HCIP 综合实验-1

时间:    分类: 实验   标签: 没有

增强分析和配置中小型企业网络的综合能力

  • 本实验模拟了一个企业网络场景,其中R1 和R2 为公司总部路由器,交换机 SW1、SW2、SW3组成了总部的园区网,R3、R4、R5为公司分部的路由器。
  • 总部园区网中 3 台交换机都运行MSTP协议,用来防止二层冗余网络中的环路以及实现不同VLAN 间流量的负载分担,同时还配置了MSTP保护功能以提高网络的可靠性和安全性。
  • R1、R2、SW2、SW3 运行 IS-IS 路由协议,以实现总部网络的互通。SW2、SW3使用IS-IS 下发的缺省路由访问总部之外的网络。另外,为了提高网络的安全性,还需要配置 IS-IS认证功能。
  • R3、R4、R5 运行OSPF 路由协议,以实现公司分部网络的互通,总部与分部之间通过 BGP 路由协议互通。

2025-03-16T06:52:00.png

基本配置

R1:

undo terminal monitor
sys
user-interface con 0
idle-timeout 0 0
q
sysname R1
int loop 0
ip add 1.1.1.1 24
int g0/0/1
ip add 192.168.13.1 24
int g0/0/0
ip add 192.168.12.1 24
int g0/0/3
ip add 192.168.18.1 24
int g0/0/2
ip add 192.168.17.1 24
q

R2:

undo terminal monitor
sys
user-interface con 0
idle-timeout 0 0
q
sysname R2
int loop 0
ip add 2.2.2.2 24
int g0/0/2
ip add 192.168.24.2 24
int g0/0/0
ip add 192.168.12.2 24
int g0/0/3
ip add 192.168.27.2 24
int g0/0/1
ip add 192.168.28.2 24
q

R3:

undo terminal monitor
sys
user-interface con 0
idle-timeout 0 0
q
sysname R3
int loop 0
ip add 3.3.3.3 24
int g0/0/0
ip add 192.168.35.3 24
int g0/0/2
ip add 192.168.34.3 24
int g0/0/1
ip add 192.168.13.3 24
q

R4:

undo terminal monitor
sys
user-interface con 0
idle-timeout 0 0
q
sysname R4
int loop 0
ip add 4.4.4.4 24
int g0/0/1
ip add 192.168.45.4 24
int g0/0/0
ip add 192.168.34.4 24
int g0/0/2
ip add 192.168.24.4 24
q

R5:

undo terminal monitor
sys
user-interface con 0
idle-timeout 0 0
q
sysname R5
int loop 0
ip add 5.5.5.5 24
int loop 1
ip add 55.55.55.55 24
int g0/0/0
ip add 192.168.35.5 24
int g0/0/1
ip add 192.168.45.5 24
q

SW1:

undo terminal monitor
sys
user-interface con 0
idle-timeout 0 0
q
sysname SW1
vlan batch 2 3 4 10 20 30

SW2:

undo terminal monitor
sys
user-interface con 0
idle-timeout 0 0
q
sysname SW2
vlan batch 2 3 4 10 20 30 71 72
int vlanif 71
ip add 192.168.17.7 24
int vlanif 72
ip add 192.168.27.7 24
int loop 0
ip add 7.7.7.7 24
q

SW3:

undo terminal monitor
sys
user-interface con 0
idle-timeout 0 0
q
sysname SW3
vlan batch 2 3 4 10 20 30 81 82
int vlanif 81
ip add 192.168.18.8 24
int vlanif 82
ip add 192.168.28.8 24
int loop 0
ip add 8.8.8.8 24
q

一、交换部分

1. Trunk配置

为了保证不同交换机上同一个VLAN的成员之间能够相互通信,需要配置交换机之间相连的端口为 Trunk 端口,并允许相应VLAN 通过。交换机都已经创建了 VLAN 2、VLAN 3、VLAN 4、VLAN 10、VLAN 20、VLAN 30 。

SW1:

int g0/0/1
port link-type trunk
port trunk allow-pass vlan all
int g0/0/2
port link-type trunk
port trunk allow-pass vlan all
q

