学习目标

• 实现基于Peer-Group的BGP对等体建立
• 实现BGP路由策略配置
• 实现BGP安全特性配置

实验组网介绍

IP互联地址、BGP AS号、BGP对等体关系如图所示。

R2、R4是二级RR，R1与R5为二级RR的客户端。

R3是一级RR，主要接收二级RR传来的路由。

S1、S2、S5的环回口用于模拟用户。

实验背景

某企业存在两个分公司与一个总公司，公司共有两个业务：

OA：S1、S2、S5的Loopback0接口网段是OA业务网段。分支之间，分支与总公司之间能够互相传递OA数据，对于OA业务相关路由需要标注始发AS。

财务：S1、S2、S5的Loopback1接口网段是财务业务网段，由于财务业务较为机密，因此只允许分公司与总公司之间传递财务数据，分公司之间禁止传递财务数据。

网络管理员需要搭建一个满足这些需求的同时又有一定安全性的网络。

实验任务

任务思路

1. 设备IP地址配置。

2. 在骨干区域配置OSPF，构建底层网络。

3. 在分公司与骨干网络之间部署GTSM与BGP认证，保证BGP网络安全。

4. R1、R3、R5配置与R2、R4的IBGP对等体关系，同时将R1、R3、R5配置为R2、R4的反射器客户端。

5. R3作为一级RR需要配置与R2、R4的IBGP对等体关系，同时将R2、R4配置为R3的反射器客户端。

6. 在R1、R2、R3上给Loopback0接口路由打上Community值，用于标注OA业务的始发AS。

7. 在R1、R3、R5上配置路由策略，使用AS-Path Filter工具过滤Loopback1接口路由。

任务步骤

步骤 1 互联接口、环回口IP地址配置

#设备命名

略

#关闭本实验中未使用的接口

略

#

配置R1的GE0/0/2、GE0/0/3、Loopback0接口IP地址

[R1]interface LoopBack0 
[R1-LoopBack0] ip address 10.10.10.1 255.255.255.255 
[R1-LoopBack0] quit 
[R1]interface GigabitEthernet0/0/2 
[R1-GigabitEthernet0/0/2] ip address 10.0.12.1 255.255.255.0 
[R1-GigabitEthernet0/0/2] quit 
[R1]interface GigabitEthernet0/0/3 
[R1-GigabitEthernet0/0/3] ip address 10.0.11.2 255.255.255.0 
[R1-GigabitEthernet0/0/3] quit 

#配置R2的GE0/0/2、GE0/0/3、Loopback0接口IP地址

[R2]interface LoopBack0 
[R2-LoopBack0] ip address 10.10.10.2 255.255.255.255 
[R2-LoopBack0] quit 
[R2]interface GigabitEthernet0/0/2 
[R2-GigabitEthernet0/0/2] ip address 10.0.23.2 255.255.255.0 
[R2-GigabitEthernet0/0/2] quit 
[R2]interface GigabitEthernet0/0/3 
[R2-GigabitEthernet0/0/3] ip address 10.0.12.2 255.255.255.0 
[R2-GigabitEthernet0/0/3] quit 

#配置R3的GE0/0/1、GE0/0/2、GE0/0/3、Loopback0接口IP地址

[R3]interface LoopBack0 
[R3-LoopBack0] ip address 10.10.10.3 255.255.255.255 
[R3-LoopBack0] quit 
[R3]interface GigabitEthernet0/0/1 
[R3-GigabitEthernet0/0/1] ip address 10.0.35.3 255.255.255.0 
[R3-GigabitEthernet0/0/1] quit 
[R3]interface GigabitEthernet0/0/2 
[R3-GigabitEthernet0/0/2] ip address 10.0.34.3 255.255.255.0 
[R3-GigabitEthernet0/0/2] quit 
[R3]interface GigabitEthernet0/0/3 
[R3-GigabitEthernet0/0/3] ip address 10.0.23.3 255.255.255.0 
[R3-GigabitEthernet0/0/3] quit 

