HCIE TS
本拓扑图的 Internet 网络部分包含两个 ISP 的网络, AS 为 100 和 200,并通过两条链路互通, 两个 ISP 连接了 5 个企业网络,其中部分企业网络通过 MPLS-VPN 连接,设备之间的互联链 路包含以太网链路、 PPP 链路,网络设备的接口类型包含以太网接口、串行接口、 POS 接口。
在 Internet 网络,运行的网络协议包含 ISIS、OSPF、LDP、MP-BGP、Multicast,运行 IPpv4 和 IPv6 双栈。在企业网络中,设计了交换网络,用于备份 MPLS VPN 的低速专线。
IPv4 地址规划说明 注意:X 和 Y 为路由器号码,XY 为组合出来的最小值(比如 R7 和 R21 的互联链路,XY 为 217);如果 XY 对于 255,将作适当的变化(比如 R14 和 R16 的互联链路,XY 改为 146), 具体情况见实际设备配置。
AS100,互联地址为 100.1.XY.XorY/24,每个网络设备 loopback 地址为 100.1.1.x/32 AS200,互联地址为 200.1.XY.XorY/24,每个网络设备 loopback 地址为 200.1.1.x/32
AS100 与 AS200 的互联地址分别为: R2-R4 为 200.100.24.x/24; R2与 R5为 200.100.25.x/24
完整预配说明:
AS100 IGP 部分: IPv4 IGP ,运行的是 OSPFv2 , R1/2/3/6/7/8/13 属于 OSPF 区域 0, R7/21/22/12 运行在 OSPF 区域 1 中。 IPv6 IGP,运行的是 OSPFv3,全部设备运行在 OSPFv3 区域 0 中 ;
BGP 部分: R7 是 BGP 路由反射器,客户端是 R1/2/3/6/8/21/22,通过 Loopback 0 建立 IBGP 邻居关系。
R2 将 OSPF 路由引入到 BGP 中 R2 和 R7 同时建立了 IPv6 IBGP 邻居关系,并且宣告了 Loopback 1 的地址
组播部分: AS100 中的所有设备启用组播,组播协议为 PIM SM ,RP 是 R7 的地址; AS100 中采用 BSR 的形式,让组播路由器动态的学习 RP 信息 AS100 中 R22 设备连接了组播源服务器。
VPNv4 部分: R7 作为 MP-BGP 的路由反射器,R1/2/6/13 建立 VPNv4 IBGP 邻居关系,是客户端。 R1 是 Site 1 的 PE 设备; R6 是 Site 2 的 PE 设备; R13 是 Site 3 的 PE 设备; Site 1 和 Site 4 是属于同一个 VPN 客户的不同站点,站点之间的路由全部互通; Site 2 和 Site 3 是属于同一个 VPN 客户的不同站点,站点之间的路由全部互通; 不同的 VPN 客户的站点之间是无法互通的。
AS200 IGP 部分: IPv4 IGP 运行的是 ISIS 200,所属于的区域是 47.01XX.0000.0000.00XX.00 ,例如 R4 的 NET 地址为 47.0104.0000.0000.0004.00 IPv6 IGP ,运行的也是 IPv6 的 ISIS
BGP 部分: AS200 中, R9 是 IPv4 的 BGP 反射器, R4/R5/R23 是客户端,并且使用 Loopback0 建立 BGP 邻居关系。 R4/R5 将 ISIS 路由引入到 BGP 协议中,
AS200 中,R9 也与 R4/R5 建立了 IPv6 的邻居关系,并且他们使用的是 Loopback 1 建立邻 居,同时 R9 依然是他们的 反射器。
组播部分: AS200 中,全部运行组播,启用 PIM SM ,R9 是 AS200 的 RP 。并且在 AS200 中采用静 态 AP 的方式。
VPNv4 部分: AS200 中,R9 作为 BGP VPNv4 的路由反射器,R4/R5/R23 也是 VPNv4 的客户端, R23 也是 Site4 的 PE 设备。
Site1
交换机均工作位 2 层,主机地址为 10.1.12.x/24 和 10.1.34.x/24 ,网关地址为 10.1.12.254 和 10.1.34.254 (SW1/SW2 运行 VRRP 后,虚拟出来的网关 IP 地址); SW1/2 通过 SVI 接口 与 R1 互联互通。
SW1 与 R1 之间通过 VLAN 100 互联,网段为 10.1.100.x/24,运行 BGP 协议,Site1 的 AS 为 300
SW2 与 R1 之间通过 VLAN 200 互联,网段为 10.1.200.x/24,运行 BGP 协议,
Client1 和 Clinet2 属于 VLAN12,Clinet3 和 Clinet4 属于 VLAN34;
SW1/2/3 都运行 MSTP 协议,并且建立两个 instance : Instance 1: vlan 12 ; SW1 是 instance 1 的根交换机、SW2 是备份根交换机;
Instance 2 : vlan 34 ;SW2 是 instance 2 的根交换机、SW1 是备份根交换机;
要求:
Client1/2 访问其他站点时,数据包经过 SW3-SW1 之间的 E0/0/21 接口;
Clinet3/4 访问其他站点时,数据包经过 SW3-SW2 之间的 E0/0/22 接口;
在 SW1/2 上,分别配置了 SVI,用于在 VLAN12/34 中运行 VRRP 协议;
虚拟网关为 .254 ; 且 Client 之间需要互通;
常见错点以及对应的解法:
站点 1: VLAN/trunk/access/MSTP/vrrp/Eth-trunk/bgp
- SW3 与 Client 互联的接口,放入到了错误的 vlan; dis port vlan (查询端口)
- SW3-SW1 之间的 trunk 链路没有允许 vlan 12/34
- SW3-SW2 之间的 trunk 链路没有允许 vlan12/34
- SW1 不是 instance 1 的根; SW2 不是 instance 2 的根;
- SW3 上连接 SW1/SW2 的接口配置了错误的 STP COST ;
- SW2 的 MSTP 中配置了错误的 instance ;
- SW1/2 连接 SW3 的接口没有允许 vlan12/34
- SW3 的 STP 模式配置错误
SW3:
Interface eth0/0/2
Port link-type access
Port default vlan 12
Quit
Interface eth0/0/21
Port link-type trunk
Port trunk allow-pass vlan all
Stp instance 1 cost 200000
Quit
Interface eth0/0/22
Port link-type trunk
Port trunk allow-pass vlan all
Stp instance 2 cost 200000
Quit
Stp mode mstp
SW1 :
Interface eth0/0/21