SW2:

int g0/0/1
port link-type trunk
port trunk allow-pass vlan all
int g0/0/3
port link-type trunk
port trunk allow-pass vlan all
q

SW3:

int g0/0/2
port link-type trunk
port trunk allow-pass vlan all
int g0/0/3
port link-type trunk
port trunk allow-pass vlan all
q

2.聚合VLAN

在SW1 上将 PC1 添加到VLAN 2,PC2 添加到VLAN 3。配置VLAN 4的IP 地址为70.1.30.2/24, 为Super VLAN,并配置 Proxy ARP。既可以实现VLAN 2 和VLAN3 之间的通信,又可以节约IP 地址资源。

SW1:

int e0/0/1
port link-type access
port default vlan 2
int e0/0/2
port link-type access
port default vlan 3

配置聚合VLAN

SW1:

int g0/0/1
undo port trunk allow-pass vlan 4
int g0/0/2
undo port trunk allow-pass vlan 4

vlan 4
aggregate-vlan 
access-vlan 2 to 3

int Vlanif 4
ip add 70.1.30.2 24
arp-proxy inner-sub-vlan-proxy enable

PC1 PC2 之间可以通

2025-03-16T07:01:49.png

3.配置MSTP协议

了为防止网络中的二层环路,同时对不同VLAN 间的流量进行负载分担,配置所有的交换机都工作在MSTP模式。
创建MSTP域 huawei,修订版本号都为 1.
实例 1 包含VLAN 2 和VALN 3,并以SW2为根交换机,
实例 2 包含VLAN 10、VLAN20 和VALN 30,并以SW3为根交换机,
为了保证交换网络中加了其他不支持MSTP的交换机后,SW2仍为整个生成树的根交换机,使用命令配置SW2为CIST 的总根。

SW1:

stp mode mstp

stp region-configuration
region-name huawei
revision-level 1
instance 1 vlan 2 3
instance 2 vlan 10 20 30
active region-configuration

SW2:

stp mode mstp

stp instance 0 priority 0
stp instance 1 priority 0
stp instance 2 priority 4096


stp region-configuration
region-name huawei
revision-level 1
instance 1 vlan 2 3
instance 2 vlan 10 20 30
active region-configuration

SW3:

stp mode mstp

stp instance 1 priority 4096
stp instance 2 priority 0

stp region-configuration
region-name huawei
revision-level 1
instance 1 vlan 2 3
instance 2 vlan 10 20 30
active region-configuration

查看生成树信息及不同实例的根交换机。
[SW1]display stp brief ,SW1在实例 1 中,g0/0/2是阻塞的,SW1在实例 2 中,g0/0/1是阻塞的

2025-03-16T07:03:43.png

可以看到,在实例 1 中,SW2 为根交换机,SW1上的g0/0/2 为阻塞端口,在实例 2 中,SW3 为根交换机,SW1上的g0/0/1 为阻塞端口。这说明在不同实例中生成树选择的路径是不同的,并可因此达到负载分担的目的。

环路保护

为了保证网络的稳定性,确保当由于链路拥塞或者单向链路故障导致交换机收不到来自上游交换设备的BPDU 时,不会产生临时环路,在SW1 上启用环路保护功能。

SW1:

int g0/0/1
stp loop-protection
int g0/0/2
stp loop-protection

查看端口保护模式
display stp brief

2025-03-16T07:05:04.png

阻塞端口和根端口都配置了环路保护功能。如果根端口或阻塞端口长时间收不到来自上游交换机的BPDU,就会向网管发出通知消息,且阻塞端口会一直保持在阻塞状态,不转发报文,从而不会在网络中形成临时环路。

BPDU 保护

为加快收敛,将交换机SW1 的连接PC的端口设置为边缘端口。并配置保护功能以防止这些端口因收到不合法的BPDU而影响生成树的计算。

SW1:

stp bpdu-protection 
int e0/0/1
stp edged-port enable
int e0/0/2
stp edged-port enable

