IS-IS 路由配置

• 中间系统到中间系统 (Intermediate System to Intermediate System, IS-IS)属于内部网关协议(lnteriorGateway Protocol,IGP)，用于自治系统内部。
• 为了支持大规模的路由网络，IS-IS 在自治系统内采用骨干区域与非骨干区域两级的分层结构。一般来说，将 Level-1 路由器部署在非骨干区域，Level-2 路由器和 Level-1-2 路由器部署在骨干区域。每一个非骨干区域都通过 Level-1-2 路由器与骨干区域相连。

• 链路状态路由协议（L-S）

  • Net-Entity：网络实体，运行 IS-IS 的路由器必须配置一个网络实体，格式为：SEL 服务访问点
    |区域 ID| 系统 ID| SEL|
    |:—-:|:—-:|:—-:|
    |1 字节| 16 字节| 1 字节|

    例如：4A.2000.00E0.008C.00 十六进制表示

1. 配置各路由器的接口 IP
2. 配置各路由器的 IS-IS 功能

• 配置R1

[R1]isis //进入 isis 配置
[R1-isis-1]network-entity 10.0000.0000.0001.00 //宣告本路由(R1)的网络实体
[R1-isis-1]quit
[R1]int gig 0/0/0 //进入出口链路端口
[R1-GigabitEthernet0/0/0]isis enable //端口使能 isis
[R1-GigabitEthernet0/0/0]quit

• 配置R2

[R2]isis //进入 isis 配置
[R2-isis-1]network-entity 10.0000.0000.0002.00 //宣告本路由(R2)的网络实体
[R2-isis-1]quit
[R2]int gig 0/0/0 //进入出口链路端口
[R2-GigabitEthernet0/0/0]isis enable //端口使能 isis
[R2-GigabitEthernet0/0/0]int gig 0/0/1
[R2-GigabitEthernet0/0/1]isis enable

• 配置R3

[R3]isis
[R3-isis-1]network-entity 10.0000.0000.0003.00
[R3-isis-1]quit
[R3]int gig 0/0/0
[R3-GigabitEthernet0/0/0]isis enable

与 R1 类似

1. 查看各路由器的路由表(dis ip routing/dis isis peer/dis isis route/dis isis lsdb)

---

BGP 路由配置

• 边界网关协议(Border Gateway Protocol,BGP)是一种实现自治系统(Autonomous System,AS)之间的路由可达并选择最佳路由的距离矢量路由协议(D-V)
• 支持多出口大型网络；路由采用增量更新；除了下一跳还有经过 AS 列表通过信息；允许 CIDR、VLSM、支持鉴别、验证等；分为 EBGP（外部）、IBGP（内部）
  • 实现自治系统间通信网络的信息可达
  • 多个 BGP 路由器之间的协调
  • BGP 支持基千策略的路径选择，可以为域内和域间的网络可达性配置不同的策略
  • BGP 只需要在启动时交换一次完整信息，不需要在所有路由更新报文中传送完整的路由数据库信息，后续的路由更新报文只通告网络的变化信息，避免网络变化使得信息黛大幅增加
  • 在 BGP 通告目的网络的可达性信息时，除了处理指定目的网络的下一跳信息之外，通告中还包括了通路向量，即去往该目的网络时需要经过的 AS 的列表，使接受者能够清楚了解去往目的网络的通路信息
  • BGP 在不同自治系统(AS)之间进行路由转发，分为 EBGP 和 IBGP 两种情况。EBGP 外部边界网关协议，用于在不同的自治系统间交换路由信息。IBGP 内部边界网关协议，用于向内部路由器提供更多信息

配置 BGP 示例

1. 组网需求

如图所示，需要在所有路由器间运行 BGP 协议，R1、R2 之间建立 EBGP 连接，R2、R3 和 R4 之间建立 IBGP 全连接。

1. 配置思路

• 采用如下的思路配置 BGP 的基本功能：
  • 在 R2、R3 和 R4 间配置 IBGP 连接。
  • 在 R1 和 R2 之间配置 EBGP 连接。

1. 配置步骤

   1. 配置各路由器的接口 IP

      //配置 R2；R1、R3 和 R4 的配置与 R1 类似。
      <Huawei>sys
      Enter system view, return user view with Ctrl+Z.
      [Huawei]un in en
      Info: Information center is disabled.
      [Huawei]sysn R1
      [R1]sysn R2
      [R2]int gig 0/0/1
      [R2-GigabitEthernet0/0/1]ip add 59.74.112.1 24
      [R2-GigabitEthernet0/0/1]quit
      [R2]int gig 0/0/2
      [R2-GigabitEthernet0/0/2]ip add 172.16.30.1 24
      [R2-GigabitEthernet0/0/2]quit
      [R2]int gig 0/0/3
      [R2-GigabitEthernet0/0/3]ip add 172.16.10.1 24
      [R2-GigabitEthernet0/0/3]quit
      

