BGP高级特性:骨干网配置OSPF协议,配置EBGP/IBGP对等体与多级RR
cac55 2024-10-26 08:16 24 浏览 0 评论
学习目标
- 实现基于Peer-Group的BGP对等体建立
- 实现BGP路由策略配置
- 实现BGP安全特性配置
实验组网介绍
IP互联地址、BGP AS号、BGP对等体关系如图所示。
R2、R4是二级RR,R1与R5为二级RR的客户端。
R3是一级RR,主要接收二级RR传来的路由。
S1、S2、S5的环回口用于模拟用户。
实验背景
某企业存在两个分公司与一个总公司,公司共有两个业务:
OA:S1、S2、S5的Loopback0接口网段是OA业务网段。分支之间,分支与总公司之间能够互相传递OA数据,对于OA业务相关路由需要标注始发AS。
财务:S1、S2、S5的Loopback1接口网段是财务业务网段,由于财务业务较为机密,因此只允许分公司与总公司之间传递财务数据,分公司之间禁止传递财务数据。
网络管理员需要搭建一个满足这些需求的同时又有一定安全性的网络。
实验任务
任务思路
1. 设备IP地址配置。
2. 在骨干区域配置OSPF,构建底层网络。
3. 在分公司与骨干网络之间部署GTSM与BGP认证,保证BGP网络安全。
4. R1、R3、R5配置与R2、R4的IBGP对等体关系,同时将R1、R3、R5配置为R2、R4的反射器客户端。
5. R3作为一级RR需要配置与R2、R4的IBGP对等体关系,同时将R2、R4配置为R3的反射器客户端。
6. 在R1、R2、R3上给Loopback0接口路由打上Community值,用于标注OA业务的始发AS。
7. 在R1、R3、R5上配置路由策略,使用AS-Path Filter工具过滤Loopback1接口路由。
任务步骤
步骤 1 互联接口、环回口IP地址配置
#设备命名
略
#关闭本实验中未使用的接口
略
#
配置R1的GE0/0/2、GE0/0/3、Loopback0接口IP地址
[R1]interface LoopBack0
[R1-LoopBack0] ip address 10.10.10.1 255.255.255.255
[R1-LoopBack0] quit
[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2] ip address 10.0.12.1 255.255.255.0
[R1-GigabitEthernet0/0/2] quit
[R1]interface GigabitEthernet0/0/3
[R1-GigabitEthernet0/0/3] ip address 10.0.11.2 255.255.255.0
[R1-GigabitEthernet0/0/3] quit #配置R2的GE0/0/2、GE0/0/3、Loopback0接口IP地址
[R2]interface LoopBack0
[R2-LoopBack0] ip address 10.10.10.2 255.255.255.255
[R2-LoopBack0] quit
[R2]interface GigabitEthernet0/0/2
[R2-GigabitEthernet0/0/2] ip address 10.0.23.2 255.255.255.0
[R2-GigabitEthernet0/0/2] quit
[R2]interface GigabitEthernet0/0/3
[R2-GigabitEthernet0/0/3] ip address 10.0.12.2 255.255.255.0
[R2-GigabitEthernet0/0/3] quit #配置R3的GE0/0/1、GE0/0/2、GE0/0/3、Loopback0接口IP地址
[R3]interface LoopBack0
[R3-LoopBack0] ip address 10.10.10.3 255.255.255.255
[R3-LoopBack0] quit
[R3]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1] ip address 10.0.35.3 255.255.255.0
[R3-GigabitEthernet0/0/1] quit
[R3]interface GigabitEthernet0/0/2
[R3-GigabitEthernet0/0/2] ip address 10.0.34.3 255.255.255.0
[R3-GigabitEthernet0/0/2] quit
[R3]interface GigabitEthernet0/0/3
[R3-GigabitEthernet0/0/3] ip address 10.0.23.3 255.255.255.0
[R3-GigabitEthernet0/0/3] quit #配置R4的GE0/0/2、GE0/0/3、GE0/0/5、Loopback0接口IP地址
[R4]interface LoopBack0
[R4-LoopBack0] ip address 10.10.10.4 255.255.255.255
[R4-LoopBack0] quit
[R4]interface GigabitEthernet0/0/2
[R4-GigabitEthernet0/0/2] ip address 10.0.45.4 255.255.255.0
[R4-GigabitEthernet0/0/2] quit
[R4]interface GigabitEthernet0/0/3
[R4-GigabitEthernet0/0/3] ip address 10.0.34.4 255.255.255.0
[R4-GigabitEthernet0/0/3] quit #配置R5的GE0/0/3、GE0/0/4、Loopback0接口IP地址
[R5]interface LoopBack0