查看端口保护模式
display stp brief

2025-03-16T07:06:39.png

二、路由部分

1.配置IS-IS 协议
公司总部内R1、R2、SW2、SW3运行IS-IS协议,并且都属于同一个区域。

R1:

isis
network-entity 10.0000.0000.0001.00
is-name R1
int loo 0
isis enable
int g0/0/0
isis enable
int g0/0/2
isis enable
int g0/0/3
isis enable
q

R2:

isis
network-entity 10.0000.0000.0002.00
is-name R2
int loo 0
isis enable
int g0/0/0
isis enable
int g0/0/1
isis enable
int g0/0/3
isis enable
q

SW2:

int g0/0/2
port link-type access
port default vlan 71
int g0/0/4
port link-type access
port default vlan 72
isis
network-entity 10.0000.0000.0007.00
is-name SW2
int loo 0
isis enable
int vlanif 71
isis enable
int vlanif 72
isis enable
q

SW3:

int g0/0/1
port link-type access
port default vlan 82
int g0/0/4
port link-type access
port default vlan 81
isis
network-entity 10.0000.0000.0008.00
is-name SW3
int loo 0
isis enable
int vlanif 81
isis enable
int vlanif 82
isis enable
q

查看IS-IS 邻居的建立
<R1>display isis peer

2025-03-16T07:08:35.png

<R1>display ip routing-table
邻居关系建立正常,路由也学习正常

IS-IS 路由聚合

在SW2、SW3中将VLAN 10、VLAN20、VLAN 30接口所涉及的用户网段引入IS-IS 协议。另外,为了减少路由条目,需要将连续网段的路由进行聚合。

SW2:

int vlan 10
ip add 70.1.10.1 24
int vlan 20
ip add 70.1.20.1 24
int vlan 30
ip add 70.1.30.1 24
q
isis
import-route direct 
summary 70.1.0.0 255.255.224.0

SW3:

int vlan 10
ip add 80.1.10.1 24
int vlan 20
ip add 80.1.20.1 24
int vlan 30
ip add 80.1.30.1 24
q
isis
import-route direct 
summary 80.1.0.0 255.255.224.0

配置完成后,查看 R1 的路由表
<R1>display ip routing-table

2025-03-16T07:10:23.png

为了减少LSP数量以优化网络,修改所有IS-IS 接口的网络类型为P2P,这样就不会选举 DIS。
<R1>display isis interface

2025-03-16T07:10:52.png

R1:

int g0/0/0
isis circuit-type p2p
int g0/0/2
isis circuit-type p2p
int g0/0/3
isis circuit-type p2p

R2:

int g0/0/0
isis circuit-type p2p
int g0/0/1
isis circuit-type p2p
int g0/0/3
isis circuit-type p2p

SW2:

int vlan 71
isis circuit-type p2p
int vlan 72
isis circuit-type p2p

SW3:

int vlan 81
isis circuit-type p2p
int vlan 82
isis circuit-type p2p

配置完成后,查看一下
<SW2>display isis interface

2025-03-16T07:12:13.png

SW2、SW3不运行BGP协议,为了使其能访问外网,需要在路由R1 和R2 上配置IS-IS 下发缺省路由,默认下发的是 level-2

R1:

isis
default-route-advertise always level-1-2
q

R2:

isis
default-route-advertise always level-1-2
q

SW2: 上查看一下路由表

2025-03-16T07:13:17.png

可以看到收到了缺省路由,并采用了负载分担的方式。

为了提高网络安全性,IS-IS 协议要进行认证,模式为MD5,密钥为huawei

R1:

isis
area-authentication-mode md5 huawei

R2:

isis
area-authentication-mode md5 huawei

SW2:

isis
area-authentication-mode md5 huawei

SW3:

isis
area-authentication-mode md5 huawei

2.配置OSPF协议

根据公司分部网络的设计,配置分部的所有路由器R3、R4、R5运行OSPF协议,router-id采用手工指定的方式。

R3:

ospf router-id 3.3.3.3
area 0
network 3.3.3.3 0.0.0.0
network 192.168.35.3 0.0.0.0
network 192.168.34.3 0.0.0.0

