# IS-IS 路由配置

  • 中间系统到中间系统 ( Intermediate System to Intermediate System , IS-IS ) 属于内部网关协议 ( lnteriorGateway Protocol , IGP ),用于自治系统内部。
  • 为了支持大规模的路由网络,IS-IS 在自治系统内采用骨干区域与非骨干区域两级的分层结构。一般来说,将 Level-1 路由器部署在非骨干区域,Level-2 路由器和 Level-1-2 路由器部署在骨干区域。每一个非骨干区域都通过 Level-1-2 路由器与骨干区域相连。
  • 链路状态路由协议(L-S)
    • Net-Entity:网络实体,运行 IS-IS 的路由器必须配置一个网络实体,格式为:SEL 服务访问点
      区域 ID 系统 ID SEL
      1 字节 16 字节 1 字节

例如:4A.2000.00E0.008C.00 十六进制表示

isistp

  1. 配置各路由器的接口 IP
  2. 配置各路由器的 IS-IS 功能
  • 配置 R1
[R1]isis //进入 isis 配置
[R1-isis-1]network-entity 10.0000.0000.0001.00 //宣告本路由(R1)的网络实体
[R1-isis-1]quit
[R1]int gig 0/0/0 //进入出口链路端口
[R1-GigabitEthernet0/0/0]isis enable //端口使能 isis
[R1-GigabitEthernet0/0/0]quit
  • 配置 R2
[R2]isis //进入 isis 配置
[R2-isis-1]network-entity 10.0000.0000.0002.00 //宣告本路由(R2)的网络实体
[R2-isis-1]quit
[R2]int gig 0/0/0 //进入出口链路端口
[R2-GigabitEthernet0/0/0]isis enable //端口使能 isis
[R2-GigabitEthernet0/0/0]int gig 0/0/1
[R2-GigabitEthernet0/0/1]isis enable
  • 配置 R3
[R3]isis
[R3-isis-1]network-entity 10.0000.0000.0003.00
[R3-isis-1]quit
[R3]int gig 0/0/0
[R3-GigabitEthernet0/0/0]isis enable

与 R1 类似

  1. 查看各路由器的路由表 ( dis ip routing / dis isis peer / dis isis route / dis isis lsdb )

# BGP 路由配置

  • 边界网关协议 ( Border Gateway Protocol ,BGP) 是一种实现自治系统 ( Autonomous System ,AS) 之间的路由可达并选择最佳路由的距离矢量路由协议 (D-V)
  • 支持多出口大型网络;路由采用增量更新;除了下一跳还有经过 AS 列表通过信息;允许 CIDR、VLSM、支持鉴别、验证等;分为 EBGP(外部)、IBGP(内部)
    • 实现自治系统间通信网络的信息可达
    • 多个 BGP 路由器之间的协调
    • BGP 支持基千策略的路径选择,可以为域内和域间的网络可达性配置不同的策略
    • BGP 只需要在启动时交换一次完整信息,不需要在所有路由更新报文中传送完整的路由数据库信息,后续的路由更新报文只通告网络的变化信息,避免网络变化使得信息黛大幅增加
    • 在 BGP 通告目的网络的可达性信息时,除了处理指定目的网络的下一跳信息之外,通告中还包括了通路向量,即去往该目的网络时需要经过的 AS 的列表,使接受者能够清楚了解去往目的网络的通路信息
    • BGP 在不同自治系统 (AS) 之间进行路由转发,分为 EBGP 和 IBGP 两种情况。EBGP 外部边界网关协议,用于在不同的自治系统间交换路由信息。IBGP 内部边界网关协议,用于向内部路由器提供更多信息

# 配置 BGP 示例

  1. 组网需求

    bgptp

如图所示,需要在所有路由器间运行 BGP 协议,R1、R2 之间建立 EBGP 连接,R2、R3 和 R4 之间建立 IBGP 全连接。

  1. 配置思路
  • 采用如下的思路配置 BGP 的基本功能:
    • 在 R2、R3 和 R4 间配置 IBGP 连接。
    • 在 R1 和 R2 之间配置 EBGP 连接。
  1. 配置步骤

