网络系统建设与运维 课件 第三篇 深入篇

网络系统建设与运维在大中型园区网络WIFI覆盖（如校园网）方案设计中，一般都采用旁挂式三层组网，即将AC设备旁挂在核心网处，AP则分布在网络边缘，提供移动终端设备的无线接入服务。与二层组网不同，在三层组网方式中，AP无法通过广播直接找到AC（不在同一个网段），也就无法正常的建立capwap隧道，如何让AP主动发现AC呢？一般通过在DHCP地址池（针对AP配置的地址池）中配置Option选项来实现，即DHCP服务器在给AP分配IP地址时，一并将AC的地址告诉AP，从而AP可以通过单播的方式发现AC，建立capwap隧道。本项目介绍WLAN三层组网的工作原理和配置方法。深入篇项目1WLAN三层组网一、学习目标1、掌握WLAN三层组网的配置；2、掌握校园网级WIFI覆盖的网络设计与部署。二、网络拓扑图深入篇项目1WLAN三层组网三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；深入篇项目1WLAN三层组网设备型号数量交换机S57002路由器Router1ACAC60051APAP20502便携设备STA22、为计算机和相关接口配置IP地址；3、AP1和AP2释放相同的SSID：sirt；4、STA1和STA2能够通过WIFI接入临近的AP，并且能够与连通。深入篇项目1WLAN三层组网设备连接端口IP地址子网掩码网关R1LOOPBACK0--55--R1E0/0/0AC1G0/0/1--R1E0/0/1SW1G0/0/1--R1G0/0/0SW2G0/0/1--SW1G0/0/1R1E0/0/1--SW1G0/0/2AP1G0/0/0------SW2G0/0/1R1G0/0/0--SW2G0/0/2AP2G0/0/0------AC1G0/0/1R1E0/0/1(VLANIF100)--四、认知与配置过程1、配置R1与SW1、SW2、AC1之间的连通性1.1配置R1深入篇项目1WLAN三层组网[R1]interfaceEthernet0/0/0[R1-Ethernet0/0/0]ipaddress[R1]interfaceEthernet0/0/1[R1-Ethernet0/0/1]ipaddress[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/1]ipaddress[R1]interfaceLoopBack0[R1-LoopBack0]ipaddress55[R1]ospf1router-id[R1-ospf-1]area[R1-ospf-1-area-]network551.2配置AC1[AC]vlanb1020100[AC]intg0/0/1[AC-GigabitEthernet0/0/1]pla[AC-GigabitEthernet0/0/1]pdv100[AC-GigabitEthernet0/0/1]q[AC]intvlanif100[AC-Vlanif100]ipaddr24[AC-Vlanif100]q[AC]ospf1router-id[AC-ospf-1]area0[AC-ospf-1-area-]net深入篇项目1WLAN三层组网1.3配置SW1深入篇项目1WLAN三层组网[SW1]vlanb101001000[SW1]intg0/0/1[SW1-GigabitEthernet0/0/1]pla[SW1-GigabitEthernet0/0/1]pdv1000[SW1-GigabitEthernet0/0/1]q[SW1]intg0/0/2[SW1-GigabitEthernet0/0/2]portlink-typetrunk[SW1-GigabitEthernet0/0/2]porttrunkpvidvlan100[SW1-GigabitEthernet0/0/2]porttrunkallow-passvlan10100[SW1]intvlanif100[SW1-Vlanif100]ipaddr5424[SW1-Vlanif100]q[SW1]intvlanif10[SW1-Vlanif10]ipaddr5424[SW1-Vlanif10]q[SW1]ospf1router-id[SW1-ospf-1]area0[SW1-ospf-1-area-]net1.4配置SW2深入篇项目1WLAN三层组网[SW2]vlanb201011000[SW2]intg0/0/1[SW2-GigabitEthernet0/0/1]pla[SW2-GigabitEthernet0/0/1]pdv1000[SW2-GigabitEthernet0/0/1]q[SW2]intg0/0/2[SW2-GigabitEthernet0/0/2]portlink-typetrunk[SW2-GigabitEthernet0/0/2]porttrunkpvidvlan101[SW2-GigabitEthernet0/0/2]porttrunkallow-passvlan20101[SW2]intvlanif101[SW2-Vlanif101]ipaddr5424[SW2-Vlanif101]q[SW2]intvlanif20[SW2-Vlanif20]ipaddr5424[SW2-Vlanif20]q[SW2]ospf1router-id[SW2-ospf-1]area0[SW2-ospf-1-area-]net2、配置SW1和SW2的DHCP功能2.1配置SW1深入篇项目1WLAN三层组网[SW1]dhcpenable[SW1]ippoolpoolvlan10[SW1-ip-pool-poolvlan10]gateway-list54[SW1-ip-pool-poolvlan10]networkmask[SW1-ip-pool-poolvlan10]q[SW1]intvlanif100[SW1-Vlanif100]dhcpselectinterface[SW1-Vlanif100]dhcpserveroption43sub-option3ascii[SW1-Vlanif100]q[SW1]intvlanif10[SW1-Vlanif10]dhcpselectglobal2.2配置SW2深入篇项目1WLAN三层组网[SW2]dhcpenable[SW2]ippoolpoolvlan20[SW2-ip-pool-poolvlan20]gateway-list54[SW2-ip-pool-poolvlan20]networkmask[SW2-ip-pool-poolvlan20]q[SW2]intvlanif101[SW2-Vlanif101]dhcpselectinterface[SW2-Vlanif101]dhcpserveroption43sub-option3ascii[SW2-Vlanif101]q[SW2]intvlanif20[SW2-Vlanif20]dhcpselectglobal3、配置AC1上的WLAN参数3.1配置CAPWAP3.2配置VLANPOOL3.3配置安全模板深入篇项目1WLAN三层组网[AC]capwapsourceinterfacevlanif