HCIE 实验
HCIE 實驗LAB1
1、Layer-2 (交換)
1.1 鏈路聚合
SW1/2 配置如下命令:
interface Eth-Trunk12
Mode manual load-balance
load-balance src-dst-mac
Trunkport gi0/0/23
Trunkport gi0/0/24
Quit
驗證命令:Display eth-trunk
1.2 鏈路類型
S1/S2/S3/S4 互聯接口的鏈路類型是 Trunk,允許除 VLAN1 以外的所有 VLAN 通過。
SW1/2 配置如下命令:
Port-group group-member gi0/0/1 gi0/0/12 eth-trunk 12
Port link-type trunk
Port trunk allow-pass vlan all
Undo port trunk allow-pass vlan 1
Quit
SW3/4 配置如下命令:
Port-group group-member gi0/0/1 gi0/0/2
Port link-type trunk
Port trunk allow-pass vlan all
Undo port trunk allow-pass vlan 1
Quit
CE1、CE2 的 VRRP 虛擬 IP 地址為 10.3.1.254,為 PC1 的網關。CE1 會周期性的發送源 IP 地址為 10.3.1.254、源 MAC 為 00-00-5E-00-01-01 的免費 ARP。PC-1 與網關之間的數據 包封裝在 VLAN10 中(PC-1 收發的數據是沒有標簽的幀)。 (說明CE1 為VLAN10 的主網關,vrid為1)
CE1、CE2 的 VRRP 虛擬 IP 地址為 10.3.2.254,為 Server1 的網關。CE2 會周期性的發送 源 IP 地址為 10.3.2.254、源 MAC 為 00-00-5E-00-01-02 的免費 ARP。Server-1 與網關之間 的數據包封裝在 VLAN20 中(Server1 收發的數據是沒有標簽的幀)。(說明CE2 為VLAN20 的主網關,vrid為2)
@在 SW1/2/3/4 上,創建 VLAN 10/20:
Vlan batch 10 20
@將終端設備加入到特定的 vlan
SW3:
Interface eth0/0/1
Port link-type access
Port default vlan 10
Quit
SW4:
Interface eth0/0/1
Port link-type access
Port default vlan 20
Quit
@將 CE1/2 連接到交換機上:
SW1:(將與 CE1 互聯的接口配置為 trunk)
Interface gi0/0/2
Port link-type trunk
Port trunk allow-pass vlan all
Quit
SW2:(將與 CE2 互聯的接口配置為 trunk)
Interface gi0/0/2
Port link-type trunk
Port trunk allow-pass vlan all
Quit
CE1:(配置每個 vlan 的子接口) ,配置 VRRP - VLAN 10 。
Interface gi0/0/2.10
dot1q termination vid 10
arp broadcast enable
ip address 10.3.1.1 255.255.255.0
Quit
Interface gi0/0/2.20
dot1q termination vid 20
arp broadcast enable
ip address 10.3.2.1 255.255.255.0
Quit
CE1 的配置(VLAN10 的主網關)
interface GigabitEthernet0/0/2.10
vrrp vrid 1 virtual-ip 10.3.1.254
vrrp vrid 1 priority 120
Quit
CE1 的配置(VLAN20 的備份網關)
interface GigabitEthernet0/0/2.20
vrrp vrid 2 virtual-ip 10.3.2.254
quit
CE2:(配置每個 vlan 的子接口) ,配置 VRRP - VLAN 20 。
Interface gi0/0/2.10
dot1q termination vid 10
arp broadcast enable
ip address 10.3.1.2 255.255.255.0
Quit
Interface gi0/0/2.20
dot1q termination vid 20
arp broadcast enable
ip address 10.3.2.2 255.255.255.0
Quit
CE2 的配置(VLAN20 的主網關)
interface GigabitEthernet0/0/2.20
vrrp vrid 2 virtual-ip 10.3.2.254
Vrrp vrid 2 priority 120
quit
CE2 的配置(VLAN10 的備份網關)
interface GigabitEthernet0/0/2.10
vrrp vrid 1 virtual-ip 10.3.1.254
quit
@驗證命令: Display vrrp brief
VRRP 的 master 設備重啟時,Gi0/0/2 變為 UP 狀態 1 分鐘后,才能重新成為 master。
在 CE1 的配置命令:
Interface gi0/0/2.10
vrrp vrid 1 preempt-mode timer delay 60
Quit
在 CE2 的配置命令: I
Interface gi0/0/2.20
vrrp vrid 2 preempt-mode timer delay 60
quit
1.3MSTP(多生成樹協議)
S1/S2/S3/S4 都運行 MSTP。VLAN10 在 instance 10 中,S1 作為 Primary Root,S2 作為 Secondary Root。VLAN20 在 instance 20 中,S2 作為 Primary Root,S1 作為 Secondary Root。 MSTP 的 Region name 是 HUAWEI,Revision-level 為 12。
SW1/2/3/4 配置命令:
Stp mode mstp
stp region-configuration
region-name HUAWEI
revision-level 12
instance 10 vlan 10
instance 20 vlan 20
active region-configuration
Quit
SW1 配置 VLAN10 的根/備份根交換機:
Stp instance 10 root primary
Stp instance 20 root secondary
SW2 配置 VLAN20 的根/備份根交換機:
Stp instance 20 root primary
Stp instance 10 root secondary
除了交換機互聯的接口,其他接口要確保不參與 MSTP 計算,由 disabled 狀態直接轉 到 Forwarding 狀態.