port trunk allow-pass vlan all
q
Stp instance 1 root primary
Stp instance 2 root secondary
SW2:
Interface eth0/0/22
Port trunk allow-pass vlan all
q
Stp instance 2 root primary
Stp instance 1 root secondary
Stp region-configuration
Undo instance 1
Undo instance 2
Instance 1 vlan 12
Instance 2 vlan 34
Active region-configuration
Eth-trunk : 通过 LACP 形成捆绑,负载均衡模式为 src-des-ip
错点: - 三个接口没有加入到 eth-trunk 中
- Eth-trunk 接口下的负载均衡模式不对
- 两边的形成的 Eth-trunk 的方式不同(一边静态,一边是 LACP)
- 接口有默认配置 undo port hybrid vlan 1,如果有,需要删除
解法:
SW1/SW2:
Undo interface eth-trunk 12 (删除时,必须确保 eth-trunk 12 中已经没有了成员接口)
Interface eth-trunk 12
Mode lacp-static
Load-balance src-dst-ip
Trunkport eth0/0/18
Trunkport eth0/0/19
Trunkport eth0/0/20
Port link-type trunk
Port trunk allow-pass vlan all
Quit
验证:
VRRP:
-VLAN 12 属于 vrrp 1 ,SW1是主网关,SW2 是备份网关;
*确保在 SW1/2 上的 vlanif 12 是互通的;
*确保在 SW1/2 上的 vlanif 12 的 VRRP 配置,都是相同的,除了优先级;
*确保在 SW1 上的 vlanif 12 的 VRRP 优先级大于 SW2 的 vlanif 12 的 vrrp 优先级;
-VLAN 34 属于 vrrp 2 ,SW2是主网关,SW1 是备份网关;
*确保在 SW1/2 上的 vlanif 34 是互通的;
*确保在 SW1/2 上的 vlanif 34 的 VRRP 配置,都是相同的,除了优先级;
*确保在 SW2 上的 vlanif 34 的 VRRP 优先级大于 SW1 的 vlanif 34 的 vrrp 优先级;
BGP 选路:
R1 访问 vlan12 时,下一跳 IP 为 SW1;
R1 访问 vlan34 时,下一跳 IP 为 SW2;
错点:
- R1 的接口没有加入到 vpn-instance 中
- R1 上面与 SW1/SW2 建立 BGP 邻居时 as 号写错误
- SW1 上面,错误的将增加 as-path 的策略用在了 12.0 网段上,应该删除;
- SW2 上面,忘记宣告了 12.0,并且添加上;并添加 MED 的属性;
- SW2 上面,错误的对 34.0 添加了 MED 属性,应该删除掉;
解法:
SW1 :
Bgp 300
Router-id 10.1.200.200
Undo network 10.1.12.0 255.255.255.0 route-policy as
Network 10.1.12.0 255.255.255.0
Network 10.1.34.0 255.255.255.0 route-policy MED
SW2:
Bgp 300
Undo network 10.1.34.0 255.255.255.0 route-policy MED
Network 10.1.34.0 255.255.255.0
Network 10.1.12.0 255.255.255.0 route-policy MED
R1:
Interface gi2/0/1
Ip binding vpn-instance 1
Ip address 10.1.100.1 24
Quit
Interface gi2/0/2
Ip binding vpn-instance 1
Ip address 10.1.200.1 24
Quit
Bgp 100
Ipv4-family vpn-instance 1
Peer 10.1.100.100 as-number 300
Peer 10.1.200.200 as-number 300
Import-route direct
站点1:(vlan/trunk/access/mstp/Eth-trunk/vrrp/bgp)
@VLAN
-确保SW1/2/3都存在 vlan 12 和 vlan 34
@trunk
-确保SW1/2/3之间的链路都是trunk
-确保SW1/2/3之间的trunk都允许 vlan 12/34
@access
-SW3与PC1/2/3/4连接的接口,都必须放入到正确的vlan;
@MSTP
-确保SW1/2/3的MSTP基本配置都是相同的;
*STP模式,必须是MSTP
*STP的域名必须相同-HCIE
*STP的实例数量以及与vlan的对应关系,必须相同;
instance 1 vlan 12
instance 2 vlan 34
*修改MSTP的配置以后,必须记得“active region-configuration”
-确保 SW1/2 分别是 instance 1/2 的根交换机,
SW1:
stp instance 1 root primary
SW2:
stp instance 2 root primary
-确保 SW1/2 分别是 instance 2/1 的备份根交换机,
SW1:
stp instance 2 root secondary
SW2:
stp instance 1 root secondary
-确保在 instance 1 中,SW3 连接 SW1 是根接口,连接 SW2 是 “非指定接口”
确保在 instance 2 中,SW3 连接 SW2 是根接口,连接 SW1 是 “非指定接口”
SW3:
interface eth0/0/21 ->连接 SW1
undo stp instance 1 cost
interface eth0/0/22 ->连接 SW2
undo stp instance 2 cost
@Eth-trunk
-SW1/2之间的 eth0/0/18 – eth0/0/20 通过 LACP 形成链路捆绑;
-eth-trunk 的负载均衡模式必须是 "源-目-IP”
-必须将 eth-trunk 设置为 trunk,并且允许 vlan 12和 vlan34
-同时确保每个成员接口下的默认配置都是 port hybrid vlan 1 ;
*在配置此处时,可以先将原来的 eth-trunk下的成员接口删除掉;
*然后再将原来的 eth-trunk 接口删除;
*再次重新建立一个 eth-trunk 12 ;
@VRRP :
-VLAN 12 属于 vrrp 1 ,SW1是主网关,SW2 是备份网关;
*确保在 SW1/2 上的 vlanif 12 是互通的;