[R5-LoopBack0] ip address 10.10.10.5 255.255.255.255
[R5-LoopBack0] quit
[R5]interface GigabitEthernet0/0/3
[R5-GigabitEthernet0/0/3] ip address 10.0.45.5 255.255.255.0
[R5-GigabitEthernet0/0/3] quit
[R5]interface GigabitEthernet0/0/4
[R5-GigabitEthernet0/0/4] ip address 10.0.25.5 255.255.255.0
[R5-GigabitEthernet0/0/4] quit #配置S1的GE0/0/1所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址
[S1]interface LoopBack0
[S1-LoopBack0] ip address 10.0.1.1 255.255.255.255
[S1-LoopBack0] quit
[S1]interface LoopBack1
[S1-LoopBack1] ip address 10.1.1.1 255.255.255.255
[S1-LoopBack1] quit
[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1] port link-type access
[S1-GigabitEthernet0/0/1] port default vlan 1
[S1-GigabitEthernet0/0/1] quit
[S1]interface Vlanif 1
[S1-Vlanif1] ip address 10.1.11.1 24
[S1-Vlanif1] quit #配置S2的GE0/0/5所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址
[S2]interface LoopBack0
[S2-LoopBack0] ip address 10.0.2.1 255.255.255.255
[S2-LoopBack0] quit
[S2]interface LoopBack1
[S2-LoopBack1] ip address 10.1.2.1 255.255.255.255
[S2-LoopBack1] quit
[S2]interface GigabitEthernet0/0/5
[S2-GigabitEthernet0/0/5] port link-type access
[S2-GigabitEthernet0/0/5] port default vlan 1
[S2-GigabitEthernet0/0/5] quit
[S2]interface Vlanif 1
[S2-Vlanif1] ip address 10.1.25.2 24
[S2-Vlanif1] quit #配置S5的GE0/0/3所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址
[S5]interface LoopBack0
[S5-LoopBack0] ip address 10.0.2.1 255.255.255.255
[S5-LoopBack0] quit
[S5]interface LoopBack1
[S5-LoopBack1] ip address 10.1.2.1 255.255.255.255
[S5-LoopBack1] quit
[S5]interface GigabitEthernet0/0/3
[S5-GigabitEthernet0/0/3] port link-type access
[S5-GigabitEthernet0/0/3] port default vlan 1
[S5-GigabitEthernet0/0/3] quit
[S5]interface Vlanif 1
[S5-Vlanif1] ip address 10.1.35.5 24
[S5-Vlanif1] quit#在R1、R3、R5上检查互联地址连通性
<R1>ping -c 1 10.0.11.1
<R1>ping -c 1 10.0.12.2
<R3>ping -c 1 10.0.23.2
<R3>ping -c 1 10.0.34.4
<R3>ping -c 1 10.0.35.5
<R5>ping -c 1 10.0.45.4
<R5>ping -c 1 10.0.25.2
可以PING通步骤 2 骨干网配置OSPF协议,搭建底层网络
按照拓扑设计逐台配置路由器的OSPF进程,进程号使用1,区域号为0,Router ID使用路由器的环回口,以R1为例:10.10.10.1。
宣告OSPF接口时,使用精确宣告的方式,将所有AS65100内的接口均宣告入OSPF。
#配置R1
[R1]router id 10.10.10.1
[R1]ospf 1
[R1-ospf-1] area 0
[R1-ospf-1-area-0.0.0.0] network 10.10.10.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0] network 10. 0.12.1 0.0.0.0 #配置R2
[R2]router id 10.10.10.2
[R2]ospf 1
[R2-ospf-1] area 0
[R2-ospf-1-area-0.0.0.0] network 10.10.10.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0] network 10.0.12.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0] network 10.0.23.2 0.0.0.0 #配置R3