SW1/2/3/4 的配置命令:
stp edged-port default -> 將每個設備的所有接口都開啟“邊緣端口”特性
接下來,需要將 SW 之間的互聯接口,關閉掉邊緣端口特性:
SW1/2:(SW 之間的互聯接口)
Port-group group-member gi0/0/1 gi0/0/12 eth-trunk 12
undo stp edged-port
SW3/4:(SW 之間的互聯接口)
Port-group group-member gi0/0/1 gi0/0/2
undo stp edged-port
1.4WAN(廣域網)
PE1-RR1 之間的互聯接口為 serial 接口,綁定為一個邏輯接口,成員鏈路采用的是 HDLC 協議。邏輯接口的 IPv4 地址和 IPv6 地址,請按照圖 1、圖 5 配置。(除了PE1-RR1之外都已經預配完成)
PE1 的配置命令:
Interface serial 0/0/0
Link-protocol hdlc
Y
Quit
Interface serial 0/0/1
Link-protocol hdlc
Y
Quit
Interface ip-trunk 13
Trunkport serial 0/0/0
Trunkport serial 0/0/1
Ip address 10.1.13.1 30
Quit
RR1 的配置命令:
Interface serial 0/0/0
Link-protocol hdlc
Y
Quit
Interface serial 0/0/1
Link-protocol hdlc
Y
Quit
Interface ip-trunk 13
Trunkport serial 0/0/0
Trunkport serial 0/0/1
Ip address 10.1.13.2 30
Quit
2. PE3-CE3 之間的互聯接口是 POS 接口,綁定為一個邏輯接口,成員鏈路采用的是 PPP 協議。邏輯接口的 IPv4 地址,請按照圖 1 配置。(除了PE3-CE3之外都已經預配完成)
在 PE3 上配置命令:
Interface mp-group 0/0/1
Ip address 10.2.33.2 30
Quit
Interface pos 4/0/0
Link-protocol ppp
Ppp mp mp-group 0/0/1
Quit
Interface pos 6/0/0
Link-protocol ppp
Ppp mp mp-group 0/0/1
Quit
在 CE3 上配置命令:
Interface mp-group 0/0/1
Ip address 10.2.33.1 30
Quit
Interface pos 4/0/0
Link-protocol ppp
Ppp mp mp-group 0/0/1
Quit
Interface pos 6/0/0
Link-protocol ppp
Ppp mp mp-group 0/0/1
Quit
驗證命令: Display ppp mp Ping x.x.x.x (10.2.33.1 10.2.33.2)
2、IGP(IPv4)
2.1 基本配置 1. 所有設備的接口 IPv4 地址,按照圖 1 配置。(除 PE1-RR1 的邏輯接口外,該地址已預配) 2. Router-id 與Loopback0 的 IPv4 地址相同。MPLS 域中各設備的Loopback0為 172.16.0.0/32 的主機地址(已預配置)。未來擴展的 MPLS 域個設備的 Loopback0,從 172.16.0.0/16 中 取可用的主機地址。比如 172.16.1.21/32 可能在 AS100,也可能在 AS200。
2.2OSPF
CE1 的配置:
ospf 1
silent-interface GigabitEthernet0/0/2.10
silent-interface GigabitEthernet0/0/2.20
area 0.0.0.0
network 10.3.1.1 0.0.0.0
network 10.3.2.1 0.0.0.0
Quit
CE2 的配置:
ospf 1
silent-interface GigabitEthernet0/0/2.10
silent-interface GigabitEthernet0/0/2.20
area 0.0.0.0
network 10.3.1.2 0.0.0.0
network 10.3.2.2 0.0.0.0
Quit
PE3/4 的配置命令:
Interface gi0/0/0
Ospf network-type p2p
q
PE4 的配置命令:
Ip ip-prefix 1 permit 172.16.1.2 32
Route-policy LOOP32 permit node 10
If-match ip-prefix 1
Quit
Ospf 1
Import-route direct route-policy LOOP32 type 1
2.3ISIS
PE1:
Interface ip-trunk 13
Isis enable 1
Isis cost 1500
q
RR1:
Interface ip-trunk 13
Isis enable 1
Isis cost 1500
q
RR2/P2 的配置命令:
Interface gi0/0/0
Isis circuit-type p2p
q
注意:
在 AS 100 中,我們需要在 RR1 和 P1 上面,將 L2 的路由,泄露到 L1 區域; 目的是為了實現后面的 MPLS-VPN 需求中的“總部與分部”的網段之間的數據包的互通。(為了后面的實驗記得要做!)
RR1/P1:
Isis 1
Import-route isis level-2 into level-1
RR2 配置命令: (OSPF->ISIS) 【逆時針環路】
Ip ip-prefix 32 permit 172.16.0.0 16 greater-equal 32 less-equal 32
Route-policy OSPF-ISIS deny node 5
If-match tag 200 (拒絕掉 標簽200的數據)
Quit
Route-policy OSPF-ISIS permit node 10
If-match ip-prefix 32 (OSPF進ISIS的時候給自己的數據打上100的標簽)
Apply tag 100
Quit
Isis 1
Import-route ospf 1 inherit-cost route-policy OSPF-ISIS
RR2 的配置:(ISIS->OSPF)【順時針環路】
Route-policy ISIS-OSPF deny node 5
If-match tag 400
Quit
Route-policy ISIS-OSPF permit node 10
If-match ip-prefix 32
Apply tag 300
Quit
Ospf 1
Import-route isis 1 type 1 route-policy ISIS-OSPF
Default cost inherit-metric
P2 配置命令:(ISIS->OSPF) 【逆時針環路】
Ip ip-prefix 32 permit 172.16.0.0 16 greater-equal 32 less-equal 32
Route-policy ISIS-OSPF deny node 5
If-match tag 100
Quit
Route-policy ISIS-OSPF permit node 10
If-match ip-prefix 32
Apply tag 200
Quit
Ospf 1
Import-route isis 1 type 1 route-policy ISIS-OSPF
Default cost inherit-metric
P2 的配置:(OSPF-ISIS) 【順時針環路】
Route-policy OSPF-ISIS deny node 5
If-match tag 300
Quit
Route-policy OSPF-ISIS permit node 10
If-match ip-prefix 32
Apply tag 400
Quit
Isis 1
import-route ospf 1 inherit-cost route-policy OSPF-ISIS
現在解決的是:數據轉發的次優路徑問題。
RR2:
Route-policy P150 permit node 10
If-match tag 200
Apply preference 150
Quit
Ospf 1
Preference ase 10 route-policy P150
P2:
Route-policy P150 permit node 10
If-match tag 300
Apply preference 150
Quit
Ospf 1
Preference ase 10 route-policy P150
q
P1 的配置命令:
Isis 1
Timer lsp-generation 1 50 50
Timer spf 1 100 100
Flash-flood
3、MPLS VPN
CE1、CE2 為 VPN1 的 Hub-CE,PE1、PE2 為 Hub-PE;CE3、CE4 為 VPN1 的 Spoke 站點; PE3、PE4 為 Spoke-PE。
CE4 為 Multi-VPN-instance CE,CE4 的 VPN 實例 VPN1,通過 Gi0/0/1 【考試時,用的是子接口,一定要記得開啟 ARP 廣播功能與后面 CE1-PE1相似】 連接 PE4。
CE4 的配置命令: (考試時候,PE4-CE4 之間使用的是子接口,到時注意開啟 ARP 廣播)
Ip vpn-instance VPN1
Route-distinguisher 100:14
Quit
Interface gi0/0/1
Ip binding vpn-instance VPN1
Ip address 10.2.41.1 30
Quit
Interface loopback 0
Ip binding vpn-instance VPN1
Ip address 172.17.1.4 32
Quit
Interface loopback 1
