• 林克的小本本之——HCL网络知识随笔


    单臂路由

    单臂路由是一种通过在路由器的一个接口上配置逻辑接口,来实现不同Vlan之间互通的方法。
    实例:

    #配置SW1的VLAN
    [SW1]vlan 2  
    #配置端口vlan略
    [SW1]int g1/0/4  
    #把端口g1/0/4配制成trunk口
    [SW1-GigabitEthernet1/0/4]port link-type trunk  
    #配置端口允许Vlan1和vlan2通过
    [SW1-GigabitEthernet1/0/4]port trunk permit vlan 1 2  
    
    #为R1配置单臂路由
    #配置子接口
    [R1]int g0/0.1
    #将子接口封装为dot1q协议,并且把它分配给vlan1
    [R1-GigabitEthernet0/0.1]vlan-type dot1q vid 1  
    #配置子接口ip地址
    [R1-GigabitEthernet0/0.1]ip address 192.168.1.254 24  
    [R1]int g0/0.2
    [R1-GigabitEthernet0/0.2]vlan-type dot1q vid 2  
    [R1-GigabitEthernet0/0.2]ip address 192.168.2.254 24  
    

    控制访问列表ACL

    基于包过滤的控制访问技术,广泛应用于路由器与三层交换机。
    ACL准从顺序匹配,先匹配顺序在前的访问控制规则。
    ACL有方向性,可以分别控制出/入数据包。
    实例:

    #配置基本ACL,使192.168.1.0不能访问192.168.2.0  
    [R2]acl basic 2000  
    [R2-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255  
    [R2]interface g0/2  
    [R2-GigabitEthernet0/2]packet-filter 2000 outbound  
     
    #配置高级ACL,使PC1可以访问server1的Telnet,但不能访问FTP,PC2反之  
    [R1]acl advanced 3000  
    [R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21  
    [R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq 23
    [R1]interface g0/0  
    [R1-GigabitEthernet0/0]packet-filter 3000 inbound  
    
    #配置高级ACL,使使PC3 不能访问 SERVER1  
    [R2]acl advanced 3000  
    [R2-acl-ipv4-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0  
    [R2]interface g0/2  
    [R2-GigabitEthernet0/2]packet-filter 3000 inbound   
    

    NAT

    NAT是一种可以把私网地址转换成公网地址的技术,
    NAT有三种类型:

    • 静态NAT:将内网中的IP映射为公网IP,一个内部主机唯一占用一个公网IP
    • 动态NAT:将内网的IP动态的映射为公网IP,未注册的IP地址映射到注册IP地址池中的一个地址
    • 端口映射:将多个私网ip地址映射到一个公网ip地址上的不同端口。
    #配置NAPT  
    [R1]acl basic 2000  
    [R1-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255  
    [R1]nat address-group 1  
    [R1-address-group-1]address 100.1.1.1 100.1.1.1  
    [R1]interface g0/1  
    [R1-GigabitEthernet0/1]nat outbound 2000 address-group 1
      
    #配置EASY IP  
    [R3]acl basic 2000  
    [R3-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255  
    [R3]interface g0/0  
    [R3-GigabitEthernet0/1]nat outbound 2000  
    
    #配置NAT SERVER  
    [R1-GigabitEthernet0/1]nat server protocol tcp global current-interface 20 21 inside 192.168.1.10 20 21 
    

    OSPF

    ospf,链路状态协议,每个服务器负责发现和维护邻接关系,并将包含邻居列表和链路费用的LSA报文在AS(自治系统)中周期性泛洪,每当链路状态发生变化时将重新生成LSA并发送。

    ospf中还有DR和BDR的概念,
    为了减少网络中的数据包数量,ospf协议网络会选举出DR和BDR,
    先比较优先级,优先级相同比较RID,高者DR,次之BDR。
    所有非DR/BDR路由器将与DR和BDR都建立完全邻接关系,交换LSA。

    基础配置

    1. 配置IP
    #进入端口
    int g0/2
    #添加IP
    ip add 100.1.1.1
    
    1. 配置rid
    #配置RID
    [R2]ospf 1 router-id 1.1.1.1
    
    1. 宣告直连网段和环回口
    #配置所属区域
    [R2-ospf-1]area 0
    #0 为骨干区域
    [R2-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
    [R2-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255
    #宣告另一区域的直连网段
    [R2-ospf-1-area-0.0.0.0]area 1
    [R2-ospf-1-area-0.0.0.1]network 100.3.3.0 0.0.0.255
    