R4:

ospf router-id 4.4.4.4
area 0
network 4.4.4.4 0.0.0.0
network 192.168.45.4 0.0.0.0
network 192.168.34.4 0.0.0.0

R5:

ospf router-id 5.5.5.5
area 0
network 5.5.5.5 0.0.0.0
network 55.55.55.55 0.0.0.0
network 192.168.35.5 0.0.0.0
network 192.168.45.5 0.0.0.0

配置完成后,在R5上查看OSPF 邻居关系,路由表
<R5>display ospf peer brief <R5>display ip routing-table

2025-03-16T07:17:28.png

3.配置BGP路由协议

在R1、R2、R3、R4、R5上配置BGP协议。

R1与R3 , R2与R4 采用直连物理接口建立EBGP邻居关系,
R1与R2使用 loopback 0建立IBGP邻居关系,R3、R4与R5使用 loopback 0建立IBGP邻居关系.

R1:

bgp 100
router-id 1.1.1.1
peer 192.168.13.3 as-number 200
peer 2.2.2.2 as-number 100
peer 2.2.2.2 connect-interface LoopBack 0
peer 2.2.2.2 next-hop-local 
q

R2:

bgp 100
router-id 2.2.2.2
peer 192.168.24.4 as-number 200
peer 1.1.1.1 as-number 100
peer 1.1.1.1 connect-interface LoopBack 0
peer 1.1.1.1 next-hop-local 
q

R3:

bgp 200
router-id 3.3.3.3
peer 192.168.13.1 as-number 100
peer 4.4.4.4 as-number 200
peer 4.4.4.4 connect-interface LoopBack 0
peer 4.4.4.4 next-hop-local
peer 5.5.5.5 as-number 200
peer 5.5.5.5 connect-interface LoopBack 0
peer 5.5.5.5 next-hop-local
q

R4:

bgp 200
router-id 4.4.4.4
peer 192.168.24.2 as-number 100
peer 3.3.3.3 as-number 200
peer 3.3.3.3 connect-interface LoopBack 0
peer 3.3.3.3 next-hop-local
peer 5.5.5.5 as-number 200
peer 5.5.5.5 connect-interface LoopBack 0
peer 5.5.5.5 next-hop-local
q

R5:

bgp 200
router-id 5.5.5.5
peer 3.3.3.3 as-number 200
peer 3.3.3.3 connect-interface LoopBack 0
peer 4.4.4.4 as-number 200
peer 4.4.4.4 connect-interface LoopBack 0
q

配置完成后,查看BGP邻居
<R1>display bgp peer

2025-03-16T07:19:26.png

其它几个设备的邻居也是正常的

4.路由引入

为了将公司总部的路由信息通知给公司分部,在R1 和R2上将IS-IS 的路由信息引入到BGP 协议。

R1:

bgp 100
import-route isis 1

R2:

bgp 100
import-route isis 1

为了让公司总部知道公司分部的路由,在R3 和R4上报OSPF路由引入BGP协议

R3:

bgp 200
import-route ospf 1

R4:

bgp 200
import-route ospf 1

现在网络除了两台PC 是内部网络外,其它的设备可以相互通信
<SW2>ping -a 7.7.7.7 5.5.5.5

2025-03-16T07:21:07.png

PC 可以ping 通的修改
SW1: 删除VLAN 4 ,把两台PC 放置 在VLAN 30 中,PC 的网关设置为 70.1.30.1

SW1:

und int vlan 4
vlan 4
und aggregate-vlan

int e0/0/1
port default vlan 30
int e0/0/2
port default vlan 30

PC设置网关地址, 去 ping 网关地址70.1.30.1 要能通

2025-03-16T07:22:14.png

SW2:
在isis 协议中引入直接接口

isis
import-route direct level-1-2

在R5 的路由表,要能看到 70.1.30.0 网段的路由
之后用PC 去 ping 5.5.5.5 就可以通了

2025-03-16T07:22:57.png

2025-03-16T07:23:11.png




注:本文/图片来源于网络,侵删。
若内容涉及版权问题,请点击 发送邮件 联系删除。

添加新评论