HCIP-九、路由控制

news2024/11/16 19:28:15

九、路由控制

  • 实验拓扑
  • 实验需求及解法
    • 1.企业生产网运行 OSPF,完成以下需求:
    • 2.数据中心运行 ISIS
    • 3.路由引入
    • 4.路由策略
    • 5.策略路由
    • 6.ISP 过滤私网路由

实验拓扑

在这里插入图片描述

实验需求及解法

1.企业生产网运行 OSPF,完成以下需求:

  • 1.1 OSPF 进程号为 1,全部划入区域 0
  • 1.2 RID 如下:
  • DC-1:192.168.100.1
  • DC-2:192.168.100.2
  • GW:192.168.100.3
  • SW:192.168.100.4
  • 1.3 全部使用通配符 0.0.0.0 通告。
  • 1.4 确认 PC1/2 可以访问 DC-1/2
DC-1
ospf 1 router-id 192.168.100.1 
area 0.0.0.0 
 network 192.168.1.254 0.0.0.0
 #
DC-2:
ospf 1 router-id 192.168.100.2 
area 0.0.0.0 
 network 192.168.2.254 0.0.0.0
#
GW:
ospf 1 router-id 192.168.100.3 
area 0.0.0.0 
 network 192.168.0.254 0.0.0.0 
 network 192.168.1.1 0.0.0.0 
 network 192.168.2.1 0.0.0.0
#
SW:
ospf 1 router-id 192.168.100.4
area 0.0.0.0
 network 100.0.10.254 0.0.0.0
 network 100.0.20.254 0.0.0.0
 network 192.168.0.1 0.0.0.0

2.数据中心运行 ISIS

  • 2.1 ISIS 进程号为 1.
  • 2.2 北京数据中心区域号为 49.0001,上海数据中心区域号为 49.0002
  • ISP 的区域号为 49.0100
  • 2.3 设备系统 ID 如下:
  • DC-1:0000.0001.0001
  • DC-1-GW:0000.0001.0254
  • DC-2:0000.0002.0001
  • DC-2-GW:0000.0002.0254
  • ISP:0000.0000.0100
  • 2.4 所有 ISIS 路由器都是 Level-2 路由器
  • 2.5 ISP 上引入 6 条外部直连路由,确认 DC 路由器都能收到。
DC-1:
isis 1
is-level level-2
network-entity 49.0001.0000.0001.0001.00
interface GigabitEthernet0/0/1 
isis enable 1
#
DC-1-GW:
 isis 1
is-level level-2
network-entity 49.0001.0000.0001.0254.00
interface GigabitEthernet0/0/0
isis enable 1
interface GigabitEthernet0/0/1
isis enable 1
interface GigabitEthernet0/0/2
isis enable 1
#
DC-2:
isis 1
is-level level-2
network-entity 49.0002.0000.0002.0001.00
interface GigabitEthernet0/0/1
isis enable 1
#
DC-2-GW:
isis 1
is-level level-2
network-entity 49.0002.0000.0002.0254.00
interface GigabitEthernet0/0/0
isis enable 1
interface GigabitEthernet0/0/1
isis enable 1
interface GigabitEthernet0/0/2
isis enable 1
#
ISP:
isis 1
is-level level-2
network-entity 49.0100.0000.0000.0100.00
import-route direct
interface GigabitEthernet0/0/0
isis enable 1
interface GigabitEthernet0/0/1
isis enable 1

3.路由引入

  • 3.1 在 DC-1 将 OSPF 和 ISIS 双向引入。
DC-1:
ospf 1 router-id 192.168.100.1 
import-route isis 1
#
isis 1
import-route ospf 1
  • 3.2 在 DC-2 将 OSPF 和 ISIS 双向引入。
DC-2:
ospf 1 router-id 192.168.100.2
import-route isis 1
#
isis 1
import-route ospf 1
  • 3.3 在 GW 查看路由,确认去往北京/上海数据中心的路由,都有 DC-1 和 DC-2 两个下一跳
[GW]dis ip routing-table