#配置R4的GE0/0/2、GE0/0/3、GE0/0/5、Loopback0接口IP地址

[R4]interface LoopBack0 
[R4-LoopBack0] ip address 10.10.10.4 255.255.255.255 
[R4-LoopBack0] quit 
[R4]interface GigabitEthernet0/0/2
[R4-GigabitEthernet0/0/2] ip address 10.0.45.4 255.255.255.0 
[R4-GigabitEthernet0/0/2] quit 
[R4]interface GigabitEthernet0/0/3
[R4-GigabitEthernet0/0/3] ip address 10.0.34.4 255.255.255.0 
[R4-GigabitEthernet0/0/3] quit 

#配置R5的GE0/0/3、GE0/0/4、Loopback0接口IP地址

[R5]interface LoopBack0 
[R5-LoopBack0] ip address 10.10.10.5 255.255.255.255 
[R5-LoopBack0] quit 
[R5]interface GigabitEthernet0/0/3 
[R5-GigabitEthernet0/0/3] ip address 10.0.45.5 255.255.255.0 
[R5-GigabitEthernet0/0/3] quit 
[R5]interface GigabitEthernet0/0/4 
[R5-GigabitEthernet0/0/4] ip address 10.0.25.5 255.255.255.0 
[R5-GigabitEthernet0/0/4] quit 

#配置S1的GE0/0/1所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址

[S1]interface LoopBack0
[S1-LoopBack0] ip address 10.0.1.1 255.255.255.255
[S1-LoopBack0] quit 
[S1]interface LoopBack1 
[S1-LoopBack1] ip address 10.1.1.1 255.255.255.255 
[S1-LoopBack1] quit
[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1] port link-type access 
[S1-GigabitEthernet0/0/1] port default vlan 1 
[S1-GigabitEthernet0/0/1] quit
[S1]interface Vlanif 1 
[S1-Vlanif1] ip address 10.1.11.1 24 
[S1-Vlanif1] quit 

#配置S2的GE0/0/5所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址

[S2]interface LoopBack0 
[S2-LoopBack0] ip address 10.0.2.1 255.255.255.255 
[S2-LoopBack0] quit 
[S2]interface LoopBack1 
[S2-LoopBack1] ip address 10.1.2.1 255.255.255.255 
[S2-LoopBack1] quit
[S2]interface GigabitEthernet0/0/5
[S2-GigabitEthernet0/0/5] port link-type access
[S2-GigabitEthernet0/0/5] port default vlan 1 
[S2-GigabitEthernet0/0/5] quit 
[S2]interface Vlanif 1 
[S2-Vlanif1] ip address 10.1.25.2 24 
[S2-Vlanif1] quit 

#配置S5的GE0/0/3所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址

[S5]interface LoopBack0
[S5-LoopBack0] ip address 10.0.2.1 255.255.255.255
[S5-LoopBack0] quit 
[S5]interface LoopBack1
[S5-LoopBack1] ip address 10.1.2.1 255.255.255.255 
[S5-LoopBack1] quit 
[S5]interface GigabitEthernet0/0/3
[S5-GigabitEthernet0/0/3] port link-type access
[S5-GigabitEthernet0/0/3] port default vlan 1
[S5-GigabitEthernet0/0/3] quit 
[S5]interface Vlanif 1
[S5-Vlanif1] ip address 10.1.35.5 24 
[S5-Vlanif1] quit

#在R1、R3、R5上检查互联地址连通性

<R1>ping -c 1 10.0.11.1 
<R1>ping -c 1 10.0.12.2 
<R3>ping -c 1 10.0.23.2 
<R3>ping -c 1 10.0.34.4 
<R3>ping -c 1 10.0.35.5 
<R5>ping -c 1 10.0.45.4 
<R5>ping -c 1 10.0.25.2 
可以PING通

步骤 2 骨干网配置OSPF协议，搭建底层网络

按照拓扑设计逐台配置路由器的OSPF进程，进程号使用1，区域号为0，Router ID使用路由器的环回口，以R1为例：10.10.10.1。

宣告OSPF接口时，使用精确宣告的方式，将所有AS65100内的接口均宣告入OSPF。

#配置R1

[R1]router id 10.10.10.1
[R1]ospf 1
[R1-ospf-1] area 0
[R1-ospf-1-area-0.0.0.0] network 10.10.10.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0] network 10. 0.12.1 0.0.0.0 

#配置R2

[R2]router id 10.10.10.2 
[R2]ospf 1 
[R2-ospf-1] area 0
[R2-ospf-1-area-0.0.0.0] network 10.10.10.2 0.0.0.0 
[R2-ospf-1-area-0.0.0.0] network 10.0.12.2 0.0.0.0 
[R2-ospf-1-area-0.0.0.0] network 10.0.23.2 0.0.0.0 

