动态路由BGP实验
BGP:边界网关协议:在自制系统AS之间选择最佳路由,距离矢量。支持多出口大型网络。路由采用增量更新。除了下一跳经过的AS列表通过信息。允许CIDR和VLSM,支持鉴别、验证等。分为EBGP(外部)和IBGP(内部)。
第一步:配置R1到R4接口IP的基本配置(略)。
第二部:配置IBGP:R2、R3、R4如下配置。
[R2]bgp 65009 //启动BGP机AS号
[R2-bgp]router-id 2.2.2.2 //配置BGP的RouterID
[R2-bgp]peer 9.1.1.2 as-number 65009 //配置BGP对等体
[R2-bgp]peer 9.1.3.2 as-number 65009
[R3]bgp 65009
[R3-bgp]router-id 3.3.3.3
[R3-bgp]peer 9.1.3.1 as-number 65009
[R3-bgp]peer 9.1.2.2 as-number 65009
[R3-bgp]quit
[R4]bgp 65009
[R4-bgp]router-id 4.4.4.4
[R4-bgp]peer 9.1.1.1 as-number 65009
[R4-bgp]peer 9.1.2.1 as-number 65009
[R4-bgp]quit
第三步:配置EBGP:R1、R2、如下配置。
[R1]bgp 65008
[R1-bgp]router-id 1.1.1.1
[R1-bgp]peer 59.74.112.1 as-number 65009
[R2-bgp]peer 59.74.112.2 as-number 65008
第四步:配置R1发布路由,如下配置。
[R1-bgp]ipv4-family unicast //进入IPV4地址族视图
[R1-bgp-af-ipv4]network 172.16.60.0 255.255.255.0
[R1-bgp-af-ipv4]quit
第五步:配置R2引入路由,如下配置。
[Huawei-bgp]ipv4-family un
[Huawei-bgp-af-ipv4]import-route direct //引入路由表
第六步:验证BGP用到的命令。
dis bgp peer、dis bgp routing 、dis cu 、ping。
路由技术ACL实验
ACL:访问控制列表,可以根据源地址、目标地址、源端口、目标端口、协议信息对数据包进出过滤控制。
两个方向:入口inbound是指数据流进入路由器(进门)、出口outbound是指数据流从路由器流出(出门)。
两种动作:允许permit、拒绝deny。
基本ACL:编码2000~2999
1、进入系统 2、配置编号 3、ACL列表
基本ACL:基于源地址,放置到目的端路由器。
基本ACL命令规则:编号2000~2999
system-view
[Huawei]time-range working-ting 8:00 to 18:00 working-day
[Huawei]acl name work-acl basic
[Huawei-acl-basic-work-acl]rule deny source 172.16.10.0 0.0.0.255 time-range working-time
system-view
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule deny source 172.16.10.0 0.0.0.255 none-first-fragment
ACL几个重点知识:
ACL执行原则:
①自上而下排序原则。
②先匹配原则(特例在前,其他在后)。
③默认丢弃原则(deny any)。
反掩码:0.0.0.0,单个主机,同host。
如:192.168.1.1 0.0.0.0=host 192.168.1.1
反掩码:255.255.255.255,任意主机,同any,通常与0.0.0.0一起使用。
例如:0.0.0.0 255.255.255.255=any
高级ACL:编号3000~3999
高级ACL命令规则:编号3000~3999
几个重要参数
高级ACL实验一:限制用户在特定时间访问服务器。
要求禁止销售部门在上班时间(8:00~18:00)访问工资查询服务器,财务部门不受限制,可以随时访问,如图。
第一步:配置IP、配置VLAN、VLANIF等。
system-view
[Huawei]sysname R1
[R1]vlan batch 10 20 100
[R1]interface ethernet 2/0/1
[R1-Ethernet0/0/1]port link-type trunk
[R1-Ethernet0/0/1]port trunk allow-pass vlan 10
[R1-Ethernet0/0/1]quit
[R1]interface vlanif 10
[R1-Vlanif10]ip address 192.168.1.1 255.255.255.0
[R1-Vlanif10]quit
第二部:配置基于时间ACL访问规则等。
#配置8:00至18:00的周期时间段
[R1]time-range sating 8:00 to 18:00 working-day
#配置销售部门到工资查询服务器的访问规则
[R1]acl 3001
[R1-acl-adv-3001]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.10 0.0.0.0 time-range sating
Mon(周一)、Tue(周二)、Wed(周三)、Thu(周四)、Fri(周五)、Sat(周六)、Sun(周日)、working-day(周一到周五)、off-day(周六周日)daily(周一到周日)、数字0-6(每周几)。
第三步:配置基于ACL的流分类策略。
#配置流分类c_xs,对匹配ACL3001的报文进行分类
[R1]traffic classifier c_xs
[R1-classifier-c_xs]if-match acl 3001
[R1-classifier-c_xs]quit
#配置流行为b_xs,动作为拒绝报文通过
[R1]traffic behavior b_xs
[R1-behavior-b_xs]deny
[R1-behavior-b_xs]quit
第四步:应用基于ACL的流策略。
#配置流策略p_xs,将流分类c_xs与流行b_xs关联
[R1]traffic policy p_xs
[R1-trafficpolicy-p_xs]classifier c_xs behavior b_xs
[R1-trafficpolicy-p_xs]quit
#由于销售部门访问服务器的流量从接口Eth2/0/1进入Router所有可以在Eth2/0/1接口的入方向应用流策略p_xs
[R1]interface Ethernet2/0/1
[R1-Ethernet0/0/1]traffic-policy p_xs inbound
[R1-Ethernet0/0/1]quit
Your blog has swiftly become my favorite destination for inspiration. I sincerely appreciate for sharing your thoughts.