在这里插入图片描述

4.路由策略

  • 为确保企业生产网去往北京数据中心优先走 DC-1,去往上海数据中心优先走 DC-2
  • 在路由引入时部署以下路由策略:
  • 需求解析:结合需求 3.3,GW 去往北京和上海暂时都有两个下一跳。本需求即是要求
    北京路由的下一跳是 DC-1,上海路由的下一跳是 DC-2。由于都是 OSPF 协议,影响选路的就是 cost 值,而这些 cost 值目前都是引入时的默认值。
  • 北京数据中心路由在 DC-1 上引入到 OSPF 时,使用默认 cost 为 1,在 DC-2 上引入到 OSPF时使用策略修改 cost 为 20,那么当企业网 GW 收到北京路由时,会选择 cost 更小的 DC-1作为最佳下一跳。如下图:
    在这里插入图片描述
  • 上海数据中心路由正好相反,DC-2 引入到 OSPF 使用默认 cost 1,DC-1 引入到 OSPF 使用策略修改 cost 为 20,那么企业网 GW 收到上海路由时,会选择 cost 更小的 DC-2。如下图:
    在这里插入图片描述
  • 这一套策略在控制层面修改路由的 cost 值,达到影响选路的目的。
  • 4.1 使用 ip-prefix 匹配路由
  • DC-1 前缀列表名称为 beijing,index 自动生成,匹配北京数据中心路由:192.168.3.0/24 100.0.1.0/24 11.1.1.0/24
DC-1:
ip ip-prefix beijing permit 192.168.3.0 24
ip ip-prefix beijing permit 100.0.1.0 24
ip ip-prefix beijing permit 11.1.1.0 24
  • DC-2 前缀列表名称为 shanghai,index 自动生成,匹配上海数据中心路由:192.168.4.0/24 100.0.2.0/24 12.1.1.0/24
DC-2:
ip ip-prefix shanghai permit 192.168.4.0 24
ip ip-prefix shanghai permit 100.0.2.0 24
ip ip-prefix shanghai permit 12.1.1.0 24
  • 4.2 使用 route-policy 修改路由 cost 值,
  • DC-1 路由策略名称为 bjcost:
  • node 10 匹配北京数据中心路由,不修改 cost;
  • node 100 匹配其他所有路由,修改 cost 为 20。
DC-1:
route-policy bjcost permit node 10 
if-match ip-prefix beijing 
#
route-policy bjcost permit node 100 
apply cost 20
  • DC-2 路由策略名称为 shcost:
  • node 10 匹配上海数据中心路由,不修改 cost;
  • node 100 匹配其他所有路由,修改 cost 为 20。
DC-2:
route-policy shcost permit node 10 
if-match ip-prefix shanghai 
#
route-policy shcost permit node 100 
apply cost 20
  • 4.3 DC-1 和 DC-2 将 ISIS 引入 OSPF 时,分别调用路由策略。
DC-1:
ospf 1
import-route isis 1 route-policy bjcost
#
DC-2:
ospf 1 
import-route isis 1 route-policy shcost
  • 4.4 在 GW 确认去往北京数据中心的路由下一跳为 DC-1,去往上海数据中心的路由下一跳
    为 DC-2。
[GW]dis ip routing-table

在这里插入图片描述

5.策略路由

  • 因生产需要,vlan10 访问 ISP 需通过北京数据中心,vlan20 访问 ISP 需通过上海数据中心。在 GW 上配置 PBR,完成以下需求:
  • 需求解析:本需求有两类流量 vlan10-ISP 和 vlan20-ISP,这两类流量目标相同,无法通过修改路由表来分别选路,必须在转发层面直接改变数据流量的下一跳地址。
  • 5.1 使用 acl3010,规则序号 5,匹配 vlan10 访问 1.1.1.1/32 的流量。
acl number 3010 
rule 5 permit ip source 100.0.10.0 0.0.0.255 destination 1.1.1.1 0
  • 5.2 使用 acl3020,规则序号 5,匹配 vlan20 访问 1.1.1.1/32 的流量。
acl number 3020 
rule 5 permit ip source 100.0.20.0 0.0.0.255 destination 1.1.1.1 0
  • 5.3 使用流分类定义感兴趣流,vlan10 的流分类名称为 10,vlan20 的流分类名称为 20.
traffic classifier 10
if-match acl 3010
traffic classifier 20 
if-match acl 3020
  • 5.4 使用流行为定义下一跳地址
  • 去往北京数据中心 DC-1 的流行为名称为 to1
  • 去往上海数据中心 DC-2 的流行为名称为 to2
traffic behavior to1
redirect ip-nexthop 192.168.1.254
traffic behavior to2
redirect ip-nexthop 192.168.2.254
  • 5.5 使用名称为 PBR 的流策略绑定流分类和流行为。
traffic policy PBR
classifier 10 behavior to1
classifier 20 behavior to2
  • 5.6 在 GW 的接口 G0/0/0 上调用流策略。
interface GigabitEthernet0/0/0
traffic-policy PBR inbound
  • 5.7 在 PC1 和 PC2 上使用追踪命令确认策略路由的效果。
    在这里插入图片描述

