文章目录
- 说明:
- 参考阅读
- 实验拓扑
- 一、交换层配置思路细则
- 1.1 核心层的互联地址
- 1.2 DHCP
- 1.3 链路聚合的负载分担
- 1.4 MSTP
- 1.5 VRRP
- 1.6 生成树增强
- 二、骨干配置思路细则
- 1、底层铺OSPF
- 2、建立IBGP
- 3、骨干网铺设MPLS VPN
- 4、PE起VRF表,并与CE建立EBGP邻居
- 5、路由引入
- 6、安全策略中心
- 7、静态路由(总去分)
- 8、NAT
- 三、重点:互备分流(选路)
- 3.1 需求
- 3.1.1 需求一
- 3.1.2 需求二
- 3.2 部署
- 3.2.1 对于需一的拆分
- 3.2.1.1 实现第一个子问题
- 3.2.1.1 实现第二个子问题
- 3.2.2 对于需二的拆分
- 3.2.2.1 实现第一个子问题
- 3.2.2.2 实现第二个子问题
说明:
参考阅读
本篇blog承接企业级网络架构配置细则(壹),重点是对思路的整理于配置的逻辑的详细概述总结
关系此实验的详细配置内容请查看如下blog,如下细则采用的是VRF表分离,但大致内容都一样,后期会更新四个子接口绑定四张VRF表的细则
企业网“日字型”架构配置细则MPLS 实验-VRF表分离(Huawei设备)
实验拓扑
一、交换层配置思路细则
1.1 核心层的互联地址
1、汇聚层交换机的互联链路是为了承载VLAN间通信,如果不存在的话VLAN间通信就会走接入层进行绕路,使接入层称为中转设备(汇聚层)
2、当汇聚和核心上下连对角多条线路出现故障的时候,需要用到这条线路,防止绕路时使接入层成为汇聚层
3、互联需要建立OSPF邻居
1.2 DHCP
1、两边同时配,池子切半
2、使用中继,即使用一个DHCP服务器,交换机就是一个中继设备
1.3 链路聚合的负载分担
过来的流量分布在聚合接口上,并不是简单的带宽叠加;
按照流分布,而不是包分布;一个流只能被分布在一个物理接口上的
某些属性,比如五元组(源目IP、源目MAC、协议等)
注意:
做链路聚合的负载分担时,分担流的内容越详细,匹配越精确,分担流量却准确
链路聚合的接口分布在同一个板卡、不同板卡、不同设备;若要分布在不同的设备上时存在堆叠、虚拟化(将两个设备合并为一个设备)、M-LAG
1.4 MSTP
Alternate port 为根端口做备份
Backup Port 为指定端口做备份,将来会成为指定端口
[SW1]stp instance 1 root primary
1.5 VRRP
为什么需要?
1、设备的死机
2、下联与互联交换机的接口down
3、上联接口down
如果做的是OSPF则需要VRRP的条件唯一是设备的down
上行链路追踪:
增加优先级使用情况:
当做割接时,需要在短时间内将主网关切换到新网关上;当上行链路一旦启动,优先级增加,则实现切换。 优先级越大越优
抢占是抢占回来的时候,而不是丢掉失去的时候
dhcp enable 全局
进入int vlan2
dhcp select global
ip pool vlan2 全局
network
gateway-list
dns-list
excu
1.6 生成树增强
二层防环不会检查边缘端口,无法解决环路
所以一般都会把边缘端口与端口安全配合起来
端口安全
第一次接入的PC会与接口进行粘滞,对于其他接入的PC会进行惩罚(三种惩罚机制,默认shutdown)
解除关闭:
shutdown
undo shutdown
二、骨干配置思路细则
1、底层铺OSPF
略
2、建立IBGP
--R6建立路由反射器
--3489与R6进行IPV4的建邻
--建立VPNV4的邻居(R6做的时候直接用group就可完成、3489命令相同)
配置思路:
3489与6建立IPV4邻居
bgp 1
peer 10.1.6.6 as-number 1
peer 10.1.6.6 connect-interface LoopBack0
#
ipv4-family unicast
undo synchronization
peer 10.1.6.6 enable
3489与6建立VPNV4邻居
ipv4-family vpnv4
undo policy vpn-target
peer 10.1.6.6 enable
peer 10.1.6.6 advertise-community
注意:
在IBGP中建立VPNV4邻居时,一定要在CE、RR的ipv4-family vpnv4上undo policy vpn-target;若CE没有undo 则不能建立VPNV4邻居,若RR没有undo则不能反射传递VPNV4路由
3、骨干网铺设MPLS VPN
MPLSVPN不会影响原先的查表速度,还有带来诸多的好处,分离与隔绝技术
为了传递VPNV4+RD的路由
为了解决数据层面的路由黑洞(R5 R7没有起BGP进程)
MPLS配置
mpls lsr-id 10.1.9.9
mpls
mpls ldp
q
进入接口
int e0/0/0
mpls
mpls ldp
int g0/0/0
mpls
mpls ldp
int e0/0/1
mpls
mpls ldp
4、PE起VRF表,并与CE建立EBGP邻居
第一步 将四个AS的路由接收过来 利用RT
第二步 将收到的路由给到各个AS
第三步 传递VPNV4路由
5、路由引入
R1 R2上进行双点双向重发布
AS3、AS4将自己的路由宣告再BGP中
为了能让交换部分学到路由,需要在R1 R2的OSPF中下发默认
6、安全策略中心
问题:
概述:分部去总部的路由要经过数据策略中心,路径会两次通过一个AS
详细:AS3的路由想要去AS4,在安全策略中心兜一圈去到AS4内部的话,ASpath有AS3、AS1、AS5、AS1、AS4,这当然是不可能的,因为存在有AS path(用于防环)
解决:
存在以下两种解决方案
1、汇总路由进入AS时会将明细路由所携带的AS-Path清洗掉,即做出汇总,建议直接汇总为缺省,直接在策略中心上下发一条默认路由
