HCIP 综合实验

已于 2024-11-27 15:19:03 修改
阅读量1.2k 收藏 24
点赞数 33
分类专栏: DataHCIP实验 文章标签: 网络
于 2024-11-18 21:40:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_59151049/article/details/143859301
版权

实验拓扑

实验需求及解法

本实验模拟企业网通过ISP建立MPLS-VPN连接,以及多出口访问互联网的网络环境。

配置各物理接口、环回口IP地址,请自行查看测试。

R1
sysname R1
interface GigabitEthernet0/0/0
 ip address 5.0.12.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 5.0.15.1 255.255.255.0 
#
interface LoopBack0
 ip address 5.1.1.1 255.255.255.255 

R2
sysname R2
interface GigabitEthernet0/0/0
 ip address 5.0.12.2 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 5.0.2.254 255.255.255.0 
#
interface GigabitEthernet1/0/0
 ip address 5.0.25.2 255.255.255.0 
#
interface LoopBack0
 ip address 5.2.2.2 255.255.255.255 

R3
sysname R3
interface GigabitEthernet0/0/1
 ip address 5.0.34.3 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 5.0.3.254 255.255.255.0 
#
interface GigabitEthernet1/0/0
 ip address 192.168.3.254 255.255.255.0 
#
interface GigabitEthernet2/0/0
 ip address 5.0.35.3 255.255.255.0 
#
interface LoopBack0
 ip address 5.3.3.3 255.255.255.255 

R4
sysname R4
interface GigabitEthernet0/0/0
 ip address 5.0.34.4 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.4.254 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 5.0.45.4 255.255.255.0 
#
interface GigabitEthernet1/0/0
 ip address 8.0.0.4 255.255.255.0 
#
interface LoopBack0
 ip address 5.4.4.4 255.255.255.255 

R5
sysname R5
interface GigabitEthernet0/0/0
 ip address 5.0.15.5 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 5.0.25.5 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 5.0.35.5 255.255.255.0 
#
interface GigabitEthernet1/0/0
 ip address 5.0.45.5 255.255.255.0 
#
interface LoopBack0
 ip address 5.5.5.5 255.255.255.255 

R6
sysname R6
interface GigabitEthernet0/0/0
 ip address 192.168.1.6 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.16.6 255.255.255.0 
#
interface LoopBack0
 ip address 172.16.6.6 255.255.255.255 

R7
sysname R7
interface GigabitEthernet0/0/0
 ip address 5.0.2.7 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 5.0.3.7 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 192.168.17.7 255.255.255.0 
#
interface LoopBack0
 ip address 172.16.7.7 255.255.255.255

R8
sysname R8
interface GigabitEthernet0/0/0
 ip address 192.168.3.8 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.58.8 255.255.255.0 
#
interface LoopBack0
 ip address 172.17.8.8 255.255.255.255 

R9
sysname R9
interface GigabitEthernet0/0/0
 ip address 192.168.4.9 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.69.9 255.255.255.0 
#
interface LoopBack0
 ip address 172.17.9.9 255.255.255.255 

SW1
sysname SW1
interface LoopBack0
 ip address 172.16.1.1 255.255.255.255

SW5
sysname SW5
interface LoopBack0
 ip address 172.17.5.5 255.255.255.255

SW6
sysname SW6
interface LoopBack0
 ip address 172.17.6.6 255.255.255.255

internet
sysname internet
interface GigabitEthernet0/0/0
 ip address 8.0.0.254 255.255.255.0 
#
interface LoopBack0
 ip address 8.8.8.8 255.255.255.255 
#
bgp 800
router-id 8.8.8.8
peer 8.0.0.4 as-number 12345 
#
ipv4-family unicast
undo synchronization
network 8.8.8.8 255.255.255.255 
peer 8.0.0.4 enable
peer 8.0.0.4 default-route-advertise

其他vlanif 接口、vrf 接口根据后续需求配置。

一、 ISP网络环境部署

红色方框内为ISP网络,部署IS-IS BGP MPLS-VPN,完成以下需求:

1.1 部署IS-IS

1.1.1 在 R1/2/3/4/5 部署 IS-IS,区域号49.0005

1.1.2 各设备系统名称如下:

R1:0000.0000.0001

R2:0000.0000.0002

R3:0000.0000.0003

R4:0000.0000.0004

R5:0000.0000.0005

1.1.2 所有IS-IS 路由器均为Level-2

1.1.3 所有IS-IS 路由器配置与sysname相同的is-name。

1.1.4 确认各路由器成功建立邻居关系。

1.1.5 确认各路由器的Loopback0互通。

R1: 
isis 1 
is-level level-2 
network-entity 49.0005.0000.0000.0001.00 
is-name R1 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet0/0/2 
isis enable 1 
interface LoopBack0 
isis enable 1

R2: 
isis 1 
is-level level-2 
network-entity 49.0005.0000.0000.0002.00 
is-name R2 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet1/0/0 
isis enable 1 
interface LoopBack0 
isis enable 1

R3: 
isis 1 
is-level level-2 
network-entity 49.0005.0000.0000.0003.00 
is-name R3 
interface GigabitEthernet0/0/1 
isis enable 1 
interface GigabitEthernet2/0/0 
isis enable 1 
interface LoopBack0 
isis enable 1 

