10.配置总结

本文阅读 17 分钟
首页 代码,C/C#/C++ 正文

配置总结1

vlan,mstp,链路聚合
======================================================================
1.创建VLAN+命名VLAN+把相应的接口加入VLAN
第一种方法:
vlan 10
name shichang
port  g1/0/3
第二种方法:
vlan 20
name xiaoshou
quit
int g1/0/3
port link-type access
port access vlan 10
//配置在哪:在接入层交换机的连接PC的接口处,配置为access口并且加入相应的VLAN
//如何验证:dis vlan br
======================================================================
2.配置trunk,并放通相应的vlan流量
int range g1/0/0 to g1/0/1
port link-type trunk
port trunk permit vlan 10 20 30 40
//配置在哪:
在接入层交换机的上行口处配置为trunk口,因为要通过多种VLAN,所以为trunk
在汇聚层交换机的下行口处配置为trunk口,因为要通过多种VLAN,所以为trunk
所以,一般交换机之间配置为trunk口,是为了放行多种vlan
//如何验证:dis port trunk
//注意:当配置为trunk模式后,默认是放行vlan1,若题目说明不允许不必要的流量通过,我们要
输入 undo port trunk permit vlan 1,关闭vlan1放行
//拓展:若三层交换机连接一台路由器或者拓扑中无接入层只有汇聚层,我们可以配置模式为route
后直接配置ip,或者新建一个vlan把接口加入到vlan,再在三层逻辑口上配置ip
======================================================================
3.配置链路聚合
①创建聚合口
int  bridge-aggregation 1
quit
②把物理口加入到相应的聚合组
int range g1/0/2 to g1/0/3
port link-aggregation group 1
quit
③在聚合口下配置trunk和放行相关VLAN
int bridge-aggregation 1
port link-type trunk
port trunk permit vlan 10 20 30 40
//如何验证:dis  link-aggregation summary
//配置在哪:汇聚层交换机处
//注意:这个顺序是严格的,因为聚合的时候,若有一个成员的接口与其他成员或者组接口的信息不
一致,会聚合失败(unselected)
======================================================================
4.MSTP配置:
①进入MSTP的域配置
stp region-configuration    //进入域配置
region-name H3C        //配置域名
revision-level 1        //配置修订等级
instance 1 vlan 10 20        //配置实例1,绑定vlan10 20
instance 2 vlan 30 40        //配置实例2,绑定vlan30 40
active region-configuration    //激活域配置
//配置在哪:配置在所有参与VLAN选举的交换机上,SW1、SW2、SW3
(必须配置一致)(修改后必须再次active激活一下,才会生效)
//如何验证:dis stp region-configuration 
②进行配置主备根桥
SW1:
stp instance 1 root primary
stp instance 2 root secondary
SW2:
stp instance 1 root secondary
stp instance 2 root primary
//实例1的主根桥配置在哪:在SW2上配置,对于vlan10 20他们的主根桥在SW2,那么bp就一定不在SW2所相对的接口,
只能在SW1和SW3相连的口上,那么就达到了VLAN10 20走不通SW3,VLAN10 20只能走SW2的效果
//实例2的主根桥配置在哪:在SW3上配置,对于VLAN30 40他们的主根桥在SW3,那么bp就一定不在SW3所相对的接
口,只能在SW1和SW2相连的口上,那么就达到了VLAN 30 40走不通SW2,VLAN30 40只能走通SW3的效果
//如何验证:在接入层交换机处dis stp br
======================================================================
5.边缘端口的配置:
int range g1/0/3 to g1/0/6
stp edge-port
//配置在哪:配置在接入层交换机的下行口,也就是接入PC的那个接口
//边缘接口:不参与生成树的计算
[SW3]#stp bpdu-protection
//bpdu保护:因为边缘端口,一旦收到真的BPDU(把PC断掉,连接一个交换机)或者假的BPDU(黑客恶意伪造的报
文)报文,就会立刻变为正常的端口,为了防止这个我们设置保护后,一旦收到,就会down掉
======================================================================
注意:
1.trunk    树干
2.bridge-aggregation   桥聚合

