一、实验场景:
XX集团公司现需要通过合理的网络规划实现集团总部网络互连,并通过运营商网络实现总部对分部的监控,分部互相访问时需要通过总部。
要求总部和分部之间,对互联网进行访问时要通过安全策略中心进行流量的匹配,并要求网络具有高可用性、高可靠性、可管理性、可扩展性(暂时不考虑设备类型)
二、实验拓扑
三、实验思路
如上图所示:
四、实验步骤
接入层
1、按照题目要求,划VALN并将相应接口进VLAN
2、sw1和sw2之间链路做成eth-trunk
3、将4台交换机之间链路配成trunk干道,并允许相应vLAN通过(配置类似)
4、在交换机上配置MSTP,要求:sw1作为VLAN2这个stp的根网桥,VLAN3的备份根网桥,sw2正好相反。
四台交换机上配置一样:
实现要求:
5、在sw1和sw2上分别配置VRRP,实现网关冗余。
10.1.2.254作为VLAN2的网关;10.1.3.254作为VALN3的网关
sw1上配置:
sw2上配置:
6、 在交换机sw1和sw2上配置DHCP pool,要求电脑能够自动获取IP地址
7、测试
相同vLAN之间通信:
不同VLAN之间通信
汇聚层
1、在sw1、sw2、R1、R2之间起一个IGP协议,此处为ospf
2、增大R1和R2之间的cost值
3、测试
使用PC1去pingR1的环回地址,并检验网关冗余。
核心层
1、在AS1范围内起一个ospf
特别要注意:在R6上配置ospf时,需要将R6设置为stub-router强化了R6的控制能力,弱化R6的数据压力。
stub-router:这个路由器发送出去的一类LSA的cost值会特别大
2、建立底层BGP邻居关系
注意:
R6上的配置:
其他路由器上的配置:
在R6上查看邻居关系建立情况:
4、建立MP BGP邻居关系,切记,在配置时不要忘记团体属性
在配置时不要忘记敲undo policy vpn-target,否则邻居关系可能建立不起来
R6上配置
其他路由器上配置:
查看邻居关系:
5、配置底层的MPLS Domain域,需要在AS1内的每台路由器上都配置,以R6为例
6、配置MPLS VPN进行流量控制
R3上的配置:
ip vpn-instance AS2-3
ipv4-family
route-distinguisher 2:3
vpn-target 2:3 export-extcommunity
vpn-target 2:2 22:22 import-extcommunity
int g 0/0/2
ip bind vpn-instance AS2-3
ip add 10.2.13.2 24
ip vpn-instance AS6-3
ipv4-family
route-distinguisher 6:3
vpn-target 6:3 export-extcommunity
vpn-target 6:6 66:66 import-extcommunity
int g 0/0/3
ip bind vpn-instance AS6-3
ip add 10.6.1.1 24
R4上的配置:
ip vpn-instance AS2-4
ipv4-family
route-distinguisher 2:4
vpn-target 2:4 export-extcommunity
vpn-target 2:2 22:22 import-extcommunity
int g 0/0/2
ip bind vpn-instance AS2-4
ip add 10.2.24.2 24
ip vpn-instance AS6-4
ipv4-family
route-distinguisher 6:4
vpn-target 6:4 export-extcommunity
vpn-target 6:6 66:66 import-extcommunity
int g 0/0/3
ip bind vpn-instance AS6-6
ip add 10.6.2.1 24
R8上配置:
ip vpn-instance AS3-8
ipv4-family
route-distinguisher 3:8
vpn-target 3:8 export-extcommunity
vpn-target 3:3 33:33 import-extcommunity
ip vpn-instance toAS2
ipv4-family
route-distinguisher 2:2
vpn-target 2:2 export-extcommunity
vpn-target 2:3 2:4 import-extcommunity
ip vpn-instance toAS3
ipv4-family
route-distinguisher 3:3
vpn-target 3:3 export-extcommunity
vpn-target 3:8 import-extcommunity
ip vpn-instance toAS4
ipv4-family
route-distinguisher 4:4
vpn-target 4:9 export-extcommunity
vpn-target 4:9 import-extcommunity
ip vpn-instance toAS6
ipv4-family
route-distinguisher 6:6
vpn-target 6:3 6:4 export-extcommunity
vpn-target 6:3 6:4 import-extcommunity
interface GigabitEthernet0/0/3.2
dot1q termination vid 2
ip binding vpn-instance toAS2
ip address 10.5.22.1 255.255.255.0
arp broadcast enable
interface GigabitEthernet0/0/3.3
dot1q termination vid 3
ip binding vpn-instance toAS3
ip address 10.5.33.1 255.255.255.0
arp broadcast enable
interface GigabitEthernet0/0/3.4
dot1q termination vid 4
ip binding vpn-instance toAS4
ip address 10.5.44.1 255.255.255.0
arp broadcast enable
interface GigabitEthernet0/0/3.6
dot1q termination vid 6
ip binding vpn-instance toAS6
ip address 10.5.66.1 255.255.255.0
arp broadcast enable
R9上配置(略)与R8基本类似
7、基于VPN配置BGP邻居关系(以R8和AR1配置为例)
需要建立EBGP的有R3-1、R4-2、R8-10、R9-11、R8和AR1分被4个子接口、R9和AR1的四个子接口
同时,还要给R1和R2建立IBGP邻居关系。作用:选路更佳
R8配置:
AR1配置:
查看邻居建立状况(以R8、R1、AR1为例)
AR1上的邻居关系:
R8上的邻居关系:
R1上的邻居关系:
8、进行路由的宣告
AS3和AS4、AS5只需要正常宣告本地路由表中的路由即可
AS2需要在R1和R2上进行ospf和BGP的双向重发布
ospf 1
import route bgp
bgp 1
import route ospf 1
AS6 只需要下发一条缺省路由即可:
最后,到AR1上查看其BGP的路由表:
可以看到它上面汇总了网络全部的路由条目
9、进行测试(全网可达)
总部ping分部AS3、AS4:
总部ping互联网
分部ping互联网
核心层选路问题
要求尽网络可能的具有高可用性、高可靠性、可管理性、可扩展性。所以,我们要进行选路的干涉
问题1:首先是R8和R9,可以让R8主要负责分部之间的通信、R9负责和互联网通信,同时做到冗余备份
可以在AR1上对R9发送过来的分部的路由增大其cost值,
对在R9发送过来的默认路由也增大它的权重值,大优。
问题2:去分部走R3、去互联网走R4
AS3和AS4访问互联内网时默认就是走的R4
原因:2个分支去互联网AR1-9-4-12(默认2条路的话,会优选内部IGPcost值小的)
首先要在互联网R12上调整一下回包问题,强制回包时走R4。只需要增大R4上的权重即可
最需要解决总部AS2访问互联网走R4,访问分部走R3
方法:增大R1上默认的cost值,减小R2上默认cost值
测试
总部去分部:
总部去互联网
分部去互联网:
3329
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
