ROUTE-LAB
LAB 1-1
目的:
- 確認必須提供的網路需求
- 確認必須的訊息
- 確認實行時需要的工作及建立實施計劃
- 驗證活動
實施政策
- 基礎結構採用 CISCO 的三層式架構:
-
必須滿足的基本要求
- Functionality 在時限內滿足並且支援應用程式及資料流量的需
- Performance 滿足企業對 響應速度,吞吐量,利用率
- Scalability 滿足企業對 人員,應用程式及資料流量未來的可擴展性
- Availability 提供企業網路及應用接近 99.999的可用性
- Cost-effectiveness: 在限定的預算
解決方案範例.
- 1-確認必須提供的網路需求& 2. 確認必須的訊息
1.1 使用的應用程式及需要的資料流量
1.2 存在的網路設備,及其作業系統/固件(OS /FirmWare)
1.3 拓樸圖及連線資訊
1.4 IP位址及部署分配
1.5 使用的路由協定及路由器上的設定(注:通常應為所有的網路設備協定)
- 3-確認實行時需要的工作及建立實施計劃
2.1 撰寫必要交件的資訊
2.2 準備必須的工具及資源
連接PC(Terminal)到設備
選擇並且保留必要資源
2.3 設定所有設備上的IP位址
2.4 啟用所有參與運作的界面
2.5 設定網路設備上的必要協定(例:路由協定 )
2.6 設定特定網路設備上的必要特性(例:路由聚合,及封閉網路)
2.7 驗證網路設備及連線是否依據設定正常的運作
2.8 測量執行效率及記錄結果是否滿足
2.9 建立設定備份
2.10建立實施計劃,網路維運基線,及提出必要建議
- 4-驗證活動
3.1 驗證所有設備界面正常運作
3.2 驗證網路設備上的設定是否正運作(例:路由協定)
3.3 驗證網路設備上的路徑是否正確(例:路由表是否包含所有規劃的正確路徑)
3.4 驗證特定網路設備上的必要特性(例:送出聚合路由的路由器是否自我生成指向null0界面的路)
3.5 驗證網路設備上的路徑是否正確及是否要進行調整
LAB 2-1
目的:
- 在WAN 和 LAB 的界面上設定基本的EIGRP及驗證其運
- 使用必要的工具及指令進行設定
- 在某一路由器上使用LAN界面上的次要IP位址加入EIGRP路由協定
- 更改EIGRP路徑測量參數來影響路由的選擇
- 最佳化-1.避免EIGRP的界面送出不必要的HELLO封包訊息
- 最佳化-2.避免不必要的小路由被送出,在特定設備上執行路由聚合
- 列出實施行步驟
- 寫下驗證,測試的計劃檢查所有的設定如規劃方式進行運作
- 利用 SHOW 及 DEBUG的指令檢查設定及驗證運作
Note: 以上router的介面名稱可能與您正在使用的Lab有所不同, 請以實際介面名稱為準.
實施政策
1 講師已為您準備好基本的設定 (IP, Frame-Relay Map)
2 進行EIGRP的基本設定:
2.1 設定R1至R4上的所有路由器, 讓所有網路上的Subnet的Route都能互相交換, 包括來自BBR1的Routes.
2.2 EIGRP的設定應該精確, 請確定當有其它網段的 IP被設定到路由器的介面上時, EIGRP不會自動地將此新增的網段(Route)送出.
2.3 網段都應該依照原有的網路與subnet mask長度送出, auto summarization 則應該被disable.
3 EIGRP 設定的確認:
3.1 檢查R1與 BBR1的 Neighbor有正確的建立.
3.2 檢查R1與 R2, R3, R4的 Neighbor有正確的建立.
3.3 檢查Router所送出的route及subnet mask長度正確, 請嘗試用不同的指令查看而不要直接查看topology及routing Table.
3.4 查看R1的topology 與routing table, 你應該學到所有的routes, 請注意每筆route在topology table中的FD值都正確的
反應在routing table Metric 欄位.
3.5 檢查R4的topology與routing table, 請注意, R4應該學到external routes, 並且這些routes都各有兩條不同的路徑.
例如,你將會看到 192.168.1.0/24的route來自兩個不同的neighbor, 而且metric 相同, 由於預設的Equal Cost Load Balancing 的原故, 這兩個路徑都被 install 到 routing table 中.