配置总结2

--------------------------------------------------------------------------------------------
1.单臂路由配置:(直接入二层接入交换机直连)
int g0/1.1
vlan-type dot1q vid 30
ip add 192.168.3.254 24
int g0/1.2
vlan-type dot1q vid 40
ip add 192.168.4.254 24
配置在哪:与接入层交换机直接相连的下行口处

单臂路由配置方法:
1.在二层接入交换机上创建VLAN,下行口加入到VLAN,上行口配置trunk并且放行相应
的VLAN
2.在路由器的下行口上创建子接口,并且绑定相应的VLAN,配置网关IP
---------------------------------------------------------------------------------------------
2.三层交换机配置:
第一种:(把二层口的桥模式口修改为为路由模式口)
int g1/0/1
port link-mode route
ip add 192.168.1.254 24
int g1/0/2
port link-mode route
ip add 192.168.2.254 24
第二种:(在接入交换机上配置)
vlan 10
port g1/0/1
vlan 20
port g1/0/2
int vlan 10
ip add 192.168.1.254 24
int vlan 20
ip add 192.168.2.254 24
(或者,常见的:在汇聚层交换机上配置)
int g1/0/1
port link-type trunk
port trunk permit vlan 10 20
vlan 10
int vlan 10
ip add 192.168.1.254 24
vlan 20
int vlan 20
ip add 192.168.2.254 24
---------------------------------------------------------------------------------------------

配置总结3

------------------------------------------------------------------------------------
1.ripv2基本配置:
rip 1
version 2
undo summary
network 172.16.0.0
network 192.168.1.0

rip 1
version 2
undo summary
network 192.168.1.0
network 192.168.2.0

rip 1
version 2
undo summary
network 192.168.2.0
network 172.16.0.0
------------------------------------------------------------------------------------
2.ripv2的静默端口:
rip 1
silent-interface g1/0/1
或者silent-interface Vlan-interface 10
------------------------------------------------------------------------------------
3.ospf基本配置总结:
ospf 1 router-id 1.1.1.1
area 0
network 10.0.0.1 0.0.0.0
network 192.168.1.254 0.0.0.0.0
-------------------------------------------------------------------------------------
4.ospf引入静态默认路由
ospf 1
default-route-advertise
-------------------------------------------------------------------------------------
5.ospf配置静默端口
ospf 1
silent-interface g1/0/1
或silent-interface vlan-interface 10
-------------------------------------------------------------------------------------
6.默认路由,一般配置在连接互联网的端口处
ip route-static 0.0.0.0 0.0.0.0 10.0.0.14
ip route-static 0.0.0.0 0.0.0.0 10.0.0.18
-------------------------------------------------------------------------------------

配置总结4

-------------------------------------------------------------------------
1.一个私网要连通互联网
ip route-static 0.0.0.0 0 100.1.1.6
//配置在哪:出口路由器处
-------------------------------------------------------------------------
2.nat之NAPT
①创建ACL:默认是拒绝所有的
acl basic 2000
rule permit source 192.168.1.0 0.0.0.255
②创建地址组1:
nat address-group 1
address 100.1.1.1 100.1.1.5
③在公网口,绑定ACL2000和地址组1
int g0/1
nat outbound 2000 address-group 1
-------------------------------------------------------------------------
3.nat之EASY IP
①创建ACL:默认是拒绝所有的
acl basic 2000
rule permit 192.168.1.0 0.0.0.255
②在公网口,绑定ACL2000
int g0/1
nat outboud 2000
-------------------------------------------------------------------------
3.nat之NAT Server(端口映射)
int g0/1
nat server protocol tcp global 100.1.1.1 20 21 inside 192.168.2.1 20 21
-------------------------------------------------------------------------
4.开启ftp服务:
ftp server enable
local-user 123
password simple 123
authorization-attribute user-role level-15
service-type ftp
-------------------------------------------------------------------------
5.开启telnet服务:
telnet server enable
local-user 123
password simple 123
authorization-attribute user-role level-15
service-type telnet
user-interface vty 0 4
authentication-mode scheme
-------------------------------------------------------------------------
dis acl all
dis nat address-group
dis current-configuration

