BGP高级特性:骨干网配置OSPF协议,配置EBGP/IBGP对等体与多级RR
cac55 2024-10-26 08:16 11 浏览 0 评论
学习目标
- 实现基于Peer-Group的BGP对等体建立
- 实现BGP路由策略配置
- 实现BGP安全特性配置
实验组网介绍
IP互联地址、BGP AS号、BGP对等体关系如图所示。
R2、R4是二级RR,R1与R5为二级RR的客户端。
R3是一级RR,主要接收二级RR传来的路由。
S1、S2、S5的环回口用于模拟用户。
实验背景
某企业存在两个分公司与一个总公司,公司共有两个业务:
OA:S1、S2、S5的Loopback0接口网段是OA业务网段。分支之间,分支与总公司之间能够互相传递OA数据,对于OA业务相关路由需要标注始发AS。
财务:S1、S2、S5的Loopback1接口网段是财务业务网段,由于财务业务较为机密,因此只允许分公司与总公司之间传递财务数据,分公司之间禁止传递财务数据。
网络管理员需要搭建一个满足这些需求的同时又有一定安全性的网络。
实验任务
任务思路
1. 设备IP地址配置。
2. 在骨干区域配置OSPF,构建底层网络。
3. 在分公司与骨干网络之间部署GTSM与BGP认证,保证BGP网络安全。
4. R1、R3、R5配置与R2、R4的IBGP对等体关系,同时将R1、R3、R5配置为R2、R4的反射器客户端。
5. R3作为一级RR需要配置与R2、R4的IBGP对等体关系,同时将R2、R4配置为R3的反射器客户端。
6. 在R1、R2、R3上给Loopback0接口路由打上Community值,用于标注OA业务的始发AS。
7. 在R1、R3、R5上配置路由策略,使用AS-Path Filter工具过滤Loopback1接口路由。
任务步骤
步骤 1 互联接口、环回口IP地址配置
#设备命名
略
#关闭本实验中未使用的接口
略
#
配置R1的GE0/0/2、GE0/0/3、Loopback0接口IP地址
[R1]interface LoopBack0
[R1-LoopBack0] ip address 10.10.10.1 255.255.255.255
[R1-LoopBack0] quit
[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2] ip address 10.0.12.1 255.255.255.0
[R1-GigabitEthernet0/0/2] quit
[R1]interface GigabitEthernet0/0/3
[R1-GigabitEthernet0/0/3] ip address 10.0.11.2 255.255.255.0
[R1-GigabitEthernet0/0/3] quit #配置R2的GE0/0/2、GE0/0/3、Loopback0接口IP地址
[R2]interface LoopBack0
[R2-LoopBack0] ip address 10.10.10.2 255.255.255.255
[R2-LoopBack0] quit
[R2]interface GigabitEthernet0/0/2
[R2-GigabitEthernet0/0/2] ip address 10.0.23.2 255.255.255.0
[R2-GigabitEthernet0/0/2] quit
[R2]interface GigabitEthernet0/0/3
[R2-GigabitEthernet0/0/3] ip address 10.0.12.2 255.255.255.0
[R2-GigabitEthernet0/0/3] quit #配置R3的GE0/0/1、GE0/0/2、GE0/0/3、Loopback0接口IP地址
[R3]interface LoopBack0
[R3-LoopBack0] ip address 10.10.10.3 255.255.255.255
[R3-LoopBack0] quit
[R3]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1] ip address 10.0.35.3 255.255.255.0
[R3-GigabitEthernet0/0/1] quit
[R3]interface GigabitEthernet0/0/2
[R3-GigabitEthernet0/0/2] ip address 10.0.34.3 255.255.255.0
[R3-GigabitEthernet0/0/2] quit
[R3]interface GigabitEthernet0/0/3
[R3-GigabitEthernet0/0/3] ip address 10.0.23.3 255.255.255.0
[R3-GigabitEthernet0/0/3] quit #配置R4的GE0/0/2、GE0/0/3、GE0/0/5、Loopback0接口IP地址
[R4]interface LoopBack0
[R4-LoopBack0] ip address 10.10.10.4 255.255.255.255
[R4-LoopBack0] quit
[R4]interface GigabitEthernet0/0/2
[R4-GigabitEthernet0/0/2] ip address 10.0.45.4 255.255.255.0
[R4-GigabitEthernet0/0/2] quit
[R4]interface GigabitEthernet0/0/3
[R4-GigabitEthernet0/0/3] ip address 10.0.34.4 255.255.255.0
[R4-GigabitEthernet0/0/3] quit #配置R5的GE0/0/3、GE0/0/4、Loopback0接口IP地址