#配置R3

[R3]router id 10.10.10.3 
[R3]ospf 1 
[R3-ospf-1] area 0 
[R3-ospf-1-area-0.0.0.0] network 10.10.10.3 0.0.0.0 
[R3-ospf-1-area-0.0.0.0] network 10.0.23.3 0.0.0.0 
[R3-ospf-1-area-0.0.0.0] network 10.0.34.3 0.0.0.0 
[R3-ospf-1-area-0.0.0.0] network 10.0.35.3 0.0.0.0 

#配置R4

[R4]router id 10.10.10.4 
[R4]ospf 1 
[R4-ospf-1] area 0 
[R4-ospf-1-area-0.0.0.0] network 10.10.10.4 0.0.0.0 
[R4-ospf-1-area-0.0.0.0] network 10.0.34.4 0.0.0.0 
[R4-ospf-1-area-0.0.0.0] network 10.0.45.4 0.0.0.0 

#配置R5

[R5]router id 10.10.10.5 
[R5]ospf 1 
[R5-ospf-1] area 0
[R5-ospf-1-area-0.0.0.0] network 10.10.10.5 0.0.0.0 
[R5-ospf-1-area-0.0.0.0] network 10.0.45.5 0.0.0.0 

检查OSPF配置结果

#在R2、R4查看OSPF邻居

[R2]display ospf peer brief 
[R4]display ospf peer brief 

#在R2路由器上检查OSPF路由表与IP路由表

[R2]display ospf routing 
[R2]display ip routing-table 

从输出信息可以发现，R2路由器的OSPF进程已经学习到AS65100内部的所有路由信息，且路由条目也在IP路由表中被优选。

步骤 3 配置EBGP对等体，在EBGP对等体之间部署GTSM与BGP认证

在S1与R1、S5与R3、S2与R5之间部署EBGP对等体，同时配置BGP认证，认证密码为Huawei@123，GTSM设置为255。

设备所属AS如本实验拓扑规划：S1属于AS 65001，S2属于AS 65002，S5属于AS 65003，R1、R3、R5属于AS 65100。

#在S1与R1上部署EBGP对等体，并配置BGP认证与GTSM，GTSM只需要在骨干网侧配置

[R1]bgp 65100 
[R1-bgp] peer 10.0.11.1 as-number 65001 
[R1-bgp] peer 10.0.11.1 password cipher Huawei@123 
[R1-bgp] peer 10.0.11.1 valid-ttl-hops 255  
[S1]bgp 65001 
[S1-bgp] peer 10.0.11.2 as-number 65100
[S1-bgp] peer 10.0.11.2 password cipher Huawei@123 

#在S5与R3上部署EBGP对等体，并配置BGP认证与GTSM，GTSM只需要在骨干网侧配置

[R3]bgp 65100
[R3-bgp] peer 10.0.35.5 as-number 65003
[R3-bgp] peer 10.0.35.5 password cipher Huawei@123
[R3-bgp] peer 10.0.35.5 valid-ttl-hops 255 
[S5]bgp 65003
[S5-bgp] peer 10.0.35.3 as-number 65100
[S5-bgp] peer 10.0.35.3 password cipher Huawei@123 

#在S2与R5上部署EBGP对等体，并配置BGP认证与GTSM，GTSM只需要在骨干网侧配置

[R5]bgp 65100
[R5-bgp] peer 10.0.25.2 as-number 65002 
[R5-bgp] peer 10.0.25.2 password cipher Huawei@123 
[R5-bgp] peer 10.0.25.2 valid-ttl-hops 255 
[S2]bgp 65002
[S2-bgp] peer 10.0.25.5 as-number 65001
[S2-bgp] peer 10.0.25.5 password cipher Huawei@123 

检查EBGP配置结果

#在R1、R3、R5上检查邻居状态

[R1]display bgp peer 
[R3]display bgp peer 
[R5]display bgp peer 

R1、R3、R5与对端的邻居关系都到达了“Established”状态。

步骤 4 配置IBGP对等体与多级RR

R2与R4是二级RR，R1、R3、R5是R2与R4的客户端，同级RR为了避免路由互相传递，一般需要修改Cluster ID，将Cluster ID设置为24.24.24.24

