林克的小本本之——HCL网络知识随笔

单臂路由

单臂路由是一种通过在路由器的一个接口上配置逻辑接口，来实现不同Vlan之间互通的方法。

实例：

#配置SW1的VLAN
[SW1]vlan 2
#配置端口vlan略
[SW1]int g1/0/4
#把端口g1/0/4配制成trunk口
[SW1-GigabitEthernet1/0/4]port link-type trunk
#配置端口允许Vlan1和vlan2通过
[SW1-GigabitEthernet1/0/4]port trunk permit vlan 1 2  

#为R1配置单臂路由
#配置子接口
[R1]int g0/0.1
#将子接口封装为dot1q协议，并且把它分配给vlan1
[R1-GigabitEthernet0/0.1]vlan-type dot1q vid 1
#配置子接口ip地址
[R1-GigabitEthernet0/0.1]ip address 192.168.1.254 24
[R1]int g0/0.2
[R1-GigabitEthernet0/0.2]vlan-type dot1q vid 2
[R1-GigabitEthernet0/0.2]ip address 192.168.2.254 24

控制访问列表ACL

基于包过滤的控制访问技术，广泛应用于路由器与三层交换机。

ACL准从顺序匹配，先匹配顺序在前的访问控制规则。

ACL有方向性，可以分别控制出/入数据包。

实例：

#配置基本ACL，使192.168.1.0不能访问192.168.2.0
[R2]acl basic 2000
[R2-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[R2]interface g0/2
[R2-GigabitEthernet0/2]packet-filter 2000 outbound  

#配置高级ACL，使PC1可以访问server1的Telnet，但不能访问FTP，PC2反之
[R1]acl advanced 3000
[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21
[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq 23
[R1]interface g0/0
[R1-GigabitEthernet0/0]packet-filter 3000 inbound  

#配置高级ACL，使使PC3 不能访问 SERVER1
[R2]acl advanced 3000
[R2-acl-ipv4-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0
[R2]interface g0/2
[R2-GigabitEthernet0/2]packet-filter 3000 inbound

NAT

NAT是一种可以把私网地址转换成公网地址的技术，

NAT有三种类型：

• 静态NAT：将内网中的IP映射为公网IP，一个内部主机唯一占用一个公网IP
• 动态NAT：将内网的IP动态的映射为公网IP，未注册的IP地址映射到注册IP地址池中的一个地址
• 端口映射：将多个私网ip地址映射到一个公网ip地址上的不同端口。

#配置NAPT
[R1]acl basic 2000
[R1-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1]nat address-group 1
[R1-address-group-1]address 100.1.1.1 100.1.1.1
[R1]interface g0/1
[R1-GigabitEthernet0/1]nat outbound 2000 address-group 1

#配置EASY IP
[R3]acl basic 2000
[R3-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R3]interface g0/0
[R3-GigabitEthernet0/1]nat outbound 2000  

#配置NAT SERVER
[R1-GigabitEthernet0/1]nat server protocol tcp global current-interface 20 21 inside 192.168.1.10 20 21

OSPF

ospf，链路状态协议，每个服务器负责发现和维护邻接关系，并将包含邻居列表和链路费用的LSA报文在AS(自治系统)中周期性泛洪，每当链路状态发生变化时将重新生成LSA并发送。

ospf中还有DR和BDR的概念，

为了减少网络中的数据包数量，ospf协议网络会选举出DR和BDR，

先比较优先级，优先级相同比较RID，高者DR，次之BDR。

所有非DR/BDR路由器将与DR和BDR都建立完全邻接关系，交换LSA。

基础配置

1. 配置IP

#进入端口
int g0/2
#添加IP
ip add 100.1.1.1

1. 配置rid

#配置RID
[R2]ospf 1 router-id 1.1.1.1

1. 宣告直连网段和环回口

#配置所属区域
[R2-ospf-1]area 0
#0 为骨干区域
[R2-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255
#宣告另一区域的直连网段
[R2-ospf-1-area-0.0.0.0]area 1
[R2-ospf-1-area-0.0.0.1]network 100.3.3.0 0.0.0.255

