Bootstrap

HCIP 路由控制

一、 实验拓扑

二、 实验需求及解法

1.企业生产网运行OSPF,完成以下需求:

1.1 OSPF 进程号为1,全部划入区域0

1.2 RID 如下:

DC-1:192.168.100.1

DC-2:192.168.100.2

GW:192.168.100.3

SW:192.168.100.4

1.3 全部使用通配符0.0.0.0通告。

1.4 确认PC1/2可以访问DC-1/2

DC-1 
ospf 1 router-id 192.168.100.1 
area 0.0.0.0  
network 192.168.1.254 0.0.0.0 

DC-2: 
ospf 1 router-id 192.168.100.2  
area 0.0.0.0  
network 192.168.2.254 0.0.0.0 

GW: 
ospf 1 router-id 192.168.100.3  
area 0.0.0.0  
network 192.168.0.254 0.0.0.0  
network 192.168.1.1 0.0.0.0  
network 192.168.2.1 0.0.0.0 

SW: 
ospf 1 router-id 192.168.100.4 
area 0.0.0.0 
network 100.0.10.254 0.0.0.0 
network 100.0.20.254 0.0.0.0 
network 192.168.0.1 0.0.0.0 

2.数据中心运行ISIS,完成以下需求:

2.1 ISIS 进程号为 1.

2.2 北京数据中心区域号为49.0001,上海数据中心区域号为49.0002 ISP 的区域号为49.0100

2.3 设备系统ID如下: DC-1:0000.0001.0001 DC-1-GW:0000.0001.0254 DC-2:0000.0002.0001 DC-2-GW:0000.0002.0254 ISP:0000.0000.0100

2.4 所有ISIS 路由器都是Level-2路由器

2.5 ISP 上引入外部直连路由1.1.1.1/32。(无策略)

DC-1: 
isis 1 
is-level level-2 
network-entity 49.0001.0000.0001.0001.00 
interface GigabitEthernet0/0/1  
isis enable 1 

DC-1-GW: 
isis 1 
is-level level-2 
network-entity 49.0001.0000.0001.0254.00 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet0/0/1 
isis enable 1 
interface GigabitEthernet0/0/2 
isis enable 1 

DC-2: 
isis 1 
is-level level-2 
network-entity 49.0002.0000.0002.0001.00 
interface GigabitEthernet0/0/1 
isis enable 1 

DC-2-GW: 
isis 1 
is-level level-2 
network-entity 49.0002.0000.0002.0254.00 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet0/0/1 
isis enable 1 
interface GigabitEthernet0/0/2 
isis enable 1 

ISP: 
isis 1 
is-level level-2 
network-entity 49.0100.0000.0000.0100.00 
import-route direct 
interface GigabitEthernet0/0/0 
isis enable 1 
interface GigabitEthernet0/0/1 
isis enable 1 

3.路由引入

3.1 在DC-1将OSPF和ISIS双向引入。

DC-1: 
ospf 1 router-id 192.168.100.1  
import-route isis 1 

isis 1 
import-route ospf 1 

3.2 在 DC-2将OSPF和ISIS双向引入。

DC-2: 
ospf 1 router-id 192.168.100.2 
import-route isis 1 

isis 1 
import-route ospf 1

3.3 在GW查看路由,确认去往北京/上海数据中心的路由,都有DC-1和DC-2两个下一跳

[GW]dis ip routing-table

4.路由策略

为确保企业生产网去往北京数据中心优先走DC-1,去往上海数据中心优先走DC-2 在路由引入时部署以下路由策略:

需求解析:结合需求3.3,GW去往北京和上海暂时都有两个下一跳。本需求即是要求 北京路由的下一跳是DC-1,上海路由的下一跳是DC-2。由于都是OSPF协议,影响选路的 就是cost值,而这些cost值目前都是引入时的默认值。 北京数据中心路由在DC-1上引入到OSPF时,使用默认cost为1,在 DC-2上引入到OSPF 时使用策略修改cost为20,那么当企业网GW收到北京路由时,会选择cost更小的DC-1 作为最佳下一跳。如下图:

上海数据中心路由正好相反,DC-2引入到OSPF使用默认cost 1,DC-1引入到OSPF使用 策略修改cost为20,那么企业网GW收到上海路由时,会选择cost更小的DC-2。如下图:

这一套策略在控制层面修改路由的cost值,达到影响选路的目的。

4.1 使用ip-prefix 匹配路由

DC-1 前缀列表名称为 beijing,index 自动生成,匹配北京数据中心路由:192.168.3.0/24 100.0.1.0/24 11.1.1.0/24

DC-1: 
ip ip-prefix Beijing permit 192.168.3.0 24 
ip ip-prefix beijing permit 100.0.1.0 24 
ip ip-prefix beijing permit 11.1.1.0 24 

DC-2 前缀列表名称为shanghai,index自动生成,匹配上海数据中心路由:192.168.4.0/24 100.0.2.0/24 12.1.1.0/24

DC-2: 
ip ip-prefix shanghai permit 192.168.4.0 24 
ip ip-prefix shanghai permit 100.0.2.0 24 
ip ip-prefix shanghai permit 12.1.1.0 24 

4.2 使用route-policy 修改路由cost值,

DC-1 路由策略名称为bjcost:

node 10 匹配北京数据中心路由,不修改cost;

node 100 匹配其他所有路由,修改cost为20。

DC-1: 
route-policy bjcost permit node 10  
if-match ip-prefix Beijing  

route-policy bjcost permit node 100  
apply cost 20 

DC-2 路由策略名称为shcost:

node 10 匹配上海数据中心路由,不修改cost;

node 100 匹配其他所有路由,修改cost为20。

DC-2: 
route-policy shcost permit node 10  
if-match ip-prefix shanghai  

route-policy shcost permit node 100  
apply cost 20

4.3 DC-1 和 DC-2将ISIS 引入OSPF时,分别调用路由策略。

DC-1: 
ospf 1 
import-route isis 1 route-policy bjcost 

DC-2: 
ospf 1  
import-route isis 1 route-policy shcost

4.4 在 GW确认去往北京数据中心的路由下一跳为DC-1,去往上海数据中心的路由下一跳 为DC-2。

[GW]dis ip routing-table

5.策略路由

因生产需要,vlan10 访问 ISP 需通过北京数据中心,vlan20访问ISP需通过上海数据中心。 在GW上配置PBR,完成以下需求:

需求解析:本需求有两类流量vlan10-ISP和vlan20-ISP,这两类流量目标相同,无法通过修 改路由表来分别选路,必须在转发层面直接改变数据流量的下一跳地址。

5.1 使用acl3010,规则序号5,匹配vlan10访问1.1.1.1/32的流量。

acl number 3010   
rule 5 permit ip source 100.0.10.0 0.0.0.255 destination 1.1.1.1 0 

5.2 使用acl3020,规则序号5,匹配vlan20访问1.1.1.1/32的流量。

acl number 3020   
rule 5 permit ip source 100.0.20.0 0.0.0.255 destination 1.1.1.1 0 

5.3 使用流分类定义感兴趣流,vlan10的流分类名称为10,vlan20的流分类名称为20.

traffic classifier 10 
if-match acl 3010 
traffic classifier 20  
if-match acl 3020

5.4 使用流行为定义下一跳地址

去往北京数据中心DC-1的流行为名称为to1

去往上海数据中心DC-2的流行为名称为to2

traffic behavior to1 
redirect ip-nexthop 192.168.1.254 
traffic behavior to2 
redirect ip-nexthop 192.168.2.254 

5.5 使用名称为PBR的流策略绑定流分类和流行为。

traffic policy PBR 
classifier 10 behavior to1 
classifier 20 behavior to2 

5.6 在GW的接口G0/0/0上调用流策略。

interface GigabitEthernet0/0/0 
traffic-policy PBR inbound 

5.7 在PC1和PC2上使用追踪命令确认策略路由的效果。

6.ISP 过滤私网路由

企业申请的公网地址为100.0.0.0/16,ISP应仅接收这个网段的路由。

考虑到企业可能进行子网划分,因此使用ip-prefix+filter-policy来过滤路由。

在ISP 上部署策略,完成以下要求:

6.1 ip-prefix 名称为 100,index 10,允许 100.0.0.0/16 及所有子网。其他网段默认拒绝。

ip ip-prefix 100 index 10 permit 100.0.0.0 16 greater-equal 16 less-equal 32 
\\允许所有子网即是允许可变长子网掩码,所以使用greater-equal 16 less-equal 32。 

6.2 isis 中使用过滤策略filter-polciy 直接调用 ip-prefix。

isis 1 
filter-policy ip-prefix 100 import

6.3 确认ISP上没有192.168.x.0/24 的私网路由。

<ISP>dis ip routing-table

;