Ip binding vpn-instance VPN1
Ip address 10.3.3.34 32
Quit
合理配置 VPN1 參數,使得 Spoke 站點互訪的流量必須經過 Hub-CE 設備。當 CE1-PE1 鏈 路斷開的情況下,PE1 仍然可以學習到 CE1 的業務路由。( PE3 上的 VPN1 的 RD 為 100:13, Export RT 為 100:1,Import RT 為 200:1)。
解析:
整個網路中的 VPN 的實例的名字,都是叫做 VPN1,并且只有 PE3 上面明確規定了 RD 和 RT ,通過對這個 VPN1 的理解,可以推導出 PE1/2/4 上面的 RT,但是 RD 在每個設 備上都是隨意設置的。(只有 PE3 明確規定了,但是不建議大家隨意修改,都按照解法來)
接下來,在 PE1/2 上面分別創建兩個 VPN 實例:VPN1_IN 和 VPN1_OUT,在 PE1/2 上 面分別用于接收 分支站點 CE3/4 發送過來的路由,以及用于將總部的路由發送給 CE3/CE4。(import 接收 export 發出)
PE1 的配置命令:
Ip vpn-instance VPN1_IN
Route-distinguisher 100:10
Vpn-target 100:1 import-extcommunity
Vpn-target 300:1 import-extcommunity
Quit
Ip vpn-instance VPN1_OUT
Route-distinguisher 100:12
Vpn-target 200:1 export-extcommunity
Vpn-target 400:1 import-extcommunity
Quit
PE2 的配置命令:
Ip vpn-instance VPN1_IN
Route-distinguisher 100:11
Vpn-target 100:1 import-extcommunity
Vpn-target 300:1 export-extcommunity
Quit
Ip vpn-instance VPN1_OUT
Route-distinguisher 100:15
Vpn-target 200:1 export-extcommunity
Vpn-target 400:1 export-extcommunity
Quit
PE3 的配置命令:
Ip vpn-instance VPN1
Route-distinguisher 100:13
Vpn-target 100:1 export-extcommunity
Vpn-target 200:1 import-extcommunity
Quit
interface Mp-group0/0/1
ip binding vpn-instance VPN1
ip address 10.2.33.2 255.255.255.252
Quit
PE4 的配置命令:
Ip vpn-instance VPN1
Route-distinguisher 100:14
Vpn-target 100:1 export-extcommunity
Vpn-target 200:1 import-extcommunity
Quit
Interface gi0/0/1
Ip binding vpn-instance VPN1
Ip address 10.2.41.2 30
Quit
如圖 4,CE1 通過 Gi0/0/1.1 和 Gi0/0/1.2 建立直連 EBGP 鄰居,接入 PE1。CE1 通過 Gi0/0/1.2 向 PE1 通告的 BGP update 中,某些路由的 as-path 中有 200。在 CE1 上將 OSPF 路由導入 BGP。
解析:
經過題意的分析,我們知道 CE1 通過 gi0/0/1.2 接口向 PE1 發送 BGP 路由,通過 gi0/0/1.1 接口從 PE1 接收其他 分支站點的路由。所以,在 PE1 上面,gi0/0/1.1 接口應該 屬于 VPN1_IN ,gi0/0/1.2 接口應該屬于 VPN1_OUT。
PE1 的配置命令:
Interface gi0/0/1.1
Ip binding vpn-instance VPN1_IN
Ip address 10.2.11.2 30
Arp broadcast enable
Quit
Interface gi0/0/1.2
Ip binding vpn-instance VPN1_OUT
Ip address 10.2.11.6 30
Arp broadcast enable
Quit
Bgp 100
Ipv4-family vpn-instance VPN1_IN
Peer 10.2.11.1 as-number 65000
Quit
Ipv4-family vpn-instance VPN1_OUT
Peer 10.2.11.5 as-number 65000
Peer 10.2.11.5 allow-as-loop
Quit
CE1 的配置命令:
Interface gi0/0/1.1
Arp broadcast enable
Quit
Interface gi0/0/1.2
Arp broadcast enable
Quit
Bgp 65000
Peer 10.2.11.2 as-number 100
Peer 10.2.11.6 as-number 100
Import-route ospf 1 med 0
q
CE2 通過 Gi0/0/1.1 和 Gi0/0/1.2 建立直連 EBGP 鄰居,接入 PE2。CE2 通過 Gi0/0/1.2 向 PE2 通告的 BGP update 中,某些路由的 as-path 中有 200。在 CE2 上,將 OSPF 路由導入 BGP。
PE2 的配置命令:
Interface gi0/0/1.1
Ip binding vpn-instance VPN1_IN
Ip address 10.2.22.2 30
Arp broadcast enable
Quit
Interface gi0/0/1.2
Ip binding vpn-instance VPN1_OUT
Ip address 10.2.22.6 30
Arp broadcast enable
Quit
Bgp 100
Ipv4-family vpn-instance VPN1_IN
Peer 10.2.22.1 as-number 65000
Quit
Ipv4-family vpn-instance VPN1_OUT
Peer 10.2.22.5 as-number 65000
Peer 10.2.22.5 allow-as-loop
Quit
CE2 的配置命令:
Interface gi0/0/1.1
Arp broadcast enable
Quit
Interface gi0/0/1.2
Arp broadcast enable
Quit
Bgp 65000
Peer 10.2.22.2 as-number 100
Peer 10.2.22.6 as-number 100
Import-route ospf 1 med 0
q
CE3 通過 OSPF 區域 1 接入 PE3,通過 PE3–CE3 的邏輯接口互通,宣告 CE3 的各回環口; CE4 通過 OSPF 區域 0 接入 PE4,通過 PE4-CE4 的 Gi0/0/1 的接口互通,通過 CE4 的各接口。
PE3 的 VPN1 啟用 OSPF 協議:
Ospf 2 vpn-instance VPN1
Area 1
Network 10.2.33.2 0.0.0.0
Quit
Quit
CE3 的 OSPF 協議:
Ospf 2
Area 1
Network 10.2.33.1 0.0.0.0
Network 172.17.1.3 0.0.0.0
Network 10.3.3.3 0.0.0.0
Quit
Quit
PE4 的 VPN1 的配置,并啟用 OSPF 協議:
Ip vpn-instance VPN1
Route-distinguisher 100:14
Vpn-target 100:1 export-extcommunity
Vpn-target 200:1 import-extcommunity
Quit
Interface gi0/0/1
Ip binding vpn-instance VPN1
Ip address 10.2.41.2 30
Quit
Ospf 2 vpn-instance VPN1
Area 0
Network 10.2.41.2 0.0.0.0
Quit
CE4 的 OSPF 協議:
Ospf 2 vpn-instance VPN1
Vpn-instance-capability simple
Area 0
Network 10.2.41.1 0.0.0.0
Network 10.3.3.4 0.0.0.0
Network 172.17.1.4 0.0.0.0
Quit
如圖 4,在 AS 100、AS 200 內建立 IBGP IPv4 鄰居關系:RR1 是 PE1/PE2/P1/ASBR1/ASBR2 的反射器;RR2 是 PE3/PE4/P2/ASBR3/ASBR4 的反射器;ASBR1–ASBR3、ASBR2–ASBR4 建立 EBGP IPv4 鄰居關系。(已預配)
解析:
注意,在考試過程中,AS 100 和 AS 200 內部的,以及 AS 之間的 IPv4 的 BGP 鄰居關系, 都已經配置完成了,并且沒有錯誤。我們需要做的,僅僅是需要“查看一下每個 BGP 鄰居 是否正常建立。一般都是正常“建立”的狀態”。
在 ASBR 上,將 ISIS 的 Loopback0 路由引入 BGP。
解析:
注意,我們做完這個需求的主要目的是為讓 RR1 和 RR2,能夠互相學習到對方的 Loopback 0 的路由條目,為的就是可以在 RR1 和 RR2 之間建立 VPNv4 的 EBGP 鄰居關系。
AS100 的回環口路由進入到 AS200:( ASBR1–>ASBR3)
ASBR1 上面的配置:
Ip ip-prefix 32 permit 172.16.1.1 32
Ip ip-prefix 32 permit 172.16.1.3 32
Ip ip-prefix 32 permit 172.16.1.4 32