配置总结5

===============================================================
1.IRF堆叠配置:一般与链路聚合匹配
①修改id,保存,并重启,
②关闭万兆物理口,加入到堆叠口,打开万兆物理口,保存,并激活堆叠口配置
③关闭万兆物理口,加入到堆叠口,打开万兆物理口,保存,并激活堆叠口配置
SW2:
irf member 1 renumber 2
save
reboot

SW1:
int range t1/0/49 to t1/0/50
shutdown
irf-port 1/1
port group int t1/0/49
port group int t1/050
int range t1/49 to t1/0/50
undo shutdown
save
irf-port-configuration active

SW2:
int range t2/0/49 to t2/0/50
shutdown
irf-port 2/2
port group int t2/0/49
port group int t2/0/50
int range t2/0/49 to t2/0/50
undo shutdown
save
irf-port-configuration active

dis irf
dis link-aggregation summary
===============================================================
2.smart-link配置:
①配置vlan、trunk、放行业务保护vlan和控制vlan
②关闭stp特性
③创建实例(业务保护vlan和控制vlan是在一个实例的)
④创建smart-link组,指定保护vlan、控制vlan、主备端口
⑤允许收发flush报文
⑥vlan1:其中一组中保护实例0

①每个交换机创建vlan,配置trunk,放行业务保护vlan和控制vlan
vlan 10
vlan 100
vlan 20
vlan 200
int g1/0/1
port link-type trunk
port trunk permit vlan 10 20 100 200
②关闭接入层交换机的两个上行口的stp特性
int range g1/0/1 to g1/0/2
undo stp enable
③在接入层交换机上创建MSTP实例,映射业务保护vlan和控制vlan
stp region-configuration
instance 1 vlan 10 100
instance 2 vlan 20 100
④在接入层交换机上创建smart-link组,并且指定保护vlan和控制vlan的实例,主备端口
smart-link group 1
protected-vlan preference-instance 1
flush enable control-vlan 100
port g1/0/1 primary
port g1/0/2 secondary

smart-link group 2
protected-vlan preference-instance 2
flush enable control-vlan 200
port g1/0/1 secondary
port g1/0/2 primary
⑤在两个汇聚层交换机上配置允许控制vlan收发flush报文
int range g1/0/1 to g1/0/2
smart-link flush enable control-vlan 100 200

int range g1/0/1 to g1/0/2
smart-link flush enable  control-vlan 100 200
⑥解决vlan1:在smart-link group 1组中,指定保护vlan1的实例0
smart-link group 1
protected-vlan preference-instance 0

dis smart-link group all
===============================================================
3.vrrp配置:
①三层口处配置IP网关、虚拟IP、优先级
②配置track项跟踪上行口,并且在vrrp组中调用track 项

①在汇聚层交换机SW1上配置vrrp:
int vlan 10
ip add 192.168.1.252 24
vrrp vrid 10 virtual-ip 192.168.1.254
vrrp vrid 10 priority 150
int vlan 20
ip add 192.168.2.252 24
vrrp vrid 20 virtual-ip 192.168.2.254
vrrp vrid 20 priority 120

②在汇聚层交换机SW2上配置vrrp:
int vlan 10
ip add 192.168.1.253 24
vrrp vrid 10 virtual-ip 192.168.1.254
vrrp vrid 10 priority 120
int vlan 20
ip add 192.168.2.253 24
vrrp vrid 20 virtual-ip 192.168.2.254
vrrp vrid 20 priority 150

③在两个交换机上配置track项,跟踪上行口,并且在vrrp组中调用track 项:
SW1:
track 1 int g1/0/3
int vlan 10
vrrp vrid track 1 priority reduced 40
在master上配置track项,当上行口Down了,master自动降低
优先级,为了让backup切换为master