[R5]interface LoopBack0
[R5-LoopBack0] ip address 10.10.10.5 255.255.255.255
[R5-LoopBack0] quit
[R5]interface GigabitEthernet0/0/3
[R5-GigabitEthernet0/0/3] ip address 10.0.45.5 255.255.255.0
[R5-GigabitEthernet0/0/3] quit
[R5]interface GigabitEthernet0/0/4
[R5-GigabitEthernet0/0/4] ip address 10.0.25.5 255.255.255.0
[R5-GigabitEthernet0/0/4] quit #配置S1的GE0/0/1所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址
[S1]interface LoopBack0
[S1-LoopBack0] ip address 10.0.1.1 255.255.255.255
[S1-LoopBack0] quit
[S1]interface LoopBack1
[S1-LoopBack1] ip address 10.1.1.1 255.255.255.255
[S1-LoopBack1] quit
[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1] port link-type access
[S1-GigabitEthernet0/0/1] port default vlan 1
[S1-GigabitEthernet0/0/1] quit
[S1]interface Vlanif 1
[S1-Vlanif1] ip address 10.1.11.1 24
[S1-Vlanif1] quit #配置S2的GE0/0/5所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址
[S2]interface LoopBack0
[S2-LoopBack0] ip address 10.0.2.1 255.255.255.255
[S2-LoopBack0] quit
[S2]interface LoopBack1
[S2-LoopBack1] ip address 10.1.2.1 255.255.255.255
[S2-LoopBack1] quit
[S2]interface GigabitEthernet0/0/5
[S2-GigabitEthernet0/0/5] port link-type access
[S2-GigabitEthernet0/0/5] port default vlan 1
[S2-GigabitEthernet0/0/5] quit
[S2]interface Vlanif 1
[S2-Vlanif1] ip address 10.1.25.2 24
[S2-Vlanif1] quit #配置S5的GE0/0/3所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址
[S5]interface LoopBack0
[S5-LoopBack0] ip address 10.0.2.1 255.255.255.255
[S5-LoopBack0] quit
[S5]interface LoopBack1
[S5-LoopBack1] ip address 10.1.2.1 255.255.255.255
[S5-LoopBack1] quit
[S5]interface GigabitEthernet0/0/3
[S5-GigabitEthernet0/0/3] port link-type access
[S5-GigabitEthernet0/0/3] port default vlan 1
[S5-GigabitEthernet0/0/3] quit
[S5]interface Vlanif 1
[S5-Vlanif1] ip address 10.1.35.5 24
[S5-Vlanif1] quit#在R1、R3、R5上检查互联地址连通性
<R1>ping -c 1 10.0.11.1
<R1>ping -c 1 10.0.12.2
<R3>ping -c 1 10.0.23.2
<R3>ping -c 1 10.0.34.4
<R3>ping -c 1 10.0.35.5
<R5>ping -c 1 10.0.45.4
<R5>ping -c 1 10.0.25.2
可以PING通步骤 2 骨干网配置OSPF协议,搭建底层网络
按照拓扑设计逐台配置路由器的OSPF进程,进程号使用1,区域号为0,Router ID使用路由器的环回口,以R1为例:10.10.10.1。
宣告OSPF接口时,使用精确宣告的方式,将所有AS65100内的接口均宣告入OSPF。
#配置R1
[R1]router id 10.10.10.1
[R1]ospf 1
[R1-ospf-1] area 0
[R1-ospf-1-area-0.0.0.0] network 10.10.10.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0] network 10. 0.12.1 0.0.0.0 #配置R2
[R2]router id 10.10.10.2
[R2]ospf 1
[R2-ospf-1] area 0
[R2-ospf-1-area-0.0.0.0] network 10.10.10.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0] network 10.0.12.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0] network 10.0.23.2 0.0.0.0 #配置R3