Ip ip-prefix 32 permit 172.16.1.5 32
Ip ip-prefix 32 permit 172.16.1.6 32
Ip ip-prefix 32 permit 172.16.1.20 32
Route-policy ISIS-BGP permit node 10
If-match ip-prefix 32
Quit
Bgp 100
Import-route isis 1 route-policy ISIS-BGP
q
AS100 的回環口路由進入到 AS200:( ASBR2–>ASBR4)
ASBR2 上面的配置:
Ip ip-prefix 32 permit 172.16.1.1 32
Ip ip-prefix 32 permit 172.16.1.3 32
Ip ip-prefix 32 permit 172.16.1.4 32
Ip ip-prefix 32 permit 172.16.1.5 32
Ip ip-prefix 32 permit 172.16.1.6 32
Ip ip-prefix 32 permit 172.16.1.20 32
Route-policy ISIS-BGP permit node 10
If-match ip-prefix 32
Quit
Bgp 100
Import-route isis 1 route-policy ISIS-BGP
Quit
AS200 的回環口路由進入到 AS100:( ASBR3–>ASBR1)
ASBR3 上面的配置:
Ip ip-prefix 32 permit 172.16.1.7 32
Ip ip-prefix 32 permit 172.16.1.8 32
Ip ip-prefix 32 permit 172.16.1.9 32
Ip ip-prefix 32 permit 172.16.1.10 32
Ip ip-prefix 32 permit 172.16.1.11 32
Ip ip-prefix 32 permit 172.16.1.2 32
Route-policy ISIS-BGP permit node 10
If-match ip-prefix 32
Quit
Bgp 200
Import-route isis 1 route-policy ISIS-BGP
Quit
AS200 的回環口路由進入到 AS100:( ASBR4–>ASBR2)
ASBR4 上面的配置:
Ip ip-prefix 32 permit 172.16.1.7 32
Ip ip-prefix 32 permit 172.16.1.8 32
Ip ip-prefix 32 permit 172.16.1.9 32
Ip ip-prefix 32 permit 172.16.1.10 32
Ip ip-prefix 32 permit 172.16.1.11 32
Ip ip-prefix 32 permit 172.16.1.2 32
Route-policy ISIS-BGP permit node 10
If-match ip-prefix 32
Quit
Bgp 200
Import-route isis 1 route-policy ISIS-BGP
Quit
注意!
即使現在的兩個回環接口可以互相訪問,但是在 RR1 和 RR2 之間的 MP-EBGP 鄰居關 系,依然存在問題:MP-EBGP 鄰居可以建立,但是 VPNv4 路由是不會互相傳遞的。
原因: 因為 VPNv4 路由的下一跳都是對端的 Loopback 0 接口 IP 地址,而這些地址在本地設 備上都是 BGP 路由,但是這些 BGP 路由是沒有標簽的。所以導致已經建立好的 RR1-RR2 之間的 MP-EBGP 鄰居關系是不會進行 VPNv4 路由傳遞的。
所以,接下來需要在 AS100 和 AS200 的 ASBR 之間進行傳遞 IPv4 路由的時候,配置 MPLS-Lable 。( label-route-capability 用來使能發送標簽路由能力)
AS100 -? AS 200 : (ASBR1—ASBR3)
ASBR1:
Route-policy ASBR1-ASBR3 permit node 10
Apply mpls-label
Quit
Bgp 100
Peer 10.1.57.2 route-policy ASBR1-ASBR3 export
Peer 10.1.57.2 label-route-capability
Quit
ASBR3:
Route-policy ASBR3-RR2 permit node 10
If-match mpls-label
Apply mpls-label
Quit
Bgp 200
Peer 172.16.1.9 route-policy ASBR3-RR2 export
Peer 172.16.1.9 label-route-capability
RR2:
Bgp 200
Peer 172.16.1.7 label-route-capability
q
AS100 -? AS 200 : (ASBR2—ASBR4)
ASBR2:
Route-policy ASBR2-ASBR4 permit node 10
Apply mpls-label
Quit
Bgp 100
Peer 10.1.68.2 route-policy ASBR2-ASBR4 export
Peer 10.1.68.2 label-route-capability
Quit
ASBR4:
Route-policy ASBR4-RR2 permit node 10
If-match mpls-label
Apply mpls-label
Quit
Bgp 200
Peer 172.16.1.9 route-policy ASBR4-RR2 export
Peer 172.16.1.9 label-route-capability
RR2:
Bgp 200
Peer 172.16.1.8 label-route-capability
q
AS200 -? AS 100 : (ASBR3—ASBR1)
ASBR3:
Route-policy ASBR3-ASBR1 permit node 10
Apply mpls-label
Quit
Bgp 200
Peer 10.1.57.1 route-policy ASBR3-ASBR1 export
Peer 10.1.57.1 label-route-capability
Quit
ASBR1:
Route-policy ASBR1-RR1 permit node 10
If-match mpls-label
Apply mpls-label
Quit
Bgp 100
Peer 172.16.1.3 route-policy ASBR1-RR1 export
Peer 172.16.1.3 label-route-capability
RR1:
Bgp 100
Peer 172.16.1.5 label-route-capability
q
AS200 -? AS 100 : (ASBR4—ASBR2)
ASBR4:
Route-policy ASBR4-ASBR2 permit node 10
Apply mpls-label
Quit
Bgp 200
Peer 10.1.68.1 route-policy ASBR4-ASBR2 export
Peer 10.1.68.1 label-route-capability
Quit
ASBR2:
Route-policy ASBR2-RR1 permit node 10
If-match mpls-label
Apply mpls-label
Quit
Bgp 100
Peer 172.16.1.3 route-policy ASBR2-RR1 export
Peer 172.16.1.3 label-route-capability
RR1:
Bgp 100
Peer 172.16.1.6 label-route-capability
q
同時,我們需要在 RR1 和 RR2 上,對其他的客戶端也要配置 label-route-capability
RR1:
Bgp 100
Peer 172.16.1.1 label-route-capability
Peer 172.16.1.20 label-route-capability
Peer 172.16.1.4 label-route-capability
PE1/PE2/P1:
Bgp 100
Peer 172.16.1.3 label-route-capability
RR2:
Bgp 200
Peer 172.16.1.10 label-route-capability
Peer 172.16.1.11 label-route-capability
Peer 172.16.1.2 label-route-capability
PE3/PE4/P2:
Bgp 200
Peer 172.16.1.9 label-route-capability
另外,我們需要在 ASBR 之間的鏈路上啟用 MPLS : ASBR1/2/3/4:
Interface gi0/0/2
Mpls
Q
到此時為止,RR1 和 RR2 之間的回環口應該是可以互相訪問的 【ping -a 172.16.1.3 172.16.1.9,測試應該是通的】
如圖 3,AS 100、AS 200 內各網元配置 MPLS LSR-ID,全局使能 MPLS,MPLS LDP(預配)。 AS100、AS200 內各直連鏈路建立 LDP 鄰居(除 PE1-RR1 之間的鏈路外,其他已預先配置)。
解析:
注意,關于每個 AS 內部的 MPLS 和 MPLS-LDP 都已經配置完成了。我們需要做的僅僅配 置 AS 100 內的 PE1–RR1 之間的虛擬鏈路:
PE1/RR1:
Interface ip-trunk 13
Mpls
Mpls ldp
Quit
如圖 4,各站點通過 MPLS BGP VPN 跨域 Option C 方案 1,能夠互相學習路由。MPLS 域 不能出現次優路徑。
解析:
首先,我們需要在 RR1 和 RR2 之間建立 VPNv4 BGP 鄰居(不需要 IPv4 BGP 鄰居)難點 (Undo policy vpn-target 關閉RT的過濾功能) 建立vpnv4鄰居關系一定要關閉ipv4的!
