BGP综合实验步骤详解
网络拓扑图
配置步骤
-
进入系统视图,更改设备名称,打开tracert功能;
-
设置环回口,环回口的设置规则是把四段都设置为设备号(eg: 1.1.1.1 ect.);
-
设置各个设备的IP地址,按照一开始规划的网段设置即可,主机号用设备号,网络号用网段即可;
-
配置IS-IS协议:首先宣告区域号,再在各个接口上打开isis功能,其中拓扑图中是AR1和AR2只在和AR3连接的端口上运行ISIS协议,并且AR3和AR4之间也需要运行ISIS协议;宣告完成之后AR1、AR2、AR3之间能互通,AR4、AR5、AR6之间能够互通;需要注意运行ISIS协议设备的环回口上也要开启isis,否则各个设备之间的环回口不能互通,这样会使得BGP邻居之间的路由条目无法传递;配置isis的时候要养成设置设备类型的习惯,否则里面会在相同的设备上建立多个邻居,不设置类型的话也不会有太大的影响
-
配置BGP协议:首先进入对应的AS区域号,其次建立邻居关系,图中AR1与AR2分别与AR3建立邻居关系,AR5与AR6分别与AR4建立邻居关系,接着两个AS之间建立EBGP邻居关系的设备上需要对AS内部设备加上next-hop-local操作,对于直连的EBGP则需要进行引入
import-route direct,AR3与AR4在各自的AS中要建立两个IBGP邻居,可以使用group rr internal一起操作,但是需要把建立IBGP邻居的环回口用命令peer 环回口 group rr加入到rr组中; -
由于不允许泄露运营商网段路由给客户,所以AR7、AR8上的网段不能加入到ISIS协议区域中,这里在BGP中进行宣告,从而使得自己的路由条目被其他路由器学习到,需要注意的一点是环回口不需要宣告,之前实验中宣告环回口只是为了展示宣告之后的效果;
-
在AR7和AR8上分别配置静态路由到AR1、AR2以及AR5、AR6,由于AR7和AR8有两个接口到运营商路由上,所以可以做浮动路由,就是配一条静态缺省路由,再配一条静态缺省路由做备份,备份路由更改优先级,就形成备份,配完静态路由之后AR7与AR8就可以互通了;
-
私网中AR9、AR10上先要配置一条静态缺省路由作为PC的网关;
-
在AR7和AR8上做PAT(NAPT)实现私网上公网:首先设置一个acl,其中写允许源为私网的数据流量通过,接着用命令
nat outbound ACL号码绑定在相应的接口上,这样就完成了EASY IP 的配置,也就是私网可以上公网了,AR8一样的配置; -
在AR9和AR10上配置ssh;
-
在AR7和AR8上实现端口转换,使得两个私网之间能够使用ssh远程登陆管理,端口转换能够使得公网上的客户端访问私网中的IP/服务器,这里使用的是
nat server ...命令进行端口转换,eg:nat server protocol tcp global current-interface 2001 inside 192.168.1.9 22; -
最后ssh AR7或者AR8上的公网IP+转换的端口号就能ssh,不加端口号默认为22。
整个实验的流程大约就是这样了。配置的命令不好导出,有点麻烦,这里就没有把各个设备的配置放出来。
数据流量走向
拓扑图的数据流量(从AR9到AR10):
AR9通过网关(静态缺省路由)到达AR7;
AR7上通过静态路由到达AR1/2;
AR1/2到达AR3是IBGP邻居学习到的路由条目;
AR3到AR4是通过EBGP邻居传递过去的;
AR4到AR5/6同样是IBGP邻居学习到的;
AR5/6到AR8是因为宣告了58、68网段;
在AR8上做了端口映射之后通过直连到达AR10。
在做IBGP或者EBGP邻居的底层是通过其他的IGP协议互通路由条目的,BGP协议主要是用于传递路由使用。
AR2上无法学习到AR7和AR1之间的网段,因为AR1和AR2只和AR3建立了IBGP邻居,所以宣告AR71、AR72之间的网段后路由条目只能通过AR1、AR2传递到AR3上,也是IBGP的防环机制。