动态路由BGP实验

BGP:边界网关协议:在自制系统AS之间选择最佳路由,距离矢量。支持多出口大型网络。路由采用增量更新。除了下一跳经过的AS列表通过信息。允许CIDR和VLSM,支持鉴别、验证等。分为EBGP(外部)和IBGP(内部)。

第一步:配置R1到R4接口IP的基本配置(略)。

第二部:配置IBGP:R2、R3、R4如下配置。

[R2]bgp 65009 //启动BGP机AS号
[R2-bgp]router-id 2.2.2.2 //配置BGP的RouterID
[R2-bgp]peer 9.1.1.2 as-number 65009 //配置BGP对等体
[R2-bgp]peer 9.1.3.2 as-number 65009

[R3]bgp 65009
[R3-bgp]router-id 3.3.3.3
[R3-bgp]peer 9.1.3.1 as-number 65009
[R3-bgp]peer 9.1.2.2 as-number 65009
[R3-bgp]quit

[R4]bgp 65009
[R4-bgp]router-id 4.4.4.4
[R4-bgp]peer 9.1.1.1 as-number 65009
[R4-bgp]peer 9.1.2.1 as-number 65009
[R4-bgp]quit

第三步:配置EBGP:R1、R2、如下配置。

[R1]bgp 65008
[R1-bgp]router-id 1.1.1.1
[R1-bgp]peer 59.74.112.1 as-number 65009

[R2-bgp]peer 59.74.112.2 as-number 65008

第四步:配置R1发布路由,如下配置。

[R1-bgp]ipv4-family unicast //进入IPV4地址族视图
[R1-bgp-af-ipv4]network 172.16.60.0 255.255.255.0
[R1-bgp-af-ipv4]quit

第五步:配置R2引入路由,如下配置。

[Huawei-bgp]ipv4-family un
[Huawei-bgp-af-ipv4]import-route direct //引入路由表

第六步:验证BGP用到的命令。

dis bgp peer、dis bgp routing 、dis cu 、ping。

路由技术ACL实验

ACL:访问控制列表,可以根据源地址、目标地址、源端口、目标端口、协议信息对数据包进出过滤控制。

两个方向:入口inbound是指数据流进入路由器(进门)、出口outbound是指数据流从路由器流出(出门)。
两种动作:允许permit、拒绝deny。

基本ACL:编码2000~2999

1、进入系统          2、配置编号        3、ACL列表

基本ACL:基于源地址,放置到目的端路由器。

基本ACL命令规则:编号2000~2999

system-view
[Huawei]time-range working-ting 8:00 to 18:00 working-day
[Huawei]acl name work-acl basic
[Huawei-acl-basic-work-acl]rule deny source 172.16.10.0 0.0.0.255 time-range working-time

system-view
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule deny source 172.16.10.0 0.0.0.255 none-first-fragment

ACL几个重点知识:

ACL执行原则:
①自上而下排序原则。
②先匹配原则(特例在前,其他在后)。
③默认丢弃原则(deny any)。

反掩码:0.0.0.0,单个主机,同host。
如:192.168.1.1 0.0.0.0=host 192.168.1.1

反掩码:255.255.255.255,任意主机,同any,通常与0.0.0.0一起使用。
例如:0.0.0.0 255.255.255.255=any

高级ACL:编号3000~3999

高级ACL命令规则:编号3000~3999

几个重要参数

高级ACL实验一:限制用户在特定时间访问服务器。

要求禁止销售部门在上班时间(8:00~18:00)访问工资查询服务器,财务部门不受限制,可以随时访问,如图。

第一步:配置IP、配置VLAN、VLANIF等。

system-view
[Huawei]sysname R1
[R1]vlan batch 10 20 100
[R1]interface ethernet 2/0/1
[R1-Ethernet0/0/1]port link-type trunk
[R1-Ethernet0/0/1]port trunk allow-pass vlan 10
[R1-Ethernet0/0/1]quit
[R1]interface vlanif 10
[R1-Vlanif10]ip address 192.168.1.1 255.255.255.0
[R1-Vlanif10]quit

第二部:配置基于时间ACL访问规则等。

#配置8:00至18:00的周期时间段

[R1]time-range sating 8:00 to 18:00 working-day

#配置销售部门到工资查询服务器的访问规则
[R1]acl 3001
[R1-acl-adv-3001]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.10 0.0.0.0 time-range sating

Mon(周一)、Tue(周二)、Wed(周三)、Thu(周四)、Fri(周五)、Sat(周六)、Sun(周日)、working-day(周一到周五)、off-day(周六周日)daily(周一到周日)、数字0-6(每周几)。

第三步:配置基于ACL的流分类策略。

#配置流分类c_xs,对匹配ACL3001的报文进行分类
[R1]traffic classifier c_xs
[R1-classifier-c_xs]if-match acl 3001
[R1-classifier-c_xs]quit

#配置流行为b_xs,动作为拒绝报文通过
[R1]traffic behavior b_xs
[R1-behavior-b_xs]deny
[R1-behavior-b_xs]quit

第四步:应用基于ACL的流策略。

#配置流策略p_xs,将流分类c_xs与流行b_xs关联
[R1]traffic policy p_xs
[R1-trafficpolicy-p_xs]classifier c_xs behavior b_xs
[R1-trafficpolicy-p_xs]quit

#由于销售部门访问服务器的流量从接口Eth2/0/1进入Router所有可以在Eth2/0/1接口的入方向应用流策略p_xs
[R1]interface Ethernet2/0/1
[R1-Ethernet0/0/1]traffic-policy p_xs inbound
[R1-Ethernet0/0/1]quit