    1. 配置各路由器的接口 IP
    //配置 R2;R1、R3 和 R4 的配置与 R1 类似。
    <Huawei>sys
    Enter system view, return user view with Ctrl+Z.
    [Huawei]un in en
    Info: Information center is disabled.
    [Huawei]sysn R1
    [R1]sysn R2
    [R2]int gig 0/0/1
    [R2-GigabitEthernet0/0/1]ip add 59.74.112.1 24
    [R2-GigabitEthernet0/0/1]quit
    [R2]int gig 0/0/2
    [R2-GigabitEthernet0/0/2]ip add 172.16.30.1 24
    [R2-GigabitEthernet0/0/2]quit
    [R2]int gig 0/0/3
    [R2-GigabitEthernet0/0/3]ip add 172.16.10.1 24
    [R2-GigabitEthernet0/0/3]quit
    1. 配置 IBGP

      • 配置 R2
      [R2]bgp 65009 //启动 BGP 及 AS 号
      [R2-bgp]router-id 2.2.2.2 //配置 BGP 的 router-id(自定义)
      [R2-bgp]peer 172.16.10.2 as-number 65009 //配置 BGP 的对等实体
      [R2-bgp]peer 172.16.30.2 as-number 65009
      [R2-bgp]quit
      • 配置 R3
      [R3]bgp 65009
      [R3-bgp]router-id 3.3.3.3
      [R3-bgp]peer 172.16.30.1 as-number 65009
      [R3-bgp]peer 172.16.20.2 as-number 65009
      [R3-bgp]quit
      • 配置 R4
      [R4]bgp 65009
      [R4-bgp]router-id 4.4.4.4
      [R4-bgp]peer 172.16.20.1 as-number 65009
      [R4-bgp]peer 172.16.10.1 as-number 65009
      [R4-bgp]quit
    2. 配置 EBGP

    • 配置 R1
    [R1]bgp 65008
    [R1-bgp]router-id 1.1.1.1
    [R1-bgp]peer 59.74.112.1 as-number 65009 //配置 BGP 的对等实体
    [R1-bgp]quit
    • 配置 R2
    [R2]bgp 65009
    [R2-bgp]peer 59.74.112.2 as-number 65008 //配置 BGP 的对等实体
    [R2-bgp]quit

    // 在 R2 查看 BGP 对等实体的连接状态
    bgpres

    1. 配置 R1 的发布路由 10.1.0.0/16
    [R1]bgp 65008
    [R1-bgp]ipv4-family unicast 
    [R1-bgp-af-ipv4]network 10.1.0.0 255.255.0.0
    [R1-bgp-af-ipv4]quit

    // 查看 R1、R2、R3、R4 的路由表信息(display bgp routing-table)

    bgpiptb

    从路由表可以看出,R3/R4 学到了 AS65008 中的 10.1.0.0 的路由,但因为下一跳 192.168.1.2 不可达,所以也不是有效路由。

    1. 配置 BGP 引入直连路由
    //配置 R2
    [R2]bgp 65009
    [R2-bgp]ipv4-family unicast
    [R2-bgp-af-ipv4]import-route direct //引入直连路由
    [R2-bgp-af-ipv4]quit

    // 查看 R1 的 BGP 路由表

    bgprou

    // 查看 R4 的 BGP 路由

    bgprou2

    可以看出,到 10.1.0.0 的路由变为有效路由,下一跳为 R1 的地址。
    // 在 R4 使用 Ping 进行验证

    bgpping


# ACL 综合应用

  1. 组网需要

acltp

如图所示,某公司通过 Switch 实现各部门之间的互连。
公司要求禁止研发部门和市场部门在上班时间(8:00 至 17:30)访问工资查询服务器(IP 地址为 10.164.9.9),总裁办公室不受限制,可以随时访问。

  1. 配置思路
  • 采用如下的思路在 Switch 上进行配置:
    • 配置时间段、高级 ACL 和基于 ACL 的流分类,使设备可以基于时间的 ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。
    • 配置流行为,拒绝匹配上 ACL 的报文通过。
    • 配置并应用流策略,使 ACL 和流行为生效。
  1. 配置步骤

