HCIP中的路由控制实验配置

已于 2024-07-14 23:39:13 修改
阅读量893 收藏 16
点赞数 11
文章标签: 网络
于 2024-07-14 23:38:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53152512/article/details/140425629
版权

路由控制

知识点介绍:

使用ACL匹配感兴趣路由

使用IP-Prefix匹配感兴趣路由

使用Filter-Policy进行路由过滤

使用Route-Policy进行路由过滤及路由属性修改

路由策略和策略路由区别:

image-20240701123732778

路由策略

控制路由的发布,接收和引入

IP前缀列表

image-20240701122658350

image-20240701122745770

Filter-Policy

image-20240701122826939

image-20240701122858444

Route-Policy

Route-Policy是一个策略工具,用于过滤路由信息,以及为过滤后的路由信息设置路由属性,和filter-policy的区别是可以修改属性

一个Route-Policy由一个或多个节点(Node)构成,节点内(与),节点之间(或),每个节点包括多个if-match和apply子句。

[Huawei] route-policy route-policy-name { permit | deny } node node
[Huawei-route-policy] if-match ?
[Huawei-route-policy] apply ?

策略路由

控制一些特定用户、特定业务的流量走指定的转发路径

PBR介绍

PBR(Policy-Based Routing,策略路由):基于其他元素进行数据转发,源IP地址、源MAC地址、目的MAC地址、源端口号、目的端口号、VLAN-ID等等

PBR策略的优先级高于传统路由表。

image-20240701123621373

PBR分类:

接口:

image-20240701123837027

本地:

image-20240701123845363

调用PBR

image-20240701124035449

image-20240701124007008

MQC流策略

image-20240701124147138

配置流策略:

image-20240701124240163

流量过滤:Traffic-Filter

在流量进入设备或者离开设备的接口上执行过滤动作,双向访问的业务禁止其中一个方向即可实现阻断业务的需求

image-20240701124413005

综合实验配置:

image-20240701124704096

本实验模拟企业生产网与数据中心互联的网络。
该企业向ISP申请了100.0.0.0/16网段作为对外服务的公网地址。
进行子网划分后:
在企业生产网中有100.0.10.0/24和100.0.20.0/24
在北京数据中心有100.0.1.0/24
在上海数据中心有100.0.2.0/24

为节约公网地址,路由器互联的网段使用私网地址192.168.x.0/24,并且不发布到ISP。

IP和网关配置省略!!

1.企业生产网运行OSPF

1.1 OSPF进程号为1,全部划入区域0
1.2 RID如下:
DC-1:192.168.100.1
DC-2:192.168.100.2
GW:192.168.100.3
SW:192.168.100.4
1.3 全部使用通配符0.0.0.0通告。
1.4 确认PC1/2可以访问DC-1/2

//配置DC的ospf的时候不需要宣告ISIS方向那边的接口
DC-1 
ospf 1 router-id 192.168.100.1 
area 0.0.0.0  
network 192.168.1.254 0.0.0.0 
# 
DC-2: 
ospf 1 router-id 192.168.100.2  
area 0.0.0.0  
network 192.168.2.254 0.0.0.0 
# 
GW: 
ospf 1 router-id 192.168.100.3  
area 0.0.0.0  
network 192.168.0.254 0.0.0.0  
network 192.168.1.1 0.0.0.0  
network 192.168.2.1 0.0.0.0 
# 
SW: 
ospf 1 router-id 192.168.100.4 
area 0.0.0.0 
network 100.0.10.254 0.0.0.0 
network 100.0.20.254 0.0.0.0 
network 192.168.0.1 0.0.0.0

2.数据中心运行ISIS

2.1 ISIS进程号为1.
2.2 北京数据中心区域号为49.0001,上海数据中心区域号为49.0002
ISP的区域号为49.0100
2.3 设备系统ID如下:
DC-1:0000.0001.0001
DC-1-GW:0000.0001.0254
DC-2:0000.0002.0001
DC-2-GW:0000.0002.0254
ISP:0000.0000.0100
2.4 所有ISIS路由器都是Level-2路由器
2.5 ISP上引入外部直连路由1.1.1.1/32。(无策略)