RR1 的配置:
Bgp 100
Peer 172.16.1.9 as-number 200
Peer 172.16.1.9 connect-interface loopback 0
Peer 172.16.1.9 ebgp-max-hop
Ipv4-family vpnv4
Peer 172.16.1.9 enable
Undo policy vpn-target
Quit
Ipv4-family unicast
Undo peer 172.16.1.9 enable
Quit
RR2 的配置:
Bgp 200
Peer 172.16.1.3 as-number 100
Peer 172.16.1.3 connect-interface loopback 0
Peer 172.16.1.3 ebgp-max-hop
Ipv4-family vpnv4
Peer 172.16.1.3 enable
Peer 172.16.1.3 allow-as-loop
Undo policy vpn-target
Quit
Ipv4-family unicast
Undo peer 172.16.1.3 enable
Quit
其次,需要在 RR 和 PE 之間建立 VPNv4 BGP 鄰居關系(reflect-client 指定自己的反射客戶端)
RR1 的配置:
Bgp 100
Ipv4-family vpnv4
Peer 172.16.1.1 enable
Peer 172.16.1.1 reflect-client
Peer 172.16.1.20 enable
Peer 172.16.1.20 reflect-client
Peer 172.16.1.4 enable
Peer 172.16.1.4 reflect-client
Peer 172.16.1.5 enable
Peer 172.16.1.5 reflect-client
Peer 172.16.1.6 enable
Peer 172.16.1.6 reflect-client
Quit
PE1/PE2/P1/ASBR1/ASBR2:
Bgp 100
Ipv4-family vpnv4
Peer 172.16.1.3 enable
RR2 的配置:
Bgp 200
Ipv4-family vpnv4
Peer 172.16.1.11 enable
Peer 172.16.1.11 reflect-client
Peer 172.16.1.2 enable
Peer 172.16.1.2 reflect-client
Peer 172.16.1.7 enable
Peer 172.16.1.7 reflect-client
Peer 172.16.1.8 enable
Peer 172.16.1.8 reflect-client
Peer 172.16.1.10 enable
Peer 172.16.1.10 reflect-client
Quit
PE3/PE4/P2/ASBR3/ASBR4:
Bgp 200
Ipv4-family vpnv4
Peer 172.16.1.9 enable
再次,在 PE 上將從 CE 學習過來的路由,導入到 MP-BGP 協議
PE3 的配置:
Bgp 200
Ipv4-family vpn-instance VPN1
Import-route ospf 2
Quit
PE4 的配置:
Bgp 200
Ipv4-family vpn-instance VPN1
Import-route ospf 2
Quit
最后,將從總部 PE 學習過來的路由,導入到分部的 PE-CE 之間的 OSPF 協議中
PE3 的配置:
Ospf 2
Import-route bgp
PE4 的配置:
Ospf 2
Import-route bgp
CE4 的配置:
Ospf 2
Vpn-instance-capability simple
Quit
驗證:用CE3 ping -a 172.17.1.3 172.17.1.4 display ip routing-table vpn-instance VPN1(CE4上查
看路由)
注意:
關于總部的 PE-CE 之間的路由傳遞是不需要手動導入的,因為總部的 PE-CE 之間的路由協議是 BGP 協議,PE 會將從總部 CE 學習過來的 BGP 路由,自動的導入到總部 連接的 PE 中。
為了讓分部與總部之間的數據,在 MPLS 域內轉發的時候沒有轉發的次優路徑, 我們需要確保 MPLS-VPN 路由,在傳遞過程中,是不能更改下一跳 IP 地址的。 所以我們需要在所有的 MPLS-VPN 鄰居關系之間配置: 下一跳 IP 地址不變 的特性。
AS100:
RR1:
BGP 100
ipv4-family vpnv4
Peer 172.16.1.1 next-hop-invariable
Peer 172.16.1.4 next-hop-invariable
Peer 172.16.1.5 next-hop-invariable
Peer 172.16.1.6 next-hop-invariable
Peer 172.16.1.20 next-hop-invariable
Peer 172.16.1.9 next-hop-invariable
AS200:
RR2:
BGP 200
ipv4-family vpnv4
Peer 172.16.1.7 next-hop-invariable
Peer 172.16.1.8 next-hop-invariable
Peer 172.16.1.10 next-hop-invariable
Peer 172.16.1.11 next-hop-invariable
Peer 172.16.1.2 next-hop-invariable
Peer 172.16.1.3 next-hop-invariable
驗證:CE3 tracert -a 172.17.1.3 172.17.1.4
解析:
下面的分析,是同時考慮了 11/12 兩個題目的需求。 在 CE1-PE1 和 CE2-PE2 之間,存在路由環路和數據轉發的次優路徑問題。
當 CE1-PE1 之間鏈路斷開的時候,分支站點的客戶路由經過 PE2,通過 EBGP 鄰居, 發送給 了 CE2,CE2 上面將 BGP 路由引入到了 OSPF,然后通過 OSPF 傳輸給了 CE1。此時 CE1 依 然可以訪問分支站點的路由,但是是通過 OSPF 的外部路由來實現的。 當 CE1-PE1 之間的鏈路修復之后, PE1 也會通過 EBGP 鄰居將路由發送給 CE1,但是通過 EBGP 鄰居學習過來的路由,優先級為 255,通過 OSPF 從 CE2 學習過來的路由的優先級為 150. 所以,CE1 的路由表中去往分支站點的路由的下一跳是 CE2,此時就出現了次由路徑。 同時,CE1 上也配置了將 OSPF 路由引入到 BGP 協議中,此時從 CE2 學習過來的路由如 果再次引入到 BGP 協議的話,就會出現了“路由環路”。 因為這些分支站點的路由,本來就 是從 AS 100 中學習過來的(從 PE2 學習過來的)。 所以,PE1-CE1,PE2-CE2 的連接環境中,存在上述兩個問題。(CE2把BGP路由引入ospf的時候打上200的標簽,當CE1把OSPF路由引入BGP的時候拒絕引入打200標簽的路由)(CE1把BGP路由引入OSPF的時候打上100的標簽,當CE2把OSPF引入BGP的時候拒絕引入打上100標簽的路由)
解決問題 1:路由環路問題;
CE1:
Route-policy BGP-OSPF permit node 10
Apply tag 100
Quit
Ospf 1
Import-route bgp route-policy BGP-OSPF
Quit
CE2:
Route-policy OSPF-BGP deny node 5
If-match tag 100
Quit
Route-policy OSPF-BGP permit node 10
Bgp 65000
Import-route ospf 1 med 0 route-policy OSPF-BGP
Quit
CE2:
Route-policy BGP-OSPF permit node 10
Apply tag 200
Quit
Ospf 1
Import-route bgp route-policy BGP-OSPF
Quit
CE1:
Route-policy OSPF-BGP deny node 5
if-match tag 200
quit
route-policy OSPF-BGP permit node 10
quit
bgp 65000
import-route ospf 1 med 0 route-policy OSPF-BGP
解決問題 2:
次優路徑 在 CE1/2 的 BGP 進程下,將 EBGP 路由的優先級修改為小于 OSPF 外部路由的優先級;
我們建議選擇修改為 120 (默認是 255) 命令如下:
CE1/2
Bgp 65000
Preference 120 255 255
Quit
