BGP高级特性:骨干网配置OSPF协议,配置EBGP/IBGP对等体与多级RR
cac55 2024-10-26 08:16 25 浏览 0 评论
学习目标
- 实现基于Peer-Group的BGP对等体建立
- 实现BGP路由策略配置
- 实现BGP安全特性配置
实验组网介绍
IP互联地址、BGP AS号、BGP对等体关系如图所示。
R2、R4是二级RR,R1与R5为二级RR的客户端。
R3是一级RR,主要接收二级RR传来的路由。
S1、S2、S5的环回口用于模拟用户。
实验背景
某企业存在两个分公司与一个总公司,公司共有两个业务:
OA:S1、S2、S5的Loopback0接口网段是OA业务网段。分支之间,分支与总公司之间能够互相传递OA数据,对于OA业务相关路由需要标注始发AS。
财务:S1、S2、S5的Loopback1接口网段是财务业务网段,由于财务业务较为机密,因此只允许分公司与总公司之间传递财务数据,分公司之间禁止传递财务数据。
网络管理员需要搭建一个满足这些需求的同时又有一定安全性的网络。
实验任务
任务思路
1. 设备IP地址配置。
2. 在骨干区域配置OSPF,构建底层网络。
3. 在分公司与骨干网络之间部署GTSM与BGP认证,保证BGP网络安全。
4. R1、R3、R5配置与R2、R4的IBGP对等体关系,同时将R1、R3、R5配置为R2、R4的反射器客户端。
5. R3作为一级RR需要配置与R2、R4的IBGP对等体关系,同时将R2、R4配置为R3的反射器客户端。
6. 在R1、R2、R3上给Loopback0接口路由打上Community值,用于标注OA业务的始发AS。
7. 在R1、R3、R5上配置路由策略,使用AS-Path Filter工具过滤Loopback1接口路由。
任务步骤
步骤 1 互联接口、环回口IP地址配置
#设备命名
略
#关闭本实验中未使用的接口
略
#
配置R1的GE0/0/2、GE0/0/3、Loopback0接口IP地址
[R1]interface LoopBack0
[R1-LoopBack0] ip address 10.10.10.1 255.255.255.255
[R1-LoopBack0] quit
[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2] ip address 10.0.12.1 255.255.255.0
[R1-GigabitEthernet0/0/2] quit
[R1]interface GigabitEthernet0/0/3
[R1-GigabitEthernet0/0/3] ip address 10.0.11.2 255.255.255.0
[R1-GigabitEthernet0/0/3] quit #配置R2的GE0/0/2、GE0/0/3、Loopback0接口IP地址
[R2]interface LoopBack0
[R2-LoopBack0] ip address 10.10.10.2 255.255.255.255
[R2-LoopBack0] quit
[R2]interface GigabitEthernet0/0/2
[R2-GigabitEthernet0/0/2] ip address 10.0.23.2 255.255.255.0
[R2-GigabitEthernet0/0/2] quit
[R2]interface GigabitEthernet0/0/3
[R2-GigabitEthernet0/0/3] ip address 10.0.12.2 255.255.255.0
[R2-GigabitEthernet0/0/3] quit #配置R3的GE0/0/1、GE0/0/2、GE0/0/3、Loopback0接口IP地址
[R3]interface LoopBack0
[R3-LoopBack0] ip address 10.10.10.3 255.255.255.255
[R3-LoopBack0] quit
[R3]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1] ip address 10.0.35.3 255.255.255.0
[R3-GigabitEthernet0/0/1] quit
[R3]interface GigabitEthernet0/0/2
[R3-GigabitEthernet0/0/2] ip address 10.0.34.3 255.255.255.0
[R3-GigabitEthernet0/0/2] quit
[R3]interface GigabitEthernet0/0/3
[R3-GigabitEthernet0/0/3] ip address 10.0.23.3 255.255.255.0
[R3-GigabitEthernet0/0/3] quit #配置R4的GE0/0/2、GE0/0/3、GE0/0/5、Loopback0接口IP地址
[R4]interface LoopBack0
[R4-LoopBack0] ip address 10.10.10.4 255.255.255.255
[R4-LoopBack0] quit
[R4]interface GigabitEthernet0/0/2
[R4-GigabitEthernet0/0/2] ip address 10.0.45.4 255.255.255.0
[R4-GigabitEthernet0/0/2] quit
[R4]interface GigabitEthernet0/0/3
[R4-GigabitEthernet0/0/3] ip address 10.0.34.4 255.255.255.0
[R4-GigabitEthernet0/0/3] quit #配置R5的GE0/0/3、GE0/0/4、Loopback0接口IP地址
[R5]interface LoopBack0