    • 配置接口加入 VLAN,并配置 VLANIF 接口的 IP 地址

    将 GE0/0/1~GE0/0/3 分别加入 VLAN10、20、30,GE0/0/4 加入 VLAN100,并配置各 VLANIF 接口的 IP 地址。

    <Huawei>sys
    Enter system view, return user view with Ctrl+Z.
    [Huawei]un in en
    Info: Information center is disabled.
    [Huawei]sysn Swtich
    [Swtich]vlan batch 10 20 30 100
    Info: This operation may take a few seconds. Please wait for a moment...done.
    [Swtich]int gig 0/0/1
    [Swtich-GigabitEthernet0/0/1]port link-type trunk
    [Swtich-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
    [Swtich-GigabitEthernet0/0/1]quit
    [Swtich]int gig 0/0/2
    [Swtich-GigabitEthernet0/0/2]port link-type trunk
    [Swtich-GigabitEthernet0/0/2]port trunk allow-pass vlan 20
    [Swtich-GigabitEthernet0/0/2]quit
    [Swtich]int gig 0/0/3
    [Swtich-GigabitEthernet0/0/3]port link-type trunk
    [Swtich-GigabitEthernet0/0/3]port trunk allow-pass vlan 30
    [Swtich-GigabitEthernet0/0/3]quit
    [Swtich]int gig 0/0/4
    [Swtich-GigabitEthernet0/0/4]port link-type trunk
    [Swtich-GigabitEthernet0/0/4]port trunk allow-pass vlan 100
    [Swtich-GigabitEthernet0/0/4]quit
    [Swtich]int vlan 10
    [Swtich-Vlanif10]ip address 10.164.1.1 255.255.255.0
    [Swtich-Vlanif10]quit
    [Swtich]int vlan 20
    [Swtich-Vlanif20]ip address 10.164.2.1 255.255.255.0
    [Swtich-Vlanif20]quit
    [Swtich]int vlan 30
    [Swtich-Vlanif30]ip address 10.164.3.1 255.255.255.0
    [Swtich-Vlanif30]quit
    [Swtich]int vlan 100
    [Swtich-Vlanif100]ip address 10.164.9.1 255.255.255.0
    [Swtich-Vlanif100]quit
    • 配置时间段

    配置 8:00 至 17:30 的周期时间段。

    [Swtich]time-range satime 8:00 to 17:30 working-day //设置时间段
    • 配置 ACL
    //配置市场部门到工资查询服务器的访问规则。
    [Swtich]acl 3002
    [Swtich-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
    [Swtich-acl-adv-3002]quit
    //配置研发部门到工资查询服务器的访问规则。
    [Swtich]acl 3003
    [Swtich-acl-adv-3003]rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 timerange satime
    [Swtich-acl-adv-3003]quit
    • 配置基于 ACL 的流分类
    //配置流分类 c_market,对匹配 ACL 3002 的报文进行分类。
    [Swtich]traffic classifier c_market
    [Swtich-classifier-c_market]if-match acl 3002
    [Swtich-classifier-c_market]quit
    //配置流分类 c_rd,对匹配 ACL 3003 的报文进行分类。
    [Swtich]traffic classifier c_rd
    [Swtich-classifier-c_rd]if-match acl 3003
    [Swtich-classifier-c_rd]quit
    • 配置流行为
    //配置流行为 b_market,动作为拒绝报文通过。
    [Swtich]traffic behavior b_market
    [Swtich-behavior-b_market]deny
    [Swtich-behavior-b_market]quit
    //配置流行为 b_rd,动作为拒绝报文通过。
    [Swtich]traffic behavior b_rd
    [Swtich-behavior-b_rd]deny
    [Swtich-behavior-b_rd]quit
    • 配置流策略
    //配置流策略 p_market,将流分类 c_market 与流行为 b_market 关联。
    [Swtich]traffic policy p_market
    [Swtich-trafficpolicy-p_market]classifier c_market behavior b_market
    [Swtich-trafficpolicy-p_market]quit
    //配置流策略 p_rd,将流分类 c_rd 与流行为 b_rd 关联。
    [Swtich]traffic policy p_rd
    [Swtich-trafficpolicy-p_rd]classifier c_rd behavior b_rd
    [Swtich-trafficpolicy-p_rd]quit
    • 应用流策略
    //由于市场部访问服务器的流量从接口 GE0/0/2 进入 Switch,所以可以在 GE0/0/2 接口的入方向
    应用流策略 p_market。
    [Swtich]int gig 0/0/2
    [Swtich-GigabitEthernet0/0/2] traffic-policy p_market inbound
    [Swtich-GigabitEthernet0/0/2]quit
    //由于研发部访问服务器的流量从接口 GE0/0/3 进入 Switch,所以可以在 GE0/0/3 接口的入方向
    应用流策略 p_rd。
    [Swtich]int gig 0/0/3
    [Swtich-GigabitEthernet0/0/3]traffic-policy p_rd inbound
    [Swtich-GigabitEthernet0/0/3]quit
    • 验证配置结果