*确保在 SW1/2 上的 vlanif 12 的 VRRP 配置,都是相同的,除了优先级;
*确保在 SW1 上的 vlanif 12 的 VRRP 优先级大于 SW2 的 vlanif 12 的 vrrp 优先级;
-VLAN 34 属于 vrrp 2 ,SW2是主网关,SW1 是备份网关;
*确保在 SW1/2 上的 vlanif 34 是互通的;
*确保在 SW1/2 上的 vlanif 34 的 VRRP 配置,都是相同的,除了优先级;
*确保在 SW2 上的 vlanif 34 的 VRRP 优先级大于 SW1 的 vlanif 34 的 vrrp 优先级;
@BGP :
-站点1属于 as 300 ;
-SW1/2 与 R1 直连链路建立 EBGP ;
-R1去往VLAN12 走 SW1 ;
-R1去往VLAN34 走 SW2 ;
-SW1与R1之间是 VLAN 100 ;SW1使用 vlanif 100,接口是access,属于 vlan 100 ;
-SW2与R1之间是 VLAN 200 ;SW2使用 vlanif 200,接口是access,属于 vlan 200 ;
-R1连接SW1/2的接口,属于 vpn-instance 1 ;
-R1上面的 loopback 1 也属于 vpn-instance 1 ;
*SW1/2确保与R1建立了邻居;
*SW1/2确保宣告了 VLAN 12 和 VLAN 34 的网段,并且配置了正确的策略;
&在SW1上,是对 vlan 34 网段,添加 MED 策略;
&在SW2上,是对 vlan 12 网段,添加 MED 策略;
*R1在 vpn-instance 下面与 SW1/2 建立正确的邻居关系;
*R1在 vpn-instance 下面宣告自己的直连网段(loopback 1 )
Site4
每个网络设备 Loopback 地址为 10.4.1.x/32,SW7 所在网段的互联地址为 10.4.128.x/24 SW8 所在网段的互联地址为 10.4.129.0/24,其他链路的互联地址为 10.4.XY.XorY/24
Site4:
全站点运行 ISIS 100 , NET 地址为 49.0004.0000.0000.00XX , 例如 R24 的为
49.0004.0000.0000.0024.00 站点的设备的 ISIS 都启用接口认证,认证方式为 MD5,密码为 HCIE,并且只有 L2 的邻居 关系(进程修改路由器类型) 通过在SW8上面设置 Mux-VLAN 技术,使得 R24/26 存在邻居关系, R25/26存在邻居关系, R24/25 之间不存在邻居关系
站点 4:
Mux-vlan :
R26 与 R24/25 建立 ISIS 邻居,并且是 L2 邻居关系,同时启用 ISIS 的接口认证。
错点:
-
R24 的接口认证类型和密码不对
-
R24/25 所在的 vlan 的类型不对,两个接口所在的 vlan 应该是不通的【Mux-vlan 问题】
-
R26 应该配置为 DIS
-
R26 的 ISIS 类型错误的设置为了 L1
解法: -
确定 mux-vlan 中主和辅 vlan 的关系(如果只有 1 个 vlan,则 vlan 必须是隔离 vlan;如 果 2 个,则 vlan 必须是组 vlan), SW8 上连接 R24/25/26 的接口必须启用 mux-vlan 功 能(dis ip interface brief)
SW8:[查看 mux-vlan 的命令:display mux-vlan ]
Interface gi0/0/1
Port link-access
Port default vlan 30
Port mux-vlan enable
Quit
Interface gi0/0/2
Port link-access
Port default vlan 50
Port mux-vlan enable
Quit
Interface gi0/0/3
Port link-access
Port default vlan 100
Port mux-vlan enable
Quit
注意:如果考试的时候只有一个 50 那么我们要把它做成隔离vlan
Interface gi0/0/1
Port link-access
Port default vlan 50
Port mux-vlan enable
Quit
Interface gi0/0/2
Port link-access
Port default vlan 50
Port mux-vlan enable
Quit
Interface gi0/0/3
Port link-access
Port default vlan 100
Port mux-vlan enable
Quit
vlan 100
subordinate separate 50 -
R26 的 IS 类型修改为 L2 (dis isis brief)
Isis 100
Is-level level-2
Qui -
修改 R24/25/26 之间的认证类型和认证密码为:MD5/hcie
Interface gi0/0/0
Isis authentication-mode md5 cipher hcie -
为了后续能够正常学习和计算路由,必须将 R26 设置为 DIS
Interface gi0/0/0
Isis dis-priority 127 level-2
站点4:(Mux-vlan / ISIS)
-
R26属于主 vlan ; R24/25属于辅助 VLAN ;
*如果仅仅存在一个辅助 vlan,那么辅助vlan应该是“隔离vlan";
*如果存在 2 个辅助 vlan,那么辅助vlan应该是“组vlan"; -
R24/25/26连接到交换机上的接口,必须是:
* access
* 加入到了正确的 vlan
* 必须启用 port mux-vlan enable -
R26 与 R24 建立 L2 邻居;
-
R26 与 R25 建立 L2 邻居;
-
R26 是 L2 的 DIS ;
-
R26 分别与 R24 和 R25 ,使用 MD5 认证,并且密码是HCIE ;
-
R24/25/26,都是属于同一个 ISIS 区域 ,并且路由器类型都是 L2 ;
- is-level level-2
- NET 地址的区域号相同, system-id不能相同;
- 确保接口的认证类型是MED ,密码是 cipher HCIE ;
MPLS-VPN (站点 1 — 站点 4)
站点 1 与站点 4 之间,能够正常通信。 【考察的域间模型是:A 或者 B】
错点:
- R1 配置了错误的 RT,正常应该是 200:100
- R2 没有全局开启 MPLS(主要查看与 R4/R5 互联的接口)
- R2/4/5 的接口没有启用 MPLS(LDP 没有必要启动)
- R2 和 R9 的 LSR-ID 配置错误了应该是 Loopback0 的地址,不是 Loopback1 的 {如果 R9 的是 Loopback 1,也不能进行更改,而是将 Loopback1 宣告进入到 ISIS200}
- R9 的 Loopback1 的有可能没有宣告进入到 IGP 中