SW2:
track 1 int g1/0/3
int vlan 20
vrrp vrid track 1 priority reduced 40
===============================================================

配置总结6

=============================================================
1.防火墙的基本操作:
①把接口加入区域,在接口配置IP地址
②配置高级ACL,放行所有,在域间绑定ACL

①登录,默认的用户名密码:admin  admin
②把接口加入到相应的区域,默认有四个区域:trust  untrust  dmz  local
(trust 私网,untrust外网(如公网),dmz服务器,local本机防火墙,)
sercurity-zone name trust
import int g1/0/1    //把接口加入到区域
sercurity-zone name untrust
import int g1/0/0
int g1/0/01
ip add 192.168.2.254 24
int g1/0/0
ip add 200.2.2.2
③防火墙默认拒绝所有的通信,需要创建acl进行放行
acl ad 3000
rule permit ip  (放行所有)
④在域间调用ACL放通
zone-pair security source trust  destination untrust    //放行内到外
packet-filter 3000
zone-pair security source untrust destination trust   //放行外到内
packet-filter 3000
zone-pair security source local des untrust
packet-filter 3000
zone-pair security source untrust des local
packet-filter 3000
zone-pair security source trust des local
packet-fileter 3000
zone-pair security source local des trust
packet-filter 3000
//防火墙自己发一个包,还要放行本机local

dis security-zone
dis ip int br
dis acl 3000
dis zone-pair security


=============================================================
IPsec VPN主模式配置步骤:
    1.创建ACL,作为感兴趣流。ACL的源目IP分别是两端的私网地址
    2.创建IKE提议,配置第一阶段的验证方式和加密算法
    3.创建ike预共享密钥,指定密钥对哪个公网IP调用
    4.创建IKE模板,匹配对端的公网地址,调用IKE提议和预共享密钥
    5.创建IPsec转换集,指定第二阶段的协议、封装模式、算法
    6.创建IPsec策略,调用感兴趣流,指定对端公网地址,并调用IKE模板和转换集
    7.在公网接口下发(应用)IPsec策略
=============================================================



参考命令:

FQDN名称配置
ike identity fqdn R1            //配置FQDN名称为R1

创建ike提议
ike proposal 1                //创建1号ike提议
authentication-algorithm pre-share    //指定ike的身份验证方式为预共享秘钥 (默认)
encryption-algorithm des-cbc        //指定ike加密算法 (默认)

创建预共享密钥
ike keychain FW                //创建名为FW的秘钥串
pre-shared-key  address  200.2.2.2 key simple 123456  //指定和对端IP为200.2.2.2的预共享秘钥为123456

创建ike模板
ike profile FW                //创建名为FW的ike模板
exchange-mode main            //更改模式为主模式(默认)
match remote identity address 200.2.2.2    //配置对端的身份IP地址为200.2.2.2
proposal 1                //调用1号ike提议
keychain FW                //调用FW的预共享秘钥

创建IPSec转换集
ike transform-set FW            //创建名为FW的转换集
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm md5        //设置验证算法为md5
esp  encapsulation-algorithm des-cbc        //设置加密算法为des-cbc

创建IPSec策略
ipsec policy FW 1 isakmp            //创建名为FW的ipsec策略,该策略基于ike自动保护协商
security acl 3000                //调用3000号acl,作为感兴趣流
remote-address 200.2.2.2            //调用FW的ike模板
ike-profile FW                //调用名为FW的ike模板
transform-set FW            //调用FW的转换集

在公网口下发IPSec策略:
ipsec apply policy FW

配置总结7

如果一台路由器同时具有EBGP和IBGP邻居,需要在这个设备上,对它的IBGP邻居配置,也就是指定它的IBGP邻居的下一跳为本地

=====================================================
1.dhcp配置步骤:
①使能dhcp
②配置地址池/排除地址段


dhcp enable
dhcp server ip-pool vlan10
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.254
dns-list 114.114.114.114. 8.8.8.8
quit
dhcp server forbidden-ip 192.168.1.1 192.168.1.20