[R3]router id 10.10.10.3
[R3]ospf 1
[R3-ospf-1] area 0
[R3-ospf-1-area-0.0.0.0] network 10.10.10.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0] network 10.0.23.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0] network 10.0.34.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0] network 10.0.35.3 0.0.0.0 #配置R4
[R4]router id 10.10.10.4
[R4]ospf 1
[R4-ospf-1] area 0
[R4-ospf-1-area-0.0.0.0] network 10.10.10.4 0.0.0.0
[R4-ospf-1-area-0.0.0.0] network 10.0.34.4 0.0.0.0
[R4-ospf-1-area-0.0.0.0] network 10.0.45.4 0.0.0.0 #配置R5
[R5]router id 10.10.10.5
[R5]ospf 1
[R5-ospf-1] area 0
[R5-ospf-1-area-0.0.0.0] network 10.10.10.5 0.0.0.0
[R5-ospf-1-area-0.0.0.0] network 10.0.45.5 0.0.0.0 检查OSPF配置结果
#在R2、R4查看OSPF邻居
[R2]display ospf peer brief
[R4]display ospf peer brief #在R2路由器上检查OSPF路由表与IP路由表
[R2]display ospf routing
[R2]display ip routing-table 从输出信息可以发现,R2路由器的OSPF进程已经学习到AS65100内部的所有路由信息,且路由条目也在IP路由表中被优选。
步骤 3 配置EBGP对等体,在EBGP对等体之间部署GTSM与BGP认证
在S1与R1、S5与R3、S2与R5之间部署EBGP对等体,同时配置BGP认证,认证密码为Huawei@123,GTSM设置为255。
设备所属AS如本实验拓扑规划:S1属于AS 65001,S2属于AS 65002,S5属于AS 65003,R1、R3、R5属于AS 65100。
#在S1与R1上部署EBGP对等体,并配置BGP认证与GTSM,GTSM只需要在骨干网侧配置
[R1]bgp 65100
[R1-bgp] peer 10.0.11.1 as-number 65001
[R1-bgp] peer 10.0.11.1 password cipher Huawei@123
[R1-bgp] peer 10.0.11.1 valid-ttl-hops 255
[S1]bgp 65001
[S1-bgp] peer 10.0.11.2 as-number 65100
[S1-bgp] peer 10.0.11.2 password cipher Huawei@123 #在S5与R3上部署EBGP对等体,并配置BGP认证与GTSM,GTSM只需要在骨干网侧配置
[R3]bgp 65100
[R3-bgp] peer 10.0.35.5 as-number 65003
[R3-bgp] peer 10.0.35.5 password cipher Huawei@123
[R3-bgp] peer 10.0.35.5 valid-ttl-hops 255
[S5]bgp 65003
[S5-bgp] peer 10.0.35.3 as-number 65100
[S5-bgp] peer 10.0.35.3 password cipher Huawei@123 #在S2与R5上部署EBGP对等体,并配置BGP认证与GTSM,GTSM只需要在骨干网侧配置
[R5]bgp 65100
[R5-bgp] peer 10.0.25.2 as-number 65002
[R5-bgp] peer 10.0.25.2 password cipher Huawei@123
[R5-bgp] peer 10.0.25.2 valid-ttl-hops 255
[S2]bgp 65002
[S2-bgp] peer 10.0.25.5 as-number 65001
[S2-bgp] peer 10.0.25.5 password cipher Huawei@123 检查EBGP配置结果
#在R1、R3、R5上检查邻居状态
[R1]display bgp peer
[R3]display bgp peer
[R5]display bgp peer R1、R3、R5与对端的邻居关系都到达了“Established”状态。
步骤 4 配置IBGP对等体与多级RR
R2与R4是二级RR,R1、R3、R5是R2与R4的客户端,同级RR为了避免路由互相传递,一般需要修改Cluster ID,将Cluster ID设置为24.24.24.24
R3是一级RR,R2、R4是R3的客户端。
按照拓扑规划部署IBGP对等体,基于Loopback接口地址建立IBGP对等体,由于邻居较多,需使用peer-group方式配置。
#配置R1
[R1]bgp 65100
[R1-bgp] group IBGP internal
[R1-bgp] peer IBGP connect-interface LoopBack0