- R23 没有将 ISIS 路由引入到 BGP 协议中;
- R23上面将学习过来的 VPNv4路由加入到 vpn-instance 的时候,配置入向过滤策略 ACL 2000
- R1 的 BGP 中,没有在 vpn-instance 中宣告本地的直连网段;
解法:
R1: Bgp 100
Ipv4-family vpn-instance 1
Import-route diret // 导致产生 3 个直连网段,引入到 BGP 中;
Ip vpn-instance 1
Undo vpn-target 200:10
Vpn-target 200:100 // 修改的与 R23 上的 vpn-target 数值相同
R2:
Interface g2/0/0
Mpls
Quit
Interface pos5/0/0
Mpls
Quit
R9/R4/R5: (与 R9 的互联接口启用 MPLS 和 LDP)
Interface gix/x/x
Mpls
Mpls ldp
Quit
R9:
Interface loopback 1
Isis enable 200 // 如果该接口配置为了 LSR-ID ,则该接口必须宣告进入到 ISIS 200
R23:
Acl 2000
Rule 1 permit source 10.1.12.0 0
Rule 10 permit source 10.1.34.0 0
Rule 20 permit source 10.1.100.0 0
Rule 30 permit source 10.1.200.0 0
Rule 40 permit source 10.1.1.1 0
Quit
Route-policy import permit node 10
If-match acl 2000
q
Ip vpn-instance 1
Import route-policy import
q
BGP 200
Ipv4-family vpn-instance 1
Import-route isis 100
isis 100
import-route bgp
q
站点间 MPLS-VPN(Option B)
@CE-PE之间
@在PE上创建正确的 vpn-instance,RD/RT ,都是 200:100;
@在PE上都要将 loopback 1 加入到 vpn-instance 1 ;
@CE-PE之间,通过BGP/ISIS 建立 邻居关系;
@在PE上,将客户端的路由引入到BGP,并且将 BGP 的路由引入到 PE-CE 之间的协议
(主要是指在:R23上进行 ISIS 和 BGP 的互相导入)
@AS内部:
-AS 100
* R7 是 R1/R2/R6/R13 的 VPNv4 的 反射器;
* R7与R2(ASBR)必须关闭 policy vpn-target;
* AS内的各设备之间都要启用MPLS和LDP;
* 确定每个设备的 lsr-id 的接口IP地址必须启用了 OSPF协议;
-AS 200
* R9 是 R4/R5/R23 的 VPNv4 的 反射器;
* R9与R4/5(ASBR)必须关闭 policy vpn-target;
* AS内的各设备之间都要启用MPLS和LDP;
* 确定每个设备的 lsr-id 的接口IP地址必须启用了 ISIS 协议;
配置 域间 MPLS-VPN 的流程:
-
CE 端与 PE 端正常建立邻居关系 (BGP/ISIS)
-
PE 端正常配置 vpn-instance ,能够接收 CE 端来的路由,正确配置 vpn-target
-
PE 与 RR 之间建立 MP-iBGP 邻居关系
-
RR 设备上,关闭 policy vpn-target ,否则无法接收 PE 端发送来的 VPN 路由
-
RR 设备上,要将不同的 PE/ASBR 设备配置为“反射器客户端”
如果题目要求“站点 1 和站点 4 之间 使用的 OptionB 模型”,那么: -
确保 PE-R2/4/5 关闭了 policy vpn-target 策略
-
确保 PE-R2 与 PE-R4/R5 建立了正常的 MP-eBGP 邻居关系
-
确保 PE-R4/R5 与 PE-R2 建立了正常的 MP-eBGP 邻居关系, 并且都关闭了 vpn
target 策略 -
确保 PE-R4/5 与 RR-R9 建立了正常的 MP-iBGP 邻居关系
如果题目要求“站点 1 和站点 4 之间 使用的 OptionA 模型”,那么: -
确保 PE-R2 创建正确的 vpn-instance 1,要与 PE-R1 上完全相同
-
确保 PE-R2 与 PE-R4/R5 通过 vpn-instance 1 建立了 eBGP 邻居关系
-
确保 PE-R4/R5 创建正确的 vpn-instance 1,要与 PE-R23 上完全相同
-
确保 PE-R4/R5 与 PE-R2 通过 vpn-instance 1 建立了 eBGP 邻居关系;
-
确保 PE-R4/5 与 RR-R9 建立了正常的 MP-iBGP 邻居关系
站点间 MPLS-VPN
@CE-PE之间
@在PE上创建正确的 vpn-instance,RD/RT ,都是 200:100;
@在PE上都要将 loopback 1 加入到 vpn-instance 1 ;
@CE-PE之间,通过BGP/ISIS 建立 邻居关系;
@在PE上,将客户端的路由引入到BGP,并且将 BGP 的路由引入到 PE-CE 之间的协议
(主要是指在:R23上进行 ISIS 和 BGP 的互相导入)
@AS内部:
-AS 100
* R7 是 R1/R2/R6/R13 的 VPNv4 的 反射器;
* R7与R2(ASBR)必须关闭 policy vpn-target;
* AS内的各设备之间都要启用MPLS和LDP;
* 确定每个设备的 lsr-id 的接口IP地址必须启用了 OSPF协议;-AS 200
* R9 是 R4/R5/R23 的 VPNv4 的 反射器;
* R9与R4/5(ASBR)必须关闭 policy vpn-target;
* AS内的各设备之间都要启用MPLS和LDP;
* 确定每个设备的 lsr-id 的接口IP地址必须启用了 ISIS 协议;@AS之间:{Option A}
-确保ASBR之间的 MP-eBGP邻居关系建立;
-确保ASBR之间的 互联接口,启用了 MPLS (没有必要启用LDP)如果,需要在 AS 100 和 AS 200 之间,使用 Option A 方案,
那么,需要注意的点与 Option B 的区别,仅仅是 “ASBR”之间:
1.在ASBR上需要创建 vpn-instance 1 ,RD/RT 应该与 R1/23 ,完全相同;
2.ASBR之间的互联接口,必须绑定进入到 vpn-instance 1 ;
3.ASBR之间建立的是普通的IPv4 的 eBGP 邻居关系;
4.ASBR之间互联接口,不需要再启用 MPLS 和 LDP (中间传的是普通的IPv4数据包,不是标签包)
Site2,
每个网络设备 Loopback 地址为 10.2.1.x/32,互联地址为 10.2.128.x/24,SW4 互联的交换 网络的地址为 10.2.129.x/24