13. 在 PE3/PE4 上修改 BGP Local-preference 屬性,實現 CE3/CE4 訪問非直連的 10.3.x.0/24 網段時,如果 X 為奇數,PE3/PE4 優選的下一跳為 PE1;如果 X 為偶數,PE3/PE4 優選的下 一跳為 PE2。不用考慮來回的路徑是否一致。
配置思路: (首先明確:在 PE3/PE4 的策略配置是相同)
首先,抓取基數路由和偶數路由;
其次,抓取路由器的下一跳 IP 地址
再次,修改上述路由的優先級(3000)
PE3/4:
Acl 2000 // 匹配的是偶數路由
Rule 10 permit source 10.3.0.0 0.0.254.0
Acl 2001 // 匹配的是基數路由
Rule 10 permit source 10.3.1.0 0.0.254.0
Ip ip-prefix PE1 permit 172.16.1.1 32 ? 匹配下一跳 IP 地址 172.16.1.1;
Ip ip-prefix PE2 permit 172.16.1.20 32 ? 匹配下一跳 IP 地址 172.16.1.20;
Route-policy LOCAL permit node 10 // 抓取下一跳為 PE1 的基數路由,設置屬性
If-match acl 2001
If-match ip next-hop ip-prefix PE1
Apply local-preference 3000
Quit
Route-policy LOCAL permit node 20 // 抓取下一跳為 PE2 的偶數路由,設置屬性
If-match acl 2000
If-match ip next-hop ip-prefix PE2
Apply local-preference 3000
Quit
Route-policy LOCAL permit node 100 // 允許其他所有路由
Bgp 200
Ipv4-family vpnv4
Peer 172.16.1.9 route-policy LOCAL import
4、Feature(特性)
4.1HA(高可用性)
CE1:(全局開啟 BFD,創建 BFD 會話,關聯 BFD 會話)
Bfd
Quit
bfd isp bind peer-ip 100.0.1.2 interface GigabitEthernet2/0/1 one-arm-echo
discriminator local 1
detect-multiplier 4
min-echo-rx-interval 30
commit
Ip route-static 0.0.0.0 0.0.0.0 100.0.1.2 track bfd-session isp
CE2:( 創建 NQA,配置靜態默認路由,調用 NQA)
Nqa test-instance admin icmp
Test-type icmp
Destination-address ipv4 200.0.2.2
Frequency 3
Start now
Quit
Ip route-static 0.0.0.0 0.0.0.0 200.0.2.2 track nqa admin icmp
3.CE3、CE4 能夠通過默認路由訪問 ISP。CE1-ISP 的鏈路斷開時,CE1 仍能夠訪問 ISP;CE2-ISP 的鏈路斷開時,CE2 仍能訪問 ISP。
解析:
總部將默認發送給分部,同時讓分部訪問 ISP 時,首選 CE1。(CE1/CE2 自己本地有0.0.0.0 的路由就會產生一條默認路由去PE1)(CE2 寫一條規則 加上自己的起源屬性)
CE1:
Bgp 65000
Peer 10.2.11.6 default-route-advertise conditional-route-match-all 0.0.0.0 0
Quit
PE3/PE4:
Ospf 2
Default-route-advertise (向CE3 CE4 產生默認路由)
CE2:
Route-policy ORG permit node 10
Apply origin incomplete
Quit
Bgp 65000
Peer 10.2.22.6 default-route-advertise route-policy ORG conditional-route-match-all 0.0.0.0 0
Quit
為了能夠讓 CE1/2 去往 ISP 的時候,存在備份路徑,需要: (產生一個默認路由給對方)
CE1/2:
Ospf 1
Default-route-advertise
為了防止CE與ISP之間的鏈路斷開導致 總部PC無法訪問ISP,所以,我們需要配置 VRRP 的 鏈路跟蹤
CE1:是 VLAN 10 的主網關
Interface gi0/0/2.10
Vrrp vrid 1 track interface gi2/0/1 reduced 15
Vrrp vrid 1 track interface gi0/0/0 reduced 15
CE2:是 VLAN 20 的主網關
Interface gi0/0/2.20
Vrrp vrid 2 track interface gi2/0/2 reduced 15
Vrrp vrid 2 track interface gi0/0/0 reduced 15
4.2NAT 1. 在 CE1 上,10.3.0.0/16(不包含 10.3.2.10)的內網地址轉換為 102.0.1.2 – 102.0.1.6,通 過 Gi2/0/1 訪問 ISP。在 CE2 上,10.3.0.0/16(不包含 10.3.2.10)的內網地址轉換為 102.0.1.2 – 102.0.1.6,通過 Gi2/0/2 訪問 ISP。 Server1 擁有單獨的公網地址 102.0.1.1,對 ISP 提供 FTP 和 HTTP 服務。
解析:
為了實現從內網去往 ISP,應該配置 PNAT; CE1/2: {以下的 ACL 和 address-group ,在 CE1/2 都要配置}
CE1/CE2:
Acl 2000
Rule 10 deny source 10.3.2.10 0.0.0.0
Rule 20 permit source 10.3.0.0 0.0.255.255
q
nat address-group 1 102.0.1.2 102.0.1.6
Interface gi2/0/1{這是 CE1 上連接 ISP 的接口}
Nat outbound 2000 address-group 1
Interface gi2/0/2{這是 CE2 上連接 ISP 的接口}
Nat outbound 2000 address-group 1
為了實現從 ISP 訪問內網的 Server1,需要配置 NAT Server :
CE1:
Interface gi2/0/1
Nat server protocol tcp global 102.0.1.1 www inside 10.3.2.10 www
Nat server protocol tcp global 102.0.1.1 ftp inside 10.3.2.10 ftp
CE2:
Interface gi2/0/2
Nat server protocol tcp global 102.0.1.1 www inside 10.3.2.10 www
Nat server protocol tcp global 102.0.1.1 ftp inside 10.3.2.10 ftp
4.3QOS 1. 在 CE1 的 Gi2/0/1、CE2 的 Gi2/0/2 的出方向,周一至周五的 8:00—18:00,對 TCP 目標 端口號為 6881 — 6999 的流量,承諾的平均速率為 1Mbps。
解析:
在 CE1/CE2 的 Gi2/0/1 /Gi2/0/2的接口上配置 流量監控
time-range work 08:00 to 18:00 working-day // 創建時間列表
acl number 3000
rule 5 permit tcp destination-port range 6881 6999 time-range work
quit
interface gi2/0/1
qos car outbound acl 3000 cir 1024
quit
在 CE2 的 Gi2/0/2 的接口上配置 流量監控(與 CE1 上面的配置完全相同)
2. CE4-PE4 的 QOS 規劃如下所示
在 CE4 的 Gi0/0/1 的出方向對流量進行 802.1p 標記。在 PE4 的 Gi0/0/1 入方向,繼承 CE4 的 802.1p 值,并將 802.1p 映射為 DSCP。
解析:
在 CE4 的 Gi0/0/1 的出方向 對流量進行 802.1P 標記。(先用ACL抓住數據包)(Traffic classifie調用ACL)(traffic behavior 行為 打 802.1P的標記)
acl name office advance
rule 5 permit ip destination 10.3.4.0 0.0.0.255