//每个路由器配置完成ISIS接口视图下后记得要在接口视图下启用ISIS enable name
DC-1: 
isis 1 
is-level level-2 
network-entity 49.0001.0000.0001.0001.00 
interface GigabitEthernet0/0/1  
isis enable 1
# 
DC-1-GW: 
isis 1 
is-level level-2 
network-entity 49.0001.0000.0001.0254.00 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet0/0/1 
isis enable 1 
interface GigabitEthernet0/0/2 
isis enable 1 
# 
DC-2: 
isis 1 
is-level level-2 
network-entity 49.0002.0000.0002.0001.00 
interface GigabitEthernet0/0/1 
isis enable 1 
# 
DC-2-GW: 
isis 1 
is-level level-2 
network-entity 49.0002.0000.0002.0254.00 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet0/0/1 
isis enable 1 
interface GigabitEthernet0/0/2 
isis enable 1 
# 
ISP: 
isis 1 
is-level level-2 
network-entity 49.0100.0000.0000.0100.00 
import-route direct 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet0/0/1 
isis enable 1

3.路由引入。

3.1 在DC-1将OSPF和ISIS双向引入。
3.2 在DC-2将OSPF和ISIS双向引入
3.3 在GW查看路由,确认去往北京/上海数据中心的路由,都有DC-1和DC-2两个下一跳。

DC-1: 
ospf 1 router-id 192.168.100.1  
import-route isis 1 
# 
isis 1 
import-route ospf 1
DC-2: 
ospf 1 router-id 192.168.100.2 
import-route isis 1 
# 
isis 1 
import-route ospf 1

image-20240701125332559

4.路由策略

为确保企业生产网去往北京数据中心优先走DC-1,去往上海数据中心优先走DC-2
在路由引入时部署以下路由策略:
4.1 使用ip-prefix匹配路由
DC-1前缀列表名称为beijing,index自动生成,匹配北京数据中心路由:192.168.3.0/24 100.0.1.0/24 11.1.1.0/24
DC-2前缀列表名称为shanghai,index自动生成,匹配上海数据中心路由:192.168.4.0/24 100.0.2.0/24 12.1.1.0/24
4.2 使用route-policy修改路由cost值,
DC-1路由策略名称为bjcost:
node 10 匹配北京数据中心路由,不修改cost;
node 100 匹配其他所有路由,修改cost为20。
DC-2路由策略名称为shcost:
node 10 匹配上海数据中心路由,不修改cost;
node 100 匹配其他所有路由,修改cost为20。
4.3 DC-1和DC-2将ISIS引入OSPF时,分别调用路由策略。
4.4 在GW确认去往北京数据中心的路由下一跳为DC-1,去往上海数据中心的路由下一跳为DC-2。

//先配置IP-Profix,获得去往两个不同方向的流量,然后使用route-policy的apply来修改去往不同方向的cost值,再在ospf视图下引入isis修改过cost值的路由
DC-1: 
ip ip-prefix beijing permit 192.168.3.0 24
ip ip-prefix beijing permit 100.0.1.0 24 
ip ip-prefix beijing permit 11.1.1.0 24 
DC-2: 
ip ip-prefix shanghai permit 192.168.4.0 24 
ip ip-prefix shanghai permit 100.0.2.0 24 
ip ip-prefix shanghai permit 12.1.1.0 24 
#
DC-1: 
route-policy bjcost permit node 10  
if-match ip-prefix beijing  
# 
route-policy bjcost permit node 100  
apply cost 20
#
DC-2: 
route-policy shcost permit node 10  
if-match ip-prefix shanghai  
# 
route-policy shcost permit node 100  
apply cost 20
#
DC-1: 
ospf 1 
import-route isis 1 route-policy bjcost 
# 
DC-2: 
ospf 1  
import-route isis 1 route-policy shcost

image-20240701125837194

5.策略路由

因生产需要,vlan10访问ISP需通过北京数据中心,vlan20访问ISP需通过上海数据中心。在GW上配置PBR,完成以下需求:
5.1 使用acl3010,规则序号5,匹配vlan10访问1.1.1.1/32的流量。
5.2 使用acl3020,规则序号5,匹配vlan20访问1.1.1.1/32的流量。
5.3 使用流分类定义感兴趣流,vlan10的流分类名称为10,vlan20的流分类名称为20.
5.4 使用流行为定义下一跳地址
去往北京数据中心DC-1的流行为名称为to1
去往上海数据中心DC-2的流行为名称为to2
5.5 使用名称为PBR的流策略绑定流分类和流行为。
5.6 在GW的接口G0/0/0上调用流策略。
5.7 在PC1和PC2上使用追踪命令确认策略路由的效果。