R10/11 与 R6 之间运行 OSPF 协议,并且网络类型是 Broadcast,进程为 110,属于区域 1 OSPF 区域 1 配置了区域认证,并且认证是 MD5,且密码是 hcie 并且, Site2 和 Site3 之间的备份链路也启用了 OSPFv2 ,并且宣告进入了区域 1 ,互联链路是 PPP 协议的,并且启用了 PPP 认证,但是要求:默认情况下两个站点之间的互通流量是 要 经过 AS 100 的,不能直接走后门的备份链路。
R10/11 之间还运行了 OSPFv3,进程号为 1;同时 Site2 与 Site3 之间的备份链路也启用了 OSPFv3
R10/11 之间还配置了 VRRP v6,虚拟地址为:2002:10:2:129::254,R10 为 master
R10/11 之间同时运行了 IPv4 的 VRRP 协议, Vrrp 1 的虚拟网关 IP 地址为 10.2.129.254,R10 是主网关,R11 是备份网关; Vrrp 2 的虚拟网关 IP 地址为 10.2.129.253,R11 是主网关,R10 是备份网关;
R10/11 分别和 R16 之间存在 BFD 会话,并且 BFD 与 VRRP 联动。
R10/11 配置了 DHCP 服务器, 要求 PC7 获得指定的 IP 地址 100, 要求 PC8 获得指定的 IP 地址 101,
站点 2:
VRRP 配置 R10/11 的 VRRP ,然后得出的结果如下:
常见错点:
- VRRP 认证失败
- VRRP 的虚拟 IP 地址写错
- VRRP 跟踪的 BFD 会话配置错误
- 检查 BFD 配置是否正确,主要查看源和目标 IP 地址是否正确
- 检查主网关上要配置抢占延迟为 1s
【注意】
删除 BFD 之后,之前在 VRRP 中的跟踪命令也会被随之删除;
所以, 应该先检查/配置/删除/修改 BFD 命令, 然后再去 VRRP 下面进行调用;
正确配置 VRRP :
R10:
Interface gi0/0/0
Vrrp vrid 1 virtual-ip 10.2.129.254
Vrrp vrid 1 priority 200
Vrrp vrid 1 preempt-mode timer delay 1
Vrrp vrid 1 track bfd-session session-name 1 reduced 120
Vrrp vrid 1 authentication-mode md5 &(&(&(&
Vrrp vrid 2 virtual-ip 10.2.129.253
Vrrp vrid 2 track bfd-session session 2 increased 120
Vrrp vrid 2 authentication-mode md5 ^%%%%&(**HJKHLJK
Bfd 1 bind peer-ip 10.2.128.2 source-ip 10.2.128.1 auto
Commit
Bfd 2 bind peer-ip 10.2.129.11 source 10.2.129.10 auto
Commit
R11:
Interface gi0/0/0
Vrrp vrid 2 virtual-ip 10.2.129.253
Vrrp vrid 2 priority 200
Vrrp vrid 2 preempt-mode timer delay 1
Vrrp vrid 2 track bfd-session session-name 1 reduced 120
Vrrp vrid 2 authentication-mode md5 &(&(&(&
Vrrp vrid 1 virtual-ip 10.2.129.254
Vrrp vrid 1 track bfd-session session 2 increased 120
Vrrp vrid 1 authentication-mode md5 ^%%%%&(**HJKHLJK
Bfd 1 bind peer-ip 10.2.128.6 source-ip 10.2.128.5 auto
Commit
Bfd 2 bind peer-ipp 10.2.129.10 source 10.2.129.11 auto
Commit
R16 的 BFD 配置:
Bfd 1 bind peer-ip 10.2.128.1 source 10.2.128.2 auto
Commit
Bfd 2 bind peer-ip 10.2.128.5 source 10.2.128.6 auto
Commit
配置 VRRP 的基本原则:
主/备网关上,关于 VRRP 的配置命令,只有优先级不同,其他全都相同 比如:
Vrrid 必须相同
Virtual-ip 必须相同
Vrrp 认证方式和密码必须相同
总结: 主网关的 VRRP 命令是 5 条; 备份网关的 VRRP 命令是 3 条;
关于 VRRP v6 的需求和配置:
R10 (主)
Interface gi0/0/0
Ipv6 enable
Ipv6 address 2002:10:2:129::10/64
Vrrp6 vrid 1 virtual-ip FE80::1 link-local
Vrrp6 vrid 1 virtual-ip 2002:10:2:129::254
Vrrp6 vrid 1 priority 120
Vrrp6 vrid 1 preempt-mode timer delay 1
R11 (备)
Interface gi0/0/0
Ipv6 enable
Ipv6 address 2002:10:2:129::11/64
Vrrp6 vrid 1 virtual-ip FE80::1 link-local
Vrrp6 vrid 1 virtual-ip 2002:10:2:129::254
配置上了上述的命令后,一定要去检查 IPv6 客户端 – Client 14 , IPv6 的网关 IP 地址必须是上面的虚拟网关 IP 地址;
DHCP(站点 2)
R10/11 是互为备份的两个 DHCP 服务器,要求 Client7 和 8 分别获得指定的 IP 地址 10.2.129.100 和 10.2.129.101; 现在 Client 8 无法 获得该地址。
错误点:
- R10 上面的地址池配置错误,网关错误的配置为了 .110 , 网段错误为 10.2.129.96,掩 码错误的配置为 255.255.255.240,并且需要做地址排除
- R10 和 R11 上静态绑定的 Client7/8 的 MAC 地址写错了
- R11 的接口上没有配置 DHCP select 模式,应该是 global
- 没有将 Client7/8 配置为 DHCP 客户端
解法:
R10:
Ip pool HCIE
Gateway-list 10.2.129.254
Network 10.2.129.0 mask 255.255.255.0
excluded-ip-address 10.2.129.102 10.2.129.200
Static-bind ip-address 10.2.129.100 mac-address 5489-9833-3389