3 3.6 在R4啟動 EIGRP event debugging, 你應該看到EIGRP封包的交換, 其中包括10.1.112.0/24(介於R1與R2間的網段)這筆route,
在其它router的query R4時, R4的回應中將會含有infinite metric的值(4294967295)
解答範例:
1.檢查各路由器上所有界面的資訊
R1:
P5R1.LAB21#sh ip interface brief | section up
FastEthernet0/0 172.30.13.1 YES NVRAM up up
Serial0/0/0 unassigned YES NVRAM up up
Serial0/0/0.1 10.1.112.1 YES NVRAM up up
Serial0/0/0.4 10.1.115.1 YES TFTP up up
P5R1.LAB21#sh frame-relay pvc | section DLCI
DLCI = 512, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.1
DLCI = 513, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
DLCI = 514, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
DLCI = 515, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.4
DLCI = 516, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
P5R1.LAB21#sh ip protocols
R2
P5R2.LAB21#sh ip int brief | section up
FastEthernet0/0 172.30.24.2 YES NVRAM up up
Serial0/0/0 unassigned YES NVRAM up up
Serial0/0/0.1 10.1.112.2 YES NVRAM up up
P5R2.LAB21#sh frame-relay pvc | section DLCI
DLCI = 521, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.1
DLCI = 523, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
DLCI = 524, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
P5R2.LAB21#sh ip protocols
R3:
P5R3.LAB21#sh ip interface brief | section up
FastEthernet0/0 172.30.13.3 YES NVRAM up up
Serial0/0/0 unassigned YES NVRAM up up
Serial0/0/0.3 10.1.134.3 YES NVRAM up up
P5R3.LAB21#sh frame-relay pvc | section DLCI
DLCI = 531, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
DLCI = 532, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
DLCI = 534, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.3
P5R3.LAB21#sh ip protocols
R4:
P5R4.LAB21#sh ip interface brief | section up
FastEthernet0/0 172.30.24.4 YES NVRAM up up
Serial0/0/0 unassigned YES NVRAM up up
Serial0/0/0.3 10.1.134.4 YES NVRAM up up
P5R4.LAB21#sh frame-relay pvc | section DLCI
DLCI = 541, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
DLCI = 542, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
DLCI = 543, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.3
P5R4.LAB21#
P5R4.LAB21#sh ip protocols
S1:
P5S1.LAB21.to.LAB61# sh vlan brief
VLAN Name Status Ports
—- ——————————– ——— ——————————-
1 default active Fa0/2, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
111 VLAN0111 active
113 VLAN0113 active Fa0/1, Fa0/3
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
P5S1.LAB21.to.LAB61# sh vlan sum
P5S1.LAB21.to.LAB61# sh vlan summary
Number of existing VLANs : 7
Number of existing VTP VLANs : 7
LAB2-2
以上router的介面名稱可能與您正在使用的Lab有所不同, 請以實際介面名稱為準.
2.3 R3-R4 的 p2p sub-interface 介面, 含 LAN 的網段.
2.4 EIGRP 的設定應讓這個Lab所使用的其它子網路一但加入時, 會自動加到 EIGRP 的 Table 中.
3 確定 R1 的 Topology Table 與 Routing Table:
3.1 由 BBR1 學到 192.168.x.0/24
3.2 由 BBR2 學到 172.30.10.0/24
3.3 比對 Topology Table 與 Routing Table 中的Metric 值.
4 啟動 EIGRP 於:
4.1 R1 與 (R2, R3, R4) 間的 Multipoint Sub-interface.
4.2 所有Router 要能交換 Routes.
5 檢查 Neighbor 與 Routing Table:
5.1 R1-R2
5.2 R1-R3
5.3 R1-R4
5.4 Shutdown R3-R4, 檢查 R3此時學不到 172.30.24.0/24
6 調整 R1 的設定:
6.1 讓 R3 與 R4 仍能學到彼此的LAN subnet.
6.2 No shutdown R3-R4 間的介面.
7 檢查 R1-R2, R1-R3, R1-R4:
7.1 Neighbor Table
7.2 Topology Table
7.3 Routing Table
7.4 觀察 Topology Table 與 Routing Table 的 metric 變化.
7.5 再次 shutdown R3-R4 間的介面, 並確認 R2, R4 是從 R1 學到 172.30.13.0/24
8 正確調整參數, 影響路徑的選擇:
8.1 設定R3 與 R4之間介面的 Delay, 讓R2把學自R1的Route當作是Feasible Successor(Backup)
8.2 設定 R3, 讓R3到 172.30.24.0/24 的路徑可執行 Unequal Cost Load Balancing.
8.3 設定正確Route與參數, 讓 R3 到 172.30.24.0/24 的路徑是以 R4作為 Primary Route, 以 R1作為Backup Route.
9 最後, 確定要讓R3的 LAN 要能與 R2, R4 的 LAN 仍然可以建立連線.
LAB 2-3
以上router的介面名稱可能與您正在使用的Lab有所不同, 請以實際介面名稱為準.
1 在LAN介面上設定EIGRP Authentication.
1.1 EIGRP Authentication 應使用
安全的機制.
1.2 EIGRP Authentication 的密碼永不過期.
1.3 在所有Router上應用正確的指令檢查 Key Chain 的設定正確無誤, 並且使用正確的key 在作Authentication, 確認 Key 的時間永不過期.
1.4 檢查 EIGRP Neighbor 正確的建立.
1.5 檢查 EIGRP Routing 都有正確學習到每一個Router上.
2 在WAN介面上設定 EIGRP Authentication.
2.1 EIGRP Authentication 應使用
安全的機制.
2.2 EIGRP Authentication 的密碼永不過期.
2.3 在所有Router上應用正確的指令檢查 Key Chain 的設定正確無誤, 並且使用正確的key 在作Authentication, 確認 Key 的時間永不過期.
2.4 檢查 EIGRP Neighbor 正確的建立.
2.5 檢查 EIGRP Routing 都有正確學習到每一個Router上.
LAB2-4
以上router的介面名稱可能與您正在使用的Lab有所不同, 請以實際介面名稱為準.
1 在LAN介面上設定EIGRP Authentication.
1.1 EIGRP Authentication 應使用
安全的機制.
1.2 EIGRP Authentication 的密碼永不過期.
1.3 在所有Router上應用正確的指令檢查 Key Chain 的設定正確無誤, 並且使用正確的key 在作Authentication, 確認 Key 的時間永不過期.
1.4 檢查 EIGRP Neighbor 正確的建立.
1.5 檢查 EIGRP Routing 都有正確學習到每一個Router上.
2 在WAN介面上設定 EIGRP Authentication.
2.1 EIGRP Authentication 應使用
安全的機制.
2.2 EIGRP Authentication 的密碼永不過期.
2.3 在所有Router上應用正確的指令檢查 Key Chain 的設定正確無誤, 並且使用正確的key 在作Authentication, 確認 Key 的時間永不過期.