100[AC]vlanpoolvp1[AC6005-vlan-pool-vp1]vlan1020[AC]wlan[AC-wlan-view]security-profilenamesec_sirt[AC-wlan-sec-prof-sec_sirt]securitywpa2pskpass-phrasehuawei@123aes3.4配置SSID模板3.5配置VAP模板，并绑定安全模板、SSID模板和服务VLAN3.6配置AP组，并绑定VAP模板深入篇项目1WLAN三层组网[AC-wlan-view]ssid-profilenamessid_sirt[AC-wlan-ssid-prof-ssid_sirt]ssidsirt[AC-wlan-view]vap-profilenamesirt[AC-wlan-vap-prof-sirt]security-profilesec_sirt[AC-wlan-vap-prof-sirt]service-vlanvlan-poolvp1[AC-wlan-vap-prof-sirt]ssid-profilessid_sirt[AC-wlan-view]ap-groupnamesirts[AC-wlan-ap-group-sirts]regulatory-domain-profiledefault[AC-wlan-ap-group-sirts]vap-profilesirtWLAN1radioall4、在AC1上注册AP1和AP24.1修改AP授权模式为no-auth，以便先列出可用的AP清单4.2根据MAC地址，将AP1和AP2加入各自的AP组深入篇项目1WLAN三层组网[AC-wlan-view]apauth-modeno-auth[AC-wlan-view]disapall[AC-wlan-view]ap-id0[AC-wlan-ap-0]ap-groupsirts[AC-wlan-ap-0]q[AC-wlan-view]ap-id1[AC-wlan-ap-1]ap-groupsirts五、测试并验证结果1、STA1可以接入无线网络sirt，并能连通；2、STA2可以接入无线网络sirt，并能连通。深入篇项目1WLAN三层组网六、项目小结与知识拓展在大型网络，如校园网Wi-Fi覆盖、酒店宾馆Wi-Fi覆盖的网络设计中，WLAN一般采用三层组网方式，将AC旁挂在核心设备上，AP则分布在不同的楼宇或房间中，他们很可能连接在不同的交换机下，通过IP路由寻址到AC，在部署这样的WLAN网络时，需要注意两个问题：（1）在AP的管理VLAN所对应的DHCP服务器中，要配置OPTION43选项，以便让AP能够寻址到AC，建立capwap隧道，命令“dhcpserveroption43sub-option3ascii”用于完成该功能。其中即为AC的capwap源接口IP。（2）由于不同AP的业务VLAN可能需要分配不同的IP子网地址，但SSID却是要求相同的，因此在配置VAP模板时，需要绑定多个serviceVLAN，即VLAN-POOL，命令“service-vlanvlan-poolvp1”用于完成该功能，本例中“vp1”即是一个VLAN-POOL，他绑定了VLAN10和VLAN20，分别对应了教学楼和办公楼的两个无线业务VLAN。深入篇项目1WLAN三层组网谢谢网络系统建设与运维IPv6是Internet工程任务组（IETF）设计的一套规范，是IPv4的升级版本，最初的标准在RFC2460中定义（1998），后经多次补充和完善。IPv6与IPv4的最显著区别是IPv4地址采用32比特标识，而IPv6地址采用128比特标识。目前IPv6正在全国范围内大力推广中，运营商层面上基本已经全面完成了升级（手机流量用户大多数已经采用了IPv6方式接入），掌握IPv6网络的配置和管理是当前形式下非常紧迫的任务，本项目介绍IPv6的基础知识和配置方法。深入篇项目2IPv6配置基础一、学习目标1、认识IPv6的地址组成与表示方法；2、掌握IPv6地址的五种配置方法。二、网络拓扑图深入篇项目2IPv6配置基础三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；2、为计算机和相关接口配置IP地址。深入篇项目2IPv6配置基础设备型号数量路由器AR32603计算机PC1设备连接端口IP地址R1G0/0/0R2G0/0/0Autolink-localR2G0/0/0R1G0/0/0Autolink-localR2G0/0/1R3G0/0/02001::/64EUI-64R3G0/0/0R2G0/0/1AutoglobalR3G0/0/1PC13000::1/64PC1R3E0/0/1DHCPv6clientR1LOOPBACK0--2000::1/128R2LOOPBACK0--2000::2/128R3LOOPBACK0--2000::3/128四、认知与配置过程与IPv4不同，IPv6的地址由于比较长、比较复杂，在地址配置方法上也提供了很多种方式，实践中可以灵活部署，本项目讲解IPv6地址的五种常见配置方法。注意默认情况下，华为路由器并没有开启IPv6功能，需要在系统视图下使用下面的命令来开启，该命令在后续的配置步骤中会被省略掉。所有关于IPv6的实验应该尽量使用AR系列路由器来做，ROUTER有很多功能不支持，比如邻居自动发现、OSPFv3路由协议等等。深入篇项目2IPv6配置基础[Huawei]ipv61、自动生成链路本地地址查看接口的IPv6地址：可以看到R1的g0/0/0口已经得到了一个IPv6的link-local地址，接口状态为：UP。[R1-GigabitEthernet0/0/0]ipv6enable[R1-GigabitEthernet0/0/0]ipv6addressautolink-local深入篇项目2IPv6配置基础[R1]disipv6interfaceg0/0/02、手工配置IPv6地址查看接口的IPv6地址：可以看到R1的Loopback0口已经得到了一个IPv6的全球单播地址，接口状态为：UP。深入篇项目2IPv6配置基础[R1-LoopBack0]ipv6enable[R1-LoopBack0]ipv6address2000::1/128[R1]disipv6intLoopBack03、手工配置EUI-64规范的IPV6地址查看R2各接口的IPv6地址（此处省略了其他接口的地址配置）：可以看到R2的g0/0/1口已经得到了一个EUI-64规范的IPv6全球单播地址，接口状态为：UP。深入篇项目2IPv6配置基础[R2-GigabitEthernet0/0/1]ipv6enable[R2-GigabitEthernet0/0/1]ipv6address2001::/64eui-64[R2]disipv6interfacebrief4、无状态自动获取全球单播地址（必须是AR路由器）首先在R2上开启IPv6的邻居发现和路由器通告功能：然后在R3上配置自动获取全球单播地址：查看R3各接口的IPv6地址（此处省略了其他接口的地址配置）：可以看到R3的g0/0/0口已经自动获取了一个EUI-64规范的IPv6全球单播地址，接口状态为：UP。深入篇项目2IPv6配置基础[R2-GigabitEthernet0/0/1]undoipv6ndrahalt