//使用流策略来修改vlan10和vlan20的走向,先用acl匹配流量的来源和目的地,在使用流分类匹配acl,使用流行为重定向下一跳的地址,形成流策略,再在接口入方向上使用这个流策略
acl number 3010   
rule 5 permit ip source 100.0.10.0 0.0.0.255 destination 1.1.1.1 0 
#
acl number 3020   
rule 5 permit ip source 100.0.20.0 0.0.0.255 destination 1.1.1.1 0 
#
traffic classifier 10 
if-match acl 3010 
traffic classifier 20  
if-match acl 3020 
#
traffic behavior to1 
redirect ip-nexthop 192.168.1.254 
traffic behavior to2 
redirect ip-nexthop 192.168.2.254 
#
traffic policy PBR 
classifier 10 behavior to1 
classifier 20 behavior to2 
#
interface GigabitEthernet0/0/0 
traffic-policy PBR inbound

image-20240701130551890

6.ISP过滤私网路由

企业申请的公网地址为100.0.0.0/16,ISP应仅接收这个网段的路由。
考虑到企业可能进行子网划分,因此使用ip-prefix+filter-policy来过滤路由。
在ISP上部署策略,完成以下要求:
6.1 ip-prefix名称为100,index 10,允许100.0.0.0/16及所有子网。其他网段默认拒绝。
6.2 isis中使用过滤策略filter-polciy直接调用ip-prefix。
6.3 确认ISP上没有192.168.x.0/24的私网路由。

//先用IP-prefix来匹配除了需要接收的网段,其他默认deny,然后用filter-policy过滤策略来允许这个IP-prefix
ip ip-prefix 100 index 10 permit 100.0.0.0 16 greater-equal 16 less-equal 32 
#
isis 1 
filter-policy ip-prefix 100 import