   2. 配置 IBGP

      • 配置R2

        [R2]bgp 65009 //启动 BGP 及 AS 号
        [R2-bgp]router-id 2.2.2.2 //配置 BGP 的 router-id（自定义）
        [R2-bgp]peer 172.16.10.2 as-number 65009 //配置 BGP 的对等实体
        [R2-bgp]peer 172.16.30.2 as-number 65009
        [R2-bgp]quit
        

      • 配置R3

        [R3]bgp 65009
        [R3-bgp]router-id 3.3.3.3
        [R3-bgp]peer 172.16.30.1 as-number 65009
        [R3-bgp]peer 172.16.20.2 as-number 65009
        [R3-bgp]quit
        

      • 配置R4

        [R4]bgp 65009
        [R4-bgp]router-id 4.4.4.4
        [R4-bgp]peer 172.16.20.1 as-number 65009
        [R4-bgp]peer 172.16.10.1 as-number 65009
        [R4-bgp]quit
        

   3. 配置 EBGP

   • 配置R1

     [R1]bgp 65008
     [R1-bgp]router-id 1.1.1.1
     [R1-bgp]peer 59.74.112.1 as-number 65009 //配置 BGP 的对等实体
     [R1-bgp]quit
     

   • 配置R2

     [R2]bgp 65009
     [R2-bgp]peer 59.74.112.2 as-number 65008 //配置 BGP 的对等实体
     [R2-bgp]quit
     

     //在 R2 查看 BGP 对等实体的连接状态
     

   1. 配置 R1 的发布路由 10.1.0.0/16

      [R1]bgp 65008
      [R1-bgp]ipv4-family unicast 
      [R1-bgp-af-ipv4]network 10.1.0.0 255.255.0.0
      [R1-bgp-af-ipv4]quit
      

      //查看 R1、R2、R3、R4 的路由表信息（display bgp routing-table）

      从路由表可以看出，R3/R4 学到了 AS65008 中的 10.1.0.0 的路由，但因为下一跳 192.168.1.2 不可达，所以也不是有效路由。

   2. 配置 BGP 引入直连路由

      //配置 R2
      [R2]bgp 65009
      [R2-bgp]ipv4-family unicast
      [R2-bgp-af-ipv4]import-route direct //引入直连路由
      [R2-bgp-af-ipv4]quit
      

      //查看 R1 的 BGP 路由表

      //查看 R4 的 BGP 路由

      可以看出，到 10.1.0.0 的路由变为有效路由，下一跳为 R1 的地址。
      //在 R4 使用 Ping 进行验证

---

ACL 综合应用

1. 组网需要

如图所示，某公司通过 Switch 实现各部门之间的互连。
公司要求禁止研发部门和市场部门在上班时间（8:00 至 17:30）访问工资查询服务器（IP 地址为10.164.9.9），总裁办公室不受限制，可以随时访问。

1. 配置思路

• 采用如下的思路在 Switch 上进行配置：
  • 配置时间段、高级 ACL 和基于 ACL 的流分类，使设备可以基于时间的 ACL，对用户访问服务器的报文进行过滤，从而限制不同用户在特定时间访问特定服务器的权限。
  • 配置流行为，拒绝匹配上 ACL 的报文通过。
  • 配置并应用流策略，使 ACL 和流行为生效。