//nd即邻居发现，ra即路由通告，默认情况下，路由器是关闭邻居发现功能的，需要手动开启。[R3-GigabitEthernet0/0/0]ipv6addressautoglobal[R3]disipv6intbrief5、通过DHCPv6自动获取IPv6地址在R3上开启DHCPv6服务，通过G0/0/1口为PC机分配IPv6地址。深入篇项目2IPv6配置基础[R3]dhcpenable[R3]dhcpv6poolp1[R3-dhcpv6-pool-p1]addressprefix3000::/64[R3-dhcpv6-pool-p1]excluded-address3000::1[R3-dhcpv6-pool-p1]q[R3]intg0/0/1[R3-GigabitEthernet0/0/1]dhcpv6serverp1使能PC机的DHCPv6功能，如下图所示：深入篇项目2IPv6配置基础查看PC机获取到的IPv6全球单播地址，如下图所示。与DHCP不同，DHCPv6并不提供子网掩码和默认网关（相应功能由路由器的RA功能提供），这会导致通过DHCPv6获得的IPv6地址，因为没有掩码长度，地址的掩码都是128位的。深入篇项目2IPv6配置基础五、测试并验证结果本项目为IPv6的基础配置实验，主要验证一个接口是否获取到了有效的IPv6地址，常用的验证命令有：深入篇项目2IPv6配置基础<R1>disipv6interfacebrief //查看所有接口的ipv6地址<R3>disipv6interfaceg0/0/0 //查看特定接口的ipv6地址六、项目小结与知识拓展1、IPv6是Internet工程任务组（IETF）设计的一套规范，它是网络层协议的第二代标准协议，也是IPv4（InternetProtocolVersion4）的升级版本。IPv6与IPv4的最显著区别是，IPv4地址采用32比特标识，而IPv6地址采用128比特标识。128比特的IPv6地址可以划分更多地址层级、拥有更广阔的地址分配空间，并支持地址自动配置。2、IPv6地址在表示方法上，由冒号分割成8段，每段4个16进制数，比如：2031:0000:130F:0000:0000:09C0:876A:130B，这样的地址仍然显得太长了，可以进行压缩表示，压缩的规则有两条：（1）每组中的前导“0”都可以省略；（2）地址中包含的连续两个或多个均为0的组，可以用双冒号“::”来代替，对于上面的例子，最终可以表示成这样：2031:0:130F::9C0:876A:130B。需要注意的是，在一个IPv6地址中只能使用一次双冒号“::”，否则当计算机将压缩后的地址恢复成128位时，无法确定每段中0的个数。深入篇项目2IPv6配置基础3、IPv6地址被分为：单播地址、组播地址、任播地址。单播地址用于标识一个接口，发往该目的地址的报文会被送到被标识的接口；组播地址用于标识多个接口，发往该目的地址的报文会被送到被标识的所有接口；任播地址用于标识多个接口，发往该目的地址的报文会被送到被标识的所有接口中最近的一个接口上。实际上任播地址与单播地址使用同一个地址空间，也就是说，由路由器决定数据包是做任播转发还是单播转发。一个典型的IPv6地址由两部分组成：网络前缀+接口标识，多数情况下，二者各由64位组成。4、对于IPv6单播地址来说，如果地址的前3位不是000，则接口标识必须为64位，如果地址的前三位是000，则没有此限制。64位的接口标识仍然太长了，难以管理，IEEEEUI-64规范用于自动计算接口标识，计算方法是根据接口的MAC地址（48位）经过一系列换算得来，如下图所示：深入篇项目2IPv6配置基础MAC地址格式中cbit表示厂商ID，dbit表示厂商编号ID，“0”bit代表全局/本地位，表示全球有效。g表示其是表示单个主机还是某个组。具体的转换算法为：将上述的0转换为1，在c和d之间插入两个字节：FFFE，结果为IPv6接口ID。这种由MAC地址产生IPv6地址接口ID的方法可以减少配置的工作量，尤其是当采用无状态地址自动配置时，只需要获取一个IPv6前缀就可以与接口ID形成IPv6地址。使用这种方式最大的缺点就是某些恶意者可以通过二层MAC推算出三层IPv6地址。5、链路本地地址（Link-local地址）：是IPv6中的应用范围受限制的地址类型，只能在连接到同一本地链路的节点之间使用。它使用了特定的本地链路前缀FE80::/10（最高10位值为1111111010），同时将EUI-64接口标识添加在后面作为地址的低64比特。当一个节点启动IPv6协议栈时，节点的每个接口会自动配置一个链路本地地址（其固定的前缀+EUI-64规则形成的接口标识）。这种机制使得两个连接到同一链路的IPv6节点不需要做任何配置就可以通信。所以链路本地地址广泛应用于邻居发现，无状态地址配置等应用。深入篇项目2IPv6配置基础以链路本地地址为源地址或目的地址的IPv6报文不会被路由设备转发到其他链路。6、全球单播地址：是带有全球单播前缀的IPv6地址，其作用类似于IPv4中的公网地址。这种类型的地址允许路由前缀的聚合，从而限制了全球路由表项的数量。全球单播地址由全球路由前缀（Globalroutingprefix）、子网ID（subnetID）和接口标识（InterfaceID）组成。Globalroutingprefix：全球路由前缀。由提供商（Provider）指定给一个组织机构，通常全球路由前缀至少为48位。目前已经分配的全球路由前缀的前3bit均为001，由于采用16进制的表示方法，从外观上看，这部分地址总是被表示为“2XXX”或者“3XXX”（如2000::1、2023::1）。SubnetID：子网ID。组织机构可以用子网ID来构建本地网络（Site）。子网ID通常最多分配到第64位。子网ID和IPv4中的子网号作用相似。InterfaceID：接口标识。用来标识一个设备（Host），常见的是EUI-64规范的接口标识。深入篇项目2IPv6配置基础7、IPv6组播地址：与IPv4相同，用来标识一组接口，一般这些接口属于不同的节点。一个节点可能属于0到多个组播组。发往组播地址的报文被组播地址标识的所有接口接收。一个IPv6组播地址由前缀、标志（Flag）字段、范围（Scope）字段以及组播组ID（GlobalID）4个部分组成：前缀：IPv6组播地址的前缀是FF00::/8（11111111）。标志字段（Flag）：长度4bit，目前只使用了最后一个比特（前三位必须置0），当该位值为0时，表示当前的组播地址是由IANA所分配的一个永久分配地址；当该值为1时，表示当前的组播地址是一个临时组播地址（非永久分配地址）。范围字段（Scop）：长度4bit，用来限制组播数据流在网络中发送的范围。组播组ID（GlobalID）：长度112bit，用以标识组播组。目前，RFC2373并没有将所有的112位都定义成组标识，而是建议仅使用该112位的最低32位作为组播组ID，将剩余的80位都置0。