2.若客户端是路由器模拟的PC,在路由器接口下输入命令,才能获取,并且指向网关默认
路由优先级为70
int g0/0
ip add dhcp-alloc

3.PC机,右击配置dhcp即可

//dis  dhcp server pool
======================================================
2.telnet配置步骤:
①telnet使能
②创建本地用户,密码,级别,服务类型
③用户接口视图下配置aaa
④ACL绑定(默认拒绝所有,必要允许)

telnet server enable
local-user 123456 class manager 
password simple 123456
service-type telnet
authorization-attribute user-role level-15
user-interface vty 0 4
authentication-mode schema
acl basic 2000
telnet server acl 2000
=====================================================
3.ssh差不多,不过用户接口视图下要开启ssh
protocol  inbound ssh
=====================================================
4.snmp配置:
配置ACL
acl basic 2000
rule permit source 192.168.1.21 0.0.0.0    //只允许1.21管理
①读团体字,绑定acl
②写团体字,绑定acl
③版本
④警告

snmp-agent community read 123456  acl 2000
snmp-agent community write 654321 acl 2000
snmp-agent sys-info v2c
snmp-agent targe-host trap address udp-domain 192.168.1.21 params securityname 123456
//(此处的123456是读团体字123456)
======================================================
5.ppp配置:
pap单向认证:
主认证方
local-user 123456 class network
password simple 123456
service-type ppp
int s1/0
ppp authentication-mode pap
被验证方:
int s1/0
ppp pap user 123456 password simple 123456
shutdown
undo shutdown

chap单向认证:
主认证方:
local-user 123456 class network
password simple 123456
service-type ppp
int s1/0
ppp authentication-mode chap
被验证方:
int s1/0
ppp chap user 123456
ppp chap password simple 123456
======================================================
6.BGP配置:一个设备之属于一个AS
①建立IBGP可靠邻居(需要更新源为环回口)
SW3:
bgp 65001
peer 1.1.1.1 as 65001
peer 1.1.1.1 connect- interface LoopBack 0
add ipv4
peer 1.1.1.1 enable
R1:
bgp 65001
peer 3.3.3.3 as 65001
peer 3.3.3.3 connect-int LoopBack 0
add ipv4
peer 3.3.3.3 enable
②建立EBGP邻居
R1:
bgp 65001
peer 100.1.1.2 as 65502
add ipv4
peer 100.1.1.2 enable
R2
bpg 65002
peer 100.1.1.1 as 65001
add ipv4
peer 100.1.1.1 enable

//dis bgp peer ipv4
established  建立邻居成功
connect  说明没有更新源为换回口

③BGP路由宣告
SW3:
bpg 65001
add ipv4
network 192.168.1.0 24
network 192.168.2.0 24
R2:
bgp 65002
add ipv4
network 192.168.3.0 24

R1:如果一台路由器同时具有EBGP和IBGP邻居,需要对IBGP邻居配置,下一跳由IBGP的端口变更为本地
IBGP是一个AS之内的
EBGP是跨越了AS,这是下一跳会变化,所以我们要把下一跳改为本地
bgp 65001
add ipv4
peer 3.3.3.3 next-hop-local    //意思是把3.3.3.3这个路由器的下一跳,配置为本地的IP
总之就是,指定它的IBGP邻居的下一跳为本地
=================================================================
①基于TCP协议,所以必须手动配置邻居(三次握手的前提是,知道对方的IP地址)
②BGP的邻居可以非直连建立
③邻居关系分为:IBGP邻居(同一个自治系统内的设备之间的邻居)、EBGP邻居(不同自治系统的设备之间,
跨越了一个自治系统)

BGP:边界网关协议,自治系统外部协议,用来在自治系统之间传递路由的
BGP是路径矢量协议,每一跳是一个AS自治系统
//对于BGP来说,每跨越一个AS为一跳:所以它的下一跳在IBGP邻居关系中不变,
在EBGP关系中变化。(因为IEGP关系,是在同一个AS内建立的关系)
如何变化:在自己自治系统内变化,跨越后,另一个自治系统内下一跳就不再变换