Static-bind ip-address 10.2.129.101 mac-address 5489-9812-4E45
Dns-list 8.8.8.8
Domain-name huawi.com
R11:
Ip pool HCIE1
Gateway-list 10.2.129.253
Network 10.2.129.0 mask 255.255.255.0
excluded-ip-address 10.2.129.1 10.2.129.99
Static-bind ip-address 10.2.129.100 mac-address {Client7}
Static-binid ip-address 10.2.129.101 mac-address {Clinet8}
Dns-list 8.8.8.8
Domain-name huawi.com
q
int g0/0/0
dhcp select global
reset ip pool name HCIE all -> 将之前地址池 HCIE 中已经分配出去的地址全部收回;
站点2(OSPFv2/vrrp/bfd/dhcp)
@OSPFv2
-确保设备都属于区域 1 ,邻居建立,接口网络类型是广播;
-每个设备进行区域认证,md5 ,密码是 hcie
-确保每个设备的接口在 network 时,都写对了;
-如果检查上面的错误点后,依然无法解决,则可以使用命令:
display ospf error ,来检查其他的错误原因;
@vrrp
-R10是vrrp vrid 1 的主网关,配置了抢占延迟是 1s ;R11 是 备份网关;
-R11是vrrp vrid 2 的主网关,配置了抢占延迟是 1s ;R10 是 备份网关;
-R10的 vrrp 1 跟踪 BFD 1 (用于监控R10与R116之间的链路),降低优先级120
R11的 vrrp 1 跟踪 BFD 2 (用于监控R11与R10之间的链路), 增加优先级120
-R11的 vrrp 2 跟踪 BFD 1 (用于监控R11与R116之间的链路),降低优先级120
R10的 vrrp 2 跟踪 BFD 2 (用于监控R10与R11之间的链路), 增加优先级120
-VRRP 配置了 MD5 认证,两边的认证模式和密码,必须相同;
@bfd
-BFD需要在监控的链路两端的设备上都要配置;
-配置 BFD :
*全局开启BFD
*建立 BFD 会话时,最后一定要记得添加“auto”;
*建立 BFD 会话时,一定要记得使用 “commit”,否则 BFD 会话不会成功;
-验证 BFD :
display bfd session all ->查看设备上的所有的 BFD 会话;
@DHCP
-确保DHCP客户端(client7/8)都已经配置好
-确保DHCP服务器配置正确
*全局开启 DHCP 服务;
*正确配置IP地址池(HCIE)
&网段: network 10.2.129.0 mask 24
&网关,必须是虚拟的网关IP地址
%R10是 vrid 1 的主网关,所以配置的地址池中的网关为: 10.2.129.254 ;
%R12是 vrid 2 的主网关,所以配置的地址池中的网关为: 10.2.129.253 ;
&配置地址池中的地址网段的排除(确保R10和R11上的可分配的IP地址空间不重叠)
&静态绑定MAC地址,分配固定的IP地址 {确保clinet7/8的MAC地址以及格式正确}
-确保R10/11连接交换机的接口,配置 DHCP 选择模式为 dhcp select global ;
-如果删除和修改 IP pool 时,不让修改,可以使用命令重置 IP 地址池,然后再操作:
<R10>reset ip pool name HCIE all -> 将之前地址池 HCIE 中已经分配出去的地址全部收回;
MPLS-VPN(站 2 — 站点 3)
AS100 正常的时候,站点之间通信通过 AS;AS100 故障时,站点之间通过 sham-link
错点:
- R7 没有将 R6 和 R13 设置为自己的 VPNv4 客户端
- R6 和 R13 之间的 sham-link 建立不成功,有可能是建立 sham-link 的对端地址写错了
- R6 和 R13 建立 sham-link 的回环口 2 没有宣告,或者宣告进错误的协议
- Sham-link 建立时,所配置的区域错误
- 后门链路的 cost 太小,导致 AS100 正常的时候,站点之间互通依然走后门链路
- 站点 2 和站点 3 内部的 OSPF 网络,必须运行完好 7. 后门的备份链路(PPP)有可能建立不成功
R7:
Bgp 100
Ipv4-family vpnv4
Peer 100.1.1.6 reflect-client
Peer 100.1.1.13 reflect-client
Quit
R6:
Interface loopback 2
ip binding vpn-instance 2
ip address 100.1.136.6 32
quit
bgp 100
ipv4-family vpn-instance 2
network 100.1.136.6 255.255.255.255
quit
ospf 110
area 1
sham-link 100.1.136.6 100.1.136.13
quit
R13:
Interface loopback 2
ip binding vpn-instance 2
ip address 100.1.136.13 32
quit
bgp 100
ipv4-family vpn-instance 2
network 100.1.136.13 255.255.255.255
quit
ospf 110
area 1
sham-link 100.1.136.13 100.1.136.6
quit
R11:
Interface ser3/0/1 PPP 认证必须成功,OSPF cost 改大,必须大于 64
ospf cost 64
q
R20:
Interface ser3/0/0 PPP 认证必须成功,OSPF cost 改大,必须大于 64
ospf cost 64
q
站点2/3之间 (域内 MPLS-VPN / OSPF 伪连接)
@域内 MPLS-VPN
-CE-PE之间,运行 OSPF 110 ,属于区域 1 ,都配置区域认证,MD5,密码hcie ;
-PE上面配置正确的vpn-instance 2 : rd/vpn-target,都是 100:200
-PE上的 Loopback 1 都属于 vpn-instance 2 的,要正确加入;
-PE-RR之间,确保建立 MP-iBGP邻居关系,并且在 R7 上,将 PE 配置为“反射器客户端”;
-PE上进行 OSPF 110 与 BGP 100 的互相导入;此时,站点2与站点3之间就可以互通;
@OSPF 伪连接
-在 R11 和 R20 之间,通过 PPP 链路建立 OSPF 区域 1 的邻接关系;
*确保 R11 和 R20 之间的 PPP 认证成功 (单向/双向认证)
*确保 R11 和 R20 的 OSPF 基本配置没问题 (比如 network 要对,区域认证要对)