image-20240701130653037

秃头山大王
关注
HCIP静态路由综合实验-wwf
07-21
### HCIP静态路由综合实验知识点解析 #### 一、实验背景与目标 本实验旨在模拟一个包含环路的局域网访问互联网的场景,并通过合理的网络配置和静态路由策略来确保网络的最佳性能与可达性。实验的核心是通过手动...
华为HCIP所有实验《华为技术认证HCNP路由交换实验指南》实验拓扑带基础配置.zip
05-08
5. **动态路由协议**:OSPF和ISIS是两种广泛使用的内部网关协议(IGP),实验会教授如何在华为设备上配置这些协议,以实现网络路由自动发现和更新。 6. **静态路由**:在某些特定场景下,静态路由仍然是必要的...
HCIP 静态路由综合实验
weixin_52173320的博客
01-23 975
r1:网段192.168.1.32 /27 r1:环回网段: 192.168.1.32 /28-192.168.1.48 /28。r2:网段192.168.1.64 /27 r2:环回网段: 192.168.1.64 /28-192.168.1.80 /28。r3:网段192.168.1.96 /27 r3:环回网段: 192.168.1.96 /28-192.168.1.112 /28。成为192.168.1.0/27 (间隔为32)
HCIP路由过滤、路由引入实验
miss_copper的博客
04-22 1019
我们可以看到通过RIP协议学习到了100.2.2.0/24这个网段,没有R3和R4相关业务网段的信息,通过在R2上面做双向路由引入从而达到能够学习到R3、R4的相关业务网段信息。从R1的RIP协议的路由信息表我们可以发现只有R3的业务网段在表,R4的业务网段已经拒绝了R4业务网段的引入了。3、在 RIP 和 OSPF 间配置双向路由引入,要求除R4上的业务网段以外,其他业务网段路由都引入到对方协议内部。4、使用路由过滤,使R4无法学习到R1 的业务网段路由,要求使用prefix-list进行匹配。
HCIP【静态路由综合实验练习】
miss_copper的博客
03-20 963
从图实验要求12我们可以看出这个拓扑结构是一个从R5开始局域网(公网)和公网,在做实验的过程我们要考虑一些拓扑结构的省略,比如我们配好IP地址过后可以将我们的R4到R5的100M的连线和R5与R6的连线先down了,减少我们实验的复杂性(尽可能的去简化我们的拓扑结构)。192.168.1.101 00000 /27 ---- R5 192.168.1.160/27 [R5环回(1)]R5,R6各有一个环回地址;192.168.1.000 00000 /27 ----- 总线链路(骨干链路)
HCIP静态路由综合实验
weixin_56970959的博客
01-04 679
1.对ip地址进行划分。 由实验要求图可知R1、R2、R4均需两个网段代表使用百兆和千兆时的不同环回,R5需要一个网段代表环回,同时为了路由表尽量少,因此只需将192.168.1.0/24分为8个网段: 192.168.1.0/27(主网段) 192.168.1.32/27(R1环回) 192.168.1.64/27(R1环回) 192.168.1.96/27(R2环回) 192.168.1.128/27(R2环回) 192.168.1.160/27(R4环回) 192...
HCIP静态路由综合实验2.0
GODMAO666的博客
11-13 238
HCIP静态路由综合实验2.0
[HCIP] 03 - 路由控制路由策略
weixin_42728126的博客
07-19 1735
一、路由控制 控制网络流量可达性: 1、可通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性,这种方式称为路由策略。 2、可直接通过依据用户指定的策略进行转发,且该策略优于路由表转发,这种方式 称为策略路由。(ACL) 调整网络流量路径: 1、可通过路由策略方式修改协议属性来控制路由表条目,从而调整流量路径。 2、可采用策略路由方式在查找路由表之前控制流量行为。 1、路由策略 定义: 通过一系列工具或方法对路由进行各种控制的策略。 影响路由的产生、发布、选择等,进而影响报文的转发路
HCIP 静态路由实验
Wuhao9_的博客
07-09 261
静态路由
HCIP路由策略实验
huaz_md的博客
01-17 365
干涉完选路之后,我们发现,R1和R3的路由表选路最佳。
HCIP静态路由实验
zjmoli的博客
01-11 3143
1、搭建拓扑图,并进行子网划分 2、进行IP地址的配置 3、配置路由器的IP 4、PC通过DHCP获取地址 5.添加缺省并配置下一跳 6、设置nat,可以让R1-R5可以环回R6 7、对进行汇总的路由进行空接口的预设,避免环路 8、打开telnet服务 9、将23端口(telnet)映射到192.168.1.1端口 ...
华为HCIA、HCIP路由交换实验拓扑新版
04-10
华为HCIA(Huawei Certified ICT Associate)和HCIP(Huawei Certified ICT Professional)是...无论你是初入职场的新人,还是寻求技能提升的网络工程师,华为HCIA和HCIP路由交换实验拓扑新版都是不容错过的学习资源。
《HCNP路由交换实验指南》实验拓扑带基础配置62个实验.zip
08-01
该压缩包文件包含的"HCIP实验拓扑"是学习过程不可或缺的部分。实验拓扑图详细描绘了网络设备如路由器、交换机的连接关系,以及它们之间的通信路径。这些拓扑通常包括多个网络段,不同类型的网络设备,以及各种网络...
hcip静态综合实验.docx
07-05
HCIP静态综合实验HCIP认证的一个重要组成部分,本实验旨在测试候选人的网络路由配置和故障排除能力。 在本实验,候选人需要配置R1、R2、R4和R5四个路由器的环回接口,并确保它们能够正常通信。环回接口是...
4.网络编程
最新发布
weixin_45476535的博客
09-14 407
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 150
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
如何在DPDK实现协议解析?
Do my best!
09-10 681
在 DPDK 实现协议解析涉及几个步骤,包括初始化环境、配置网卡、接收数据包、解析数据包并处理数据包。下面将详细介绍这些步骤以及如何在 DPDK 实现基本的协议解析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值