2.4 檢查 EIGRP Neighbor 正確的建立.
2.5 檢查 EIGRP Routing 都有正確學習到每一個Router上.
———————————————————————————————————————-
LAB3-1
1 設定OSPF於介面上 (R1-R3的LAN, R2-R4的LAN):
1.1 設定OSPF LAN的網段能夠被存取的到.
1.2 所有的Router都在Backbone Area.
1.3 OSPF 的設定應該要精確, 以免當額外的子網段介面加入時自動的啟動了OSPF.
1.4 IP Routing Table 中的網段也應該與實際網路遮罩吻合.
2 確認R1-R3, R2-R4的LAN
2.1 OSPF Neighbor已建立:
2.2 並檢查Neighbor建立的時間有多久?
2.3 是否有任何問題影響Neighbor的溝通? 例如封包在Queue中無法送出?
2.4 在不看Routing Table 與 Topology Table的情況下, 請確定有送出所有LAN與Loopback正確的Route以及正確的 Subnet mask.
2.5 檢查R1的Topology 與 Routing Table進行比較, 你應該看到R3的 Loopback網段及其metric 值.
2.6 確定R1與R3的LAN上是由 R1擔任DR.
3 設定OSPF於WAN介面上(R3-R4)
3.1 R3-R4需交換LAN與Loopback網段.
3.2 OSPF的設定是在 Frame-Relay的Point-to-Point介面上.
3.3 Area 請設定在Backbone Area之內.
3.4 OSPF的設定應該要精確, 以便有額外的IP加入Router時不會自動的被加入OSPF送出.
4 確認R3-R4的WAN
4.1 OSPF Neighbor已建立:
4.2 並檢查Neighbor建立的時間有多久?
4.3 是否有任何問題影響Neighbor的溝通? 例如封包在Queue中無法送出?
4.4 在不看Routing Table 與 Topology Table的情況下, 請確定有送出所有LAN與Loopback正確的Route以及正確的 Subnet mask.
4.5 檢查R1的Topology 與 Routing Table進行比較, 你應該看到R3的 Loopback網段及其metric 值.
5 設定OSPF於WAN介面上(R1-R2, R1-R4)
5.1 OSPF的設定是在 Frame-Relay的Multi-point介面上.
5.2 Area 請設定在Backbone Area之內.
5.3 OSPF的設定應該要精確, 以便有額外的IP加入Router時不會自動的被加入OSPF送出.
6 確認R1-R2, R1-R4的WAN
6.1 OSPF Neighbor已建立:
6.2 並檢查Neighbor建立的時間有多久?
6.3 是否有任何問題影響Neighbor的溝通? 例如封包在Queue中無法送出?
6.4 檢查所有的Router的Topology Table與Routing Table都有學習到所有的Routes及正確的Subnet Mask.
————————————————————————————————————————————-
LAB 3-2
–
1 設定R1-BBR2 WAN 界面上OSPF於(R1-BBR2):
BBR2已經預設為Area 0.
啟動 OSPF 於 R1與BBR2的 WAN介面, 同樣是 Area0.
R1應該由BBR2收到172.30.10.0/24 的網段.
2 確認OSPF的設定(R1-BBR2):
Neighbor 應該已經建立
比對 R1的LSDB與IP Routing Table, 應正確學到Routes.
確定R1的Route可以與172.30.10.0/24網段連線.
3 設定其它OSPF Area (R2, R3, R4):
設定R3的所有介面於 Area 3之中.
設定R2與R4 的所有介面於Area24之中.
檢查所有的Router都應該學習到所有網段的Routes.
4 確認OSPF的設定:
R1與R3應建立Adjacency於Area 3之中.
比對R3的LSDB, Routing Table. R3應正確學到Routes.
R1-R2, R1-R4應建立Adjacency於Area 24之中.
比對R2與R4的LSDB, Routing Table.
R2, R4應正確學到Routes, 包含來自BBR2的subnets.
確定可以正確連到BBR2的172.30.10.0/24 Subnet.
5 調整OSPF參數:
請在Area24中精確的調整Path Cost, 影響運算的結果. 目的是讓R1的172.30.24.0/24 Route是以R2為最佳路徑.
為了讓Area 0更穩定, 請手動指定R1的Router ID.
請在R3上設定讓LAN網段減少不必要的Traffic. 目的是簡省CPU的運算.
6 確認OSPF的設定:
確定所有的Router的OSPF Adjacency 都是 up並且運作正常.
R1應與BBR2在 Area0 中.
R1應與R3在Area3 中.
R1應與R2, R4 在Area24中.
R1應使用新定的Router ID.
R1應使用R2作為前往172.30.24.0/24 做為最佳路徑.
R3應只有與R1建立Adjacency
R3不應透過LAN與R1建立Adjacency.
2. 檢測OSPF的基本設定,運作及目前網路的結構
Rl#show ip ospf neighbor
Rl#show ip ospf database
3. Summarizing the OSPF intemal routes.
R1#
router ospf 1
area 0 range 172.30.0.0 255.255.0.0
4. 1. Use the following example to configure router R3 in this lab:
R3#
router ospf 1
summary-address 192.168.0.0 255.255.0.0
4.2. Verify the OSPF link-state databases and IP routing tables.
R1#show ip ospf database
—————————————————————————————————————————————–
LAB3-3
檢查OSPF (R1-R4)目前的Routes:
R1-R4 都已設定將直接連接的網段以OSPF送出.
R3 已將OSPF External Routes送往你的OSPF網路當中.
檢查OSPF(R1-R4)既有狀態:
檢視R1-R4的設定, 包括涵蓋的network, 啟動的介面, Adjacencies, LSDB與OSPF的Area.