配置静默接口

[R3-ospf-1]silent-interface g0/2

引入默认路由

[R1-ospf-1]default-route-advertise

配置stub区域

当ASBR（边界路由器）中引入了大量的外部路由时，可以通过将一些区域设置为stub(末节)区域，不允许AS外部LSA在区域内泛洪。减少区域内数据包的数量。

• 如果要将一个区域配置成Stub区域，则该区域中的所有路由器必须都要配置stub命令。
• 如果要将一个区域配置成Totally Stub区域，该区域中的所有路由器必须配置stub命令，而其中该区域的ABR路由器需要配置stub no-summary 命令。

#引入静态路由
[R1-ospf-1]default-route-advertise
#配置stub
[R2-ospf-1-area-0.0.0.1]stub
[R3-ospf-1-area-0.0.0.1]stub
[R4-ospf-1-area-0.0.0.1]stub

配置NSSA区域

NSSA区域是"not-so-stubby" area的简写，它比stub区域更具操作性，

取消了STUB关于ASE的双向传播的限制（区域外的进不来，区域里的也出不去），改为单向限制（区域外的进不来，区域里的能出去）。

#引入静态路由
[R1-ospf-1]default-route-advertise
#配置nssa
[R2-ospf-1-area-0.0.0.1]nssa
[R3-ospf-1-area-0.0.0.1]nssa
[R4-ospf-1-area-0.0.0.1]nssa

配置ISIS

ISIS（中间系统到中间系统）协议是一种应用于电信营运商的路由协议，标准的ISIS协议是为无连接网络服务设计的，不直接适合于IP网络。我们常说的ISIS协议通常是指适用于IP网络的集成ISIS。

• 与OSPF的区别：
  • ISIS以网段分割区域，OSPF以路由器分割区域（ISIS一个路由器上的所有接口必定都在同一区域）
• 路由类型：
  • Level 0：终端与路由器之间
  • Level 1：区域内路由
  • Level 2：区域间路由
  • level 3：跨路由域路由
• 路由器类型：
  • Level 1路由器：区域内路由器
  • Level 2路由器：骨干网路由器
  • Level 1-2路由器：同时连接Level 1路由器和Level 2路由器的路由器

基础配置

1. 在路由器启动ISIS并配置地址

[R1]isis
[R1-isis-1]network-entity 10.0000.0000.0000.0001.00

1. 在端口启用ISIS

[R1]int g0/0
[R1-GigabitEthernet0/0]isis enable 1

1. 配置L1路由器类型

[R1]isis
[R1-isis-1]is-level level-1

1. 配置L1邻接关系
   
   需要在网段两端的端口上都配置

[R2]int g0/1
[R2-GigabitEthernet0/1]isis circuit-level level-1
[R3]int g0/1
[R3-GigabitEthernet0/1]isis circuit-level level-1

设置路由开销

[R1]int g0/0
[R1-GigabitEthernet0/0]isis co 5

配置路由渗透

路由渗透不会把L2的明细路由传递至L1路由器，只会向L1路由发布一条默认路由

[R2]isis
[R2-isis-1]address-family ipv4
[R2-isis-1-ipv4]import-route isis level-2 into level-1

配置路由验证

需要在两端的端口上都配置

[R2]int g0/2
[R2-GigabitEthernet0/2]isis authentication-mode simple plain 123456
[R3]int g/2
[R3-GigabitEthernet0/2]isis authentication-mode simple plain 123456

配置BGP

BGP是边界网关协议，是一种在多个AS之间使用的一种路由协议。AS通过keepalive维护邻接关系。

小规模私有网络IGP(RIP、ospf)，大规模私有网络用IBGP，互联网用EBGP。

• IBGP(Interior BGP)
  • 同一个AS内的BGP连接
  • IBGP运行在一个AS内部，没有AS_PATH，所以IBGP不转发来自于其他IBGP的路由
  • 默认不会修改下一跳路由，直接将路由转发
• EBGP(Exterior BGP)
  • 不同AS间的BGP连接
  • EBGP通过AS_PATH和其他元素过滤来自于自己的路由
  • 会修改路由的下一跳路由，再转发