[R3]router id 10.10.10.3
[R3]ospf 1
[R3-ospf-1] area 0
[R3-ospf-1-area-0.0.0.0] network 10.10.10.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0] network 10.0.23.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0] network 10.0.34.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0] network 10.0.35.3 0.0.0.0 #配置R4
[R4]router id 10.10.10.4
[R4]ospf 1
[R4-ospf-1] area 0
[R4-ospf-1-area-0.0.0.0] network 10.10.10.4 0.0.0.0
[R4-ospf-1-area-0.0.0.0] network 10.0.34.4 0.0.0.0
[R4-ospf-1-area-0.0.0.0] network 10.0.45.4 0.0.0.0 #配置R5
[R5]router id 10.10.10.5
[R5]ospf 1
[R5-ospf-1] area 0
[R5-ospf-1-area-0.0.0.0] network 10.10.10.5 0.0.0.0
[R5-ospf-1-area-0.0.0.0] network 10.0.45.5 0.0.0.0 检查OSPF配置结果
#在R2、R4查看OSPF邻居
[R2]display ospf peer brief
[R4]display ospf peer brief #在R2路由器上检查OSPF路由表与IP路由表
[R2]display ospf routing
[R2]display ip routing-table 从输出信息可以发现,R2路由器的OSPF进程已经学习到AS65100内部的所有路由信息,且路由条目也在IP路由表中被优选。
步骤 3 配置EBGP对等体,在EBGP对等体之间部署GTSM与BGP认证
在S1与R1、S5与R3、S2与R5之间部署EBGP对等体,同时配置BGP认证,认证密码为Huawei@123,GTSM设置为255。
设备所属AS如本实验拓扑规划:S1属于AS 65001,S2属于AS 65002,S5属于AS 65003,R1、R3、R5属于AS 65100。
#在S1与R1上部署EBGP对等体,并配置BGP认证与GTSM,GTSM只需要在骨干网侧配置
[R1]bgp 65100
[R1-bgp] peer 10.0.11.1 as-number 65001
[R1-bgp] peer 10.0.11.1 password cipher Huawei@123
[R1-bgp] peer 10.0.11.1 valid-ttl-hops 255
[S1]bgp 65001
[S1-bgp] peer 10.0.11.2 as-number 65100
[S1-bgp] peer 10.0.11.2 password cipher Huawei@123 #在S5与R3上部署EBGP对等体,并配置BGP认证与GTSM,GTSM只需要在骨干网侧配置
[R3]bgp 65100
[R3-bgp] peer 10.0.35.5 as-number 65003
[R3-bgp] peer 10.0.35.5 password cipher Huawei@123
[R3-bgp] peer 10.0.35.5 valid-ttl-hops 255
[S5]bgp 65003
[S5-bgp] peer 10.0.35.3 as-number 65100
[S5-bgp] peer 10.0.35.3 password cipher Huawei@123 #在S2与R5上部署EBGP对等体,并配置BGP认证与GTSM,GTSM只需要在骨干网侧配置
[R5]bgp 65100
[R5-bgp] peer 10.0.25.2 as-number 65002
[R5-bgp] peer 10.0.25.2 password cipher Huawei@123
[R5-bgp] peer 10.0.25.2 valid-ttl-hops 255
[S2]bgp 65002
[S2-bgp] peer 10.0.25.5 as-number 65001
[S2-bgp] peer 10.0.25.5 password cipher Huawei@123 检查EBGP配置结果
#在R1、R3、R5上检查邻居状态
[R1]display bgp peer
[R3]display bgp peer
[R5]display bgp peer R1、R3、R5与对端的邻居关系都到达了“Established”状态。
步骤 4 配置IBGP对等体与多级RR
R2与R4是二级RR,R1、R3、R5是R2与R4的客户端,同级RR为了避免路由互相传递,一般需要修改Cluster ID,将Cluster ID设置为24.24.24.24
R3是一级RR,R2、R4是R3的客户端。
按照拓扑规划部署IBGP对等体,基于Loopback接口地址建立IBGP对等体,由于邻居较多,需使用peer-group方式配置。
#配置R1
[R1]bgp 65100
[R1-bgp] group IBGP internal
[R1-bgp] peer IBGP connect-interface LoopBack0
[R1-bgp] peer IBGP next-hop-local
[R1-bgp] peer 10.10.10.2 group IBGP
[R1-bgp] peer 10.10.10.4 group IBGP #配置R2
[R2]bgp 65100