R4: 
isis 1 
is-level level-2 
network-entity 49.0005.0000.0000.0004.00 
is-name R4 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet0/0/2 
isis enable 1 
interface LoopBack0 
isis enable 1

R5: 
isis 1 
is-level level-2 
network-entity 49.0005.0000.0000.0005.00 
is-name R5 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet0/0/1 
isis enable 1 
interface GigabitEthernet0/0/2
isis enable 1 
interface GigabitEthernet1/0/0 
isis enable 1 
interface LoopBack0 
isis enable 1

确认邻居关系

确认IS-IS 路由:

以R5为例,确认收到来自R1/2/3/4的环回口路由即可。

1.2 部署BGP

1.2.1 R5 作为路由反射器,R1/2/3/4作为客户端,BGP的router-id为loopback0地址。

1.2.2 所有 ibgp 邻居都使用loopback0建立。

1.2.3 R1/2/3/4 之间不建立 ibgp 邻居关系,R5与R1/2/3/4建立ibgp邻居关系。

1.2.4 在 R4 上修改下一跳属性,避免AS12345内收到8.8.8.8的路由下一跳不可达。

1.2.5 R4与internet使用物理接口建立ebgp邻居关系,对端AS号为800,IP地址为8.0.0.254。 

1.2.6 确认各路由器的bgp邻居关系。

1.2.7 确认AS12345 内所有路由器都收到来自internet的8.8.8.8/32和默认路由。

R1: 
bgp 12345 
router-id 5.1.1.1 
peer 5.5.5.5 as-number 12345  
peer 5.5.5.5 connect-interface LoopBack0 

R2: 
bgp 12345 
router-id 5.2.2.2 
peer 5.5.5.5 as-number 12345  
peer 5.5.5.5 connect-interface LoopBack0 

R3: 
bgp 12345 
router-id 5.3.3.3 
peer 5.5.5.5 as-number 12345  
peer 5.5.5.5 connect-interface LoopBack0 

R4: 
bgp 12345 
router-id 5.4.4.4 
peer 5.5.5.5 as-number 12345  
peer 5.5.5.5 connect-interface LoopBack0 
peer 5.5.5.5 next-hop-local 
peer 8.0.0.254 as-number 800 

R5: 
bgp 12345 
router-id 5.5.5.5 
peer 5.1.1.1 as-number 12345  
peer 5.1.1.1 connect-interface LoopBack0 
peer 5.2.2.2 as-number 12345  
peer 5.2.2.2 connect-interface LoopBack0 
peer 5.3.3.3 as-number 12345  
peer 5.3.3.3 connect-interface LoopBack0 
peer 5.4.4.4 as-number 12345  
peer 5.4.4.4 connect-interface LoopBack0 
peer 5.1.1.1 reflect-client 
peer 5.2.2.2 reflect-client 
peer 5.3.3.3 reflect-client 
peer 5.4.4.4 reflect-client

确认邻居关系:

确认bgp路由:

[R4]dis bgp routing-table

[R1/2/3/5]dis bgp routing-table

1.3 部署MPLS

1.3.1 在 R1/2/3/4/5 上运行 MPLS LDP,LSR-ID 为 loopback0 地址。

1.3.2 在 R1/2/3/4/5 互联接口上启用mpls ldp。

1.3.3 确认各路由器的ldp邻居关系。

1.3.4 确认lsp 正常建立。

R1: 
mpls lsr-id 5.1.1.1 
mpls 
mpls ldp 
interface GigabitEthernet0/0/0 
mpls 
mpls ldp 
interface GigabitEthernet0/0/2 
mpls 
mpls ldp 
# 
R2: 
mpls lsr-id 5.2.2.2 
mpls 
mpls ldp 
interface GigabitEthernet0/0/0 
mpls 
mpls ldp 
interface GigabitEthernet1/0/0 
mpls 
mpls ldp 
# 
R3: 
mpls lsr-id 5.3.3.3 
mpls 
mpls ldp 
interface GigabitEthernet0/0/1 
mpls 
mpls ldp 
interface GigabitEthernet2/0/0 
mpls 
mpls ldp 
# 
R4: 
mpls lsr-id 5.4.4.4 
mpls 
mpls ldp 
interface GigabitEthernet0/0/0 
mpls 
mpls ldp 
interface GigabitEthernet0/0/2 
mpls 
mpls ldp 
# 
R5: 
mpls lsr-id 5.5.5.5 
mpls 
mpls ldp 
interface GigabitEthernet0/0/0 
mpls 
mpls ldp 
interface GigabitEthernet0/0/1 
mpls 
mpls ldp 
interface GigabitEthernet0/0/2 
mpls 
mpls ldp 
interface GigabitEthernet1/0/0 
mpls 
mpls ldp

确认邻居关系:

确认LSP: 以R5为例,所有32位路由都有in/out标签。

1.4 部署MP-BGP

1.4.1 R1 分别与 R3/4 使用 loopback0 建立vpnv4邻居关系。

1.4.2 关闭R1与R3/4默认建立ipv4邻居功能,不建立ipv4邻居。

1.4.3 确认邻居关系

R1: 
bgp 12345 
undo default ipv4-unicast 
peer 5.3.3.3 as-number 12345 
peer 5.3.3.3 connect-interface loopback0 
peer 5.4.4.4 as-number 12345 
peer 5.4.4.4 connect-interface loopback0 
ipv4-family vpnv4 
peer 5.3.3.3 enable 
peer 5.4.4.4 enable 
# 
R3: 
bgp 12345 
undo default ipv4-unicast 
peer 5.1.1.1 as-number 12345 
peer 5.1.1.1 connect-interface loopback0 
ipv4-family vpnv4 
peer 5.1.1.1 enable 
R4: 
bgp 12345 
undo default ipv4-unicast 
peer 5.1.1.1 as-number 12345 
peer 5.1.1.1 connect-interface loopback0 
ipv4-family vpnv4 
peer 5.1.1.1 enable

确认邻居关系

目前只有邻居关系,没有vpnv4路由。

二、 Qi福州总部网络环境部署

2.1 部署super-vlan

2.1.1 SW1 创建 vlan 6 3001 3002,SW2 创建 vlan 3001,SW3 创建vlan 3002。

2.1.2 SW1 将 vlan 6 设置为 super-vlan,3001 和 3002 为子vlan。

2.1.3 在 SW1/2/3 之间链路上配置trunk,并仅允许必要的vlan通过。

2.1.4 在 SW2/3 与PC互联的链路上配置access,并划入对应vlan。

2.1.5 在 SW1上创建vlanif 6,IP 地址 192.168.6.254/24。

2.1.6 确认PC3和PC4可以ping通192.168.6.254。

2.1.7 确认PC3无法ping通PC4

SW1: 
vlan batch 6 3001 3002 
vlan 6 
aggregate-vlan 
access-vlan 3001 to 3002 

interface GigabitEthernet0/0/3 
port link-type trunk 
port trunk allow-pass vlan 3001 

interface GigabitEthernet0/0/4 
port link-type trunk 
port trunk allow-pass vlan 3002 

interface Vlanif6 
ip address 192.168.6.254 255.255.255.0 
# 
SW2: 
vlan 3001 
interface GigabitEthernet0/0/1 
port link-type trunk 
port trunk allow-pass vlan 3001 

interface GigabitEthernet0/0/2 
port link-type access 
port default vlan 3001 

# 
SW3: 
vlan 3002 
interface GigabitEthernet0/0/1 
port link-type trunk 
port trunk allow-pass vlan 3002 

interface GigabitEthernet0/0/2 
port link-type access 
port default vlan 3002

确认通信:

确认PC3无法ping通PC4:

2.2 代理ARP

2.2.1 在 SW1上开启子vlan间代理arp。

2.2.2 确认PC3可以ping通PC4,且经过SW1。

SW1:
interface Vlanif6 
arp-proxy inter-sub-vlan-proxy enable

确认通信:

2.3 部署vlan

2.3.1 在 SW1/4 上创建vlan 7。

2.3.2 在 SW1与SW4的互联链路上配置trunk,并仅允许必要的vlan通过。

2.3.3 在 SW4与PC连接的链路上配置access,并划入vlan。

2.3.4 在 SW1上创建vlanif 7,ip地址 192.168.7.254/24

2.3.5 确认PC5可以ping通SW1。

SW1: 
vlan 7 
int g0/0/5 
port link-type trunk 
port trunk allow-pass vlan 7 
int vlanif 7 
ip address 192.168.7.254 24 
# 
SW4: 
vlan 7 
int g0/0/1 
port link-type trunk 
port trunk allow-pass vlan 7 
int g0/0/2 
port link-type access 
port default vlan 7

确认通信:

2.4 三层通信

2.4.1 SW1 作为三层交换机,需创建三层接口与R6/7通信。

2.4.2 SW1 创建 vlan 16 17

2.4.3 SW1 与 R6 互联接口配置access模式划入vlan16 SW1与R7互联接口配置access模式划入vlan17

2.4.4 SW1创建 vlanif 16,ip地址 192.168.16.1/24

          SW1创建vlanif 17,ip地址 192.168.17.1/24

2.4.5 确认SW1与R6/7直连互通。

SW1: 
vlan batch 16 17 
interface GigabitEthernet0/0/1 
port link-type access 
port default vlan 16 

interface GigabitEthernet0/0/2 
port link-type access 
port default vlan 17 
interface Vlanif16 
ip address 192.168.16.1 255.255.255.0 
interface Vlanif17 
ip address 192.168.17.1 255.255.255.0

确认通信:

2.5 部署OSPF

目前R6/7没有去往PC3/4/5的路由,需要部署IGP协议,使得内网互通。

2.5.1 SW1 R6 R7 三台设备运行OSPF,进程号为1,RID使用looback0地址。

2.5.2 全部划入OSPF区域0,R6/7与ISP互联接口不宣告。

2.5.3 要求全部使用network命令,通配符0.0.0.0的方式宣告接口。

2.5.4 确认OSPF邻居关系。 2.5.5 确认R6/7获得vlan 6/7的路由。

2.5.6 确认PC3 4 5 可以与R6/7通信。

SW1: 
ospf 1 router-id 172.16.1.1 
area 0 
network 192.168.6.254 0.0.0.0 
network 192.168.7.254 0.0.0.0 
network 192.168.16.1 0.0.0.0 
network 192.168.17.1 0.0.0.0 
network 172.16.1.1 0.0.0.0 
# 
R6: 
ospf 1 router-id 172.16.6.6 
area 0 
network 192.168.16.6 0.0.0.0 
network 172.16.6.6 0.0.0.0 
# 
R7: 
ospf 1 router-id 172.16.7.7 
area 0 
network 192.168.17.7 0.0.0.0 
network 172.16.7.7 0.0.0.0

确认邻居关系:

确认路由表:

确认通信:

R7 自行测试

三、 Qi上海分部网络环境部署

3.1 部署vlan

3.1.1 在 SW5/6/7 上创建vlan 8 9。

3.1.2 在 SW5/6/7 互联的链路上配置trunk,并且仅允许必要的vlan通过。

3.1.3 SW7 与 PC 互联的接口上配置access,并划入vlan。

SW5/6/7: 
vlan batch 8 9 
SW5/6: 
int g0/0/2 
port link-type trunk 
port trunk allow-pass vlan 8 9 
int g0/0/3 
port link-type trunk 
port trunk allow-pass vlan 8 9 
# 
SW7: 
int g0/0/1 
port link-type trunk 
port trunk allow-pass vlan 8 9 
int g0/0/2 
port link-type trunk 
port trunk allow-pass vlan 8 9 
int g0/0/3 
port link-type access 
port default vlan 8 
int g0/0/4 
port link-type access 
port default vlan 9

3.2 部署MSTP

3.2.1 在 SW5/6/7 上配置MSTP,域名为spoto

3.2.2 将 vlan8 划入实例8,vlan 9划入实例9。

3.2.3 SW5 为实例8的主根,实例9的次根。

3.2.4 SW6 为实例 9的主根,实例8的次根。

3.2.5 确认SW7上,实例8阻塞G0/0/2,实例9阻塞G0/0/1。

SW5/6/7: 
stp mode mstp 
stp region-configuration 
region-name liu 
instance 8 vlan 8 
instance 9 vlan 9 
active region-configuration 
# 
SW5: 
stp instance 8 root primary 
stp instance 9 root secondary 
# 
SW6: 
stp instance 9 root primary 
stp instance 8 root secondary

确认结果:

3.3 优化MSTP

3.3.1 SW7 全局开启边缘端口

3.3.2 SW7 全局开启BPDU保护功能。(注意不能影响正常BPDU)

3.3.3 SW5/6/7 全局开启 TC 保护功能

SW7: 
stp edged-port default
# 
interface GigabitEthernet0/0/1 
stp edged-port disable 
interface GigabitEthernet0/0/2 
stp edged-port disable 
# 
stp bpdu-protection 
注意:BPDU保护会阻止所有边缘端口接收bpdu,需要将SW7上行的两个接口关闭边缘端
口功能,否则会造成接口shutdown。 
# 
SW5/6/7: 
stp  tc-protection

3.4 部署VRRP

3.4.1 SW5 创建vlanif 8,ip 地址 192.168.8.252/24;创建 vlanif 9,ip 地址 192.168.9.252/24 3.4.2 SW6 创建vlanif 8,ip 地址 192.168.8.253/24;创建 vlanif 9,ip 地址 192.168.9.253/24 3.4.3 SW5/6 部署 vrrp,vrid 8,ip 地址 192.168.8.254;vrid 9,ip 地址 192.168.9.254

3.4.4 SW5 作为vrid 8的主路由器,优先级150;SW6作为vrid 9的主路由器,优先级150。

3.4.5 确认vrrp 状态。

3.4.6 确认PC6/7都能正常与网关地址通信。

SW5: 
interface Vlanif8 
ip address 192.168.8.252 255.255.255.0 
vrrp vrid 8 virtual-ip 192.168.8.254 
vrrp vrid 8 priority 150 
# 
interface Vlanif9 
ip address 192.168.9.252 255.255.255.0 
vrrp vrid 9 virtual-ip 192.168.9.254 
# 
SW6: 
interface Vlanif8 
ip address 192.168.8.253 255.255.255.0 
vrrp vrid 8 virtual-ip 192.168.8.254 
# 
interface Vlanif9 
ip address 192.168.9.253 255.255.255.0 
vrrp vrid 9 virtual-ip 192.168.9.254 
vrrp vrid 9 priority 150

确认状态:

确认通信:

PC6

PC7

3.5 三层通信

3.5.1 SW5/6 作为三层交换机,需要创建三层接口与R8/9通信。

3.5.2 SW5 创建vlan5,与 R8互联的接口配置为access,划入vlan,并创建vlanif 5,ip地址 为192.168.58.5/24。

3.5.3 SW6 创建vlan6,与R9互联的接口配置为access,划入vlan,并创建vlanif6,ip地址 为192.168.69.6/24。

3.5.4 确认 SW5与R8,SW6与SW9之间直连互通。

SW5: 
vlan 5 
int g0/0/1 
port link-type access 
port default vlan 5 
int vlanif 5 
ip address 192.168.58.5 24 
SW6: 
vlan 6 
int g0/0/1 
port link-type access 
port default vlan 6 
int vlanif 6 
ip address 192.168.69.6 24 
#