[R5-LoopBack0] ip address 10.10.10.5 255.255.255.255
[R5-LoopBack0] quit
[R5]interface GigabitEthernet0/0/3
[R5-GigabitEthernet0/0/3] ip address 10.0.45.5 255.255.255.0
[R5-GigabitEthernet0/0/3] quit
[R5]interface GigabitEthernet0/0/4
[R5-GigabitEthernet0/0/4] ip address 10.0.25.5 255.255.255.0
[R5-GigabitEthernet0/0/4] quit #配置S1的GE0/0/1所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址
[S1]interface LoopBack0
[S1-LoopBack0] ip address 10.0.1.1 255.255.255.255
[S1-LoopBack0] quit
[S1]interface LoopBack1
[S1-LoopBack1] ip address 10.1.1.1 255.255.255.255
[S1-LoopBack1] quit
[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1] port link-type access
[S1-GigabitEthernet0/0/1] port default vlan 1
[S1-GigabitEthernet0/0/1] quit
[S1]interface Vlanif 1
[S1-Vlanif1] ip address 10.1.11.1 24
[S1-Vlanif1] quit #配置S2的GE0/0/5所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址
[S2]interface LoopBack0
[S2-LoopBack0] ip address 10.0.2.1 255.255.255.255
[S2-LoopBack0] quit
[S2]interface LoopBack1
[S2-LoopBack1] ip address 10.1.2.1 255.255.255.255
[S2-LoopBack1] quit
[S2]interface GigabitEthernet0/0/5
[S2-GigabitEthernet0/0/5] port link-type access
[S2-GigabitEthernet0/0/5] port default vlan 1
[S2-GigabitEthernet0/0/5] quit
[S2]interface Vlanif 1
[S2-Vlanif1] ip address 10.1.25.2 24
[S2-Vlanif1] quit #配置S5的GE0/0/3所属VLAN以及VLANIF 1、Loopback0、Loopback1接口IP地址
[S5]interface LoopBack0
[S5-LoopBack0] ip address 10.0.2.1 255.255.255.255
[S5-LoopBack0] quit
[S5]interface LoopBack1
[S5-LoopBack1] ip address 10.1.2.1 255.255.255.255
[S5-LoopBack1] quit
[S5]interface GigabitEthernet0/0/3
[S5-GigabitEthernet0/0/3] port link-type access
[S5-GigabitEthernet0/0/3] port default vlan 1
[S5-GigabitEthernet0/0/3] quit
[S5]interface Vlanif 1
[S5-Vlanif1] ip address 10.1.35.5 24
[S5-Vlanif1] quit#在R1、R3、R5上检查互联地址连通性
<R1>ping -c 1 10.0.11.1
<R1>ping -c 1 10.0.12.2
<R3>ping -c 1 10.0.23.2
<R3>ping -c 1 10.0.34.4
<R3>ping -c 1 10.0.35.5
<R5>ping -c 1 10.0.45.4
<R5>ping -c 1 10.0.25.2
可以PING通步骤 2 骨干网配置OSPF协议,搭建底层网络
按照拓扑设计逐台配置路由器的OSPF进程,进程号使用1,区域号为0,Router ID使用路由器的环回口,以R1为例:10.10.10.1。
宣告OSPF接口时,使用精确宣告的方式,将所有AS65100内的接口均宣告入OSPF。
#配置R1
[R1]router id 10.10.10.1
[R1]ospf 1
[R1-ospf-1] area 0
[R1-ospf-1-area-0.0.0.0] network 10.10.10.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0] network 10. 0.12.1 0.0.0.0 #配置R2
[R2]router id 10.10.10.2
[R2]ospf 1
[R2-ospf-1] area 0
[R2-ospf-1-area-0.0.0.0] network 10.10.10.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0] network 10.0.12.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0] network 10.0.23.2 0.0.0.0 #配置R3