R3是一级RR，R2、R4是R3的客户端。

按照拓扑规划部署IBGP对等体，基于Loopback接口地址建立IBGP对等体，由于邻居较多，需使用peer-group方式配置。

#配置R1

[R1]bgp 65100 
[R1-bgp] group IBGP internal 
[R1-bgp] peer IBGP connect-interface LoopBack0 
[R1-bgp] peer IBGP next-hop-local 
[R1-bgp] peer 10.10.10.2 group IBGP 
[R1-bgp] peer 10.10.10.4 group IBGP 

#配置R2

[R2]bgp 65100
[R2-bgp] group IBGP internal
[R2-bgp] peer IBGP connect-interface LoopBack0
[R2-bgp] peer 10.10.10.1 group IBGP 
[R2-bgp] peer 10.10.10.3 group IBGP
[R2-bgp] peer 10.10.10.4 group IBGP
[R2-bgp] peer 10.10.10.5 group IBGP 

#配置R3

[R3]bgp 65100
[R3-bgp] group IBGP internal
[R3-bgp] peer IBGP connect-interface LoopBack0
[R3-bgp] peer IBGP next-hop-local
[R3-bgp] peer 10.10.10.2 group IBGP
[R3-bgp] peer 10.10.10.4 group IBGP 

#配置R4

[R4]bgp 65100
[R4-bgp] roup IBGP internal
[R4-bgp] peer IBGP connect-interface LoopBack0 
[R4-bgp] peer 10.10.10.1 group IBGP 
[R4-bgp] peer 10.10.10.2 group IBGP 
[R4-bgp] peer 10.10.10.3 group IBGP
[R4-bgp] peer 10.10.10.5 group IBGP 

#配置R5

[R5]bgp 65100
[R5-bgp] group IBGP internal 
[R5-bgp] peer IBGP connect-interface LoopBack0 
[R5-bgp] peer IBGP next-hop-local 
[R5-bgp] peer 10.10.10.2 group IBGP
[R5-bgp] peer 10.10.10.4 group IBGP

检查IBGP配置结果

#在R2、R4上检查邻居状态

[R2]display bgp peer 
[R4]display bgp peer 

基于R2、R4的邻居表可以发现AS65100内的路由器之间IBGP对等体已经建立。

部署多级RR

R2与R4是二级RR，R1、R3、R5是R2、R4的客户端，R2与R4配置相同的Cluster ID。

R3是一级RR，R2、R4是R3的客户端。

#配置R2

[R2]bgp 65100 
[R2-bgp] peer IBGP reflect-client 
[R2-bgp] reflector cluster-id 24.24.24.24 

#配置R4

[R4]bgp 65100
[R4-bgp] peer IBGP reflect-client
[R4-bgp] reflector cluster-id 24.24.24.24 

#配置R3

[R3]bgp 65100 
[R3-bgp] peer IBGP reflect-client 

检查RR配置结果

#在R2、R3、R4上查看RR配置结果

[R2]display bgp group IBGP 
[R4]display bgp group IBGP 
[R3]display bgp group IBGP 

RR的客户端都已经设置正确。

步骤 5 发布BGP路由

S1、S2、S5上的Loopback0、Loopback1、 Loopback2接口路由需要发布到BGP中，发布后骨干网将通过路由策略控制路由发布。

发布BGP可以使用import的方式也可以使用network的方式。本实验网段较少，使用network方式即可。

#配置S1

[R1]bgp 65001 
[R1-bgp] network 10.0.1.1 32
[R1-bgp] network 10.1.1.1 32 

#配置S2

[R2]bgp 65002 
[R2-bgp] network 10.0.2.1 32
[R2-bgp] network 10.1.2.1 32 

#配置S5

[R5]bgp 65003 
[R5-bgp] network 10.0.3.1 32 
[R5-bgp] network 10.1.3.1 32 

检查路由发布结果

#在S1、S2、S5上查看路由发布结果，以S1为例，S2、S5查看方式类似

[S1]display bgp routing-table

查看结果可以发现S1、S2、S5已经学习到了对端的路由。

---------------------------------------下期预告---------------------------------------

步骤 6 配置Route-Policy为OA业务打上标签

步骤 7 配置Route-Policy，控制财务业务