1. EBGP会修改路由的下一跳路由，再转发；而IBGP默认不会修改下一跳路由，直接将路由转发。

   • 但是若有三个AS，AS1,AS2和AS3，它们首尾相接，AS2在中间。
     
     AS1中有R1和R2，AS2中有R3，AS3有R4和R5，其中R2、R3、R4之间通过EBGP连接，而R1和R2、R4和R5通过IBGP连接。
     
     由于IBGP不会修改下一跳地址，所以R1的下一跳地址就是R3，但由于R1和R3之间没有直连，所以相应的路由会被标记为无效路由。
     
     这时就需要在R3连接R1时，修改R2上IBGP的默认行为，设置next-hop-self，让IBGP在传递路由的时候，将路由的next-hop改为自己。

2. 通过IBGP学习到的路由，不能传递给其他的IBGP。

   • 由于不能转发，所以要求所有IBGP路由器全都互相建立邻接关系，形成一个全连接的网络，但是这会给管理与配置带来问题。
   • 解决以上问题有两种方法，BGP反射和BGP联盟。

基础配置

AS100：R1

AS200：R2(L0:2.2.2.2/32)、R3(L0:3.3.3.3/32)、R4(L0:4.4.4.4/32)

AS300：R5

R3仅运行OSPF协议

#R1，有一端口IP为100.1.1.1/24
#配置AS号，如R1处于AS100
[R1]bgp 100
#宣告邻接关系
[R1‐bgp‐default]peer 100.1.1.2 as‐number 200
[R1‐bgp‐default]address‐family ipv4 unicast
[R1‐bgp‐default‐ipv4]peer 100.1.1.2 enable
#R2，有一端口IP为100.1.1.2/24
#配置AS号
[R2]bgp 200
#宣告邻接关系
[R2‐bgp‐default]peer 100.1.1.1 as‐number 100
#与AS边界路由器(ABR)宣告邻接关系
[R2‐bgp‐default]peer 4.4.4.4 as‐number 200
#将源端口改为环回口
[R2‐bgp‐default]peer 4.4.4.4 connect‐interface LoopBack 0
[R2‐bgp‐default]address‐family ipv4 unicast
[R2‐bgp‐default‐ipv4]peer 100.1.1.1 enable
[R2‐bgp‐default‐ipv4]peer 4.4.4.4 enable
#修改默认路由规则，更改下一跳地址为本机
[R2‐bgp‐default‐ipv4]peer 4.4.4.4 next‐hop‐local
#R4，有一IP为100.4.4.4
[R4]bgp 200
[R4‐bgp‐default]peer 100.4.4.5 as‐number 300
[R4‐bgp‐default]peer 2.2.2.2 as‐number 200
[R4‐bgp‐default]peer 2.2.2.2 connect‐interface LoopBack 0
[R4‐bgp‐default]address‐family ipv4 unicast
[R4‐bgp‐default‐ipv4]peer 100.4.4.5 enable
[R4‐bgp‐default‐ipv4]peer 2.2.2.2 enable
[R4‐bgp‐default‐ipv4]peer 2.2.2.2 next‐hop‐local
#R5，有一IP为100.4.4.5
[R5]bgp 300
[R5‐bgp‐default]peer 100.4.4.4 as‐number 200
[R5‐bgp‐default]address‐family ipv4 unicast
[R5‐bgp‐default‐ipv4]peer 100.4.4.4 enable

BGP路由反射

路由反射器(RR,Route Reflector)将从IBGP对等体中学到了路由反射给其他IBGP对等体，类似OSPF中的DR。

R1和R2建立EBGP邻居，R2使用对等体组与R3/R4/R5建立IBGP邻居

[R2]bgp 200
[R2-bgp-default]group in internal
[R2-bgp-default]peer 3.3.3.3 group in
[R2-bgp-default]peer 4.4.4.4 group in
[R2-bgp-default]peer 5.5.5.5 group in

将R2配置为RR：

[R2-bgp-default-ipv4]peer in reflect-client
[R2-bgp-default-ipv4]reflector cluster-id 2001

BGP联盟

通过在AS中建立子自治域(使用私有AS)来减少AS内的连接数量。