quit
acl name monitor advance
rule 5 permit ip destination 10.3.3.0 0.0.0.255
quit
acl name signal advance
rule 5 permit ip destination 10.3.2.0 0.0.0.255
quit
acl name realtime advance
rule 5 permit ip destination 10.3.1.0 0.0.0.255
quit
Traffic classifier Office
if-match acl office
quit
traffic classifier Monitor
if-match acl monitor
quit
traffic classifier Signal
if-match acl signal
quit
traffic classifier RealTime
if-match acl realtime
quit
traffic behavior Office
remark 8021p 2
quit
traffic behavior Monitor
remark 8021p 3
quit
traffic behavior Signal
remark 8021p 4
quit
traffic behavior RealTime
remark 8021p 5
quit
traffic behavior Other
remark 8021p 0
quit
traffic policy Remark
classifier Signal behavior Signal
classifier Office behavior Office
classifier Monitor behavior Monitor
classifier RealTime behavior RealTime
classifier default-class behavior Other ---->不要忘記!
quit
CE4: 調用 Traffic Policy
interface gi0/0/1
traffic-policy Remark outbound
quit
在 PE4 的 gi0/0/1 的入方向,繼承 CE4 的 802.1p 值,并將其轉化 為 DSCP 。
qos map-table dot1p-dscp
input 5 output 46
input 4 output 32
input 3 output 24
input 2 output 16
input 0 output 0
interface gi0/0/1
trust 8021p override
3. PE4 的 Gi0/0/0 和 Gi0/0/2 匹配 DSCP 值,根據表-1(上述表格)配置擁塞管理和擁塞避 免。
解析:
在 PE4 上配置 WRED 丟棄模板。
drop-profile cs4
wred dscp
dscp cs4 low-limit 70 high-limit 100 discard-percentage 50
quit
drop-profile cs3
wred dscp
dscp cs3 low-limit 50 high-limit 90 discard-percentage 50
quit
drop-profile cs2
wred dscp
dscp cs2 low-limit 50 high-limit 80 discard-percentage 50
quit
drop-profile default
wred dscp
dscp default low-limit 50 high-limit 80 discard-percentage 50
q
配置隊列權重 和 套用 WRED 模板
qos queue-profile test
queue 0 weight 1
queue 2 weight 9
queue 3 weight 21
queue 4 weight 63
schedule wfq 0 to 4 pq 5
queue 0 drop-profile default
queue 2 drop-profile cs2
queue 3 drop-profile cs3
queue 4 drop-profile cs4
quit
interface gi0/0/0
qos queue-profile test
quit
5、IPv6
解析:
配置 PE1 和 RR1 互聯接口的 IPv6 地址
在 RR1 上面配置 IPv6 :
interface ip-trunk 13
ipv6 enable
ipv6 address 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:1301/127
在 PE1 上配置 IPv6:
interface ip-trunk 13
ipv6 enable
ipv6 address 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:1300/127
5.2ISIS(IPv6)
解法:在 PE1 上 配置 ISIS 協議, 并配置鏈路開銷。
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 20
quit
interface ip-trunk 13
isis ipv6 enable 1
isis ipv6 cost 1550
quit
在 PE2 上配置 ISIS 協議, 并配置鏈路開銷。
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 20
quit
interface gi0/0/2
isis ipv6 enable 1
isis ipv6 cost 1550
quit
在 RR1 上配置 ISIS 協議, 并配置鏈路開銷
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 80
quit
interface gi0/0/1
isis ipv6 enable 1
isis ipv6 cost 860
quit
interface ip-trunk 13
isis ipv6 enable 1
isis ipv6 cost 1550
quit
在 P1 上配置 ISIS 協議, 并配置鏈路開銷
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 80
quit
interface gi0/0/1
isis ipv6 enable 1
isis ipv6 cost 1000
quit
interface gi0/0/2
isis ipv6 enable 1
isis ipv6 cost 1550
quit
在 ASBR1 上配置 ISIS ,并配置鏈路開銷 (僅僅是 AS 100 的內部鏈路以及 loopback 啟用 ISIS IPv6 ,AS 之間不需要啟用)
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 100
quit
interface gi0/0/1
isis ipv6 enable 1
isis ipv6 cost 860
quit
在 ASBR 2 上配置 ISIS 協議, 并配置鏈路開銷
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 100
quit
interface gi0/0/1
isis ipv6 enable 1
isis ipv6 cost 1000
quit
為了防止 IPv6 的 ISIS 路由的次優路徑,在 RR1 上配置路由泄露,不泄露的 話,也會導致 IPv6 BGP 路由下一跳不可達,后續要求無法實現。
isis 1
ipv6 import-route isis level-2 into level-1
為了防止 IPv6 的 ISIS 路由的次優路徑,在 P1 上配置路由泄露,不泄露的話, 也會導致 IPv6 BGP 路由下一跳不可達,后續要求無法實現。
isis 1
ipv6 import-route isis level-2 into level-1
5.3BGP(IPv6)
解析 :
在 ASBR1 上激活與 ASBR3 和 RR1 的 IPv6 的鄰居關系。 【考試的時候需要注意一下,ASBR1 和 ASBR2 是不是 RR1 的客戶端。應該都是 的,就怕有變化】 【并且在 IPv6 的地址中,有些 BGP 的鄰居是沒有被激活的,需要手動激活一 下,否則無法建立鄰居。】
在 ASBR1 上配置如下:
bgp 100
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:5701 enable —> 表示的是 ASBR3 的 IPv6 地址,是直連接口的;