2、建邻时配置allow-as-loop,substitute-as
说明:allow是允许接收存在自己AS-Path的路由;sub是允许发送存在AS-Path重复的路由;可以理解为强买强卖
在安全策略中心上向每个邻居发一条默认,这条默认路由是由AS5产生的,并没有经过AS1
7、静态路由(总去分)
1、R1 R2上配置一条去往10网段的静态;
2、在互联网路由器上对EBGP邻居做出下发默认,此时R3 R4的EBGP邻居R1 R2就会学习到这条由互联网路由器下发的默认路由;将其在OSPF中下发一下,即SW1和SW2就会学习到
8、NAT
思路分析:
1、数据中心上创建一个回环并宣告,即这个环回代表着公网,宣告的意义在于,这个环回要与互联网相通,即需要互联网的回包
2、数据中心上连接互联网的子接口调用nat
部署:
第一步 互联网上向自己的EBGP邻居下发一个默认,这样数据中心的EBGP邻居R8就会收到默认并利用SVI传给策略中心,即数据中心要知道如何去互联网(根据默认去)
第二步 数据中心将自己的环回宣告,这个环回代表着公网,宣告的意义在于,这个环回要与互联网相通,即需要互联网的回包
第三步 部署NAT;
分析部署位置:
1、在数据中心上连接R8的互联网子接口调用,因为去互联网的流量是从这个口出去的
2、使用ACL抓取流量,然后在子接口调用即可
此时,全网可达;接下来进行选路的优化,即互备分流
三、重点:互备分流(选路)
3.1 需求
3.1.1 需求一
总部–>分支的流量走R3;去互联网的流量走R4;且互备
3.1.2 需求二
分支–>总部的流量走R8;去互联网的流量走R9;且互备
3.2 部署
3.2.1 对于需一的拆分
1、R3作为总/分部间通信的路由器
通过R3去分支,那么就在R2的OSPF内将静态重发布的cost改的比R1重发布时的大即可;
2、通过R4去互联网,在R2下发默认时修改cost,但是由于EBGP>IGP,则R1去互联网优选的是R3;
策略修改,R1上对R3这个EBGP邻居传递来的去往互联网的缺省的cost增大
3.2.1.1 实现第一个子问题
R1、R2上写两条去往10网段的静态路由;将此静态重发布给OSPF R1的cost小,R2的大
1、静态的书写
[R1]ip route-static 10.0.0.0 255.0.0.0 10.2.13.2
[R2]ip route-static 10.0.0.0 255.0.0.0 10.2.24.2
2、重发布
[R1-ospf-1]import-route static cost 10
[R2-ospf-1]import-route static cost 20
3.2.1.1 实现第二个子问题
增大R3传递给R1的去往互联网的默认路由的cost,这样R1就只能乖乖的从R2去R4然后中转去互联网了
1、制作策略
[R1-route-policy]di th
#
route-policy upcostR3 permit node 10
apply cost 10
#
return
2、调用
[R1-bgp]peer 10.2.13.2 route-policy upcostR3 import
3.2.2 对于需二的拆分
1、R8作为分/总部间通信的路由器
分部2去总部的路由要这样走 R9--R8--数据中心--R3--总部
所以要修改数据中心下发给R9的默认,使其cost大,这样R9就会从R8去往数据中心
2、R9作为去互联网的路由器
去互联网的路由是由互联网路由器下发默认出来的,而数据中心匹配的默认路由是R8(BGP选路出来的结果),通过修改策略让其走R9,毕竟R9是互联网路由器么
3.2.2.1 实现第一个子问题
R9上
分部–>总部匹配的是由AS5下发的默认路由
查看R9上的路由,可见于预期不符
解决:在数据中心上R9这个邻居下发默认时将cost增大,小优,即优选去R8的路由
1、制作策略
[Data-center-route-policy]di th
[V200R003C00]
#
route-policy upcostR9 permit node 10
apply cost 10
#
return
2、调用
[Data-center-bgp]peer 10.5.94.2 default-route-advertise route-policy upcostR9
验证查看:
R8上
在数据中心上对于R8这个邻居,增大其入向的PV
1、制作策略
[Data-center-route-policy]di th
[V200R003C00]
#
route-policy upPVR8 permit node 10
apply preferred-value 200
#
return
2、调用
[Data-center-bgp]peer 10.5.82.2 route-policy upPVR8 import
[Data-center-bgp]peer 10.5.83.2 route-policy upPVR8 import
[Data-center-bgp]peer 10.5.84.2 route-policy upPVR8 import
验证查看
3.2.2.2 实现第二个子问题
首先做出R9为互联网路由器,数据中心的默认路由是由互联网下发出来的,默认优选的是R8,需要修改为R9
分析:
在不能影响分部去总步的路由下部署策略,直接抓取这条默认路由,对R9这个EBGP邻居调用策略(增大PV),这样匹配默认路由就会优选R9;另外从R9去互联网时会走R4过去,因为优选AS内部IGP的Metric最小的路由;即R9到R4小于R9到R3,这个天然优势,则R4就是一个互联网路由器
具体:
1.抓取路由
[Data-center]ip ip-prefix R9_int index 10 permit 0.0.0.0 0
2.制作策略
[Data-center-route-policy]di th
[V200R003C00]
#
route-policy R9_int permit node 10