# IPv6-over-IPv4 GRE 隧道配置

  • 由于从 IPv4 向 IPv6 过渡是大势所趋,所以目前有许多从 IPv4 向 IPv6 过渡的技术。本节通过实例介绍采用隧道策略实现从 IPv4 向 IPv6 过渡的技术。
  1. 双栈策略
    • 双栈策略是指在网络节点中同时具有 IPv4 和 IPv6 两个协议栈,这样,它既可以接收、处理、收发 IPv4 的分组,也可以接收、处理、收发 IPv6 的分组。
    • 缺点:对网元设备的要求较高,涉及网络中的所有网元设备都支持双协议栈,投资大、建设周期比较长。
  2. 隧道策略
    • 利用一种协议来传输另一种协议的数据的技术
    • 主流隧道技术:构造隧道、6to4 隧道以及 MPLS 隧道
    • 目前的隧道技术主要实现了在 IPv4 数据包中封装 IPv6 数据包。

本实验采用 IPv6-over-IPv4 隧道技术:

  • 是将 IPv6 报文封装在 IPv4 报文中,让 IPv6 数据包穿过 IPv4 网络进行通信,隧道技术只要求在隧道的入口和出口处进行修改,对其他部分没有要求,容易实现。但是,隧道技术不能实现 IPv4 主机与 1Pv6 主机的直接通信。
  • 路由器 R1 和 R2 经 IPv4 网络连接,路由器以太口分别连接两个 IPv6 网段。通过 Tunnel 将 IPv6 的数据包封装到 IPv4 的数据包中,实现点到点的数据传输。网络拓扑图如图所示。
![gretp](https://z3.ax1x.com/2021/05/11/gdm5WR.png)
  • 配置步骤
  1. 配置 R1、R2 接口 IP
  • R1
[R1]int gig 0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.1.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]ipv6 //全局使能 IPv6
[R1]int gig 0/0/2
[R1-GigabitEthernet0/0/2]ipv6 enable //对应接口启动 IPv6 功能
[R1-GigabitEthernet0/0/2]ipv6 add fc01::1 64 //接口配置 IPv6 地址
[R1-GigabitEthernet0/0/2]quit
  • R2
[R2]int gig 0/0/1
[R2-GigabitEthernet0/0/1]ip add 10.1.2.2 24
[R2-GigabitEthernet0/0/1]quit
[R2]ipv6
[R2]int gig 0/0/2
[R2-GigabitEthernet0/0/2]ipv6 enable
[R2-GigabitEthernet0/0/2]ipv6 add fc03::1 64
[R2-GigabitEthernet0/0/2]quit
  1. 配置 R1 和 R2 的 IPV4 静态路由
[R1]ip route-static 10.1.2.2 255.255.255.0 10.1.1.2
[R2]ip route-static 10.1.1.1 255.255.255.0 10.1.2.1
  1. 配置 R1 和 R2 的 Tunnel 接口
  • R1
[R1]int Tunnel 0/0/1 //进入隧道 Tunnel 0/0/1
[R1-Tunnel0/0/1]tunnel-protocol gre //启用隧道协议 GRE
[R1-Tunnel0/0/1]ipv6 enable //隧道端口使能 IPv6
[R1-Tunnel0/0/1]ipv6 add fc02::1 64 //配置 IPv6 地址
[R1-Tunnel0/0/1]source 10.1.1.1 //源端地址
[R1-Tunnel0/0/1]destination 10.1.2.2 //目的地址
[R1-Tunnel0/0/1]quit
  • R2
[R2]int tunnel 0/0/1
[R2-Tunnel0/0/1]tunnel-protocol gre
[R2-Tunnel0/0/1]ipv6 enable
[R2-Tunnel0/0/1]ipv6 add fc02::2 64
[R2-Tunnel0/0/1]source 10.1.2.2
[R2-Tunnel0/0/1]destination 10.1.1.1
[R2-Tunnel0/0/1]quit
  1. 配置 R1 和 R2 的 Tunnel 静态路由
[R1]ipv6 route-static fc03::1 64 Tunnel 0/0/1
[R2]ipv6 route-static fc01::1 64 Tunnel 0/0/1
  1. 检查配置结果