深入篇项目2IPv6配置基础谢谢网络系统建设与运维OSPFv3是运行在IPv6网络的OSPF协议（IPv4网络中为OSPFv2），是OSPFv2的升级版本，保持了OSPFv2的基本收敛算法，但在细节处有所改动，与OSPFv2并不兼容。本项目讲解了OSPFv3协议的基本概念、配置要点和注意事项，同时一并将DHCPv6（运行在IPv6网络的DHCP协议）的部署做了介绍。深入篇项目3部署OSPFv3一、学习目标1、了解OSPFv2与OSPFv3的区别；2、掌握OSPFv3路由协议的具体部署。二、网络拓扑图深入篇项目3部署OSPFv3三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；2、为计算机和相关接口配置IP地址；3、全网能够互通。深入篇项目3部署OSPFv3设备型号数量路由器AR32603计算机PC1设备连接端口IP地址R1G0/0/0R2G0/0/0Autolink-localR2G0/0/0R1G0/0/0Autolink-localR2G0/0/1R3G0/0/02001::/64EUI-64R3G0/0/0R2G0/0/1AutoglobalR3G0/0/1PC13000::1/64PC1R3E0/0/1DHCPv6clientR1LOOPBACK0--2000::1/128R2LOOPBACK0--2000::2/128R3LOOPBACK0--2000::3/128四、认知与配置过程1、配置R1深入篇项目3部署OSPFv3[R1]ospfv31[R1-ospfv3-1]router-id[R1-ospfv3-1]intg0/0/0[R1-GigabitEthernet0/0/0]ospfv31area0[R1-GigabitEthernet0/0/0]intloo0[R1-LoopBack0]ospfv31area02、配置R2深入篇项目3部署OSPFv3[R2]ospfv31[R2-ospfv3-1]router-id[R2-ospfv3-1]intloo0[R2-LoopBack0]ospfv31area0[R2-LoopBack0]intg0/0/0[R2-GigabitEthernet0/0/0]ospfv31area0[R2-GigabitEthernet0/0/0]intg0/0/1[R2-GigabitEthernet0/0/1]ospfv31area03、配置R3深入篇项目3部署OSPFv3[R3]ospfv31[R3-ospfv3-1]router-id[R3-ospfv3-1]intloo0[R3-LoopBack0]ospfv31area0[R3-LoopBack0]intg0/0/0[R3-GigabitEthernet0/0/0]ospfv31area0[R3-GigabitEthernet0/0/0]intg0/0/1[R3-GigabitEthernet0/0/1]ospfv31area0五、测试并验证结果1、检查OSPFv3的邻居状态可以看到R2和R1,R3均建立了邻接关系。2、检查OSPFv3的路由表深入篇项目3部署OSPFv3[R2]disospfv3peer[R1]disospfv3routing3、测试R1和R3之间的连通性可以看到R1和R3之间可以正常通信。4、测试PC1和R1之间的连通性可以看到PC1和R1之间可以正常通信。深入篇项目3部署OSPFv3PC>ping2000::1<R1>pingipv62001::3六、项目小结与知识拓展1、OSPFv3是运行在IPv6网络的OSPF协议。运行OSPFv3的路由器使用物理接口的链路本地单播地址为源地址来发送OSPF报文。相同链路上的路由器互相学习与之相连的其它路由器的链路本地地址，并在报文转发的过程中将这些地址当成下一跳信息使用。IPv6中使用组播地址ff02::5来表示AllSPFRouters，而OSPFv2中使用的是组播地址。需要注意的是，OSPFv3和OSPFv2版本互不兼容。2、RouterID在OSPFv3中也是用于标识路由器的。与OSPFv2的RouterID不同，OSPFv3的RouterID必须手工配置，如果没有手工配置RouterID，OSPFv3将无法正常运行。OSPFv3在广播型网络和NBMA网络中选举DR和BDR的过程与OSPFv2相似。IPv6使用组播地址FF02::6表示AllDRouters，而OSPFv2中使用的是组播地址。深入篇项目3部署OSPFv33、OSPFv3是基于链路而不是网段的。在配置OSPFv3时，不需要考虑路由器的接口是否配置在同一网段，只要路由器的接口连接在同一链路上，就可以不配置IPv6全局地址而直接建立联系。4、OSPFv3直接使用IPv6的扩展头部（AH和ESP）来实现认证及安全处理，不再需要OSPFv3自身来完成认证。5、DHCP设备唯一标识符DUID（DHCPv6UniqueIdentifier）用来标识一台DHCPv6服务器或客户端。每个DHCPv6服务器或客户端有且只有一个DUID。DUID采用以下两种方式生成：基于链路层地址（LL）：即采用链路层地址方式来生成DUID（默认方式）。基于链路层地址与时间组合（LLT）：即采用链路层地址和时间组合方式来生成DUID。深入篇项目3部署OSPFv36、在eNSP模拟器中部署DHCPv6时请注意：AR路由器的一个物理接口下只能部署单个IPv6地址池，比如：其中p1为IPv6地址池的名称，这意味着接口G0/0/0只能为一个网络提供地址分发服务，这在实践中往往是不够用的。如果接口需要为多个网络提供地址分发服务，可以使用AC设备来代替DHCP服务器（用AC模拟路由器），AC支持IPv6多地址池，命令如下：此时，接口视图下不需要做任何配置。深入篇项目3部署OSPFv3[R1-GigabitEthernet0/0/0]dhcpv6serverp1[R1]dhcpv6serverpreference255谢谢网络系统建设与运维OSPF路由协议一度被人们普遍认可为IGP路由协议的标准，他控制精细，扩展性好，支持丰富的网络类型，特别适合用于园区网络的内部路由，然而在大型扁平化的网络中（比如运营商网络），需求可能是更高的容量、更快的转发速度，为适应这种需求，人们又发明了IS-IS路由协议。IS-IS路由协议非常类似于OSPF，使用链路状态数据库，运行最短路径算法（SPF），但他支持更大的LSDB，追求高效简单，适用于服务型网络，本项目介绍IS-IS路由协议的基本概念和配置方法。深入篇项目4部署IS-IS路由一、学习目标1、了解IS-IS路由协议工作原理；2、掌握IS-IS路由协议的部署。二、网络拓扑图深入篇项目4部署IS-IS路由三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；2、为计算机和相关接口配置IP地址；3、全网能够互通。