1. 配置步骤

   • 配置接口加入 VLAN，并配置 VLANIF 接口的 IP 地址

     将 GE0/0/1～GE0/0/3 分别加入 VLAN10、20、30，GE0/0/4 加入 VLAN100，并配置各 VLANIF 接口的 IP 地址。

     <Huawei>sys
     Enter system view, return user view with Ctrl+Z.
     [Huawei]un in en
     Info: Information center is disabled.
     [Huawei]sysn Swtich
     [Swtich]vlan batch 10 20 30 100
     Info: This operation may take a few seconds. Please wait for a moment...done.
     [Swtich]int gig 0/0/1
     [Swtich-GigabitEthernet0/0/1]port link-type trunk
     [Swtich-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
     [Swtich-GigabitEthernet0/0/1]quit
     [Swtich]int gig 0/0/2
     [Swtich-GigabitEthernet0/0/2]port link-type trunk
     [Swtich-GigabitEthernet0/0/2]port trunk allow-pass vlan 20
     [Swtich-GigabitEthernet0/0/2]quit
     [Swtich]int gig 0/0/3
     [Swtich-GigabitEthernet0/0/3]port link-type trunk
     [Swtich-GigabitEthernet0/0/3]port trunk allow-pass vlan 30
     [Swtich-GigabitEthernet0/0/3]quit
     [Swtich]int gig 0/0/4
     [Swtich-GigabitEthernet0/0/4]port link-type trunk
     [Swtich-GigabitEthernet0/0/4]port trunk allow-pass vlan 100
     [Swtich-GigabitEthernet0/0/4]quit
     [Swtich]int vlan 10
     [Swtich-Vlanif10]ip address 10.164.1.1 255.255.255.0
     [Swtich-Vlanif10]quit
     [Swtich]int vlan 20
     [Swtich-Vlanif20]ip address 10.164.2.1 255.255.255.0
     [Swtich-Vlanif20]quit
     [Swtich]int vlan 30
     [Swtich-Vlanif30]ip address 10.164.3.1 255.255.255.0
     [Swtich-Vlanif30]quit
     [Swtich]int vlan 100
     [Swtich-Vlanif100]ip address 10.164.9.1 255.255.255.0
     [Swtich-Vlanif100]quit
     

   • 配置时间段

     配置 8:00 至 17:30 的周期时间段。

     [Swtich]time-range satime 8:00 to 17:30 working-day //设置时间段
     

   • 配置 ACL

     //配置市场部门到工资查询服务器的访问规则。
     [Swtich]acl 3002
     [Swtich-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
     [Swtich-acl-adv-3002]quit
     //配置研发部门到工资查询服务器的访问规则。
     [Swtich]acl 3003
     [Swtich-acl-adv-3003]rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 timerange satime
     [Swtich-acl-adv-3003]quit
     

   • 配置基于 ACL 的流分类

     //配置流分类 c_market，对匹配 ACL 3002 的报文进行分类。
     [Swtich]traffic classifier c_market
     [Swtich-classifier-c_market]if-match acl 3002
     [Swtich-classifier-c_market]quit
     //配置流分类 c_rd，对匹配 ACL 3003 的报文进行分类。
     [Swtich]traffic classifier c_rd
     [Swtich-classifier-c_rd]if-match acl 3003
     [Swtich-classifier-c_rd]quit
     

   • 配置流行为

     //配置流行为 b_market，动作为拒绝报文通过。
     [Swtich]traffic behavior b_market
     [Swtich-behavior-b_market]deny
     [Swtich-behavior-b_market]quit
     //配置流行为 b_rd，动作为拒绝报文通过。
     [Swtich]traffic behavior b_rd
     [Swtich-behavior-b_rd]deny
     [Swtich-behavior-b_rd]quit
     

   • 配置流策略

     //配置流策略 p_market，将流分类 c_market 与流行为 b_market 关联。
     [Swtich]traffic policy p_market
     [Swtich-trafficpolicy-p_market]classifier c_market behavior b_market
     [Swtich-trafficpolicy-p_market]quit
     //配置流策略 p_rd，将流分类 c_rd 与流行为 b_rd 关联。
     [Swtich]traffic policy p_rd
     [Swtich-trafficpolicy-p_rd]classifier c_rd behavior b_rd
     [Swtich-trafficpolicy-p_rd]quit
     

   • 应用流策略

     //由于市场部访问服务器的流量从接口 GE0/0/2 进入 Switch，所以可以在 GE0/0/2 接口的入方向
     应用流策略 p_market。
     [Swtich]int gig 0/0/2
     [Swtich-GigabitEthernet0/0/2] traffic-policy p_market inbound
     [Swtich-GigabitEthernet0/0/2]quit
     //由于研发部访问服务器的流量从接口 GE0/0/3 进入 Switch，所以可以在 GE0/0/3 接口的入方向
     应用流策略 p_rd。
     [Swtich]int gig 0/0/3
     [Swtich-GigabitEthernet0/0/3]traffic-policy p_rd inbound
     [Swtich-GigabitEthernet0/0/3]quit
     

