实验需求
本实验模拟企业网双出口的网络环境,根据内网主机选择不同出口。
一、企业内网基础
1.1 二层交换
1.1.1 SW1创建vlan 10 20
1.1.2 连接主机和R1的接口配置为access链路。
1.1.3 PC1属于vlan10;PC2/3属于vlan20;R1属于vlan100
1.1.4 创建vlanif10/20/100,IP地址分别为:
vlanif10:192.168.10.254/24
vlanif20:192.168.20.254/24
vlanif100:192.168.100.1/24
1.1.5 关闭生成树
1.1.6 确认SW1可以与各主机和R1通信。
1.2 三层路由
1.2.1 企业内网运行OSPF,进程1。
1.2.2 Router-id手动设置,自行规划。
1.2.3 区域0,精确通告。
1.2.4 确认各主机可以与R1/2/3通信。
1.3 内外网通信
配置企业双出口网关R2/3完成以下需求:
1.3.1部署静态默认路由,用于访问外网。
1.3.2 使用OSPF引入默认路由,静态路由失效时停止引入。
1.3.3 R2的默认路由cost为2,R3的默认路由cost为3。
1.3.4 确认R1的默认路由下一跳为R2,R2故障时下一跳为R3。
1.3.5 确认SW1也获得默认路由。
1.3.6 配置深度优先acl,编号2000,允许192.168.0.0/16的主机地址,拒绝192.168.100.0/24的主机。
1.3.7 在公网接口上部署nat,模式为eazy-ip,调用acl2000。
1.3.8 确认各主机可以访问4.4.4.4.
二、策略路由
2.1 部署接口策略路由
目前所有主机流量都通过R2访问ISP,现要求vlan20的流量通过R3访问ISP,且不影响其他vlan的流量。在合适的设备上,完成以下配置:
2.1.1 使用ACL2001,rule 5,匹配vlan20的所有流量。
2.1.2 使用流分类定义vlan20的流量,名称为c1
2.1.3 使用流行为定义重定向下一跳到R3,并开启计数,名称为b1.
2.1.4 使用流策略将c1与b1绑定,名称为p1.
2.1.5 在合适的接口上调用流策略p1。
2.1.6 确认vlan20的流量通过R3访问ISP。
2.2 PC3新的需求
vlan20中的PC3因特殊需要,必须优先走R2,在合适设备上完成以下配置:
2.2.1 使用ACL2002,rule5,匹配PC3的主机流量。
2.2.2 使用流分类定义PC3的流量,名称c2.
2.2.3 使用流行为允许流量通过并开启计数,名称b2
2.2.4 使用流策略p1,将c2与b2绑定。
2.2.5 确认PC3的流量走R2,若不符合要求,请对流策略p1做出适当调整。
三、网络质量分析
3.1 现象分析
目前PC2的流量因PBR被重定向至R3,关闭R4的G0/0/1接口,进行追踪测试:
PC2>tracert 4.4.4.4
1 192.168.20.254
2 192.168.100.254
3 13.1.1.3
4 13.1.1.1
5 * * *
6 4.4.4.4
发现流量先到R3然后回到R1,再到4.4.4.4。分析此现象的原因。
完成后重新打开R4的G0/0/1。
3.2 部署NQA
为了感知到ISP链路的故障情况,在R1上部署NQA。
3.2.1 创建测试例管理名称GT,实例名称n1.