深入篇项目4部署IS-IS路由设备型号数量路由器ROUTER3设备连接端口IP地址R1E0/0/0R2E0/0/0/24R2E0/0/0R1E0/0/0/24R2E0/0/1R3E0/0/0/24R3E0/0/0R2E0/0/1/24R1LOOPBACK0--/32R2LOOPBACK0--/32R3LOOPBACK0--/32四、认知与配置过程1、配置R1深入篇项目4部署IS-IS路由[R1]isis1[R1-isis-1]network-entity10.0000.0000.0001.00[R1-isis-1]is-levellevel-2[R1-isis-1]is-nameR1[R1-isis-1]intloo0[R1-LoopBack0]ipaddr32[R1-LoopBack0]isisenable[R1-LoopBack0]inte0/0/0[R1-Ethernet0/0/0]ipaddr24[R1-Ethernet0/0/0]isisenable2、配置R2深入篇项目4部署IS-IS路由[R2]isis1[R2-isis-1]network-entity20.0000.0000.0002.00[R2-isis-1]is-levellevel-1-2[R2-isis-1]is-nameR2[R2-isis-1]q[R2]intLoopBack0[R2-LoopBack0]ipaddr32[R2-LoopBack0]isisenable[R2-LoopBack0]inte0/0/0[R2-Ethernet0/0/0]ipaddr24[R2-Ethernet0/0/0]isisenable[R2-Ethernet0/0/0]inte0/0/1[R2-Ethernet0/0/1]ipaddr24[R2-Ethernet0/0/1]isisenable3、配置R3深入篇项目4部署IS-IS路由[R3]isis1[R3-isis-1]network-entity20.0000.0000.0003.00[R3-isis-1]is-levellevel-1[R3-isis-1]is-nameR3[R3-isis-1]q[R3]intLoopBack0[R3-LoopBack0]ipaddr32[R3-LoopBack0]isisenable[R3-LoopBack0]inte0/0/0[R3-Ethernet0/0/0]ipaddr24[R3-Ethernet0/0/0]isisenable五、测试并验证结果1、检查IS-IS的邻居状态可以看到R2和R1,R3均建立了邻居关系。2、检查R1的IS-IS的路由表可以看到R1的IS-IS路由表中只有Level-2级别的转发表，并且包含了全网的明细路由。深入篇项目4部署IS-IS路由<R1>disisisroute[R2]disisispeer3、检查R2的IS-IS的路由表可以看到R2的IS-IS路由表中包含了两套转发表，Level-1（对应区域20）和Level-2（对应区域10），这是因为R2的IS-IS级别是Level-1-2，其作用类似于OSPF路由协议中的ABR。4、检查R3的IS-IS的路由表可以看到R3的IS-IS路由表中只有Level-1级别的转发表，并且只包含了本区域（区域20）的路由信息，如果要通往区域外部，可以通过由Level-1-2路由器下发的缺省路由（/0）来进行。深入篇项目4部署IS-IS路由<R3>disisisroute<R2>disisisroute5、测试R1和R3之间的连通性可以看到R1和R3之间可以正常通信。6、查看R3的IS-ISLSDB可以看到由R2下发的一条LSP中，ATT位被置1了，通过情况下，Level-1-2路由器会在Level-1区域中下发一条ATT位置1的LSP，收到该LSP的路由器即会生成一条指向该路由器的缺省路由。IS-IS路由协议中的Level-1区域，类似于OSPF中的totallystub区域。深入篇项目4部署IS-IS路由<R3>disisislsdb<R1>ping-a六、项目小结与知识拓展1、OSPF的多路由类型（内部/外部）、多区域类型（骨干/普通/特殊）、开销规则优良（根据带宽设定）、网络类型多样（最多五种类型）的特点在园区网得到了极大的发挥，园区网特点包括：应用型网络，主要面向企业网用户路由器数量偏少，LSDB库容量相对偏少有出口路由的概念，对内部外部路由划分敏感地域性跨度不大，带宽充足，协议开销对带宽占用比少路由策略和策略路由应用频繁多变，需要精细化的路由操作。深入篇项目4部署IS-IS路由2、IS-IS的快速算法（PRC得到加强）、简便报文结构（TLV）、快速邻居关系建立、大容量路由传递（基于二层开销低）等一系列特点使其在骨干网中有着天然的优势，骨干网特点包括：服务型网络，由ISP（互联网服务提供商）组建路由调度占据绝对统治地位，路由器数量庞大架构层面扁平化，要求IGP作为基础路由为上层BGP协议服务。LSDB规模宏大，对链路收敛极度敏感，线路费用高昂。追求简单高效，扩展性高，满足各种客户业务需求（IPV6/IPX）。深入篇项目4部署IS-IS路由3、ISIS使用可变长度（8-20字节）的NetworkEntityTitle（NET）来标示每台路由器（类似于OSPF的Router-id），由三部分组成：区域号（1-13字节）、系统ID（6字节）、SEL（1字节，固定为00）在配置IS-IS过程中，NET最多能配3个，在配置多个NET时，必须保证它们的SystemID都相同。4、IS-IS路由器有三种类型，分别是：Level-1路由器：只能与属于同一区域的Level-1和Level-1-2路由器形成邻居关系，只负责维护Level-1的LSDBLevel-2路由器：可以与相同或者不同区域的Level-2路由器或者不同区域的Level-1-2路由器形成邻居关系，只负责维护Level-2的LSDBLevel-1-2路由器：同时属于Level-1和Level-2的路由器称为Level-1-2路由器。Level-1-2路由器维护两个LSDB，Level-1的LSDB用于区域内路由，Level-2的LSDB用于区域间路由。Level-1-2路由器可以与同一区域的Level-1形成Level-1邻居关系，也可以与其他区域的Level-2和Level-1-2路由器形成Level-2的邻居关系。深入篇项目4部署IS-IS路由5、IS-IS支持大规模的路由网络，一般来说，将Level-1和Level-1-2路由器部署在边缘区域（同一个区域），Level-2路由器部署在核心区域，每一个边缘区域都通过Level-1-2路由器与核心区域相连，所有的Level-2和Level-1-2路由器组成了全网的骨干路由器。实践中，运营商网络的所有路由器一般都配置成Level-2级别。6、IS-IS可以很容易地在IPv6环境下部署，只需在IS-IS进程视图和接口视图下使能IPv6即可，命令如下：深入篇项目4部署IS-IS路由[R3-isis-1]ipv6enable[R3-Ethernet0/0/0]isisipv6enable谢谢网络系统建设与运维之前介绍的所有路由协议均为IGP协议（内部网关路由协议），IGP协议的特点在于完全可以依据理论上最优的路径来计算路由，管理员还可以实施精细的路由控制，但BGP（外部网关路由协议）协议完全不同，他经常受到政治的、安全的、人为的因素影响，并不能够完全按照理论计算的最优路径进行数据转发，可以这么理解，BGP基本上是按照用户的意愿被动的搬运路由表而已，本质上不产生、不发现、不计算路由，他只是路由的搬运工而已。本项目介绍BGP协议的基本概念和配置方法。