-在 R6 和 R13 上面,使用专门的 Loopback 接口,建立伪连接;
*加入 vpn-instance 2 ;
*必须 宣告进入到 BGP ,宣告方式是network 和 import-route ,都可以;不能宣告进OSPF 110
*在OSPF 110 下的区域 1 中,配置 sham-link :
ospf 110 (R6)
area 1
sham-link 100.1.136.6 100.1.136.13
quit
ospf 110 (R13)
area 1
sham-link 100.1.136.13 100.1.136.6
quit
*在 R11 和 R20 之间的串行接口上修改 OSPF cost :
interface serial 3/0/x
ospf cost 64
quit
Site3:
每个网络设备 Loopback 地址为 10.3.1.x/32,互联地址为 10.3.128.x/24,SW5 互联的交换 网络的地址为 10.3.129.x/24,其他链路的互联地址为 10.3.XY.XorY/24
双 CE/PE,并且运行的是 OSPFv2 协议,属于区域 1 ,启用了区域认证,认证类型为 MD5 密码为 HCIE,并且备份的后面链路也是属于区域 1 的。
R18 能够远程登录到 R16,R16 的认证方式为 AAA,且是本地用户认证; R16 有两个用户:admin 级别为 15 , guest 级别为 1
R18 能够远程登录到 R17,R17 的认证方式为 password,所有登录上去的用户级别都是 0
R20/18 都连接了 IPv6 客户端,通过在 R20/18 之间配置 GRE 隧道,运行 OSPFv3 区域 0 , 使得两个 IPv6 客户端能够通信。
远程登录-Telnet(站点 3)
R18 要能正常登录 R16 和 17,并且显示的结果和图片相同
错点:
- R16 的 VTY 认证错误的配置为了 password,应该修改为 aaa
- R16 上配置的用户,分配的权限级别是不对的,服务类型必须是 telnet,有可能错误的 配置为了 http
- 应该确保 R17 上面配置的用户的权限界别是 0
- R16 和 R17 的 vty 下面有可能配置了入向的 ACL,拒绝 R18 访问 (R18 的源 IP 地址其实 为 Loopback 0)
R16:
Aaa
Local-user admin password cipher hcie // 密码具体是多少,看需求或者直接问考官
Local-user admin privilege level 15
Local-user admin service-type telnet
Local-user guest password cipher hcie
Local-user guest privilege level 1
Local-user guest service-type telnet
User-interface vty 0 4
Authentication-mode aaa
Quit
R17:
User-interface vty 0 4
Authentication-mode password
Set authentication password cipher hcie
User privilege level 0
QoS (站点 3)
在站点 3 中,通过 R20 的 Loopback 0 和 R18 的 Loopback 0 模拟用户进行语音通信,使 用的语音编码是 G.711,每路语音的编码是 64kbps。目前两者之间的语音质量表示很好,需 要在 R19 上配置 QOS,以确保通信的服务质量
错点: - R19 接口方向调用错误
- R19 的 ACL 配置错误:协议错误、源地址和目标地址错误、端口号错误
- R19 的流量行为执行的标记操作,是错误的,应该是 ef
- R19 配置的 ACL 中,应该删除“拒绝所有”
- R19 上错误的配置队列为 WFQ,带宽也错了,成了 640kbps
解法:查询命令: dis traffic classifier user-defined
R19:
Acl name UDP advance
Rule 1 permit udp source 10.3.1.20 0 destination 10.3.1.18 0 destination-port range 16384 32767
Traffic classifier Match-UDP (流量分类)
If-match acl UDP
Quit
Traffic behavior Remark-EF (流量行为)
Remark dscp ef
Quit
Traffic policy Remark-EF
Classifier Math-UDP behavior Remark-EF
q
Interface gi0/0/0
Traffic-policy Remark-EF inbound
Quit
Traffic classifier Match-EF
If-match dscp ef
Quit
Traffic behavior CBQ
Queue llq bandwidth 64
Quit
Traffic policy CBQ
Classifier Math-EF behavior CBQ
Quit
Interface ser3/0/0
Traffic-policy CBQ outbound
Quit
OSPFv3(站点 3)
确保每个 IPv6 客户端能够互通。
错点:
- R18 和 R20 之间的 IPv6 tunnel 没有建立成功;认证 key 失败
- R18 和 R20 之间的 IPv6 tunnel 宣告的 OSPFv3 区域不同,应该是区域 0
- R18 将 tunnel 的接口配置为了“静默接口”,导致无法建立邻居
- R20 配置了 OSPFv3 的汇总路由,但是没有进行路由“通告”
- 2 个 IPv6 客户端的 IPv6 地址和网关 IP 地址,有可能是错误的
解法:
R18:
Ospfv3
undo silent-interface Tunnel0/0/100
quit
interface Tunnel0/0/100
undo ospfv3 1 area 0.0.0.1
ospfv3 1 area 0
q
R20:
Interface tunnel0/0/100
Gre key 123
Quit
Ospfv3
area 0
abr-summary 2002:10:3:209:: 64
AS100 中的 IGP 邻居关系有问题:R1/R6 之间,R7/R8 之间;
错点: - R7 的接口上修改了 OSPF 计时器
- R8 的 router-id 配置的语 R7 的重复了
- R8 没有宣告 R7-R8 之间的互联网段
- R1 的接口宣告进入错误的 OSPF 区域,应该是区域 0
- R8 没有启用正确的 OSPF 区域认证,应该是 MD5,key 1 ,密码是 hcie
解法:
R1:
Ospf 100
Area 0
Network 100.1.16.1 0.0.0.0
Quit
R8:
Ospf 100
router-id 100.1.1.8
Area 0