[R2-bgp] group IBGP internal
[R2-bgp] peer IBGP connect-interface LoopBack0
[R2-bgp] peer 10.10.10.1 group IBGP
[R2-bgp] peer 10.10.10.3 group IBGP
[R2-bgp] peer 10.10.10.4 group IBGP
[R2-bgp] peer 10.10.10.5 group IBGP #配置R3
[R3]bgp 65100
[R3-bgp] group IBGP internal
[R3-bgp] peer IBGP connect-interface LoopBack0
[R3-bgp] peer IBGP next-hop-local
[R3-bgp] peer 10.10.10.2 group IBGP
[R3-bgp] peer 10.10.10.4 group IBGP #配置R4
[R4]bgp 65100
[R4-bgp] roup IBGP internal
[R4-bgp] peer IBGP connect-interface LoopBack0
[R4-bgp] peer 10.10.10.1 group IBGP
[R4-bgp] peer 10.10.10.2 group IBGP
[R4-bgp] peer 10.10.10.3 group IBGP
[R4-bgp] peer 10.10.10.5 group IBGP #配置R5
[R5]bgp 65100
[R5-bgp] group IBGP internal
[R5-bgp] peer IBGP connect-interface LoopBack0
[R5-bgp] peer IBGP next-hop-local
[R5-bgp] peer 10.10.10.2 group IBGP
[R5-bgp] peer 10.10.10.4 group IBGP检查IBGP配置结果
#在R2、R4上检查邻居状态
[R2]display bgp peer
[R4]display bgp peer 基于R2、R4的邻居表可以发现AS65100内的路由器之间IBGP对等体已经建立。
部署多级RR
R2与R4是二级RR,R1、R3、R5是R2、R4的客户端,R2与R4配置相同的Cluster ID。
R3是一级RR,R2、R4是R3的客户端。
#配置R2
[R2]bgp 65100
[R2-bgp] peer IBGP reflect-client
[R2-bgp] reflector cluster-id 24.24.24.24 #配置R4
[R4]bgp 65100
[R4-bgp] peer IBGP reflect-client
[R4-bgp] reflector cluster-id 24.24.24.24 #配置R3
[R3]bgp 65100
[R3-bgp] peer IBGP reflect-client 检查RR配置结果
#在R2、R3、R4上查看RR配置结果
[R2]display bgp group IBGP
[R4]display bgp group IBGP
[R3]display bgp group IBGP RR的客户端都已经设置正确。
步骤 5 发布BGP路由
S1、S2、S5上的Loopback0、Loopback1、 Loopback2接口路由需要发布到BGP中,发布后骨干网将通过路由策略控制路由发布。
发布BGP可以使用import的方式也可以使用network的方式。本实验网段较少,使用network方式即可。
#配置S1
[R1]bgp 65001
[R1-bgp] network 10.0.1.1 32
[R1-bgp] network 10.1.1.1 32 #配置S2
[R2]bgp 65002
[R2-bgp] network 10.0.2.1 32
[R2-bgp] network 10.1.2.1 32 #配置S5
[R5]bgp 65003
[R5-bgp] network 10.0.3.1 32
[R5-bgp] network 10.1.3.1 32 检查路由发布结果
#在S1、S2、S5上查看路由发布结果,以S1为例,S2、S5查看方式类似
[S1]display bgp routing-table查看结果可以发现S1、S2、S5已经学习到了对端的路由。
---------------------------------------下期预告---------------------------------------
步骤 6 配置Route-Policy为OA业务打上标签
步骤 7 配置Route-Policy,控制财务业务
相关推荐
- Mac电脑强制删除任何软件方法-含自启动应用
-
对于打工者来说,进入企业上班使用的电脑大概率是会被监控起来,比如各种流行的数据防泄漏DLP,奇安信天擎,甚至360安全卫士,这些安全软件你想卸载是非常困难的,甚至卸载后它自己又安装回来了,并且还在你不...
- Linux基础知识 | 文件与目录大全讲解
-
1.linux文件权限与目录配置1.文件属性Linux一般将文件可存取的身份分为三个类别,分别是owner/group/others,且三种身份各read/write/execute等权限文...
- 文件保护不妥协:2025 年 10 款顶级加密工具推荐
-
数据安全无小事,2025年这10款加密工具凭借独特功能脱颖而出,从个人到企业场景全覆盖,第一款为Ping32,其余为国外英文软件。1.Ping32企业级加密核心工具,支持200+文件格...
- 省心省力 一个软件搞定系统维护_省心安装在哪里能找到
-
◆系统类似于我们居住的房间,需要经常打理才能保持清洁、高效。虽然它本身也自带一些清理和优化的工具,但借助于好用的第三方工具来执行这方面的任务,会更让人省心省力。下面笔者就为大家介绍一款集多项功能于一身...