深入篇项目5部署BGP路由一、学习目标1、了解BGP路由协议工作原理；2、掌握BGP路由协议的部署。二、网络拓扑图深入篇项目5部署BGP路由三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；深入篇项目5部署BGP路由设备型号数量路由器ROUTER52、为计算机和相关接口配置IP地址；3、全网能够互通。深入篇项目5部署BGP路由设备连接端口IP地址R1E0/0/0R2E0/0/0/24R2E0/0/0R1E0/0/0/24R2E0/0/1R3E0/0/0/24R3E0/0/0R2E0/0/1/24R3E0/0/1R4E0/0/0/24R4E0/0/0R3E0/0/1/24R4E0/0/1R5E0/0/0/24R5E0/0/0R4E0/0/1/24R1LOOPBACK0--/32R2LOOPBACK0--/32R3LOOPBACK0--/32R4LOOPBACK0--/32R5LOOPBACK0--/32四、认知与配置过程首先配置AS100和AS200的IGP路由，分别部署OSPF（全网宣告）和IS-IS（全网Level-2宣告）路由协议，确保各自的IGP路由正常。此时AS100和AS200之间仍然不能够互通，BGP（BorderGatewayProtocol，边界网关协议）专门用于解决不同AS之间的互联互通问题。下面的配置将通过BGP协议，分别将AS100和AS200中的IGP路由搬运到对方的BGP路由表中去。深入篇项目5部署BGP路由1、配置BGP对等体1.1配置R1的BGP对等体1.2配置R2的BGP对等体深入篇项目5部署BGP路由[R1]bgp100[R1-bgp]peeras-number100 //IBGP对等体[R1-bgp]peerconnect-interfaceLoopBack0[R2]bgp100[R2-bgp]peeras-number100[R2-bgp]peerconnect-interfaceLoopBack0[R2-bgp]peeras-number200 //EBGP对等体1.3配置R3的BGP对等体1.4配置R4的BGP对等体深入篇项目5部署BGP路由[R3]bgp200[R3-bgp]peeras-number200[R3-bgp]peerconnect-interfaceLoopBack0[R3-bgp]peeras-number100[R4]bgp200[R4-bgp]peeras-number200[R4-bgp]peerconnect-interfaceLoopBack0[R4-bgp]peeras-number200[R4-bgp]peerconnect-interfaceLoopBack1.5配置R5的BGP对等体1.6验证BGP对等体可以看到R2的两个BGP对等体状态都为：Established，状态正常，同理验证一下其他路由器的BGP对等体，确保所有对等体都状态正常。深入篇项目5部署BGP路由[R5]bgp200[R5-bgp]peeras-number200[R5-bgp]peerconnect-interfaceLoopBack0[R2]disbgppeer2、将AS100中的IGP路由搬运至AS2002.1使用network命令宣告BGP路由2.2分别在R3、R4、R5上查看BGP路由表在R3和R4上都可以看到上述两条BGP路由（最后的“i”表示当前的BGP路由的起源属性为IGP，即他们都是通过network命令宣告的），他们都是合法的（标记为“*”），也是最优的（标记为“>”），因此是有效的的BGP路由。深入篇项目5部署BGP路由[R2-bgp]network32[R2-bgp]network32<R3>disbgprouting-table但是在R5上却看不到任何BGP路由条目，说明R4并没有将自己的BGP路由通告给R5，这是什么原因呢？根据BGP通告原则，IBGP的路由条目不会被通告给IBGP的邻居（这两条路由表项属于IBGP，而R5又属于R4的IBGP邻居），这是为了防止BGP的路由环路，如何解决这个问题呢？可以在R4上配置BGP反射器，同时将R5配置为R4的反射器客户机。稍等片刻后，即可在R5上看到上述两条BGP路由条目。深入篇项目5部署BGP路由[R4-bgp]peerreflect-client3、将AS200中的IGP路由搬运至AS1003.1使用import命令宣告BGP路由3.2分别在R1、R2上查看BGP路由表可以看到R1中已经有了AS200全网的明细路由。深入篇项目5部署BGP路由[R3-bgp]import-routeisis1<R1>disbgprouting-table五、测试并验证结果测试R1和R5之间的连通性可以看到R1和R5之间可以正常通信。请注意如果R1直接pingR5，结果是不通的，如下：这是因为默认情况下，路由器会以出接口的IP地址作为ping包的源地址，然而网段我们并没有通过BGP搬运至AS200，这会导致回程的ping包目的地不可达。深入篇项目5部署BGP路由<R1>ping<R1>ping-a六、项目小结与知识拓展1、BGP协议被设计运行在AS之间传递路由，AS之间是广域网链路，数据包在广域网上传递是可能出现不可预测的链路拥塞或丢失等情况，因此BGP使用TCP作为其承载协议来保证可靠性。BGP使用TCP封装建立邻居关系，端口号为179，TCP采用单播建立连接，因此BGP协议并不像RIP和OSPF一样使用组播发现邻居，单播建立连接也使BGP只能手动指定邻居。深入篇项目5部署BGP路由2、BGP邻居关系的类型主要靠配置的AS号区别，peer关键字后面是对端邻居的接口IP地址，as-number后面是邻居路由器所在的AS号，AS号相同则为IBGP邻居关系；AS号不同，则为EBGP邻居关系。peer关键字后面的地址可以是对端邻居直连接口的IP地址，也可以是非直连LoopBack接口的IP地址（但必须保证该IP地址路由可达），甚至也可以不是直连的路由器。建立IBGP邻居关系时，一般使用LoopBack接口的IP地址，因为LoopBack接口开启后一直处于UP状态，只要保证路由可达，邻居关系一直处于稳定状态；而建立EBGP邻居关系时，一般使用直连接口的IP地址，因为EBGP是跨AS建立邻居关系，邻居关系建立之前非直连接口之间的路由不可达。深入篇项目5部署BGP路由3、宣告BGP路由的方式有两种：第一种是使用配置命令network，第二种是使用配置命令import。其中network命令用于将IP路由表中已经存在的路由逐条引入BGP路由表中；import命令是根据运行的IGP路由协议（如RIP、OSPF等），将路由引入到BGP路由表中去，同时也可以引入直连和静态路由。大多数情况下，通过import引入的路由需要配合路由策略来使用，以防止引入不必要的路由。通过network宣告的BGP路由可以利用aggregate命令进行聚合（手工聚合），比如：参数detail-suppressed表示抑制明细路由的发布（即聚合后，在BGP路由表中将只包含聚合后的路由，不再包含明细路由）深入篇项目5部署BGP路由[R1-bgp]aggregate24detail-suppressed通过import宣告的BGP路由可以利用summaryautomatic命令进行聚合（自动聚合），比如：注意该命令只能进行大类聚合（即严格按A、B、C类IP地址进行聚合）各种BGP路由的优先级如下：aggregate>summaryautomatic>network(i)>import(?)