[R3]router id 10.10.10.3
[R3]ospf 1
[R3-ospf-1] area 0
[R3-ospf-1-area-0.0.0.0] network 10.10.10.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0] network 10.0.23.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0] network 10.0.34.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0] network 10.0.35.3 0.0.0.0 #配置R4
[R4]router id 10.10.10.4
[R4]ospf 1
[R4-ospf-1] area 0
[R4-ospf-1-area-0.0.0.0] network 10.10.10.4 0.0.0.0
[R4-ospf-1-area-0.0.0.0] network 10.0.34.4 0.0.0.0
[R4-ospf-1-area-0.0.0.0] network 10.0.45.4 0.0.0.0 #配置R5
[R5]router id 10.10.10.5
[R5]ospf 1
[R5-ospf-1] area 0
[R5-ospf-1-area-0.0.0.0] network 10.10.10.5 0.0.0.0
[R5-ospf-1-area-0.0.0.0] network 10.0.45.5 0.0.0.0 检查OSPF配置结果
#在R2、R4查看OSPF邻居
[R2]display ospf peer brief
[R4]display ospf peer brief #在R2路由器上检查OSPF路由表与IP路由表
[R2]display ospf routing
[R2]display ip routing-table 从输出信息可以发现,R2路由器的OSPF进程已经学习到AS65100内部的所有路由信息,且路由条目也在IP路由表中被优选。
步骤 3 配置EBGP对等体,在EBGP对等体之间部署GTSM与BGP认证
在S1与R1、S5与R3、S2与R5之间部署EBGP对等体,同时配置BGP认证,认证密码为Huawei@123,GTSM设置为255。
设备所属AS如本实验拓扑规划:S1属于AS 65001,S2属于AS 65002,S5属于AS 65003,R1、R3、R5属于AS 65100。
#在S1与R1上部署EBGP对等体,并配置BGP认证与GTSM,GTSM只需要在骨干网侧配置
[R1]bgp 65100
[R1-bgp] peer 10.0.11.1 as-number 65001
[R1-bgp] peer 10.0.11.1 password cipher Huawei@123
[R1-bgp] peer 10.0.11.1 valid-ttl-hops 255
[S1]bgp 65001
[S1-bgp] peer 10.0.11.2 as-number 65100
[S1-bgp] peer 10.0.11.2 password cipher Huawei@123 #在S5与R3上部署EBGP对等体,并配置BGP认证与GTSM,GTSM只需要在骨干网侧配置
[R3]bgp 65100
[R3-bgp] peer 10.0.35.5 as-number 65003
[R3-bgp] peer 10.0.35.5 password cipher Huawei@123
[R3-bgp] peer 10.0.35.5 valid-ttl-hops 255
[S5]bgp 65003
[S5-bgp] peer 10.0.35.3 as-number 65100
[S5-bgp] peer 10.0.35.3 password cipher Huawei@123 #在S2与R5上部署EBGP对等体,并配置BGP认证与GTSM,GTSM只需要在骨干网侧配置
[R5]bgp 65100
[R5-bgp] peer 10.0.25.2 as-number 65002
[R5-bgp] peer 10.0.25.2 password cipher Huawei@123
[R5-bgp] peer 10.0.25.2 valid-ttl-hops 255
[S2]bgp 65002
[S2-bgp] peer 10.0.25.5 as-number 65001
[S2-bgp] peer 10.0.25.5 password cipher Huawei@123 检查EBGP配置结果
#在R1、R3、R5上检查邻居状态
[R1]display bgp peer
[R3]display bgp peer
[R5]display bgp peer R1、R3、R5与对端的邻居关系都到达了“Established”状态。
步骤 4 配置IBGP对等体与多级RR
R2与R4是二级RR,R1、R3、R5是R2与R4的客户端,同级RR为了避免路由互相传递,一般需要修改Cluster ID,将Cluster ID设置为24.24.24.24
R3是一级RR,R2、R4是R3的客户端。
按照拓扑规划部署IBGP对等体,基于Loopback接口地址建立IBGP对等体,由于邻居较多,需使用peer-group方式配置。
#配置R1
[R1]bgp 65100
[R1-bgp] group IBGP internal
[R1-bgp] peer IBGP connect-interface LoopBack0
[R1-bgp] peer IBGP next-hop-local
[R1-bgp] peer 10.10.10.2 group IBGP
[R1-bgp] peer 10.10.10.4 group IBGP #配置R2
[R2]bgp 65100