确认通信:

3.6 部署OSPF

目前R8/9没有去往PC6/7的路由,需要部署IGP协议,使得内网互通。

3.6.1 SW5/6 R8/9 四台设备运行 OSPF,进程号为1,RID使用looback0地址。

3.6.2 全部划入OSPF区域0,R8/9与ISP互联接口不宣告。

3.6.3 要求全部使用network命令,通配符0.0.0.0的方式宣告接口。

3.6.4 确认OSPF邻居关系。

3.6.5 确认R8/9获得vlan 8/9的路由。

3.6.6 确认PC6/7 可以与R8/9通信。

SW5: 
ospf 1 router-id 172.17.5.5 
area 0 
network 192.168.8.252 0.0.0.0 
network 192.168.9.252 0.0.0.0 
network 192.168.58.5 0.0.0.0 
network 172.17.5.5 0.0.0.0 
#
SW6: 
ospf 1 router-id 172.17.6.6 
area 0 
network 192.168.8.253 0.0.0.0 
network 192.168.9.253 0.0.0.0 
network 192.168.69.6 0.0.0.0 
network 172.17.6.6 0.0.0.0 
# 
R8: 
ospf 1 router-id 172.17.8.8 
area 0 
network 192.168.58.8 0.0.0.0 
R9: 
ospf 1 router-id 172.17.9.9 
area 0 
network 192.168.69.9 0.0.0.0

确认邻居关系:

确认路由表:

确认通信:

PC6

四、 Qi总部与分部mpls-vpn部署

4.1 部署CE-PE路由协议

4.1.1 R6/8/9 运行 BGP,RID 为 loopback0 地址。 R6 的AS号65001,R8/9的AS号65002。

4.1.2 R6/8/9 分别与 R1/3/4 使用物理接口建立ebgp邻居关系。

4.1.3 R1/3/4 创建 vrf 表,名称分别为6/8/9,RD分别为6:6 8:8 9:9。

4.1.4 R1/3/4 与 CE 互联的接口划入vpn实例,并配置ip地址,如下:

R1:192.168.1.254/24

R3:192.168.3.254/24

R4:192.168.4.254/24

4.1.5 R1/3/4 使用 BGP 协议,与CE建立ebgp邻居关系。

4.1.6 确认邻居关系。

R6: 
bgp 65001 
router-id 172.16.6.6 
peer 192.168.1.254 as-number 12345  
# 
R8: 
bgp 65002 
router-id 172.17.8.8 
peer 192.168.3.254 as-number 12345 
# 
R9: 
bgp 65002 
router-id 172.17.9.9 
peer 192.168.4.254 as-number 12345 
# 
R1: 
ip vpn-instance 6 
ipv4-family 
route-distinguisher 6:6 
# 
interface GigabitEthernet0/0/1 
ip binding vpn-instance 6 
ip address 192.168.1.254 255.255.255.0 
# 
bgp 12345 
ipv4-family vpn-instance 6  
peer 192.168.1.6 as-number 65001 
# 
R3: 
ip vpn-instance 8 
ipv4-family 
route-distinguisher 8:8 
# 
interface GigabitEthernet1/0/0 
ip binding vpn-instance 8 
ip address 192.168.3.254 255.255.255.0 
# 
bgp 12345 
ipv4-family vpn-instance 8  
peer 192.168.3.8 as-number 65002 
# 
R4: 
ip vpn-instance 9 
ipv4-family 
route-distinguisher 9:9 
# 
interface GigabitEthernet0/0/1 
ip binding vpn-instance 9 
ip address 192.168.4.254 255.255.255.0 
# 
bgp 12345 
ipv4-family vpn-instance 9  
peer 192.168.4.9 as-number 65002

确认邻居关系:

4.2 CE 发布私网路由

4.2.1 在 CE路由器的BGP中,使用network命令发布路由:

R6:192.168.6.0/24 192.168.7.0/24

R8/9:192.168.8.0/24 192.168.9.0/24

4.2.2 确认PE路由器收到CE的私网路由。

R6: 
bgp 65001 
network 192.168.6.0  
network 192.168.7.0  
# 
R8/9: 
bgp 65002 
network 192.168.8.0  
network 192.168.9.0

确认路由:

dis ip routing-table vpn-instance 6

dis ip routing-table vpn-instance 8

dis ip routing-table vpn-instance 9

4.3 PE-PE 传递 vpnv4 路由

在需求1.4中,ISP已经完成了PE-PE的路由协议部署,所以可以直接传递vpnv4路由。

4.3.1 R1 的 vrf 表中,出方向RT为6:89,R3/4的vrf表中,出方向RT为89:6。

4.3.2 为 R1/3/4 的 vrf 表设置合理的入方向 RT,要求 R1 发出的vpnv4 路由,R3/4 都能接 收;而R3/4发出的vpnv4路由只有R1能接收。