深入篇项目5部署BGP路由[R1-bgp]summaryautomatic4、BGP向邻居通告路由时，遵循以下四条原则BGP路由器只将自己最优的路由发布给邻居通过EBGP获得的路由会发布给所有的BGP邻居（包括EBGP邻居和IBGP邻居）通过IBGP邻居获得的路由不会发布给其他的IBGP邻居从IBGP邻居学来的路由在发布给一个BGP邻居之前，通过IGP必须知道该路由，即BGP与IGP同步。在华为路由器上，默认是将BGP与IGP的同步检查关闭的，原因是为了实现IBGP路由的正常通告。但关闭了BGP与IGP的同步检查后会出现“路由黑洞”的问题，必须通过其他手段解决（比如IBGP全互联）。深入篇项目5部署BGP路由5、在本例中，BGP反射器只有一个客户机，如果有多个客户机，也可以成组配置，比如：该命令表示反射器R5有两个客户机：R6、R7。BGP反射器相关概念及工作原理如下：（1）路由反射器RR（RouteReflector）：允许把从IBGP对等体学到的路由反射到其他IBGP对等体的BGP设备。（2）客户机（Client）：与RR形成反射邻居关系的IBGP设备。在AS内部客户机需要与RR直连。深入篇项目5部署BGP路由[R5-bgp]grouprr1interna1[R5-bgp]peergrouprr1[R5-bgp]peergrouprr1[R5-bgp]peerrr1reflect-client（3）非客户机（Non-Client）：既不是RR也不是客户机的IBGP设备。在AS内部非客户机与RR之间，以及所有的非客户机之间仍然必须建立全连接关系。（4）始发者（Originator）：在AS内部始发路由的设备。Originator_ID属性用于防止集群内产生路由环路。（5）集群（Cluster）：路由反射器及其客户机的集合。Cluster_List属性用于防止集群间产生路由环路。（6）同一集群内的客户机只需要与该集群的RR直接交换路由信息，因此客户机只需要与RR之间建立IBGP连接，不需要与其他客户机建立IBGP连接，从而减少了IBGP连接数量。（7）RR突破了“从IBGP对等体获得的BGP路由，BGP设备只发布给它的EBGP对等体。”的限制，并采用独有的Cluster_List属性和Originator_ID属性防止路由环路。深入篇项目5部署BGP路由（8）RR向IBGP邻居发布路由规则如下：从非客户机学到的路由，发布给所有客户机。从客户机学到的路由，发布给所有非客户机和客户机（发起此路由的客户机除外）。从EBGP对等体学到的路由，发布给所有的非客户机和客户机。6、BGP可以很容易地在IPv6环境下部署（一般称为BGP4+），只需在BGP进程视图下使能IPv6对等体即可，相关命令如下：深入篇项目5部署BGP路由#bgp100router-id //BGP4+环境下必须手工指定BGProuter-idpeer2000::2as-number100peer2000::2connect-interfaceloopback0#ipv6-familyunicast

network2000::1128peer2000::2enablepeer2000::2next-hop-local谢谢网络系统建设与运维路由策略是指通过某种手段，有针对性地修改IP路由表，从而实现特定的选路目的，最常用的工具是Router-Policy。Router-Policy可以在IGP或BGP路由协议中使用，一般通过配合IP-Prefix（IP前缀）来实现，其原理是先利用IP-Prefix来匹配目的网络，然后对相应的路由表项做特定的修改（允许或拒绝通过、修改优先级、更改BGP路由属性等）。本项目介绍如何在BGP中配置路由策略，同时详细介绍了IP-Prefix和Router-Policy的使用方法。深入篇项目6引用路由策略一、学习目标1、了解路由策略的工作原理；2、掌握BGP环境下路由策略的部署。二、网络拓扑图深入篇项目6引用路由策略三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；深入篇项目6引用路由策略设备型号数量路由器ROUTER52、为计算机和相关接口配置IP地址；3、全网能够互通。深入篇项目6引用路由策略设备连接端口IP地址R1E0/0/0R2E0/0/0/24R2E0/0/0R1E0/0/0/24R2E0/0/1R3E0/0/0/24R3E0/0/0R2E0/0/1/24R3E0/0/1R4E0/0/0/24R4E0/0/0R3E0/0/1/24R4E0/0/1R5E0/0/0/24R5E0/0/0R4E0/0/1/24R1LOOPBACK0--/32R2LOOPBACK0--/32R3LOOPBACK0--/32R4LOOPBACK0--/32R5LOOPBACK0--/32四、认知与配置过程在前一个项目中，我们通过BGP协议分别将AS100和AS200中的IGP路由做了互相引入，其中AS100中，通过network命令宣告了两条明细路由（和）；AS200中，通过import命令宣告了IS-IS协议的所有明细路由。当使用import命令宣告BGP路由时，往往需要配合路由策略来使用，以防止引入不必要的路由，比如本例中一共引入了5条明细路由，分别是：/32/32/32/24/24深入篇项目6引用路由策略假设我们希望只引入前3条路由，而把后2条路由屏蔽掉（他们可能是不必要的），就可以使用路由策略来实现，共分3步。1、定义IP前缀2、定义路由策略深入篇项目6引用路由策略[R3]ipip-prefixipp1index10permit32[R3]ipip-prefixipp1index20permit32[R3]ipip-prefixipp1index30permit32[R3]route-policyrp1permitnode10[R3-route-policy]if-matchip-prefixipp13、使用路由策略深入篇项目6引用路由策略[R3-bgp]import-routeisis1route-policyrp1五、测试并验证结果查看R1的BGP路由表：可以看到在R1的BGP路由表中，已经没有了和两条明细路由。深入篇项目6引用路由策略<R1>disbgprouting-table六、项目小结与知识拓展1、IP前缀是一个用于匹配IP路由表项的强大工具，经常被用于路由策略中，命令格式如下：ip-prefix-name：指定地址前缀列表名，唯一标识一个地址前缀列表。index-number：标识地址前缀列表中的一条表项，数值小的表项先被测试。permit：指定所定义的地址前缀列表表项的匹配模式为允许模式。当指定为允许模式并且待过滤的IP地址在该表项指定的前缀范围内时，通过该表项的过滤不进入下一个结点的测试）；如待过滤的IP地址不在该表项指定的前缀范围内，则进行下一表项测试。