    配置静默接口

    [R3-ospf-1]silent-interface g0/2
    

    引入默认路由

    [R1-ospf-1]default-route-advertise
    

    配置stub区域

    当ASBR(边界路由器)中引入了大量的外部路由时,可以通过将一些区域设置为stub(末节)区域,不允许AS外部LSA在区域内泛洪。减少区域内数据包的数量。

    • 如果要将一个区域配置成Stub区域,则该区域中的所有路由器必须都要配置stub命令。
    • 如果要将一个区域配置成Totally Stub区域,该区域中的所有路由器必须配置stub命令,而其中该区域的ABR路由器需要配置stub no-summary 命令。
    #引入静态路由
    [R1-ospf-1]default-route-advertise
    #配置stub
    [R2-ospf-1-area-0.0.0.1]stub
    [R3-ospf-1-area-0.0.0.1]stub
    [R4-ospf-1-area-0.0.0.1]stub
    

    配置NSSA区域

    NSSA区域是"not-so-stubby" area的简写,它比stub区域更具操作性,
    取消了STUB关于ASE的双向传播的限制(区域外的进不来,区域里的也出不去),改为单向限制(区域外的进不来,区域里的能出去)。

    #引入静态路由
    [R1-ospf-1]default-route-advertise
    #配置nssa
    [R2-ospf-1-area-0.0.0.1]nssa
    [R3-ospf-1-area-0.0.0.1]nssa
    [R4-ospf-1-area-0.0.0.1]nssa
    

    配置ISIS

    ISIS(中间系统到中间系统)协议是一种应用于电信营运商的路由协议,标准的ISIS协议是为无连接网络服务设计的,不直接适合于IP网络。我们常说的ISIS协议通常是指适用于IP网络的集成ISIS。

    • 与OSPF的区别:
      • ISIS以网段分割区域,OSPF以路由器分割区域(ISIS一个路由器上的所有接口必定都在同一区域)
    • 路由类型:
      • Level 0:终端与路由器之间
      • Level 1:区域内路由
      • Level 2:区域间路由
      • level 3:跨路由域路由
    • 路由器类型:
      • Level 1路由器:区域内路由器
      • Level 2路由器:骨干网路由器
      • Level 1-2路由器:同时连接Level 1路由器和Level 2路由器的路由器

    基础配置

    1. 在路由器启动ISIS并配置地址
    [R1]isis
    [R1-isis-1]network-entity 10.0000.0000.0000.0001.00
    
    1. 在端口启用ISIS
    [R1]int g0/0
    [R1-GigabitEthernet0/0]isis enable 1
    
    1. 配置L1路由器类型
    [R1]isis
    [R1-isis-1]is-level level-1
    
    1. 配置L1邻接关系
      需要在网段两端的端口上都配置
    [R2]int g0/1
    [R2-GigabitEthernet0/1]isis circuit-level level-1
    [R3]int g0/1
    [R3-GigabitEthernet0/1]isis circuit-level level-1
    

    设置路由开销

    [R1]int g0/0
    [R1-GigabitEthernet0/0]isis co 5
    

    配置路由渗透

    路由渗透不会把L2的明细路由传递至L1路由器,只会向L1路由发布一条默认路由

    [R2]isis
    [R2-isis-1]address-family ipv4
    [R2-isis-1-ipv4]import-route isis level-2 into level-1 
    

    配置路由验证

    需要在两端的端口上都配置

    [R2]int g0/2
    [R2-GigabitEthernet0/2]isis authentication-mode simple plain 123456
    [R3]int g/2
    [R3-GigabitEthernet0/2]isis authentication-mode simple plain 123456
    

    配置BGP

    BGP是边界网关协议,是一种在多个AS之间使用的一种路由协议。AS通过keepalive维护邻接关系。

    小规模私有网络IGP(RIP、ospf),大规模私有网络用IBGP,互联网用EBGP。

    • IBGP(Interior BGP)
      • 同一个AS内的BGP连接
      • IBGP运行在一个AS内部,没有AS_PATH,所以IBGP不转发来自于其他IBGP的路由
      • 默认不会修改下一跳路由,直接将路由转发
    • EBGP(Exterior BGP)
      • 不同AS间的BGP连接
      • EBGP通过AS_PATH和其他元素过滤来自于自己的路由
      • 会修改路由的下一跳路由,再转发
    1. EBGP会修改路由的下一跳路由,再转发;而IBGP默认不会修改下一跳路由,直接将路由转发。

