18.50.0/24都有AS-patch属性65200。R9和R10对比本地AS号，发现有相同的AS号，丢弃路由。

6.11.1 在R9/10上部署策略，从R3收bgp路由时允许AS环路。

R9:bgp 65200peer 172.17.93.3 allow-as-loop#R10:bgp 65200peer 172.17.103.3 allow-as-loop#

6.11.2 确认R9/10可以收到bgp路由。

6.11.3 确认PC4可以访问Server4，追踪并确认路径。试分析为什么会选择mpls-vpn作为主要链路，生产专线作为备用链路。

原因分析：决定走mpls还是走专线的主要选路设备是R9，我们可以查看R9上的路由表

J.选路调整：

7.1 在Server4上追踪172.17.40.4（PC4），发现选择生产专线作为最佳路径。与PC4访问 Server4的路径不一致，试分析原因。（提示：注意查看R11路由表）

7.1.1 在R11上部署策略，修改BGP协议优先级：EBGP修改为8，IBGP与本地路由使用默认值255.

R11:bgp 65200preference 8 255 255

7.1.2 确认R11的全局路由表中172.17.40.0/24和172.17.50.0/24选择了BGP路由。

此时EBGP路由的协议优先级为8，小于OSPF的10，所以R11优选EBGP路由。但是，SW4和SW5兵没有收到R11传递的路由，并不会考虑R11作为最佳路径。那么，首先让R11把路由传给SW4/5，然后再去考虑SW4/5的选路问题。此时解决方案有两种，一是让R11把BGP路由引入OSPF，二是让SW4/5启用BGP。

-------------支线任务--------------

支线任务就是第一种解决方案

7.2 R11在OSPF中引入BGP，将以上两条路由发布到OSPF。（无策略）

R11:ospf 1 import-route bgp

7.2.1 观察SW4与SW5路由表，发现172.17.40.0/24选择R12，172.17.50.0/24选择R13。并没有选择R11，这会导致生产办公服务器的流量总是走专线，而不会走mpls-vpn。试分析原因，思考解决方案。

7.2.2 删除需求7.2中在R11上配置的引入命令，及其他相关配置。

R11:ospf 1 undo import-route bgpR12：[R12-GigabitEthernet0/0/1]undo shutdown

-------------支线任务结束---------

主线任务就是第二种解决方案

7.3 SW4/5运行BGP AS65200，手动设置RID为Loopback0地址。

7.3.1 R11与SW4/5分别使用Loopback0建立ibgp邻居关系，SW4/5之间不建立ibgp邻居。

SW4:bgp 65200router-id 172.18.100.4peer 172.18.101.11 as-number 65200peer 172.18.101.11 connect-interface LoopBack0#SW5:bgp 65200router-id 172.18.100.5peer 172.18.101.11 as-number 65200peer 172.18.101.11 connect-interface LoopBack0#R11:bgp 65200peer 172.18.100.4 as-number 65200 peer 172.18.100.4 connect-interface LoopBack0peer 172.18.100.4 next-hop-localpeer 172.18.100.5 as-number 65200 peer 172.18.100.5 connect-interface LoopBack0peer 172.18.100.5 next-hop-local#

7.3.2 确认SW4/5收到bgp路由172.17.40.0/24和172.17.50.0/24。

[SW4]dis bgp routing-table

[SW5]dis bgp routing-table

7.4 查看SW4/5全局路由表，发现以上两条路由选择了OSPF协议，试分析原因。

[SW4]dis ip routing-table 172.17.40.0 24

原因分析：SW4同时从OSPF和BGP学习到相同路由，优选了协议优先级更小的OSPF。SW5 同理。

7.4.1 在SW4/5上部署策略，修改BGP协议优先级：IBGP修改为8，EBGP与本地路由使用默认值255.

SW4/5:bgp 65200preference 255 8 255#由于R11和SW4/5是ibgp邻居，所以修改的是ibgp路由协议优先级。

7.4.2 确认SW4/5的全局路由表中172.17.40.0/24和172.17.50.0/24选择了BGP协议。

[SW4]dis ip routing-table 172.17.40.0 24

#SW5同SW4

7.6 关闭R2的G0/0/2，再次测试PC4和Server4，可以通过生产专线通信。测试完成后恢复R2的G0/0/2。

R2:[R2]int g0/0/2[R2-GigabitEthernet0/0/2]shutdown

K.组播

8.1 Server5是办公服务器，作为组播源；PC5是办公网PC作为接收者；R13是汇聚点RP；组播流量通过办公专线发送到PC。

8.2 SW5 R13 R10 SW10上开启组播功能，在各互联接口上开启pim-sm，同时设置R13的 Loopback0作为RP地址。

SW5:multicast routing-enable #interface Vlanif50 pim sm#interface Vlanif13 pim sm#pimstatic-rp 172.18.101.13#R13:multicast routing-enable#interface GigabitEthernet0/0/1 pim sm#interface Serial1/0/0pim sm#pimstatic-rp 172.18.101.13#R10:multicast routing-enable#interface GigabitEthernet0/0/1   pim sm#interface Serial1/0/0 pim sm#pimstatic-rp 172.18.101.13 #SW10:multicast routing-enable #interface Vlanif50pim sm#interface Vlanif100pim sm#pimstatic-rp 172.18.101.13 #

8.3 确认pim邻居关系建立完成。