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA3 enable --> 表示的是 RR1 的 IPv6 地址,并且是回環口;
分別在 PE1/PE2/P1/ABSR2 上面,激活與 RR1 的 IPv6 地址簇的鄰居關系:
bgp 100
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA3 enable —> 激活與 RR1 之間的 IPv6 的 IBGP 鄰居關系
在 RR1 上,激活與 ASBR1 和 ASBR2 的 IPv6 的 地址簇鄰居關系:
bgp 100
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 enable
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 reflect-client
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 enable
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 reflect-client
解析:
其實這里想要考察的就是 IPv6 在 BGP 協議中的匯總:
首先,在 ASBR1 上將 所有 ISIS IPv6 路由,引入到 BGP 中:
Bgp 100
Ipv6-family unicast
Import-route isis 1
在 ASBR1 上 配置 BGP ipv6 路由匯總命令如下:
bgp 100
ipv6-family unicast
aggregate 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120 detail-suppressed
關于上面的紅色部分的需求的理解,其實考察的就是路由過濾了。
因為 ASBR1 向 ASBR3 發送的 120 位的路由,我們通過匯總的方式已經構造出 來了, 但是我們得記得,當初我們在 ASBR1 上將 ISIS 的路由,都引入到 BGP4+ 中了。這些路由 中包含了 回環口的 128 位的路由,也包含了設備之間的互聯網段 127 位的路由。所以,想滿足這個“僅僅發送 120 的路由給 ASBR3”的 需求,我們還得繼續配 置一個針對 ASBR 3 的出向過濾策略: 按照需求,不使用 route-policy,就僅僅使用 ipv6-prefix ;
ip ipv6-prefix 1 permit 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120
bgp 100
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:5701 ipv6-prefix 1 export --> 做一個出向的過濾。
需要注意的,如果需求有變化,比如變化成了:
將 ISIS 的 IPv6 路由 引入到 BGP4+的時候,僅僅引入那些 128 位的回環口 / 主機路由。
我們就需要在 ASBR1 上進行如下的配置了:
1.配置策略 匹配 AS100 中的 ISIS 的 IPv6 路由中的 128 位的;
2.配置 route-policy ,調用在將 ISIS IPv6 引入到 BGP4+ 的時候;
Ip ipv6-prefix abc permit 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120 greater 128 less 128 // 專門用來匹配 AS100 中的 IPv6 的主機路由;
route-policy ISIS-BGP permit node 10
if-match ipv6 address prefix-list abc
quit
bgp 100
ipv6-family unicast
import-route isis 1 route-policy ISIS-BGP
quit
當然, 如果真的出現上述的需求的變化“僅僅引入 ISIS 的主機路由”,那么我們在 實現該需求的時候,ASBR1 針對 ASBR3 的過濾,就不需要做了。 因為我們匯總之后,就僅僅剩下 120 的路由了,不存在 127 位的那種 設備之 間的互聯網段了。所以,腦子必須得清醒!
將 ASBR3 的 loopback 0 宣告進入到 BGP4+
bgp 200
ipv6-family unicast
network 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA7 128
quit
解法:
首先我們需要知道的是,當我們將 ASBR3 的路由宣告之后,我們在 ASBR1 上是 可以看到這個路由條目的,但是這個路由條目,是不會發送給 ASBR1 的 IBGP 鄰居的, 因為, 我們之前在 ASBR1 上配置了一個 “ IPv6 的路由匯總 ”,而這個 120 位的 匯總路由,正好抑制住這個明細路由的發送。 所以 ASBR3 的回環口路由,來到了 ASBR1 的 BGP 數據庫中,前面有一個 "小 s” 的標志,標明該路由已經被抑制。
如果我們想讓該路由發送給 PE1/2 的話,我們需要確保在 ASBR1 上進行 IPv6 匯總的時候,不能抑制這個明細路由,所以配置如下:
ASBR1 的配置:
ip ipv6-prefix 7 index 10 permit 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA7 128 greater 128 less 128
route-policy AGG deny node 10
if-match ipv6 address prefix-list 7
quit
route-policy AGG permit node 20
quit
bgp 100
ipv6-family unicast
aggregate 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120 suppress-policy AGG -> 有條件的進行明細路由的抑制;
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA3 next-hop-local ->給 RR1 發送路由的時候,必須修改下一跳 IP 地址;否則在 RR1 上看到該路由 不是最優的。
同時,為了確保 RR1 將路由反射到 自己的客戶端: PE1/PE2/P1 上面,也得是 最優的,所以我們需要:在 RR1 和 P1 上面,進行 ISIS 路由的泄露
【如果在考場需求有了變化,比如: 讓 ASBR2 也學習到 ASBR3 的 回環口路 由,并且 ASBR2 不是 RR1 的客戶端的情況下,才配置下面的內容】 【如果 ASBR2 也是 RR1 的客戶端,就不需要配置下面的內容了】
此時,我們就需要直接在 ASBR1 和 ASBR2 之間通過回環口建立 IPv6 鄰居關系 了。 因為,在之前的鄰居關系中,雖然 ASBR2 與 RR1 建立了 IBGP 鄰居關系,但 是 ASBR2 并不是 RR1 的客戶端,所以 ASBR1 的路由給了 RR1 以后,必會發送 給 ASBR2 。
ASBR1 的配置
bgp 100
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 as-number 100
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 connnect-interface loopback 0
ipv6 family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 enable
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 next-hop-local
quit
ASBR2 的配置
bgp 100
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 as-number 100
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 connnect-interface loopback 0
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 enable
q
4.請在 PE1 上面開啟某個特性, 確保 PE2 在啟動的過程中, (從物理接口 UP 開始,到各協議鄰居全都起來)PE2 ---- ASBR3 之間的 IPv6 ping 包沒有丟 包(4 分)
解析:
我們僅僅需要在 PE1 上配置 “開機啟動配置 OL 位”就可以了。
isis
set-overload on-startup wait-for-bgp
quit
總結
- 上一篇: 创建geth节点
- 下一篇: java和hcie_hcie为什么工资这