[R2-bgp] group IBGP internal
[R2-bgp] peer IBGP connect-interface LoopBack0
[R2-bgp] peer 10.10.10.1 group IBGP
[R2-bgp] peer 10.10.10.3 group IBGP
[R2-bgp] peer 10.10.10.4 group IBGP
[R2-bgp] peer 10.10.10.5 group IBGP #配置R3
[R3]bgp 65100
[R3-bgp] group IBGP internal
[R3-bgp] peer IBGP connect-interface LoopBack0
[R3-bgp] peer IBGP next-hop-local
[R3-bgp] peer 10.10.10.2 group IBGP
[R3-bgp] peer 10.10.10.4 group IBGP #配置R4
[R4]bgp 65100
[R4-bgp] roup IBGP internal
[R4-bgp] peer IBGP connect-interface LoopBack0
[R4-bgp] peer 10.10.10.1 group IBGP
[R4-bgp] peer 10.10.10.2 group IBGP
[R4-bgp] peer 10.10.10.3 group IBGP
[R4-bgp] peer 10.10.10.5 group IBGP #配置R5
[R5]bgp 65100
[R5-bgp] group IBGP internal
[R5-bgp] peer IBGP connect-interface LoopBack0
[R5-bgp] peer IBGP next-hop-local
[R5-bgp] peer 10.10.10.2 group IBGP
[R5-bgp] peer 10.10.10.4 group IBGP检查IBGP配置结果
#在R2、R4上检查邻居状态
[R2]display bgp peer
[R4]display bgp peer 基于R2、R4的邻居表可以发现AS65100内的路由器之间IBGP对等体已经建立。
部署多级RR
R2与R4是二级RR,R1、R3、R5是R2、R4的客户端,R2与R4配置相同的Cluster ID。
R3是一级RR,R2、R4是R3的客户端。
#配置R2
[R2]bgp 65100
[R2-bgp] peer IBGP reflect-client
[R2-bgp] reflector cluster-id 24.24.24.24 #配置R4
[R4]bgp 65100
[R4-bgp] peer IBGP reflect-client
[R4-bgp] reflector cluster-id 24.24.24.24 #配置R3
[R3]bgp 65100
[R3-bgp] peer IBGP reflect-client 检查RR配置结果
#在R2、R3、R4上查看RR配置结果
[R2]display bgp group IBGP
[R4]display bgp group IBGP
[R3]display bgp group IBGP RR的客户端都已经设置正确。
步骤 5 发布BGP路由
S1、S2、S5上的Loopback0、Loopback1、 Loopback2接口路由需要发布到BGP中,发布后骨干网将通过路由策略控制路由发布。
发布BGP可以使用import的方式也可以使用network的方式。本实验网段较少,使用network方式即可。
#配置S1
[R1]bgp 65001
[R1-bgp] network 10.0.1.1 32
[R1-bgp] network 10.1.1.1 32 #配置S2
[R2]bgp 65002
[R2-bgp] network 10.0.2.1 32
[R2-bgp] network 10.1.2.1 32 #配置S5
[R5]bgp 65003
[R5-bgp] network 10.0.3.1 32
[R5-bgp] network 10.1.3.1 32 检查路由发布结果
#在S1、S2、S5上查看路由发布结果,以S1为例,S2、S5查看方式类似
[S1]display bgp routing-table查看结果可以发现S1、S2、S5已经学习到了对端的路由。
---------------------------------------下期预告---------------------------------------
步骤 6 配置Route-Policy为OA业务打上标签
步骤 7 配置Route-Policy,控制财务业务
相关推荐
- Linux :远程访问的 16 个最佳工具(一)
-
通过远程桌面协议(RDP)可以访问远程Linux桌面计算机,这是Microsoft开发的专有协议。它为用户提供了一个图形界面,可以通过网络连接连接到另一台/远程计算机。FreeRDP是...
- Guacamole安装部署_guacamole简单搭建
-
Guacamole安装部署Guacamole简介Guacamole是提供连接远程桌面的解决方案的开源项目(也可以说是一个远程桌面网关),通过浏览器就能远程操作服务器,适用于Chrome、Firefox...
- 1-FreeRTOS入门指南_freertos+lwip
-
本专栏是根据官方提供的文档进行FreeRTOS的各个功能函数的说明,以及函数的使用本专栏不涉及动手操作,只是对原理进行说明,FreeRTOS基础知识篇更新完成会对如何在开发板上进行上手实战操作。这里不...
- Windows暂停远程桌面,这些工具可替代
-
Windows暂停远程桌面,这些工具可替代近日,Windows官方宣布将于2025年5月27日起,在Windows10和Windows11应用商店中下架“Microsoft远程桌面”应用。这一消...