      • 但是若有三个AS,AS1,AS2和AS3,它们首尾相接,AS2在中间。
        AS1中有R1和R2,AS2中有R3,AS3有R4和R5,其中R2、R3、R4之间通过EBGP连接,而R1和R2、R4和R5通过IBGP连接。
        由于IBGP不会修改下一跳地址,所以R1的下一跳地址就是R3,但由于R1和R3之间没有直连,所以相应的路由会被标记为无效路由。
        这时就需要在R3连接R1时,修改R2上IBGP的默认行为,设置next-hop-self,让IBGP在传递路由的时候,将路由的next-hop改为自己。
    2. 通过IBGP学习到的路由,不能传递给其他的IBGP。

      • 由于不能转发,所以要求所有IBGP路由器全都互相建立邻接关系,形成一个全连接的网络,但是这会给管理与配置带来问题。
      • 解决以上问题有两种方法,BGP反射BGP联盟

    基础配置

    AS100:R1
    AS200:R2(L0:2.2.2.2/32)、R3(L0:3.3.3.3/32)、R4(L0:4.4.4.4/32)
    AS300:R5
    R3仅运行OSPF协议

    #R1,有一端口IP为100.1.1.1/24
    #配置AS号,如R1处于AS100
    [R1]bgp 100
    #宣告邻接关系
    [R1‐bgp‐default]peer 100.1.1.2 as‐number 200
    [R1‐bgp‐default]address‐family ipv4 unicast
    [R1‐bgp‐default‐ipv4]peer 100.1.1.2 enable
    #R2,有一端口IP为100.1.1.2/24
    #配置AS号
    [R2]bgp 200
    #宣告邻接关系
    [R2‐bgp‐default]peer 100.1.1.1 as‐number 100
    #与AS边界路由器(ABR)宣告邻接关系
    [R2‐bgp‐default]peer 4.4.4.4 as‐number 200
    #将源端口改为环回口
    [R2‐bgp‐default]peer 4.4.4.4 connect‐interface LoopBack 0
    [R2‐bgp‐default]address‐family ipv4 unicast
    [R2‐bgp‐default‐ipv4]peer 100.1.1.1 enable
    [R2‐bgp‐default‐ipv4]peer 4.4.4.4 enable
    #修改默认路由规则,更改下一跳地址为本机
    [R2‐bgp‐default‐ipv4]peer 4.4.4.4 next‐hop‐local
    #R4,有一IP为100.4.4.4
    [R4]bgp 200
    [R4‐bgp‐default]peer 100.4.4.5 as‐number 300
    [R4‐bgp‐default]peer 2.2.2.2 as‐number 200
    [R4‐bgp‐default]peer 2.2.2.2 connect‐interface LoopBack 0
    [R4‐bgp‐default]address‐family ipv4 unicast
    [R4‐bgp‐default‐ipv4]peer 100.4.4.5 enable
    [R4‐bgp‐default‐ipv4]peer 2.2.2.2 enable
    [R4‐bgp‐default‐ipv4]peer 2.2.2.2 next‐hop‐local
    #R5,有一IP为100.4.4.5
    [R5]bgp 300
    [R5‐bgp‐default]peer 100.4.4.4 as‐number 200
    [R5‐bgp‐default]address‐family ipv4 unicast
    [R5‐bgp‐default‐ipv4]peer 100.4.4.4 enable
    

    BGP路由反射

    路由反射器(RR,Route Reflector)将从IBGP对等体中学到了路由反射给其他IBGP对等体,类似OSPF中的DR。
    R1和R2建立EBGP邻居,R2使用对等体组与R3/R4/R5建立IBGP邻居

    [R2]bgp 200
    [R2-bgp-default]group in internal
    [R2-bgp-default]peer 3.3.3.3 group in
    [R2-bgp-default]peer 4.4.4.4 group in
    [R2-bgp-default]peer 5.5.5.5 group in
    

    将R2配置为RR:

    [R2-bgp-default-ipv4]peer in reflect-client 
    [R2-bgp-default-ipv4]reflector cluster-id 2001
    

    BGP联盟

    通过在AS中建立子自治域(使用私有AS)来减少AS内的连接数量。

  • 相关阅读:
    FFmpeg 播放 RTSP/Webcam 流
    Kafka的工作原理及过程
    Zookeeper--典型应用场景解决方案
    Zookeeper--理论及客户端
    使用jasypt加密配置的时候,报错:DecryptionException: Unable to decrypt
    kubebuilder实战之六:构建部署运行
    kubebuilder实战之五:operator编码
    kubebuilder实战之四:operator需求说明和设计
    kubebuilder实战之三:基础知识速览
    kubebuilder实战之二:初次体验kubebuilder
  • 原文地址:https://www.cnblogs.com/lynk/p/12061721.html
Copyright © 2020-2023  润新知