总之:如果一台路由器同时具有EBGP和IBGP邻居,需要在这个设备上,对它的IBGP邻居配置,也就是指定它的IBGP邻居的下一跳为本地

2017总结

FW和R2:

把ospf引入到bgp中,要进入到bgp,进行引入:
bgp 100
add ipv4(因为没有实例vpn,我们这里直接进入ipv4)
import-rotue ospf1

把bgp引入到ospf,要进入到ospf
ospf 1
import-route ospf1

这里都是在总部进行的引入,其实也就是在非bgp发布的网络进行引入,因为对于
bgp我们可以使用邻居进行引入,而bgp网络进行宣告

2018总结

VPN  MPLS BGP
==========================================
第一步:在出口路由器上创建vpn实例、把vpn实例加入相应的私网口
PE1:
ip vpn-instance VPN1
vpn-target 100:1 import-ex
vpn-target 100:1 export-ex
route-distinguisher 100:1
int g0/1
ip binding vpn-instance VPN1
ip add 10.1.1.2 30
int g0/2
ip binding vpn-instance VPN1
ip add 10.1.1.6 30

PE2:
ip vpn-instance VPN2
vpn-target 200:1 import
vpn-targe 200:1  export
route-dis 200:1
int g0/2
ip binding vpn-instance VPN2

PE3:
ip vpn-instance VPN1
vpn-target 100:1 import
vpn-target 100:1 export
route-dis 100:1
int g0/1
ip binding vpn-instance VPN1
ip vpn-instance VPN2
vpn-target 200:1 import
vpn-target 200:1 export
route-dis 200:1
int g0/2
ip binding vpn-isntance VPN2
============================================
第二步:各个内网跑通
左边的网络
PE1:
ospf 1 route 9.9.9.1 vpn-instance VPN1
area 0
network 10.1.1.2 0.0.0.0
network 10.1.1.6 0.0.0.0
CE1:
ospf 1 route 9.9.9.11
are 0
network 10.1.1.1 0.0.0.0
network 9.9.9.11 0.0.0.0
network 172.10.0.252 0.0.0.0
network 172.20.0.252 0.0.0.0
CE2:
ospf 1 route 9.9.9.12
area 0
network 10.1.1.5 0.0.0.0
network 9.9.9.12 0.0.0.0
network 172.10.0.253 0.0.0.0
network 172.20.0.253 0.0.0.0

上边的跑静态:
PE2:
ip route-static vpn-instance VPN2 192.168.0.0 24 10.1.1.10

右边的跑BGP互通:
PE3:
bgp 100
ip vpn-instance VPN1
peer 10.1.1.14 as 200
add ipv4
peer 10.1.1.14 enable

bgp 100
ip vpn-instance VPN2
peer 10.1.1.18 as 300
add ipv4
peer 10.1.1.18 enable

CE3:
bgp 200
peer 10.1.1.13 as 100
add ipv4
peer 10.1.1.13 enable
network 172.30.0.0 24

CE4:
bgp 300
peer 10.1.1.17 as 100
add ipv4
peer  10.1.1.17 enable
network 192.168.1.0 24

公网跑ospf10
PE1:
ospf 10 ro 9.9.9.1
ar 0
network 9.9.9.1 0.0.0.0
network 100.1.1.1 0.0.0.0
PE2:
ospf 10 ro 9.9.9.2
ar 0
network 9.9.9.2 0.0.0.0
network 100.1.1.2 0.0.0.0
network 100.1.1.5 0.0.0.0
PE3:
osps 10 ro 9.9.9.3
ar 0
network 9.9.9.3 0.0.0.0
network 100.1.1.6 0.0.0.0
==============================================
第三步:在出口路由器的公网口处,使能mpls和mpls ldp
PE1:
mpls ldp
lsr-id 9.9.9.1
int g0/0
mpls enable
mpls ldp enable