[R1-bgp] peer IBGP next-hop-local
[R1-bgp] peer 10.10.10.2 group IBGP
[R1-bgp] peer 10.10.10.4 group IBGP #配置R2
[R2]bgp 65100
[R2-bgp] group IBGP internal
[R2-bgp] peer IBGP connect-interface LoopBack0
[R2-bgp] peer 10.10.10.1 group IBGP
[R2-bgp] peer 10.10.10.3 group IBGP
[R2-bgp] peer 10.10.10.4 group IBGP
[R2-bgp] peer 10.10.10.5 group IBGP #配置R3
[R3]bgp 65100
[R3-bgp] group IBGP internal
[R3-bgp] peer IBGP connect-interface LoopBack0
[R3-bgp] peer IBGP next-hop-local
[R3-bgp] peer 10.10.10.2 group IBGP
[R3-bgp] peer 10.10.10.4 group IBGP #配置R4
[R4]bgp 65100
[R4-bgp] roup IBGP internal
[R4-bgp] peer IBGP connect-interface LoopBack0
[R4-bgp] peer 10.10.10.1 group IBGP
[R4-bgp] peer 10.10.10.2 group IBGP
[R4-bgp] peer 10.10.10.3 group IBGP
[R4-bgp] peer 10.10.10.5 group IBGP #配置R5
[R5]bgp 65100
[R5-bgp] group IBGP internal
[R5-bgp] peer IBGP connect-interface LoopBack0
[R5-bgp] peer IBGP next-hop-local
[R5-bgp] peer 10.10.10.2 group IBGP
[R5-bgp] peer 10.10.10.4 group IBGP检查IBGP配置结果
#在R2、R4上检查邻居状态
[R2]display bgp peer
[R4]display bgp peer 基于R2、R4的邻居表可以发现AS65100内的路由器之间IBGP对等体已经建立。
部署多级RR
R2与R4是二级RR,R1、R3、R5是R2、R4的客户端,R2与R4配置相同的Cluster ID。
R3是一级RR,R2、R4是R3的客户端。
#配置R2
[R2]bgp 65100
[R2-bgp] peer IBGP reflect-client
[R2-bgp] reflector cluster-id 24.24.24.24 #配置R4
[R4]bgp 65100
[R4-bgp] peer IBGP reflect-client
[R4-bgp] reflector cluster-id 24.24.24.24 #配置R3
[R3]bgp 65100
[R3-bgp] peer IBGP reflect-client 检查RR配置结果
#在R2、R3、R4上查看RR配置结果
[R2]display bgp group IBGP
[R4]display bgp group IBGP
[R3]display bgp group IBGP RR的客户端都已经设置正确。
步骤 5 发布BGP路由
S1、S2、S5上的Loopback0、Loopback1、 Loopback2接口路由需要发布到BGP中,发布后骨干网将通过路由策略控制路由发布。
发布BGP可以使用import的方式也可以使用network的方式。本实验网段较少,使用network方式即可。
#配置S1
[R1]bgp 65001
[R1-bgp] network 10.0.1.1 32
[R1-bgp] network 10.1.1.1 32 #配置S2
[R2]bgp 65002
[R2-bgp] network 10.0.2.1 32
[R2-bgp] network 10.1.2.1 32 #配置S5
[R5]bgp 65003
[R5-bgp] network 10.0.3.1 32
[R5-bgp] network 10.1.3.1 32 检查路由发布结果
#在S1、S2、S5上查看路由发布结果,以S1为例,S2、S5查看方式类似
[S1]display bgp routing-table查看结果可以发现S1、S2、S5已经学习到了对端的路由。
---------------------------------------下期预告---------------------------------------
步骤 6 配置Route-Policy为OA业务打上标签
步骤 7 配置Route-Policy,控制财务业务
相关推荐
- 让组策略保护Windows XP的安全
-
默认安装完WindowsXP之后,我们的WindowsXP并不很安全。因此,我们有必要对系统进行一些修修补补,一般情况下我们都要动用到注册表。诚然,修改注册表是一种非常有效的方法,但是它需要一定的...
- 你造吗?十种方式保护你免受"零日攻击"
-
|责编:王迪WindowsXP的寿终正寝,数据安全问题又再一次成为人们关注的焦点。近日,微软透漏,一个基于InternetExplorer的“零日攻击”给用户带来了严重破坏。“零日攻击”一种利用...
- 特立独行——打造游戏专用独立系统
-
大部分人的电脑是为了学习和工作用的,所以,如果你是一个游戏迷,那么推荐你安装一个独立系统专用于游戏,做到工作娱乐两不相扰。方案1:游戏专用移动WindowsXP目的:解决游戏兼容性问题喜欢玩游戏的都...