確定R1-R4都可以連到(Ping) 其所學到的每一個網段.
查看Routing Table, 寫下目前的各Router送出的Routes.
設定OSPF Internal Routes 的 Summarization:
根據前面收集的資訊, 進行Routes Summarization的設定.
你需要將來自BBR2的 172.30.x.0/24 Routes進行Summary.
確認OSPF Summarization的設定:
確定 R1-R4的Adjacency仍然正常.
檢查 172.30.x.0/24 經過 Summary 之後的Routes 資訊存在於R1-R4的LSDB 與Routing Table中.
確定各Router都能連線到(Ping)172.30.x.0/24 的IP.
進一步設定OSPF External Routes 的 Summarization:
R3目前已將192.168.x.0/24 的Routes 以 Redistribute的方式送入OSPF之中, 由於R3是這些網段的唯一來源, 因此沒有必要讓其它Router一一學習到每一筆192.168.x.0的Route. 但是, 未來還有可能會有192.168.x.0/24的網段會加入R3.
請設定將192.168.x.0/24 的Routes 進行 Summarization.
確認OSPF Summarization的設定:
確定 R1-R4的Adjacency仍然正常.
檢查 192.168.x.0/24 Summary 之後的Route 資訊存在於R1-R4的LSDB 與Routing Table中.
確定各Router都能連線到(Ping)192.168.x.0/24 的IP.
1.
2.
3.
3. Summarizing the OSPF intemal routes.
3. 1. Use the following example to configure router Rl in this lab:
R 工#
router ospf 1
area 0 range 172.30.0.0 255.255.0.0
3之Veri有T the OSPF link-state databases and IP routing tables.
Rl#show ip ospf database
OSPF Router with ID (1.1.1.1) (process ID 1)
4. Summarizing OSPF extemal routes.
4. 1. Use the following example to configure router R3 in this lab:
R3#
router ospf 1
summary-address 192.168.0.0 255.255.0.0
4.2. Verify the OSPF link-state databases and IP routing tables.
R1#show ip ospf database
————————————————————————————————————————–
LAB 3-4
檢查OSPF (R1-R4)目前的Routes及 網路結構
R1-R4 都已設定將直接連接的網段以OSPF送出.
R3 同時也已將OSPF External Routes送往你的OSPF網路當中.
檢查OSPF(R1-R4)既有狀態:
檢視R1-R4的設定, 包括所涵蓋的OSPF範圍, 啟動的介面, Adjacencies, LSDB與OSPF的Area.
確定R1-R4都可連接到OSPF送出的每一個網段.
查看Routing Table, 記錄目前的各Router送出的Routes與IP定址.
設定OSPF Area 24 的 Area Type:
在R2與R4沒有足夠的CPU與Memory來處理來大量Routing Information. 因此必需設法降低R2與R4上的OSPF Link-State Database大小來節省資源的使用.
確認OSPF的設定:
確認R1與 R2, R3, R4, BBR2都有建立 Adjacency.
確認 R2 與 R4之間有建立 Adjacency.
檢查 R1 與 R3的LSDB, 確定它們都有每一筆OSPF internal 與 external 資訊, 且都有將正確的最佳路徑置入Routing Table.
檢查 R2 與 R4的LSDB有變得較小, 因它們不再擁有每一筆來自External 的網段的資訊, 也就是那些被Redistributed 進入 OSPF的Routes.
確定即使 R2 與 R4 沒有每一筆資訊的細節, 但仍然可以與External Routes的網段連線.
設定 OSPF Area 24 的 Area Type:
在前一個步驟中, 雖然已降低了Area 24 的LSDB的資訊數量以節省R2, R4的資源使用, 但你發現它們仍然無法處理所有OSPF的資訊. 因此, 需要進一步降低OSPF的資訊數量, 可是還是要維持讓R2 與 R4可以連線到每一個網段.
確認OSPF 的設定:
確認R1與 R2, R3, R4, BBR2都有建立 Adjacency.
確認 R2 與 R4之間有建立 Adjacency.
檢查 R1 與 R3的LSDB, 確定它們都有每一筆細節的OSPF internal 與 external 資訊, 且都有將正確的最佳路徑置入Routing Table.
檢查 R2 與 R4的LSDB有變得比較小, 因為它們不再擁有每一筆來自Area 24 以外的網段的資訊, 換言之就是那些被Redistribute 進入 OSPF的Routes以及其它Area的Routes.
確定即使 R2 與 R4 沒有每一筆資訊的細節, 但仍然可以與External Routes的網段
與其它的Area連線.
設定 OSPF Area 3 的 Area Type:
此步驟中將透過設定降低 Area 3 內的資訊數量.
你發現R3沒有足夠的記憶體來儲存所有的OSPF IP Routing 資訊, 換言之, 無法儲存任何動態學到的Routing 資訊.
確認OSPF 的設定:
確認R1與 R2, R3, R4, BBR2都有建立 Adjacency.
確認 R2 與 R4之間有建立 Adjacency.
檢查 R1的LSDB, 確定它們都有每一筆細節的OSPF internal 與 external 資訊, 且都有將正確的最佳路徑置入Routing Table.
確定 R1 可以連接所有學習到的網段.
檢查 R2 與 R4有來自Area 24 internal的Route, 但沒有Area24以外的網段的資訊. 即便如此, R2與R4 仍可連接每一個網段.
檢查 R3的Database並確認其Size變小了, Database 應該有Area3內部的資訊及Redistribute進入Area 3 的資訊, 但沒有任何來自其它Area的資訊或從其它Area 進來的 External Route.