6.ISP 过滤私网路由

  • 企业申请的公网地址为 100.0.0.0/16,ISP 应仅接收这个网段的路由。
  • 考虑到企业可能进行子网划分,因此使用 ip-prefix+filter-policy 来过滤路由。
  • 在 ISP 上部署策略,完成以下要求:
  • 6.1 ip-prefix 名称为 100,index 10,允许 100.0.0.0/16 及所有子网。其他网段默认拒绝。
ip ip-prefix 100 index 10 permit 100.0.0.0 16 greater-equal 16 less-equal 32
//允许所有子网即是允许可变长子网掩码,所以使用 greater-equal 16 less-equal 32。
  • 6.2 isis 中使用过滤策略 filter-polciy 直接调用 ip-prefix。
isis 1
filter-policy ip-prefix 100 import
  • 6.3 确认 ISP 上没有 192.168.x.0/24 的私网路由。
<ISP>dis ip routing-table

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1262392.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Snagit 2024.0.1(Mac屏幕截图软件)

Snagit 2024是一款屏幕截图工具&#xff0c;可以帮助用户轻松捕获、编辑和分享屏幕截图。该工具在Mac上运行&#xff0c;旨在满足用户对于屏幕截图的各种需求。 Snagit 2024支持屏幕录制功能&#xff0c;可以录制摄像头和麦克风等外部设备&#xff0c;让用户录制更加全面的视频…

新农村污水集中处理需要哪些设备

新农村的污水处理问题日益凸显&#xff0c;为了保护农村环境和人民健康&#xff0c;污水集中处理成为一项急需解决的任务。那么&#xff0c;新农村污水集中处理需要哪些设备呢&#xff1f; 首先&#xff0c;污水集中处理系统需要一个有效的污水收集设备。这个设备可以是污水管…

【Linux驱动开发】环境搭建Linux驱动开发环境

环境搭建Linux驱动开发环境 1. 简单描述2. 资源3. 安装4. 基本操作和设置 1. 简单描述 基于讯为电子rk3568教程 2. 资源 下载 VMware Workstation Pro 17 链接 Ubuntu 桌面版&#xff08;64位&#xff09; 链接 3. 安装 需要选择自定义硬件&#xff08;内存大于16g 硬盘500g…

代码随想录算法训练营第35天| 860.柠檬水找零 406.根据身高重建队列 452. 用最少数量的箭引爆气球

JAVA代码编写 860.柠檬水找零 在柠檬水摊上&#xff0c;每一杯柠檬水的售价为 5 美元。顾客排队购买你的产品&#xff0c;&#xff08;按账单 bills 支付的顺序&#xff09;一次购买一杯。 每位顾客只买一杯柠檬水&#xff0c;然后向你付 5 美元、10 美元或 20 美元。你必须…

C++不同平台下的RTTI实现

给定一个含有虚函数的对象的地址&#xff0c;找到对应的类名&#xff0c;不同平台下方法也不同&#xff0c;这是由于RTTI实现并没有统一的标准。 Linux&#xff1a; #include <iostream> #include <typeinfo>class Person { public:virtual void func(){std::cout…

【DeepLearning.AI】吴恩达系列课程——使用Gradio构建AI应用

目录 前言一、Gradio介绍1-1、Gradio介绍1-2、安装1-3、小栗子 二、使用Gradio构建AI应用2-1、NLP任务2-1-1、文本摘要2-1-2、命名实体识别 2-2、聊天任务&#xff08;ChatYuan&#xff09;2-2-1、模型介绍2-2-2、模型下载、参数设置2-2-3、模型测试2-2-4、嵌入到Gradio里2-2-5…

大学生奖学金答辩模板

大学生奖学金答辩模板 前言大学生奖学金答辩模板自制答辩稿 前言 未经同意&#xff0c;请勿转载&#xff0c;请勿商用 这里share 一下近期做的PPT&#xff0c;目前已经抽离成模板&#xff0c;在PPT演讲备注中添加了相关的替换规则及稿子。 这里主要做的是SCUT的模板&#xff0…