3.2.2 测试类型icmp
3.2.3 目的地址34.1.1.4,源地址13.1.1.1
3.2.4 测试周期5秒,每个周期内测试2次。
3.2.5 每次测试间隔2秒,超时时间1秒。
3.2.6 立即开始测试。
3.2.7 查看测试结果,分析原因。
3.3 调整NQA
3.3.1 在R1上配置静态路由,目标34.1.1.4/32,下一跳为R3。
3.3.2 在R3上额外允许13.1.1.1进行地址转换访问ISP。
3.3.3 确认R1的NQA测试成功。
3.4 优化策略路由
3.4.1 在R1的流行为b1中,追踪NQA测试例GT n1
3.4.2 关闭R4的G0/0/1,在PC2上追踪4.4.4.4,确认流量无需经过R3。
四. 代码
<R1>dis cu
[V200R003C00]
#
sysname R1
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
drop illegal-mac alarm
#
wlan ac-global carrier id other ac id 0
#
set cpu-usage threshold 80 restore 75
#
acl number 2000
rule 5 permit source 13.1.1.1 0
acl number 2001
rule 5 permit source 192.168.20.0 0.0.0.255
acl number 2002
rule 5 permit source 192.168.20.3 0
#
traffic classifier c2 operator or
if-match acl 2002
traffic classifier c1 operator or
if-match acl 2001
#
traffic behavior b2
statistic enable
traffic behavior b1
redirect ip-nexthop 13.1.1.3 track nqa GT n1
#
traffic policy p1
classifier c2 behavior b2
classifier c1 behavior b1
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface GigabitEthernet0/0/0
ip address 192.168.100.254 255.255.255.0
traffic-policy p1 inbound
#
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 13.1.1.1 255.255.255.0
#
interface NULL0
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 12.1.1.1 0.0.0.0
network 13.1.1.1 0.0.0.0
network 192.168.100.254 0.0.0.0
#
ip route-static 34.1.1.4 255.255.255.255 13.1.1.3
#
nqa test-instance GT n1
test-type icmp
destination-address ipv4 34.1.1.4
source-address ipv4 13.1.1.1
frequency 5
interval seconds 2
timeout 1
probe-count 2
start now
#
user-interface con 0
authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
<R2>dis cu
[V200R003C00]
#
sysname R2
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
drop illegal-mac alarm
#
wlan ac-global carrier id other ac id 0
#
set cpu-usage threshold 80 restore 75
#
acl number 2000 match-order auto
rule 5 deny source 192.168.100.0 0.0.0.255
rule 10 permit source 192.168.0.0 0.0.255.255
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 24.1.1.2 255.255.255.0
nat outbound 2000
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
ospf 1 router-id 2.2.2.2
default-route-advertise cost 2
area 0.0.0.0
network 12.1.1.2 0.0.0.0
#
ip route-static 0.0.0.0 0.0.0.0 24.1.1.4
#
user-interface con 0
authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
<R3>dis cu
[V200R003C00]
#
sysname R3
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
drop illegal-mac alarm
#
wlan ac-global carrier id other ac id 0
#
set cpu-usage threshold 80 restore 75
#
acl number 2000 match-order auto
rule 5 deny source 192.168.100.0 0.0.0.255
rule 10 permit source 192.168.0.0 0.0.255.255
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface GigabitEthernet0/0/0
ip address 13.1.1.3 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 34.1.1.3 255.255.255.0
nat outbound 2000
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
ospf 1 router-id 3.3.3.3
default-route-advertise cost 3
area 0.0.0.0
network 13.1.1.3 0.0.0.0
#
ip route-static 0.0.0.0 0.0.0.0 34.1.1.4
#
user-interface con 0
authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
<R4>dis cu
[V200R003C00]
#
sysname R4
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
drop illegal-mac alarm
#
wlan ac-global carrier id other ac id 0
#
set cpu-usage threshold 80 restore 75
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface GigabitEthernet0/0/0
ip address 24.1.1.4 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 34.1.1.4 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
#
user-interface con 0
authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
<SW1>dis cu
#
sysname SW1
#
vlan batch 10 20 100
#
stp disable
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
#
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
#
interface GigabitEthernet0/0/14
#
interface GigabitEthernet0/0/15
#
interface GigabitEthernet0/0/16
#
interface GigabitEthernet0/0/17
#
interface GigabitEthernet0/0/18
#
interface GigabitEthernet0/0/19
#
interface GigabitEthernet0/0/20
#
interface GigabitEthernet0/0/21
#
interface GigabitEthernet0/0/22
#
interface GigabitEthernet0/0/23
#
interface GigabitEthernet0/0/24
#
interface NULL0
#
ospf 1 router-id 10.1.1.1
area 0.0.0.0
network 192.168.10.254 0.0.0.0
network 192.168.20.254 0.0.0.0
network 192.168.100.1 0.0.0.0
#
user-interface con 0
user-interface vty 0 4
#
return