- JAVA程序员常用的几个工具类_java程序员一般用什么软件写程序
-
好的工具做起事来常常事半功倍,下面介绍几个开发中常用到的工具类,收藏一下,也许后面真的会用到。字符串处理:org.apache.commons.lang.StringUtilsisBlank(Char...
- 手工解决Windows10的若干难题_windows10系统卡顿怎么解决
-
【电脑报在线】很多朋友已经开始使用Win10,估计还只是测试版本的原因,使用过程中难免会出现一些问题,这里介绍解决一些解决难题的技巧。技巧1:让ProjectSpartan“重归正途”从10074...
- System32文件夹千万不能删除,看完这篇你就知道为什么了
-
C:\Windows\System32目录是Windows操作系统的关键部分,重要的系统文件存储在该目录中。网上的一些恶作剧者可能会告诉你删除它,但你不应该尝试去操作,如果你尝试的话,我们会告诉你会发...
- Windows.old 文件夹:系统备份的解析与安全删除指南
-
Windows.old是Windows系统升级(如Win10升Win11)或重装时,系统自动在C盘创建的备份文件夹,其核心作用是保留旧系统的文件、程序与配置,为“回退旧系统”提供保...
- 遇到疑难杂症?Windows 10回收站问题巧解决
-
回收站是Windows10的一个重要组件。然而,我们在使用过程中,可能会遇到一些问题。例如,不论回收站里有没有文件,都显示同一个图标,让人无法判别回收站的空和满的真实情况;没有了像Windows7...
- 卸载软件怎么彻底删掉?简单几个步骤彻底卸载,电脑小白看过来
-
日常工作学习生活中,我们需要在安装一些软件程序,但随着软件的更新迭代速度,很多时候我们需要重新下载安装新的程序,这时就需要将旧的一些软件程序进行卸载。但是卸载软件虽然很简单,但是很多小伙伴们表示卸载不...
- 用不上就删!如何完全卸载OneDrive?
-
作为Windows10自带的云盘,OneDrive为资料的自动备份和同步提供了方便。然而,从隐私或其他方面考虑,有些人不愿意使用OneDrive。但Windows10本身不提供直接卸载OneDri...
- 【Linux知识】Linux下快速删除大量文件/文件夹方法
-
在Linux下,如果需要快速删除大量文件或文件夹,可以使用如下方法:使用rm命令删除文件:可以使用rm命令删除文件,例如:rm-rf/path/to/directory/*这个命令会递...
- 清理系统不用第三方工具_清理系统垃圾用什么软件
-
清理优化系统一定要借助于优化工具吗?其实,手动优化系统也没有那么神秘,掌握了方法和技巧,系统清理也是一件简单和随心的事。一方面要为每一个可能产生累赘的文件找到清理的方法,另一方面要寻找能够提高工作效率...
- 系统小技巧:软件卸载不了?这里办法多
-
在正常情况下,我们都是通过软件程序组中的卸载图标,或利用控制面板中的“程序和功能”模块来卸载软件的。但有时,我们也会发现利用卸载图标无法卸载软件或者卸载图标干脆丢失找不到了,甚至控制面板中卸载软件的功...
- 麒麟系统无法删除文件夹_麒麟系统删除文件权限不够
-
删除文件夹方法例:sudorm-rf文件夹名称。删除文件方法例:sudorm-r文件名包括扩展名。如果没有权限,给文件夹加一下权限再删。加最高权限chmod775文件名加可执行权限...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- 如何绘制折线图 (52)
- javaabstract (48)
- 新浪微博头像 (53)
- grub4dos (66)
- s扫描器 (51)
- httpfile dll (48)
- ps实例教程 (55)
- taskmgr (51)
- s spline (61)
- vnc远程控制 (47)
- 数据丢失 (47)
- wbem (57)
- flac文件 (72)
- 网页制作基础教程 (53)
- 镜像文件刻录 (61)
- ug5 0软件免费下载 (78)
- debian下载 (53)
- ubuntu10 04 (60)
- web qq登录 (59)
- 笔记本变成无线路由 (52)
- flash player 11 4 (50)
- 右键菜单清理 (78)
- cuteftp 注册码 (57)
- ospf协议 (53)
- ms17 010 下载 (60)