- 驰为VX8 3G Win8入门教程篇
-
距离Win8.1的正式发布也将近1年了,凭借着Win8.1在移动便携以及娱乐办公上的优势,现在的Win8平板越来越受到消费者的追捧,而驰为VX83G就是其中一款,搭载了卓越的英特尔Z3735G四核芯,...
- 易淘收银软件说明
-
易淘收银系统,简称易淘收银,专为小型及连锁零售、餐饮行业打造。基于SaaS模式,智能便捷,无需维护,轻量级设计却功能强大,简约而不失专业,助力门店高效管理收银。1、前台系统:收银客户端;2、后台系...
- CAD打不开怎么办?原因可能是电脑中毒了,6步就能完美解决问题
-
一、问题描述我的CAD安装后无法打开,安装过程中没有出现任何问题,但是安装后打开就出现一个对话框“DBXCAS0”点击后又出现“FATALERROR:UnhandledAccessViola...
- 腾讯QQ6.1正式版发布更新
-
2014-07-2405:12:00作者:张林【中关村在线软件资讯】7月24日消息:腾讯QQ官网小幅更新了QQ6.1正式版,最新版本号升级至11905,继续主打扁平化、炫酷登录窗口、支持同步最近一...
- Win10等网页版OneDrive无法登陆怎么办?
-
IT之家(www.ithome.com):Win10等网页版OneDrive无法登陆怎么办?Win10之家报道,微软OneDrive云网盘是跨平台的数据同步和存储服务,支持WindowsPC(如Wi...
- 经典回顾:折戟沉沙的Windows Longhorn有着惊艳的登录屏幕
-
尽管微软原先计划让WindowsLonghorn继承WindowsXP操作系统的衣钵,但这个充满雄心壮志的操作系统项目最终还是未能迎来曙光,而是被微软用WindowsVista取而代...
- 电脑怎么优化
-
电脑配置和宽带流量也是硬件,但这些要求其实并不需要很高,关键还是怎么去安全使用电脑并进行有效的优化。电脑的应用和优化处理一、电脑的应用和优化处理二、目前,大家使用的个人电脑,配置方面均没多大问题,比如...
- 怎么安装usb驱动
-
USB驱动主要是针对WIN98时代的说法,如今WINXP已集成大部分USB驱动,通常都能识别。只有极少数情况下,例如手机、打印机或扫描仪等办公设备的USB驱动可能无法自动识别。1、USB驱动偶尔无法...
- 普通话考试多名考生信息被泄露,接投诉后涉事网站被限制访问
-
“陕西普通话成绩查询网(sxpth.cn)”泄露个人信息网站截图网传图片显示,407名普通话考试考生的姓名、身份证号码等个人信息疑似被泄露。9月26日下午,涉事网站sxpth.cn的域名注册商——成...
- 电脑伪技巧——个人电脑无需设置登录密码
-
默认情况下,我们每次登录系统都要输入登录账户对应的密码才能进入桌面。有些朋友觉得这样很麻烦,由于电脑只是自己使用,还不如不要设置密码,这样每次可以自动登录。大家知道,账户密码是系统验证用户合法性的唯一...
- Windows 10/11 自带远程桌面:实用技巧与操作指南
-
Windows10/11自带远程桌面:实用技巧与操作指南在当今快节奏的数字时代,远程访问和控制计算机的需求日益增长。微软在Windows10和Windows11中内置了远程桌面功能,为用户提供...
- 不升级系统的5大原因造吗?
-
2015-01-2405:54:00作者:陈占伟Windows10系统的发布,让人们重新将目光聚焦到生命力长久的Windows系统之上。如今操作系统越来越多,似乎Windows升级的获得的关注度...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- 如何绘制折线图 (52)
- javaabstract (48)
- 新浪微博头像 (53)
- grub4dos (66)
- s扫描器 (51)
- httpfile dll (48)
- ps实例教程 (55)
- taskmgr (51)
- s spline (61)
- vnc远程控制 (47)
- 数据丢失 (47)
- wbem (57)
- flac文件 (72)
- 网页制作基础教程 (53)
- 镜像文件刻录 (61)
- ug5 0软件免费下载 (78)
- debian下载 (53)
- ubuntu10 04 (60)
- web qq登录 (59)
- 笔记本变成无线路由 (52)
- flash player 11 4 (50)
- 右键菜单清理 (78)
- cuteftp 注册码 (57)
- ospf协议 (53)
- ms17 010 下载 (60)