学习HCIP的课程实验心得和过程。此篇为BGP高级特性实验。
IP 互联地址、BGP AS 号、BGP 对等体关系如图所示。R2、R4 是二级 RR,R1与R5 为二级RR的客户端。R3 是一级 RR,主要接收二级 RR 传来的路由。S1、S2、S5 的环回口用于模拟用户。
实验背景
某企业存在两个分公司与一个总公司,公司共有两个业务OA: S1、S2、S5 的 Loopback0 接口网段是 OA 业务网段。分支之间,分支与总公司之间能够互相传递 OA 数据,对于 OA 业务相关路由需要标注始发 AS。财务: S1、S2、S5的Loopback1 接口网段是财务业务网段,由于财务业务较为机密,因此只允许分公司与总公司之间传递财务数据,分公司之间禁止传递财务数据。网络管理员需要搭建一个满足这些需求的同时又有一定安全性的网络。
任务思路
1.设备 IP 地址配置。
2.在骨千区域配置 OSPF,构建底层网络。
3.分公司与骨干网络之间部署 GTSM 与BGP 认证,保证 BGP 网络安全。
4.R1、R3、R5 配置与R2、R4的IBGP 对等体关系,同时将R1、R3、R5配置为 R2、R4的反射器客户端。
5.R3 作为一级 RR需要配置与 R2、R4的IBGP 对等体关系,同时将 R2、R4配置为 R3的反射器客户端。
6在R1、R2、R3 上给 Loopback0 接口路由打上 Community 值,用于标注 OA 业务的始发AS。
7.在 R1、R3、R5 上配置路由策略,使用AS-Path Filter 工具过滤 Loopback1 接口路由。
1.骨干区域(R1.R2.R3.R4.R5)配置OSPF,搭建底层网络。
R1配置:
sysname AR1 //更改路由器名字为AR1,下同
interface GigabitEthernet0/0/0 //与R2互联口
ip address 12.1.1.1 255.255.255.0
interface GigabitEthernet0/0/1 //与R3互联口
ip address 13.1.1.1 255.255.255.0
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
ospf 1 router-id 1.1.1.1 //将对应路由宣告在AREA 0 ,下同
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 12.1.1.0 0.0.0.255
network 13.1.1.0 0.0.0.255
R2配置:
sysname AR2
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 24.1.1.2 255.255.255.0
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 12.1.1.0 0.0.0.255
network 24.1.1.0 0.0.0.255
R3配置:
sysname AR3
interface GigabitEthernet0/0/0
ip address 13.1.1.3 255.255.255.0
interface GigabitEthernet0/0/1
ip address 35.1.1.3 255.255.255.0
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 13.1.1.0 0.0.0.255
network 35.1.1.0 0.0.0.255
R4配置:
sysname AR4
interface GigabitEthernet0/0/0
ip address 24.1.1.4 255.255.255.0
interface GigabitEthernet0/0/1
ip address 192.168.10.1 255.255.255.0
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 24.1.1.0 0.0.0.255
R5配置:
sysname AR5
interface GigabitEthernet0/0/0
ip address 35.1.1.5 255.255.255.0
interface GigabitEthernet0/0/1
ip address 192.168.20.1 255.255.255.0
interface LoopBack0
ip address 5.5.5.5 255.255.255.255
ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 5.5.5.5 0.0.0.0
network 35.1.1.0 0.0.0.255
验证OSPF邻居,路由建立完成
R1:
2.配置SW1.SW2.SW3与R4.R5.R1互联接口以及loopback接口。
SW1配置:
sysname SW1
vlan batch 10
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
interface Ethernet0/0/1
port link-type access
port default vlan 10
interface LoopBack0
ip address 10.10.10.10 255.255.255.255
interface LoopBack1
ip address 10.10.10.100 255.255.255.255
SW2配置:
sysname SW2
vlan batch 20
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
interface Ethernet0/0/1
port link-type access
port default vlan 20