確定 R3 可以連線到每一個網段.
1.
2.
Rl#
router ospf 1
area 24 stub
R2#
router ospf 1
area 24 stub
R4#
router ospf 1
area 24 stub
3.
4.
Use the following examplc to configure routcr R 1 in this lab:
R1#
router ospf 1
area 24 stub no-summary
5.
6.
5.1. Use the following example to configure router R1 in this lab:
R1#
router ospf 1
area 3 nssa no-summary
R3#
router ospf 1
area 3 nssa
7.
—————————————————————————————————————————–
LAB 3-5
檢視網路目前的設定:
1 檢查Routing的設定與動作是否正常.
2 R1, R2, R3, R4目前應已設定OSPF並將它們直連的網段送出.
3 部份Router同時還送出一些External OSPF network 到OSPF的routing domain中.
網路管理員必需在Router上進行設定來防止Traffic被駭客侵入並製造Routing的黑洞, 因此:
1 請以per-interface設定OSPF Authentication於Area 3 與 Area24 的Router上.
2 於 R3-R1間使用Simple OSPF Authentication 並查看其動作過程.
3 於 R2-R4間的LAN使用較安全的 OSPF Authentication 並查看其動作過程.
由於使用最小的指令在下列OSPF AREA的所有界面設定較安全的 OSPF驗證:
1 在Area 24上設定Secure的OSPF Authentication驗證.
2 請確定Authentication成功, LSDB, Routing Table 學習正確.
- 在所有的路由器上用下列指令記錄目前的 OSPF設定
Rx# show ip ospf
RX#show ip ospf databae
RX#show ip route [ospf ]
RX#show ip ospf neighbor
- 在 R1,R3 的OSPF 路由器上 ,針對WAN連結不同OSPF路由器的界面配置簡單密碼驗證 ,密碼為CISCO
在 R2,R4 的OSPF 路由器上 ,針對WAN連結不同OSPF路由器的界面配置較安全的md5驗證 ,ID及key為 1及CISCOR1#
interface SerialO/0/0.2 point-to-point
ip ospf authentication
ip ospf authentication-key CISCO
R2#
interface FastEthernetO/O
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 CISCO
R3#
interface SerialO/0/0.2 point-to-point
ip ospf authentication
ip ospf authentication-key CISCO
R4#
interface FastEthernetO/O
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 CISCO
-
驗證R1-R4在驗證後用
Rx# show ip ospf
RX#show ip ospf databae
RX#show ip route [ospf ]
RX#show ip ospf neighbor
令觀察的狀態和未驗證之前相同
LAB 4-1
基本設定
- 在R1與R3之間設定RIPv2路由協定,並且宣告R3的區域網路網段,RIPv2只在廣域網路上交換更新訊息 .
- 在R1, R2 與 R4之間設定 OSPF.路由協定,R1的OSPF路由執行程序只包含連結到 R2,R4的廣域網路界面,
而R2,R4則除了連結R1的廣域網路亦包含了區域網路.
- 在R1 與 BBR2之設定EIGRP路由協定.
基本設定驗證檢查:
- 確認R1與R3之間的RIPv2已啟動, 且R1可以存取由RIPv2學到的網段.
- 確認R1與BBR2之間的EIGRP已啟動, 且R1收到由BBR2送出的EIGRP Routes, 並且可以存取這些網段.
- 確認R1, R2與R4之間的OSPF已啟動, Adjacency已建立, 而且R1可從LAN Segment上的R2與R4學到Routes.同時 R1也可以存取這些網段.
單向Redistribution(RIP-to-EIGRP) 設定:
- 在R3上僅將目前存的Loopback上的網路以重分配(redistribution)的方式加入RIPv2 路由協定,將網段送出.
(限制:不可使用ACL及Route-Map 進行設定->Distribute with prefix-list)
- 在R1上設定RIP-to-EIGRP 的redistribution與filter, 目的是只讓其中一段Loopback(192.168.1.0/24)轉入EIGRP協定
(不可使用Distribute-List.->Route-map with ACL )
- 由於RIP-to-EIGRP是單向將RIP的route轉換為EIGRP, 因此你必需在R3上設定一筆靜態預設路由(Static Default Route)
以提供能夠連線到其它網路的能力.
單向Redistribution(RIP-to-EIGRP) 設定驗證檢查::
- 檢查R1與R3上的RIPv2 Database, 確定R3的Loopback網段在Redistribution後已出現.
- 在R3上再新增一個Loopback介面, 確定這個新增的介面不會自動被Redistribution進入RIPv2的Database中.
R1也不應收到這個訊息.
- 確定 R3可以連線到BBR2的區域網路LAN.
在R1上設定OSPF vs EIGRP双向Redistribution(及 OSPF vs RIP):
- 在適當的Router上設定OSPF與RIP的双向Redistribution.
- RIP 僅接受原來由OSPF路由協定產生的路由進行重分配至RIP的路由協定中
- OSPF僅接受原來由RIP路由協定產生的路由進行重分配至OSPF的路由協定中
在R1上設定OSPF vs EIGRP双向Redistribution(及 OSPF vs RIP)驗證檢查
- 檢查R3上RIP的Routing Table, 應可以看到來自OSPF網域的網段.
- 檢查R1上EIGRP的Topology Table, 應可看到來自OSPF網域的網段.DEX的routes
- 檢查R2與R4的OSPF LSDB 與 Routing Table, 應可看到從RIP與EIGRP網域中Redistribution進來的Routes.
- 確定可以從R2的LAN連接到BBR2的LAN.
- 確定可以從R3的LAN 連接到R2 的LAN.