Authentication-mode md5 1 cipher hcie
Network 100.1.78.8 0.0.0.0
Quit
R7:
Ospf 100
Area 0
Authentication-mode md5 1 cipher hcie
Interface gi0/0/1
Ospf timer hello 10
AS100 的IGP :
-R1-R6之间没有OSPF邻居;
*OSPF认证
*R1/R6之间的链路所在的区域号必须得相同
-R7-R8之间没有OSPF邻居;
*network命令一定要写,并且写对;
*认证必须确保相同(区域0的MD5认证)
*router-id 一定不能相同
*R7/R8之间的 hello 计时器必须相同;
AS 之间互访(R12 与 R9)
错点:
- R7 和 12 没有办法建立 BGP 邻居关系
- R7 没有将 R12 配置为反射器客户端
- R12 的 loopback 0 没有宣告进入到 OSPF
- R2 上将 OSPF 引入到 BGP 时,配置的 ACL 没有放行 R12 的 Loopback 0
R7:
Bgp 100
Peer 100.1.1.12 as-number 100
Peer 100.1.1.12 connect-interface loopback 0
ipv4-family unicast
Peer 100.1.1.12 reflect-client
Quit
R12:
Bgp 100
Peer 100.1.1.7 as-number 100
Peer 100.1.1.7 connect-interface loopback 0
Quit
R2:
Acl 2000
Rule 40 permit source 100.1.1.12 0
AS100 的BGP :{R12与R9的 loopback 0 互通}
-R12应该与R7建立IPv4 BGP 邻居,并且是客户端;
-R2将 OSPF 100 导入进 BGP 时,在 route-policy 中应该 “允许” R2 的 loopback 0
Internet access (站点 5)
要求 Client11 可以通过 R27 访问 AS100/200
错点: - R27 没有配置去往 AS 200 的默认路由
- R27 的出接口上配置的 NAT 错误
- R27 配置的 NAT 中关联的 ACL 出现了错误 (acl 要允许CLIENT11)
- R9 上面没有将与 R27 互联的网段宣告进入到 ISIS 200 中
- R9 与 R27 之间的 PPP 认证出现了错误
R27:
ip route-static 0.0.0.0 0 200.1.209.9
int Serial 3/0/0
ppp chap password cipher hcie
nat outbound 2000 address-group 1
R9:
interface Serial3/0/0
ppp authentication-mode chap
isis enable 200
q
aaa
local-user hcie password cipher hcie
站点5的 Internet access {client 11 可以访问 AS100/200的地址}
-确保 Client 11 的 IP 地址和 网关IP地址,配置正确;
-确保 R27有去往 R9 的默认路由;
-确保 R27 和 R9之间的 PPP 建立成功 {认证必须成功,chap}
-确保 R27的出口配置正确的 NAT :
* NAT 地址池配置正确;
* NAT 命令中的 ACL ,必须允许 client 11 的 IP 地址;
-确保 R9 将 R9/27 之间的端口,启用 ISIS 200 ,确保 Client11 访问 AS100/200可以顺利返回;
OSPFv3(站点 3)
确保每个 IPv6 客户端能够互通。
错点: - R18 和 R20 之间的 IPv6 tunnel 没有建立成功;认证 key 失败
- R18 和 R20 之间的 IPv6 tunnel 宣告的 OSPFv3 区域不同,应该是区域 0
- R18 将 tunnel 的接口配置为了“静默接口”,导致无法建立邻居
- R20 配置了 OSPFv3 的汇总路由,但是没有进行路由“通告”
- 2 个 IPv6 客户端的 IPv6 地址和网关 IP 地址,有可能是错误
解法:
R18:
Ospfv3
undo silent-interface Tunnel0/0/100
q
interface Tunnel0/0/100
undo ospfv3 1 area 0.0.0.1
ospfv3 1 area 0
R20:
Interface tunnel0/0/100
Gre key 123
Quit
Ospfv3
area 0
undo abr-summary 2002:10:3:209:: 64
abr-summary 2002:10:3:209:: 64
AS 之间互访(IPv6) (如果是Option A可能就没有这个需求)
AS100 中的 R2 和 R7 的 Loopback 1 分别模仿一个 IPv6 节点, AS200 中的 R4/R5/R9 的 Loopback 1 也用来模拟一个 IPv6 节点; 要求他们之间可以进行通信,并且要求两个 AS 中的 IPv6 通信流量: 正常情况,优先使用的是 R2-R4 之间的链路, 一旦主链路出现了问题,才会选择使用 R2—R5 之间的链路 并且相关的配置,只能在 R2 上进行。
错点: - R9 没有将 R4/5 配置为自己的 IPv6 客户端
- R2 针对 R4 配置了错误的出向,修改本地优先级的错误,应该是入向操作;
- R2 针对 R5 配置了错误的入向,修改 as-path 的错误,应该是出向操作;
- R2 针对 R5 配置的出向策略中,错误的添加了 as 200,应该添加的是 as 100
- R7 没有将 Loopback 1 的接口宣告进入到 BGP 中
解法:
R2:
Route-policy LP permit node 1
Apply local-preference 200
Quit
Route-policy AS-Path permit node 1
Apply as-path 100 100 additive
Quit
Bgp 100
ipv6-family unicast
Peer 2002:200💯24::4 route-policy LP import // 从 R4 接收的路由,本地优先 级增大
Peer 2002:200💯25::5 route-policy AS-Path export // 向 R5 发送路由时,增加 aspath 长度,让 R9/R5 去往 AS100 时,选择 从 R4 来的 BGP 路由
R7:
Bgp 100
ipv6-family unicast
network 2002💯7:1::1 128
quit
R9:
Bgp 200
ipv6-family unicast
peer 2002:200:1:1::4 reflect-client
peer 2002:200:1:1::5 reflect-client