interface LoopBack0
ip address 20.20.20.20 255.255.255.255
interface LoopBack1
ip address 20.20.20.200 255.255.255.255
SW3配置:
sysname SW3
vlan batch 30
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
interface Ethernet0/0/1
port link-type access
port default vlan 30
interface LoopBack0
ip address 30.30.30.30 255.255.255.255
interface LoopBack1
ip address 30.30.30.100 255.255.255.255
R4与SW1互联接口配置:
interface GigabitEthernet0/0/1
ip address 192.168.10.1 255.255.255.0
R1.R5配置类似不再赘述。
3.配置 EBGP 对等体,在 EBGP 对等体之间部署 GTSM 与 BGP 认证。
在SW3与R1、SW1与R4、SW2与R5 之间部署EBGP 对等体。
同时配置 BGP 认证,认证密码为huawei,GTSM 设置为 255。
设备所属AS 如本实验拓扑规划: SW1 属于AS65001,SW2 属于AS65002,SW3 属于AS65003,R1、R4、R5 属于 AS 65100。
在 R4与SW1上部署 EBGP 对等体,并配置 BGP 认证与 GTSM,GTSM 只需要在骨网侧配置即可。
R4配置:
bgp 65100
peer 192.168.10.254 as-number 65001 //与SW1所在AS区域65001建立EBGP邻居
peer 192.168.10.254 password cipher huawei //设置密文密码huawei
peer 192.168.10.254 valid-ttl-hops 255 //配置GTSM
SW1配置:
peer 192.168.10.1 as-number 65100 //与SW1所在AS区域65100建立EBGP邻居
peer 192.168.10.1 password cipher huawei //设置密文密码huawei
network 10.10.10.10 255.255.255.255 //将SW1loopback0接口IP宣告
network 10.10.10.100 255.255.255.255 //将SW1loopback1接口IP宣告
验证AR4与SW1对应配置:
AR4
SW1
R1与SW3、R5与SW2配置类似,不再赘述。
4.配置IBGP 对等体与多级 RR。
R2与R3 是二级 RR,R1、R4、R5是R2与R4的客户端,同级 RR 为了避免路由互相传递般需要修改 Cluster ID,将 Cluster ID 设置为 23.23.23.23 。
R1 是一级 RR,R2、R3是R1 的客户端。按照拓扑规划部署IBGP 对等体,基于 Loopback 接口地址建立IBGP 对等体,由于邻居较多,需使用 peer-group 方式配置。
R1配置:
bgp 65100
group IBGP internal //加入IBGP组
peer IBGP connect-interface LoopBack0
peer IBGP next-hop-local
peer 2.2.2.2 as-number 65100 //建立IBGP邻居
peer 2.2.2.2 group IBGP
peer 3.3.3.3 as-number 65100 //建立IBGP邻居
peer 3.3.3.3 group IBGP
R2配置:
bgp 65100
group IBGP internal
peer IBGP connect-interface LoopBack0
peer 1.1.1.1 as-number 65100
peer 1.1.1.1 group IBGP
peer 3.3.3.3 as-number 65100
peer 3.3.3.3 group IBGP
peer 4.4.4.4 as-number 65100
peer 4.4.4.4 group IBGP
peer 5.5.5.5 as-number 65100
peer 5.5.5.5 group IBGP
R3配置:
bgp 65100
group IBGP internal
peer IBGP connect-interface LoopBack0
peer 1.1.1.1 as-number 65100
peer 1.1.1.1 group IBGP
peer 2.2.2.2 as-number 65100
peer 2.2.2.2 group IBGP
peer 4.4.4.4 as-number 65100
peer 4.4.4.4 group IBGP
peer 5.5.5.5 as-number 65100
peer 5.5.5.5 group IBGP
R4配置:
bgp 65100
group IBGP internal
peer IBGP connect-interface LoopBack0
peer IBGP next-hop-local
peer 2.2.2.2 as-number 65100
peer 2.2.2.2 group IBGP
peer 3.3.3.3 as-number 65100
peer 3.3.3.3 group IBGP
R5配置:
bgp 65100
group IBGP internal
peer IBGP connect-interface LoopBack0
peer IBGP next-hop-local
peer 2.2.2.2 as-number 65100