- 现在做 Web 全景合适吗?_前端全景
-
作者:前端藏经阁转发链接:https://www.yuque.com/xwifrr/uxqg5v/cgclx0前言Web全景在以前带宽有限的条件下常常用来作为街景和360°全景图片可查看。它可以...
- 网页直连,MSTSC远程控制Windows新姿势!
-
不用安装软件,打开浏览器就能远程办公?今天要聊的是一种颠覆传统的远程控制玩法,直接用网页连接Windows电脑,无需下载客户端,手机、平板、Mac甚至Linux都能轻松操作。这可不是吹牛,结合MSTS...
- QQ出现大面积盗号,原因已查明,请抓紧改密码
-
你没有看错,QQ又上了微博热搜,这次比较严重了,QQ出现大面积盗号,多个QQ群出现yellow信息,其次导致多位成员被踢出,并且还被封号处理,到底怎么回事?请继续往下看。在6月26日晚上10点左...
- 我在淘宝花10块钱,买到了能玩“宝可梦”的Q群机器人
-
十一月雨|文我是个没事喜欢逛淘宝的人,虽然是个不怎么好的习惯,但总是能够发现一些奇奇怪怪的东西,这次我发现的是一种Q群机器人。Q群机器人,大多是基于腾讯SmartQQ协议实现的一种能自动回复、自定...
- Metasploit最实用的攻击模块"Meterpreter"
-
Meterpreter命令详解Meterpreter是Metasploit渗透测试平台框架中功能最强大的攻击载荷模块,在最新的Metasploitv4.5.0版本中,攻击载荷模块已经达到了25...
- 手机QQ再更新,上线了一个想让人“无法回避”的新功能
-
近日,手机QQ更新了V8.2.6.700版本,苹果iOS版和安卓版手机QQ上线了一个新功能:可以实时显示对方的手机电量以及充电状态。开通电量显示也很简单,长按主页左上方的头像,在在线状态中选择我的电量...
- 「网络安全」常见攻击篇(20)——点击劫持
-
什么是点击劫持?点击劫持(Clickjacking)技术又称为界面伪装攻击(UIredressattack),是一种视觉上的欺骗手段。通常有两种方式:攻击者使用一个透明的iframe,覆盖...
- 曾利用驱动人生升级通道传播的木马下载器攻击方法再次升级
-
一、概述御见威胁情报中心1月25日再次监测到曾利用驱动人生升级通道传播的木马下载器攻击方法再升级。本次升级主要变化在于攻击模块,木马在之前的版本上,新增计划任务“DnsScan”,在其中将永恒之蓝攻击...
- QQ飞车手游:点券首个功能性宠物上架,实战稳定触发还不快入手?
-
随着版本的逐渐更新,点券宠物在道具模式发挥逐渐越来越小,曾经探讨点券宠物在道具是不是真的没有用?直到出现了波斯猫改变了,我对点券宠物在道具模式的看法,如今又一个强势点券宠物来袭,而且特性触发简单,还是...
- 工单系统设计实战(上):核心配置与效能提升
-
流程的标准化并非终点,而是研发效能持续革命的基石。当工单系统真正成为研发团队的“神经中枢”,每一次需求的精准流转、每一行代码的受控提交、每一次版本的可靠发布,都将汇聚成驱动产品持续进化的强大动力...
- 6个编辑PDF文档内容的工具(软件+网站)
-
在日常办公、学习和生活中,PDF文件因其格式稳定、跨平台兼容性强等特点,被广泛应用。但有时我们拿到PDF文件后,却发现需要修改其中的内容,总感觉有点难搞。其实PDF文档编辑修改也很简单,这里分享6个软...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- 如何绘制折线图 (52)
- javaabstract (48)
- 新浪微博头像 (53)
- grub4dos (66)
- s扫描器 (51)
- httpfile dll (48)
- ps实例教程 (55)
- taskmgr (51)
- s spline (61)
- vnc远程控制 (47)
- 数据丢失 (47)
- wbem (57)
- flac文件 (72)
- 网页制作基础教程 (53)
- 镜像文件刻录 (61)
- ug5 0软件免费下载 (78)
- debian下载 (53)
- ubuntu10 04 (60)
- web qq登录 (59)
- 笔记本变成无线路由 (52)
- flash player 11 4 (50)
- 右键菜单清理 (78)
- cuteftp 注册码 (57)
- ospf协议 (53)
- ms17 010 下载 (60)