Solution
1.在R1&R3 啟動 RIP 路由協定
Rl#
router rip
version 2
network 10.0.0.0
no auto-summary
R3#
router rip
version 2
network 10.0.0.0
network 172.30.0.0
no auto-summary
2.驗證RIP路由協定確運作.
驗證 RIP的指令
RX# show ip rip database
RX# show ip route [RIP]
3.在R1&R2&R4 啟動 OSPF 路由協定
R1#
interface SerialO/0/0.1 multipoint
ip ospf network point-to-multipoint
ip ospf hello-interval 10
router ospf 1
log-adjacency-change
network 10.1.110.0 0.0.0.255 area 0
R2#
interface serialO/0/0.1 multipoint
ip ospf network point-to-multipoint
ip ospf hello-interval 10
router ospf 1
log-adjacency-changes
network 10.1.110.0 0.0.0.255 area 0
network 172.30.24.0 0.0.0.255 area 0
R4#
interface serialO/0/0.1 multipoint
ip ospf network point-to-multipoint
ip ospf hello-interval 10
router ospf 1
log-adjacency-changes
network 10.1.110.0 0.0.0.255 area 0
network 172.30.24.0 0.0.0.255 area 0
在R1&R2&R4 驗證 OSPF 路由協定
驗證OSPF的指令
RX#show ip ospf interface
RX#show ip ospf neighbor
RX#show ip ospf database
RX#show ip route
3.在R1啟動 eigrp 路由協定
R1#
router eigrp 1
network 10.l.l16.0 0.0.0.255
在R1驗證 EIGRP 路由協定
驗證 EIGRP的指令
RX#show ip eigrp interface
RX#show ip eigrp neighbor
RX#show ip eigrp toplogy
RX#show ip route
4.(Redistribute CONNECTED)重分配指定的直連界面到 RIP 路由協定
利用 Prefix-list限制重分配的直連界面的網路
ip prefix-list PL-R1P seq 5 permit 192.168.1.0/24
ip prefix-list PL-R1P seq 10 permit 192.168.2.0/24
ip prefix-list PL-R1P seq 15 permit 192.168.3.0/24
R3#
router rip
redistribute connected
distribute-list prefix PL-RIP out connected
R1#重分配指定的RIP路由到 eigrp 路由協定
router eigrp 1
redistribute rip route-map RM-RIP
default-metric 1500 100 255 1 1500
!設定轉入 EIGRP路由的 seed metrics
ip access-list standard ACL-R工P
permit 192.168.2.0 0.0.0.255
permit 192.168.3.0 0.0.0.255
!
route-map RM-RIP deny 10
match ip address ACL-RIP
route-map RM-R1P permit 99
7.在R3上設定預設路由
R3#
ip route 0.0.0.0 0.0.0.0 10.1.113.1
8. 在R1上設定OSPF vs EIGRP双向Redistribution
R1#
router eigrp 1
redistribute ospf 1
router ospf 1
redistribute eigrp 1 subnets
9.在R1上設定OSPF vs RIP 双向Redistribution
R1#
router ospf 1
redistribute rip subnets
router rip
redistribute ospf 1
________________________________________________________________________________________________________________________________________
LAB 5-1
在R1-R4上將所有的界面(LANs ,WANs 及 loopbacks)加入EIGRP 1 的路由協定並檢查其運作
測試由SW上送到 192.168.1.0 及 192.168.2.0的路徑,及是否可到達192.168.1.0 及 192.168.2.0
測試由R1上送到 192.168.3.0 的路徑,及是否可到達192.168.3.0
在R3上更改路徑決定政策,將由來源為 SW上的IP 位址(172.30.13;11)送往192.168.1.0及192.168.2.0時
使用 R1當作下一站位址 (path R3->R1->R2->R4)
驗證R3的決策性路由是否正確運作
在R1上更改路徑決定政策,將R1本身產生的資料流量送往192.168.3.0使用 R3當作下一站位址 (path R1->R3->R4)
STEP1
Rl#
router eigrp 1
network 10.0.0.0
network 172.30.0.0
no auto-sumrnary
R2#
router eigrp 1
network 10.0.0.0
network 172.30.0.0
no auto-summary
R3#
router eigrp 1
network 10.0.0.0
network 172.30.0.0
no auto-summary
R4#
router eigrp 1
network 10.0.0.0
network 172.30.0.0
network 192.168.0.0 0.0.255.255
no auto-summary
STEP2
show ip route & ping
STEP3
在R3上設定 POLICY-BASE ROUTING
Use the following example to configure PBR on router R3 in the lab.
R3#
interface FastEthernetO/O
ip policy route-map RM-PBR
ip access-listextended ACL-PBR
permit ip host 172.30.13.11 192.168.1.0 0.0.0.255
permit ip host 172.30.13.11 192.168.2.0 0.0.0.255
route-map RM-PBR permit 10
match ip address ACL-PBR
set ip next-hop 172.30.13.1
驗證the traffic flow from switch SWl and PBR on R3.
Examine the path of the IP packcts.
timeout is 2 seconds:
sw1#ping 192.168.1.1
Type escape sequence to abort.
Sending 5 , 100-byte ICMP Echos to 192.168.1.1 ,
!!!!!