peer 2.2.2.2 group IBGP
peer 3.3.3.3 as-number 65100
peer 3.3.3.3 group IBGP
验证IBGP建立邻居状态。
部署多级RR。
R2与R3是二级 RR,R1、R4、R5 是R2、R3的客户端,R2与R3配置相同的Cluster ID(23.23.23.23)。
R1是一级 RR,R2、R3是 R1的客户端。
R2配置:
bgp 65100
peer IBGP reflect-client //指定R2为R1.R4.R5的反射器
reflector cluster-id 23.23.23.23 //配置CIuster ID
R3配置与R2配置相同,不再赘述。
R1配置:
bgp 65100
peer IBGP reflect-client ///指定R1为R2.R3的反射器
验证RR配置。
5.配置 Route-Policy 为 OA 业务打上标签。
通过 Community 属性可以为路由条目打上标签,这样网络管理员就知道该路由来自哪个 AS本实验只需要给 S1、S2、S5 的 Loopback0 接口路由打上标签即可。Community 属性默认不发送给邻居,需要手工开启功能。
Community 属性一般使用 AS:NN 的形式,统一定义为 AS:01。
配置 R1、R2、R3、R4、R5,手工开启发送 Community 值的能力。
R1配置:
bgp 65100
peer 192.168.30.254 advertise-community //手工开启发送 Community功能
peer IBGP advertise-community //手工开启发送 Community功能
R2配置:
bgp 65100
peer IBGP advertise-community
R3配置:
bgp 65100
peer IBGP advertise-community
R4配置:
bgp 65100
peer 192.168.10.254 advertise-community
peer IBGP advertise-community
R5配置:
bgp 65100
peer 192.168.20.254 advertise-community
peer IBGP advertise-community
配置 SW1、SW2、SW3,手工开启发送 Community 值的能力。
SW1配置:
bgp 65001
peer 192.168.10.1 advertise-community
SW2配置:
bgp 65002
peer 192.168.20.1 advertise-community
SW3配置:
bgp 65003
peer 192.168.30.1 advertise-community
在SW1、SW2、SW3 上配置路由策略,为 Loopback0 接口路由打上相应 Community 值。
SW1配置:
ip ip-prefix com index 10 permit 10.10.10.10 32
route-policy attr permit node 10 //创建路由策略attr
if-match ip-prefix com //匹配前缀列表com
apply community 65001:1 //执行打上65001:1标签动作
route-policy attr permit node 100
bgp 65001
peer 192.168.10.1 route-policy attr export
SW2、SW3配置相同,此处不再赘述。
验证是否打上相应Community 值。
6.配置 Route-Policy,控制财务业务。
财务业务比较敏感,只允许在 SW1、SW3以及SW2、SW3之间转发流量。在没有 VPN 的情况下,只能通过控制路由收发达到目的。
为了简化过滤配置,可以直接使用 AS-Path Filter 与 Route-Policy,在R4与R5上过滤路由条目。
控制路由时需要特别注意,不要将 Loopback0 接口路由过滤。可使用 Community Filter 将Loopback0 接口路由提前放通,然后再过滤 Loopback1 接口路由。
R4配置:
ip community-filter basic OA permit 65002:1
ip as-path-filter CW permit 65002$
route-policy CW permit node 10
if-match community-filter OA //Loopback0 接口路由提前放通
route-policy CW deny node 20
if-match as-path-filter CW //过滤 Loopback1 接口路由
route-policy CW permit node 100
bgp 65100
peer 192.168.10.254 route-policy CW export
R5配置:
ip community-filter basic OA permit 65001:1
ip as-path-filter CW permit 65001$
route-policy CW permit node 10
if-match community-filter OA
route-policy CW deny node 20
if-match as-path-filter CW
route-policy CW permit node 100
bgp 65100
peer 192.168.20.254 route-policy CW export
验证是否过滤掉SW1、SW2loopback1接口的路由。
SW1上已过滤SW2 loopback1接口的路由。
SW2上已过滤SW1 loopback1接口的路由。
SW3上来自SW1、SW2 的loopback1接口的路由正常。
第二次写文章,显得十分简陋,希望之后能越来越完善!