4.3.3 确认三台PE路由器收到对端路由。

4.3.4 确认三台CE路由器收到对端路由。

R1: 
ip vpn-instance 6 
vpn-target 6:89 export-extcommunity 
vpn-target 89:6 import-extcommunity 
# 
R3: 
ip vpn-instance 8 
vpn-target 89:6 export-extcommunity 
vpn-target 6:89 import-extcommunity 
# 
R4: 
ip vpn-instance 9 
vpn-target 89:6 export-extcommunity 
vpn-target 6:89 import-extcommunity

确认路由:

[R1]dis bgp vpnv4 all routing-table

[R3]dis bgp vpnv4 all routing-table

[R4]dis bgp vpnv4 all routing-table

以上三台PE路由器,需要查看vpnv4表。

以下是三台CE路由器,直接查看IPv4表。

4.4 CE 内部发布路由

4.4.1 三台CE将BGP路由引入OSPF

4.4.2 确认SW1/5/6收到OSPF外部路由。

4.4.3 确认Qi总部PC可以与Qi分部PC通信。

R6/8/9 
ospf 1 
import-route bgp

确认路由:

[SW1]dis ip routing-table protocol ospf

[SW5]dis ip routing-table protocol ospf

[SW6]dis ip routing-table protocol ospf

此处发现SW6去往Qi总部的路由下一跳在SW5上,为次优路径。将在后面的需求中解决 此问题。

确认通信

其他PC可自行测试。

五、 部署选路策略

5.1 协议优先级

在需求4.4中,我们发现SW6去往Qi总部的路由下一跳在SW5上,为次优路径(也可能 是SW5有次优路径)。试分析原因。

5.1.1 在 R8/9 上修改EBGP协议优先级为50,其他不变。

5.1.2 确认PC6/7去往思博总部的路径分别走R8/9。

原因分析:

R8/9 是 BGP 和OSPF 的协议边界,当R8将BGP路由引入OSPF后,R9会同时从BGP和 OSPF 学习到Qi总部路由,此时R9会因为协议优先级150<255而选择OSPF外部路由。 那么当R9把BGP引入OSPF时,从BGP虽然学习到Qi总部路由,但是并非全局最佳路 由,无法引入到OSPF中。所以SW6也无法从R9学习到Qi总部路由。 反过来如果R9先将BGP引入到OSPF,R8也会有相同的问题。

R8/9: 
bgp 65002 
preference 50 255 255

确认路径:

PC6 访问PC3走R8

PC7 访问PC3走R9

5.2 BGP 属性

作为Qi分部网络管理员,需要让总部访问vlan8的流量从R8进入,访问vlan9的流量从 R9 进入。但是经测试,你发现总部所有流量全部从R8进入分部。 请在以下BGP属性中,选择一个合适的属性进行修改,使得访问vlan9的流量从R9进入, 且不影响vlan8的流量。

权重---完成需求5.2.1

本地优先---完成需求5.2.2

MED---完成需求5.2.3

三选一即可

5.2.1 权重:在R9上完成以下策略:

1)配置前缀列表,名称9,抓取路由192.168.9.0/24

2)配置route-policy,名称 toR4 node 10 匹配前缀列表9,修改权重为10.

      node 100 允许其他路由。

3)在bgp进程下,发送给R4路由时调用该策略。

4)确认总部访问vlan9的流量走R9。

5.2.2 本地优先:在R9上完成以下策略:

1)配置前缀列表,名称9,抓取路由192.168.9.0/24

2)配置route-policy,名称 toR4 node 10 匹配前缀列表9,修改本地优先为200. node 100 允许其他路由。

3)在bgp进程下,发送给R4路由时调用该策略。

4)确认总部访问vlan9的流量走R9。

5.2.3 MED:在 R9上完成以下策略:

1)配置前缀列表,名称9,抓取路由192.168.9.0/24

2)配置route-policy,名称 toR4 node 10 匹配前缀列表9,修改MED为0. node 100 允许其他路由。

3)在bgp进程下,发送给R4路由时调用该策略。

4)确认总部访问vlan9的流量走R9。

需求分析:

此需求的关键在于需要影响R1的选路,总部流量发到R1后,R1查路由表发现两条路由下 一跳均为5.3.3.3,分析:

选择5.3.3.3 的原因是因为RID更小。 比较RID是倒数第二条选路原则,权重、本地优先、MED都可以改变R1的选路。 但是,题目指明角色是思博分部管理员,只能操作R8/9两台设备。 权重属性本地有效,若要修改,只能在R1上修改,所以5.2.1无法完成。 本地优先属性只能发送给ibgp邻居,若要修改,只能在R3/4上修改,所以5.2.2无法完成。 只有MED属性,可以发送给ebgp邻居,所以本题只能选择修改MED。

R9: 
ip ip-prefix 9 index 10 permit 192.168.9.0 24 
# 
route-policy toR4 permit node 10  
if-match ip-prefix 9  
apply cost 0  
#
route-policy toR4 permit node 100 
# 
bgp 65002 
peer 192.168.4.254 route-policy toR4 export

确认选路

<R1>dis bgp vpnv4 all routing-table

追踪路径:

PC3

六、 部署Qi总部访问互联网

6.1 互联网专线

Qi总部在ISP购买了两条互联网专线,IP分别是5.0.2.7和5.0.3.7

6.1.1 ISP 分别在 R2 和R3上使用bgp宣告这两个网络,起源为igp。

6.1.2 思博总部管理员在R7上配置两条默认路由分别指向R2和R3 其中R2为主线路,使用默认优先级;R3为备用线路优先级70。

6.1.3 R7 上使用 ospf 发布默认路由到总部内网。

6.1.4 使用acl 2000 允许所有地址,并在公网接口上部署eazy-ip。

6.1.5 确认PC3/4/5 可以访问8.8.8.8。

R2: 
bgp 12345 
network 5.0.2.0 255.255.255.0 
R3: 
bgp 12345 
network 5.0.3.0 255.255.255.0 
# 
R7: 
ip route-static 0.0.0.0 0.0.0.0 5.0.2.254 
ip route-static 0.0.0.0 0.0.0.0 5.0.3.254 preference 70 
# 
ospf 1  
default-route-advertise 
# 
acl number 2000   
rule 5 permit 
# 
interface GigabitEthernet0/0/0 
nat outbound 2000 
interface GigabitEthernet0/0/1 
nat outbound 2000 
#

确认通信:

PC3/4/5

6.2 策略路由

为避免浪费互联网7-3专线,R7配置PBR,使得vlan 7的流量走7-3专线。

6.2.1 配置acl 2001,匹配vlan 7访问互联网的流量。

6.2.2 定义流分类,名称vlan7,匹配acl2001。

6.2.3 定义流行为,名称toR3,重定向下一跳5.0.3.254

6.2.4 定义流策略,名称PBR,绑定流分类和流行为。

6.2.5 调用流策略。

6.2.6 确认PC5访问8.8.8.8 走R3。

R7: 
acl number 2001   
rule 5 permit source 192.168.7.0 0.0.0.255 
# 
traffic classifier vlan7  
if-match acl 2001 
# 
traffic behavior toR3 
redirect ip-nexthop 5.0.3.254  
# 
traffic policy PBR 
classifier vlan7 behavior toR3
# 
interface GigabitEthernet0/0/2 
traffic-policy PBR inbound

确认路径:

PC5

6.3 分部访问互联网

本实验中,Qi分部没有独立互联网连接,有没有办法让分部流量通过mpls-vpn到达总部后,再从总部的互联网专线访问8.8.8.8呢? 

需求分析:

此题就是俗称的“翻墙”,利用vpn到达对端私网后,再访问互联网。

重点就在于要把默认路由通过mpls-vpn传递到分部网络中。

R6: 
bgp 65001 
peer 192.168.1.254 default-route-advertise 
\\在Qi总部网络中,R7已经下发了默认路由,这里让R6把默认路由发布给R1,就可以从
R1 通过vpn传递给R8/9。 
R8/9: 
ospf 1
default-route-advertise

\\需要注意,虽然之前已经在ospf中引入了bgp,但是引入命令对默认路由是无效的。所以 必须使用default-route-advertise 命令引入默认路由。

确认通信:

HCIP-DATACOM综合实验-常见中小型企业网组网
2301_76769137的博客
04-20 2793
HCIP-DATACOM综合实验
HCIP-DATACOM核心网络技术(BGP、OSPF、VLAN综合实验
M372109150的博客
07-31 2834
HCIP-DATACOM核心网络技术(BGP、OSPF、VLAN综合实验
HCIP VLAN 综合实验
最新发布
2301_81352057的博客
04-08 687
R1-GigabitEthernet0/0/0.1]dot1q termination vid 2(将进入的数据帧去除vlan 2标签,出去的数据帧打上vlan 2标签)- PC1/3可以正常访问PC2/4/5/6,说明需要配置DHCP中继或为不同VLAN分配不同的DHCP地址池。- PC1/3与PC2/4/5/6不在同一网段,因此需要通过三层交换或路由器实现跨VLAN通信。- 需要在交换机上配置ACL(访问控制列表)或端口隔离,以实现PC4/5/6之间的特定访问限制。- PC2可以访问PC4/5/6。
HCIP-DATACOM核心网络技术(OSPF综合实验
M372109150的博客
07-24 1842
OSPF综合实验
eNSP HCIP-Datacom 园区综合实验(中)
qq_38292936的博客
05-16 1349
默认用户 admin/Admin@123,先修改用户密码admin/Huawei@123。vlan30隔离,vlan40互通internet。AP1~3获取到ip地址。
华为模拟器eNSP - HCIP - GRE、MGRE、PAP、CHAP综合实验
炸鸡店老板z的博客
01-09 2119
华为模拟器eNSP - HCIP - GRE、MGRE、PAP、CHAP综合实验
HCIP综合实验
Kele_ya的博客
07-17 1828
HCIA
HCIP实验100】综合实验.paper
11-01
HCIP实验100】综合实验.paper
HCIP综合实验eNSP配置文件.zip
05-27
HCIP综合实验eNSP配置文件.zip】这个压缩包包含了一系列配置文件,主要用于华为的高级网络技术实验,其中涉及到了BGP(边界网关协议)、ISIS(中间系统到中间系统协议)、OSPF(开放最短路径优先)以及RSTP(快速...
HCIP综合实验
kouacbb的博客
07-23 1142
hcip综合实验
HCIA/HCIP使用eNSP模拟VLAN综合实验1配套实验拓扑
12-18
VLAN Comprehensive Experiment.topo
HCIA-Datacom网络技术实验指南6. 以太网链路聚合实验.pptx
04-29
HCIA-Datacom网络技术实验指南6. 以太网链路聚合实验.pptx
HCIE-Datacom Lab 实验指导书详析
09-30
这篇PDF文件提供了关于HCIE Datacom实验室考试任务的一个详尽指引,包括项目背景、网络拓扑介绍,具体的配置步骤,以及需要实施的具体任务,覆盖传统的网络升级改造(例如采用堆叠架构、链路聚集配置)、基本业务配置、网络隔离措施、无线局域网(WLAN)扩展、出口设备设置、网络准入与安全机制强化,以及广域网的设计和实现方法等方面的内容。适用于准备华为认证HCIE Datacom证书考试的IT从业人员和技术爱好者,帮助深入理解和掌握大型网络的规划与配置能力。 适合正在备考或者计划考取HCIE Datacom认证的人士,特别是那些专注于企业和电信业领域网络设计和管理的专业人士。它也可以用作网络工程师和设计师的学习材料。旨在培养网络架构方面的专业技能,帮助他们获得实际操作经验,熟悉企业网络搭建的各种高级技术和最佳实践流程,尤其着重于数据中心与分布式分支网点之间的广域通信联网设计与安全性保证策略方面的能力培训。 该指南旨在指导候选人完成模拟的现实世界网络部署练习,包括网络规划和设备配置等任务,目的在于评估候选人是否拥有设计、安装、管理复杂的商业或组织网络环境的实际能力和技术素质,重点在于测试他们的理论知识如何有效地应用于解决各种实际工作场所中可能出现的真实网络建设与维护问题的能力。另外还包含了编程题目,目的是让学生们学会如何运用编程工具如 Python 来自动化日常的网络运维事务。
HCIP-DATACOM核心网络技术(MGRE实验)
M372109150的博客
07-20 1502
MGRE实验
HCIP-IE_Datacom 部署企业级路由交换网络 - HCIP分解实验:VLAN_端口安全
Karka_的博客
11-14 1498
VLAN实验5:端口安全基本配置配置端口安全。
华为HCIA-datacom实验指南/HCIA实验手册
yuyeconglong的博客
07-18 1802
《华为HCIA-Datacom认证实验指南》
HCIP-IE_Datacom 部署企业级路由交换网络 - HCIP分解实验:VLAN_端口隔离
君逍遥o
12-26 977
为了实现用户之间的二层隔离,可以将不同的用户加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。企业内部的员工允许相互通信,属于企业外部的员工不允许相互通信,外部员工与内部员工之间允许通信。也可以创建两个组 ,group 1 , group 2 ,两个组内的 PC 是可以相互通信的。ping 测试一下。外部员工之间,不能通信,但可以与内部员工通信。
HCIP(华为高级网络安全工程师)(实验五)(OSPF综合实验)
m0_63069714的博客
01-20 5497
实验要求 1、R4为ISP,其上只能配置IP地址;R4与其他所有直连设备间均使用公有IP。 2、R3、R5、R6、R7为MGRE环境,R3为中心站点。 3、整个OSPF环境IP地址基于172.16.0.0/16划分。 4、减少LSA的更新量,加快收敛,保证更新安全。 5、全网可达。 实验思路 1、根据实验要求对172.16.0.0/16网段进行子网划分,方便之后的子网汇总,从而实现对路由条目的减少。 2、对各个设备进行IP地址的配置,及环回接口的配置。 3、对R3、R5、R6、R7..
hcip 综合实验 练习题
10-02
HCIP综合实验练习题是指华为认证网络工程师(HCIP)培训课程中的实践性练习题目。这些题目旨在帮助学员通过实践操作,加深对网络工程师技术知识的理解和应用能力的提升。 HCIP综合实验练习题的内容通常包括网络规划和设计、网络实施和部署、网络运维和故障处理等方面的内容。学员需要根据实际场景和要求,完成一系列的任务,例如网络设备的配置、网络拓扑的设计和优化、网络安全策略的制定和实施等。通过实际操作和问题解决,学员可以提高分析和解决网络问题的能力,熟悉华为网络设备的配置和管理,掌握网络规划和设计的方法和技巧。 完成HCIP综合实验练习题对学员来说是非常重要的,它可以帮助学员巩固所学的理论知识,了解实际网络环境中的技术应用和实践操作。通过实践,学员可以更好地理解网络的工作原理和运行机制,提高自己的技术水平和解决问题的能力,为今后的网络工程实践打下坚实的基础。 总之,HCIP综合实验练习题是帮助学员提高网络工程实践能力的重要手段,通过实际操作和问题解决,学员可以更好地应用知识于实践,提高自己的技术水平,为网络工程师的职业发展奠定基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

榴某

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值