if-match ip-prefix R9_int
apply preferred-value 300
#
route-policy R9_int permit node 20
#
return
3.对R9邻居的互联网子接口的入向调用策略
[Data-center-bgp]peer 10.5.96.2 route-policy R9_int import
验证查看:
另:
R9与安全策略中心建邻、子接口绑定VPN-instance
int g0/0/1.2
dot1q termination vid 2
arp broadcast enable
ip binding vpn-instance toAS2
ip add 10.5.92.2 24
int g0/0/1.3
dot1q termination vid 3
arp broadcast enable
ip binding vpn-instance toAS3
ip add 10.5.93.2 24
int g0/0/1.4
dot1q termination vid 4
arp broadcast enable
ip binding vpn-instance toAS4
ip add 10.5.94.2 24
int g0/0/1.6
dot1q termination vid 6
arp broadcast enable
ip binding vpn-instance toAS6
ip add 10.5.96.2 24
ip vpn-instance toAS2
ipv4-family
route-distinguisher 12:22
vpn-target 12:22 export-extcommunity
vpn-target 3:3 4:4 import-extcommunity
ip vpn-instance toAS3
ipv4-family
route-distinguisher 12:33
vpn-target 12:33 export-extcommunity
vpn-target 8:8 import-extcommunity
ip vpn-instance toAS4
ipv4-family
route-distinguisher 12:44
vpn-target 12:44 export-extcommunity
vpn-target 9:9 import-extcommunity
ip vpn-instance toAS6
ipv4-family
route-distinguisher 12:66
vpn-target 12:66 export-extcommunity
vpn-target 3:6 4:6 import-extcommunity
int g0/0/1.2
dot1q termination vid 2
arp broadcast enable
ip add 10.5.92.1 24
int g0/0/1.3
dot1q termination vid 3
arp broadcast enable
ip add 10.5.93.1 24
int g0/0/1.4
dot1q termination vid 4
arp broadcast enable
ip add 10.5.94.1 24
int g0/0/1.6
dot1q termination vid 6
arp broadcast enable
ip add 10.5.96.1 24
bgp 5
peer 10.5.92.2 as-number 1
peer 10.5.93.2 as-number 1
peer 10.5.94.2 as-number 1
peer 10.5.96.2 as-number 1
#
ipv4-family unicast
undo synchronization
network 100.1.1.0 255.255.255.0
peer 10.5.92.2 enable
peer 10.5.92.2 default-route-advertise
peer 10.5.83.2 enable
peer 10.5.92 default-route-advertise
peer 10.5.84.2 enable
peer 10.5.94.2 default-route-advertise
peer 10.5.86.2 enable
#
return
ipv4-family vpn-instance toAS2
peer 10.5.92.1 as-number 5
#
ipv4-family vpn-instance toAS3
peer 10.5.93.1 as-number 5
#
ipv4-family vpn-instance toAS4
peer 10.5.94.1 as-number 5
#
ipv4-family vpn-instance toAS6
peer 10.5.96.1 as-number 5
peer 10.5.92.2 enable
peer 10.5.92.2 default-route-advertise
peer 10.5.83.2 enable
peer 10.5.92 default-route-advertise
peer 10.5.84.2 enable
peer 10.5.94.2 default-route-advertise
peer 10.5.86.2 enable
return
ipv4-family vpn-instance toAS2
peer 10.5.92.1 as-number 5
ipv4-family vpn-instance toAS3
peer 10.5.93.1 as-number 5
ipv4-family vpn-instance toAS4
peer 10.5.94.1 as-number 5
ipv4-family vpn-instance toAS6
peer 10.5.96.1 as-number 5