   • 验证配置结果

---

IPv6-over-IPv4 GRE 隧道配置

• 由于从 IPv4 向 IPv6 过渡是大势所趋，所以目前有许多从 IPv4 向 IPv6 过渡的技术。本节通过实例介绍采用隧道策略实现从 IPv4 向 IPv6 过渡的技术。

1. 双栈策略
   • 双栈策略是指在网络节点中同时具有 IPv4 和 IPv6 两个协议栈，这样，它既可以接收、处理、收发IPv4 的分组，也可以接收、处理、收发 IPv6 的分组。
   • 缺点：对网元设备的要求较高，涉及网络中的所有网元设备都支持双协议栈，投资大、建设周期比较长。
2. 隧道策略
   • 利用一种协议来传输另一种协议的数据的技术
   • 主流隧道技术：构造隧道、6to4 隧道以及 MPLS 隧道
   • 目前的隧道技术主要实现了在 IPv4 数据包中封装 IPv6 数据包。

本实验采用 IPv6-over-IPv4 隧道技术：

• 是将 IPv6 报文封装在 IPv4 报文中，让 IPv6 数据包穿过 IPv4 网络进行通信，隧道技术只要求在隧道的入口和出口处进行修改，对其他部分没有要求，容易实现。但是，隧道技术不能实现 IPv4 主机与 1Pv6 主机的直接通信。

• 路由器 R1 和 R2 经 IPv4 网络连接，路由器以太口分别连接两个 IPv6 网段。通过 Tunnel 将 IPv6 的数据包封装到 IPv4 的数据包中，实现点到点的数据传输。网络拓扑图如图所示。

• 配置步骤

1. 配置 R1、R2 接口 IP

• R1

  [R1]int gig 0/0/1
  [R1-GigabitEthernet0/0/1]ip add 10.1.1.1 24
  [R1-GigabitEthernet0/0/1]quit
  [R1]ipv6 //全局使能 IPv6
  [R1]int gig 0/0/2
  [R1-GigabitEthernet0/0/2]ipv6 enable //对应接口启动 IPv6 功能
  [R1-GigabitEthernet0/0/2]ipv6 add fc01::1 64 //接口配置 IPv6 地址
  [R1-GigabitEthernet0/0/2]quit
  

• R2

  [R2]int gig 0/0/1
  [R2-GigabitEthernet0/0/1]ip add 10.1.2.2 24
  [R2-GigabitEthernet0/0/1]quit
  [R2]ipv6
  [R2]int gig 0/0/2
  [R2-GigabitEthernet0/0/2]ipv6 enable
  [R2-GigabitEthernet0/0/2]ipv6 add fc03::1 64
  [R2-GigabitEthernet0/0/2]quit
  

1. 配置 R1 和 R2 的 IPV4 静态路由

   [R1]ip route-static 10.1.2.2 255.255.255.0 10.1.1.2
   [R2]ip route-static 10.1.1.1 255.255.255.0 10.1.2.1
   

2. 配置 R1 和 R2 的 Tunnel 接口

• R1

[R1]int Tunnel 0/0/1 //进入隧道 Tunnel 0/0/1
[R1-Tunnel0/0/1]tunnel-protocol gre //启用隧道协议 GRE
[R1-Tunnel0/0/1]ipv6 enable //隧道端口使能 IPv6
[R1-Tunnel0/0/1]ipv6 add fc02::1 64 //配置 IPv6 地址
[R1-Tunnel0/0/1]source 10.1.1.1 //源端地址
[R1-Tunnel0/0/1]destination 10.1.2.2 //目的地址
[R1-Tunnel0/0/1]quit

• R2

[R2]int tunnel 0/0/1
[R2-Tunnel0/0/1]tunnel-protocol gre
[R2-Tunnel0/0/1]ipv6 enable
[R2-Tunnel0/0/1]ipv6 add fc02::2 64
[R2-Tunnel0/0/1]source 10.1.2.2
[R2-Tunnel0/0/1]destination 10.1.1.1
[R2-Tunnel0/0/1]quit

1. 配置 R1 和 R2 的 Tunnel 静态路由

   [R1]ipv6 route-static fc03::1 64 Tunnel 0/0/1
   [R2]ipv6 route-static fc01::1 64 Tunnel 0/0/1
   

2. 检查配置结果