Success rate is 100 percent (5/5) , round-trip min/avg/max = 58/58/59 ms
timeout is 2 seconds:
R3#debug ip policy
policy routing debugging is on
Note Enable debugging in order to see the policy macth following the ping commands on pod
sw1#ping 192.168.1.1
Type escape sequence to abort.
sending 5 , 100-byte 工CMP Echos to 192.168.1.1 , timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5) , round-trip min/avg/max = 51/58/67 ms
R3#
*May 24 14:14:49.025: IP: s=172.30.13.11 (FastEthernetO/O) , d=192.168.1.1 , len
100, FIB policy match
*May 24 14:14:49.025: IP: s=172.30.13.11 (FastEthernetO/O) , d=192.168.1.1 , len
100 , policy match
*May 24 14:14:49.025: IP: route map RM-PBR, item 10 , permit
*May 24 14:14:49.025: IP: s=172.30.13.11 (FastEthernetO/O) , d=192.168.1.1
(FastEthernetO/O) , len 100, policy routed
sw1#ping 192.168.3.1
Type escape sequence to abort.
Sending 5 , 100-byte 工CMP Echos to 192.168.3.1 , timeout is 2 seconds:
!!!!!.
8uccess rate is 100 percent (5/5) , round-trip min/avg/max = 50/57/59 ms
R3#
*May 24 14:15:16.645: IP: s=172.30.13.11 (FastEthernetO/O) , d=192.168.3.1 , len
100 , FIB policy rejected(no match) – normal forwarding
*May 24 14:15:16.645: IP: s=172.30.13.11 (FastEthernetO/O) , d=192.168.3.1
(FastEthernetO/O) , 1en 100 , po1icy rejected – norma1 forwarding
在R1上定義決策性路由影響本身產生流量的傳送路徑
ip local policy route-map RM-LOCAL-PBR
!
ip access-list extended ACL-LOCAL-PBR
permit ip any 192.168.3.0 0.0.0.255
!
route-map RM-LOCAL-PBR permit 10
match ip address ACL-LOCAL-PBR
set ip next-hop 172.30.13.3
. 驗證Verify the traffic flow and PBR on Rl.
R1#ping 192.168.3.1
Type escape sequence to abort.
Sending 5 , 100-byte ICMP Echos to 192.168.3.1 , timeout is 2 seconds:
!!!!!.
Success rate is 100 percent (5/5) , round 咀trip min/avg/max = 56/57/60 ms
R1#traceroute 192.168.3.1
Type escape sequence to abort.
Tracing the route to 192.168.3.1
1 172.30.13.3 0 msec 0 msec 0 msec
2 172.30.13. 工36 msec 32 msec 32 msec
3 10.1.112.2 28 msec 28 msec 28 msec
4 172.30.24.4 28 msec 28 msec *
R1#debug ip po1icy
Po1icy routing debugging is on
Note:Enable debugging in order to see the policy match following the ping commands on pod
router R1
R1#ping 192.168.3.1
Type escape sequence to abort.
Sending 5 , 100-byte ICMP Echos to 192.168.3.1 , timeout is 2 seconds:
!!!!!.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 56/58/60 ms
!
R1#
*May 24 14:28:08.341: IP: s=10.1.112.1 (loca1) , d=192.168.3.1 , 1en 100 , po1icy
match
*May 24 14:28:08.341: IP: route map RM-LOCAL-PBR , item 10 , permit
*May 24 14:28:08.341: IP: s=10.1.112.1 (loca1) , d=192.168.3.1
(FastEthernetO/O) , 1en 100 , po1icy routed
*May 24 14:28:08.341: IP: local to FastEthernetO/O 172.30.13.3
*May 24 14:28:08.401: IP: s=10.1.112.1 (local) , d=192.168.3.1 , len 100 , policy
match
*May 24 14:28:08.401: IP: route map RM-LOCAL-PBR , item 10 , permit
*May 24 14:28:08.401: IP: s=10.1.112.1 (local) , d=192.168.3.1
(FastEthernetO/O) , len 100 , policy routed
*May 24 14:28:08.401: IP: 1ocal to FastEthernetO/O 172.30.13.3
*May 24 14:28:08.457: IP: s=10.1.112.1 (local) , d=192.168.3.1 , len 100 , policy
match
*May 24 14:28:08.457: IP: route map RM-LOCAL-PBR, item 10 , permit
*May 24 14:28:08.457: IP: s=10.1.112.1 (local) , d=192.168.3.1
(FastEthernetO/O) , len 100 , policy routed
*May 24 14:28:08.457: IP: local to FastEthernetO/O 172.30.13.3
*May 24 14:28:08.517: IP: s=10.1.112.1 (local) , d=192.168.3.1 ,len 100, policy
Match
R1#ping 192.168.1.1
Type escape sequence to abort.
Sending 5 , 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
! ! ! ! !