PE2:
mpls ldp
lsr-id 9.9.9.2
int g0/0
mpls enable
mpls ldp enable
int g0/1
mpls enable
mpls ldp enable

PE3:
mpls ldp
lsr-id 9.9.9.3
int g0/0
mpls enable
mpls ldp enalbe

dis mpls ldp peer
=================================================
第四步:bgp(mpls的)配置:在出口路由器上配置相应的安全可靠邻居
PE1:
bgp 100
peer 9.9.9.3 as 100
peer 9.9.9.3 connect-interface LoopBack0
add  vpnv4
peer 9.9.9.3 enable

PE2:
bgp 100
peer 9.9.9.3 as 100
peer 9.9.9.3 connect-int lo0
add vpnv4
peer 9.9.9.3 enable

PE3:
bgp 100
peer 9.9.9.1 as 100
peer 9.9.9.2 as 100
peer 9.9.9.1 connect-int lo0
peer 9.9.9.2 connect-int lo0
add vpnv4
peer 9.9.9.1 enable
add vpnv4
peer 9.9.9.2 enalbe
===============================================
第五步:私网路由互引:
PE1:
bgp 100
ip vpn-instance VPN1
add ipv4
import ospf1
ospf 1
import bgp

PE5:
bgp 100
ip vpn-instance VPN2
add ipv4
import static
CE5处还需要一个路由:ip route-static 192.168.1.0 24 10.1.1.9
=============================================
哪里用到了ip vpn-instance VPN1/VPN2
①出口路由器创建和绑定VPN实例的时候
②出口路由器与私网跑路由的时候
③ospf私网或者静态私网中,私网路由互引的时候

哪里用到了add vpnv4
①在mp-bgp处创建邻居的使能处用到了

vpn mpls bgp
①创建vpn实例,绑定接口        (ip vpn-isntance )(出口路由器)
②跑通各个私网,以及公网之间的路由互通    (ip vpn-instance) (所有出口路由器)
③使能mpls和mpls ldp        (所有出口路由器)    
④创建mp-bgp邻居            (add vpnv4)(出口路由器)
⑤路由互引            (ip vpn-instance)(出口路由器)

步骤:
第一步:在出口路由器上创建私网对应的vpn实例,配置RT和RD,并且绑定到私网口
第二步:对于每个私网以及公网,使用路由协议或者静态各自跑通,注意用主机ping测试,不能用出口路由器测试
//由于,一台出口路由器连着两个vpn实例,我们使用mpls
第三步:在每个出口路由器处配置lsr-id,以及在公网口使能mpls和mpls ldp
第四步:对于想要通信的vpn,建立邻居mp-bgp邻居,vpn1和vpn1建立邻居,vppn2和vpn2建立邻居,注意这里的使能邻居要在vpnv4下使能
//mpls的邻居要在vpnv4内使能,因为此时个vpnv4在能区别一台路由器上的两个vpn实例
//并且使用环回口时候,要修改源,并且环回口是互通的,这就是为什么公网跑ospf,宣告每一个的环回口原因
第五步:在没有使用bgp跑私网的出口路由器上,要进行路由互引
把bgp引入到ospf中
ospf 1
import-route bgp

把ospf 1引入到vpn1的bgp中
bgp 100
ip vpn instance VPN1
import ospf1


把静态引入到vpn2的bgp中
bgp 100
ip vpn instance VPN2
import-route static

CE5:相当于把bgp引入到该当地的私网
ip route 192.168.1.0 24 10.1.1.9


//把某某协议引入到bgp,我们要进入到bpg里面,再引入。只有在里面了才能够进行引入操作
//也就是要把某路由协议引入到bgp,我们要先进入bgp
//也就是要把某路由协议引入到bgp的某个实例内,我们要先进入bgp的某个vpn实例下

2019总结:

与18年的相比差不多,只不过多了OSPFv3,且防火墙配置有些许变化
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/qq_45555226/article/details/110563042
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复