深入篇项目6引用路由策略ipip-prefixip-prefix-name[indexindex-number]{permit|deny}networklen[greater-equalg|less-equall]deny：指定所定义的地址前缀列表表项的匹配模式为拒绝模式。当指定为拒绝模式并且待过滤的IP地址在该表项指定的前缀范围内时，通不过该表项的过滤，并且不会进行下一个表项的测试，否则进入下一表项的测试。network：指定IP地址的地址段len：指定IP地址的前缀通配符（注意不是子网掩码）greater-equal、less-equal：指定匹配子网掩码的长度范围如果将networklen指定为0，则只匹配缺省路由。如果需要匹配所有路由，则应配置为0less-equal32。深入篇项目6引用路由策略2、路由策略的常用工具有Route-policy、FilterPolicy，其中最常用的又属Route-policy，所有路由策略工具的目标都是要修改路由表，进而改变IP包的路由过程。Route-Policy由策略名称、匹配模式、节点号、if-match子句（条件语句）和apply子句（执行语句）五个部分组成。一个Route-Policy可以由多个节点（node）构成，路由匹配时，按节点号从小到大的顺序依次检查各个表项。Route-Policy各节点号之间是“或”的关系，只要通过一个节点的匹配，就认为通过该过滤器，不再进行其它节点的匹配。当指定节点的匹配模式为permit（允许）时，如果匹配if-match子句，则执行该节点的apply子句，不进入下一个节点，否则进入下一个节点继续匹配。深入篇项目6引用路由策略当指定节点的匹配模式为deny（拒绝）时，如果匹配if-match子句，则apply子句不会被执行，不进入下一个节点；如果不匹配if-match子句，则进入下一个节点继续匹配。通常会在一个Route-Policy的最后，设置一个不含if-match子句和apply子句的permit模式的节点，用于允许其它所有的路由通过。if-match子句用来定义一些匹配条件，Route-Policy的每一个节点可以含有多个if-match子句，也可以不含if-match子句，如果某个permit节点没有配置任何if-match子句，则该节点匹配所有的路由。apply子句用来指定动作，路由通过Route-Policy过滤时，系统按照apply子句指定的动作对路由信息的一些属性进行设置，Route-Policy的每一个节点可以含有多个apply子句，也可以不含apply子句，如果只需要过滤路由，不需要设置路由的属性，则不使用apply子句。深入篇项目6引用路由策略谢谢网络系统建设与运维在广域网中，网络拓扑一般呈现为网状结构，从源端到目的端往往存在多条合法的路径，BGP路由器在收到BGP路由信息后，一般需要经过路径优选，从而找到一条最优的BGP路由，这个过程称为BGP选路原则。为适应各种复杂情况下的选路需求，BGP提供了13条选路原则，默认情况下，BGP总能选出一条最优路径来（BGP选路原则最后一条，优选对等体IP地址更小的路径，而对等体的IP地址总是可以区分大小的），本项目介绍了各种BGP的路由属性，同时说明了如何利用这些属性进行BGP的路径优选。深入篇项目7BGP选路原则一、学习目标1、了解BGP的13条选路原则；2、掌握常用BGP选路原则的配置。二、网络拓扑图深入篇项目7BGP选路原则三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；深入篇项目7BGP选路原则设备型号数量路由器ROUTER52、为计算机和相关接口配置IP地址；深入篇项目7BGP选路原则设备连接端口IP地址R1E0/0/0R2E0/0/0/24R1E0/0/1R3E0/0/0/24R2E0/0/0R1E0/0/0/24R2E0/0/1R4E0/0/0/24R3E0/0/0R1E0/0/1/24R3E0/0/1R4E0/0/1/24R4E0/0/0R2E0/0/1/24R4E0/0/1R3E0/0/1/24R4G0/0/0R5E0/0/0/24R4G0/0/1R5E0/0/1/24R5E0/0/0R4G0/0/0/24R5E0/0/1R4G0/0/1/24R1LOOPBACK0--/32R2LOOPBACK0--/32R3LOOPBACK0--/32R4LOOPBACK0--/32R4LOOPBACK1--1/32R5LOOPBACK0--/323、按图示预配置好IGP路由与BGP邻居关系；4、配置BGP相关属性，按需实现BGP选路。深入篇项目7BGP选路原则四、认知与配置过程BGP一共有13条选路原则，默认情况下，BGP总能选出一条最优的路径来（BGP选路原则最后一条：“优选对等体IP地址更小的路由”，而BGP对等体的IP地址总是不同的），下面的实验，我们通过配置相关的BGP属性，实现BGP路径的优选。1、配置路由器接口IP地址、IGP路由、BGP对等体（略）2、宣告BGP路由深入篇项目7BGP选路原则[R4-bgp]network32[R4-bgp]network132接下来查看R1的BGP路由：可以看到R1针对和1这两个BGP前缀，均有两条合法的BGP路由（标记为“*”），但经过R3的这条路径并不是最优的（没有标记“>”），这其实是BGP选路原则的倒数第二条在起作用（“优选对等体routerid更小的路由”），对于R1来说，很明显R2的BGPRouter-id更小，因此最终经过R2的这条路径被优选为有效路径。下面通过修改BGP的Preference_Value属性，使得R1优选经过R3的路径到达。深入篇项目7BGP选路原则<R1>disbgprouting-table3、配置针对的路由策略接下来查看R1的BGP路由表：可以看到R1已经优选了经过R3到达的路径，Preference_Value属性也已经被修改为100（标记为红色的部分，默认为0，越大越优先）。深入篇项目7BGP选路原则[R1]ipip-prefixipp1permit32[R1]route-policyrp1permitnode10[R1-route-policy]if-matchip-prefixipp1[R1-route-policy]applypreferred-value100[R1]route-policyrp1permitnode100[R1]bgp100[R1-bgp]peerroute-policyrp1import[R1-bgp]disbgprouting-table下面通过修改BGP的Local_preference属性，使得R1优选经过R3的路径到达1。4、配置针对1的路由策略接下来查看R1的BGP路由表：可以看到R1已经优选了经过R3到达1的路径，Local_preference属性也已经被修改为200（标记为红色的部分，默认为100，越大越优先）。深入篇项目7BGP选路原则[R1]ipip-prefixipp2permit132[R1]route-policyrp1permitnode20[R1-route-policy]if-matchip-prefixipp2[R1-route-policy]applylocal-preference200[R1-bgp]disbgprouting-tabl