Success rate is 100 percent (5/5) ,言。und-trip min/avg/max = 56/56/60 ms
R1#
*May 24 14:28:18.977: IP: s=10.1.112.1
rejected — normal forwarding
*May 24 14:28:19.033: 工P: s=10 .1. 112.1
———————————————————————————————————
LAB 6-1 & 6-2 BGP
TASK1
- 在 R1-R4 上 設定及啟用 BGP 協定
- R3 加入 BGP AS 130 ,R1 加入 BGP AS 100 ,並且在 R3 & R1 之間建立 EBGP 的 PEER 關係
- R3 加入 BGP AS 130 ,R4 加入 BGP AS 400 ,並且在 R3 & R4 之間建立 EBGP 的 PEER 關係
- R2加入 BGP AS 200 並和,在AS 100 的R1 加入 之間建立 EBGP 的 PEER 關係
- 在 AS200 的R2 和 加入 BGP AS 400的 R4 之間 建立 EBGP 的 PEER 關係
- 在 AS 130 ,100,400之間的peer 需使用 MD5 進行驗證以達到最安全的交換訊息方式
-
驗證所有 PEER 正確建立鄰居,及接收BGP路由更新訊息
SOL:
STEP 1: 在 R1-R4 使用 show ip int brief | section up 找出所有使用中的界面及IP位址
STEP 2 : 設定基本 BGP PEER關係
R1#
router bgp 100
no synchronization
bgp log-neighbor-changes
ne 工ghbor 10.1.112.2 remote-as 200
neighbor 10.1.113.3 remote-as 130
neighbor 10.1.113.3 password cisco
no auto-summary
R2#
router bgp 200
no synchronization
bgp log-neighbor-changes
neighbor 10.1.112.1 remote-as 100
neighbor 10.1.124.4 remote-as 400
no auto-summary
R3#
router bgp 130
no synchronization
bgp log-neighbor-changes
neighbor 10.1.113.1 remote-as 100
neighbor 10.1.113.1 password cisco
neighbor 10.1.134.4 remote-as 400
neighbor 10.1.134.4 password cisco
no auto-summary
R4#
router bgp 400
no synchronization
bgp log-neighbor-changes
neighbor 10.1.124.2 remote-as 200
neighbor 10.1.134.3 remote-as 130
neigrilior 10.1.134.3 password cisco
no auto-summary
STEP3:驗證
在 R1-R4 上 使用
Rx# Show ip bgp summary
Rx# Show ip bgp neighbor
的指令檢查是否鄰居正確建立
TASK2
- R3利用 NETWORK 指令 宣告直連的網路 172.30.13.0/24 給之前建立的EBGP 鄰居
- R3 利用 REDISTRIBUT 的方式宣告 本身的 loop Back界面給 10.3.3.3/32 給PEER AS 100, 及 400
- 設定 R2 宣告 192.168.x.0的 網路 給鄰居的 AS, 除了宣告各別的192.168.x.0 /24 之外只要有任合
一筆 192.168.x.0/24存在就只送出 192.168.0.0/16 的聚合網路
- 檢查 R1,R2,R4 是否有 172.30.13.0/24 , 10.3.3.3/32 的路由存在 ,且 R1,R3,R4 上是否有192.168.0.0/16 的路由存在(Routing Table & BGP TABEL)
Step 4 宣告BGP的網路
R3# router bgp 130
network 172.30.13.0 mask 255.255.255.0
redistribute connected route-map RM-BGP
!
ip access-l工ststandard ACL-BGP permit 10.3.3.3
!
route-map RM-BGP permit 10 match ip address ACL-BGP
R2#
router bgp 200
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
aggregate-address 192.168.0.0 255.255.0.0 summary-only
STEP 5 路由表及 BGP table驗證
在 R1,R2,R4 使用 Rx# Show ip bgp 及 sh ip route 的指令進行驗證 172.30.13.0/24 及 10.3.3.3/32 存在與否
在 R1,R3,R4 使用 Rx#show ip bgp 及 s hip route 的指令進行驗證 192.168.0.0/16是否存在
LAB 6-2 BGP
各設備加入的 AS號碼
AS130 和 AS 100 建立 BGP PEER (R3-R1)
AS200 和 AS 100 建立 BGP PEER(R2-R1)
AS400 和 AS 200 建立 BGP PEER(R4-R2)
R3宣告172.30.13.0 /24資訊給 PEER 的 AS
R2宣告192.168.1.0 /24,192.168.2.0/24 ,192.168.3.0/24 資訊給 PEER 的 AS
更改BGP的預設選擇路徑的方式,封包由AS103送往AS200時將使用經由 10.1.131.1的路徑將被當成主要路徑,
10.1.113.1的路徑為次要路徑
建立額外的BGP PEER
SW1加入AS130 和在AS 100的R1建立 E-BGP SESSION
在AS130 的R3 和在AS 400的 R4建立 E-BGP SESSION
在AS130 的 R3和 SW 建立 i-BGP SESSION
移除AS130 R3 和 AS100 R1之間的 E-BGP PEER
檢查 EBGP 的 PEER 關係 ,及路由表中存在需要的路由 ,以及AS130的主要傳送及接收路徑
影響來自AS200 進入 AS130的路徑將偏好使用R1
SOL:
STEP1:建立基本BGP peer
R1#
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 10.1.112.2 remoteas200
! TO R2
neighbor 10.1.113.3 remote-as 130
! TO R3
neighbor 10.1.131.3 remote-as 130
! TO R3
no auto-summary
R2#
router bgp 200
no synchronization
bgp log neighbor-changes
neighbor 10.1.112.1 remote-as 100
! TO R1
neighbor 10.1.124.4 remote-as 400
! To R4
no auto-summary
R3#
router bgp 130
no synchronization
bgp log-neighbor-changes
neighbor 10.1.113.1remote-as 100
! To R1
neighbor 10.1.131.1 remote-as 100
! To R1
no auto-summary
R4#
router bgp 400
no synchronization
bgp log-neighbor-changes
neighbor 10.1.124.2 remote-as 200
! TO R2
no auto-summary
STEP2:
RX# show ip bgp summary
RX# show ip bgp
STEP 3 宣告網路
R2#
router bgp 200
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
R3#
router bgp 130
network 172.30.13.0 mask 255.255.255.0
STEP4
RX# show ip bgp
RX# show ip route
STEP 5修正路徑
R3#
router bgp 130
neighbor 10.1.113.1 route-map RM-MED out
!影響返回的路徑,用10.1.131,1當作較佳路徑
neighbor 10.1.131.1 route-map RM-WEIGHT in
!影響傳送路徑使用10.1.131.1當作主要傳送路徑
route-map RM-WEIGHT permit 10
set weight 1000 route-map RM-MED permit 10
route-map RM-MED permit 10
set metric 1000
MY Notes BLOG 