HCIP小综合实验,是5号结课的小测验,一拖再拖,开始也没做好。
今晚解决掉他,明天开始更新BGP选路。
左边是园区网A 右边是分支B
IP地址按图上规划好,下面我们来看一下需求
需求:
1.园区网A
1.1、需要完成高可用性设计,保证网络中无次优路径,收敛速度尽可能的快。
1.2、地址采用DHCP分配
1.3、尽可能的增加园区网A的安全性。
1.4、可以通过Internet访问AR6
1.5、可以通过MPLS VPN访问分支A
2.分支B
2.1、分支A的AR7是一台FTP服务器,需要可以被园区网A访问,为了确保一直可以提供服务,除了MPLS VPN外,还需要提供另外一种访问方式。
2.2、AR7可以通过Internet进行上网。
3.ISP
3.1、ISP提供Internet服务和MPLS VPN服务,保证全网可以正常接入并访问AR6
3.2、尽可能让各台设备的链路使用率接近。
先看园区网A部分
1.1、需要完成高可用性设计,保证网络中无次优路径,收敛速度尽可能的快。 高可用性设计,
保证网络中无次优路径
保证无次优路径,我们可以用 BFD与Vrrp OSPF联动,BFD监测上行链路、多实例生成树来保证,
BFD与ospf联动
BFD与VRRP联动
多实例生成树
SW1可以将vlan10设置为root
vlan20设置为secondary
SW2相反
然后我们在SW3查看
1.2、地址采用DHCP分配
这里地址采用dhcp分配,我建议配置在AR1上,这样的话就跨网段了,就需要在SW1,SW2配置DHCP中继功能(需要网络互通)。
(需要注意一点是,华为DHCP默认是从大到小,而cisco则相反。
所以我们在创建地址池的时候,需要将已经配置的252,253.排除掉,不然会产生地址冲突)
DHCP中继
dhcp select relay 开启dhcp中继功能
dhcp relay server-ip 指向服务器ip地址
1.3、尽可能的增加园区网A的安全性。
应该是开启 dhcp-spnoping 等等交换功能,在SW3做。我没做
1.4、可以通过Internet访问AR6
这里有点坑哈 哈哈哈
不过细心一些,还是很容易将错误解决。
我在这里说一下困扰我的难题:BGP路由黑洞!(可以利用MPLS解决)
回归正题
AR1与AR3建立EBGP邻居关系。
AR3与AR5是IBGP邻居关系。并且为了路由能够传递,所以我们将R3,R5互相将对方设置为反射器客户端(那么这里就会出现一个问题,AR3去AR6的路由是,5.5.5.5 而不是物理接口,路由黑洞就来了)
AR3的配置忽略
AR5与AR6是EBGP邻居
使用MPLS 来解决路由黑洞
然后在接口下使能
最后,查看AR1,AR6路由表,发现互相有自己的路由
AR1
AR6
使用园区网A的pc tracert 6.6.6.6
1.5、可以通过MPLS VPN访问分支A
已经做过了一期MPLS VPN/BGP的
所以这边马马虎虎写一点
最重要的就是注意也是路由黑洞问题(这里解决方法是边界路由器上,双向重分发,我是ospf2bgp bgp2ospf 一定要做好。)
不然就是可能出现互相有内部路由,但是却没有边界路由器出口路由。也是不能够通信。所以我们这里要注意坑了我半小时排错。
重点看AR1 和防火墙配置
两边内部网关协议都是ospf
所以
防火墙配置跟上面差不多。但有些默认策略要解决
分支FTP服务器的ip地址是172.168.1.1
我们使用园区Apc ping服务器
丢了一个包。有些疑惑。
目前需求大部分完成。
2.分支B
**2.1、分支A的AR7是一台FTP服务器,需要可以被园区网A访问,为了确保一直可以提供服务,除了MPLS VPN外,还需要提供另外一种访问方式。
所以
这里直接与AR4建立EBGP邻居关系
2.2、AR7可以通过Internet进行上网。
具体配置和上面AR1通过internet差不多
3.ISP
3.1、ISP提供Internet服务和MPLS VPN服务,保证全网可以正常接入并访问AR6
园区网pc 能够ping通 AR7也能ping通
3.2、尽可能让各台设备的链路使用率接近。**
这个有点狠哈,链路使用率接近???
不会搞
目前基本完成 从头做,写博客。花了仨小时!!!!
最后附上配置文件
链接: https://pan.baidu.com/s/1QWlGc0P75ms_tRcyVqLmZw 提取码: s7eg