如何生成唯一ID:探讨常用方法与技术应用

文章目录 1. UUID&#xff08;Universally Unique Identifier&#xff09;2. 数据库自增ID3. Twitter的Snowflake算法4. 数据库全局唯一ID&#xff08;Global Unique Identifier&#xff0c;GUID&#xff09;结语 &#x1f389;如何生成唯一ID&#xff1a;探讨常用方法与技术应…

vue3(三)-基础入门之v-model双向绑定、v-model修饰符

一、v-model 双向绑定 监听用户的输入事件来实时更新数据&#xff0c;多用于表单 input、textarea以及select元素上 <div id"app"><input type"text" v-model"myInputText" /><!-- 等价于&#xff1a; --><input type&qu…

Vue基础入门(四):Vue3快速开发模板

快速开发Vue的解决方案 ​ Vue 的开发需要的 node 环境&#xff0c;其实上在开发的过程中会遇到一些你想不到的问题&#xff0c;比如 npm工具的版本和 node 环境不匹配&#xff08;你把其他项目导入到自己的环境&#xff09; ​ vue-element-admin&#xff08;是一个官方提供…

网络安全小白自学

一、网络安全应该怎么学&#xff1f; 1.计算机基础需要过关 这一步跟网安关系暂时不大&#xff0c;是进入it行业每个人都必须掌握的基础能力。 计算机网络计算机操作系统算法与数据架构数据库 Tips:不用非要钻研至非常精通&#xff0c;可以与学习其他课程同步进行。 2.渗透技…

buuctf web [RoarCTF 2019]Easy Calc

试了一下&#xff0c;数字可以计算&#xff0c;但字符被过滤了&#xff0c;打开源码看看 源码里提示&#xff0c;有waf,并且发现了一个新页面 访问新页面 show_source&#xff08;&#xff09; show_source()函数用于将指定文件的源代码输出到浏览器或者写入到文件中。 show_s…

【日常总结】优雅升级Swagger 2 升至 3.0, 全局设置 content-type application/json

目录 一、场景 二、问题 三、解决方案 四、延伸 上一节&#xff1a;【日常总结】Swagger-ui 导入 showdoc &#xff08;优雅升级Swagger 2 升至 3.0&#xff09;-CSDN博客 一、场景 接上一节&#xff1a;在 Swagger3Config extends WebMvcConfigurationSupport&#xff0c…

好看的css样式案例网站

uiverse 网站地址&#xff1a;https://uiverse.io/all 比如说我们要这个案例的代码 点击get code就可以了 右侧有完整的示例代码。 svg波浪生成器 网站&#xff1a;https://getwaves.io/ 根据自己需求调节好之后点击这个下载按钮就可以了

【阅读记录】《联邦学习》杨强

第2章 隐私、安全及机器学习 2.3 威胁与安全模型 2.3.1 隐私威胁模型 对机器学习系统的攻击可能在任何阶段发生&#xff0c;包括数据发布、模型训练和模型推理。 模型训练阶段&#xff1a;重构攻击&#xff08;避免使用寻存储显式特征值的模型&#xff0c;SVM KNN等&…

Java之面向对象《ATM自动取款机》

一、前言&#xff1a; 关于上次我写的博客文章中"Java之《ATM自动取款机》(面向对象)"&#xff0c;里面还不够完善&#xff0c;因为在各个服务功能相互跳转时&#xff0c;会出现混乱问题。这次我对其进行了修改和改进&#xff0c;若还有其它在大家测试时出现的bug请及…

Java根据指定端口关闭进程(端口占用 Web server failed to start. Port 6061 was already in use.)

查询指定端口的pid netstat -ano | findstr 6063杀掉进程 taskkill /f /pid 36804

vue跨域请求

vue.config.js devServer:{proxy:"http://localhost:8081"}main.js中定义 import axios from "axios"; axios&#xff0c; App.vue中引用 <template><Article/> </template><script> import Article from "/components/Ar…

事件机制?

事件流&#xff1a; 描述的页面接收事件的顺序。先进行事件捕获 到达目标元素 在进行事件冒泡 分为事件捕获和事件冒泡 事件冒泡&#xff1a;从具体元素从内向外依次触发事件 从下面这个小案例可以清楚了解什么是事件冒泡 <!DOCTYPE html> <html lang"en"…

BUUCTF 我吃三明治 1

BUUCTF:https://buuoj.cn/challenges 题目描述&#xff1a; 得到的 flag 请包上 flag{} 提交。 密文&#xff1a; 下载附件&#xff0c;解压得到一张.jpg图片。 解题思路&#xff1a; 1、使用010 Editor打开.jpg文件&#xff0c;在.jpg文件尾的位置发现了第二张图片&#x…