HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)
                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)

目录

​​复习bgp的内容​​

​​bgp邻居建立过程​​

​​实验:配置非shortcut方式DSVPN(BGP路由协议)​​

​​需求和拓扑​​

​​操作步骤​​

​​1、配置地址和安全区域​网络安全

​​2、配置安全策略​​

​​3、配置公网网络安全大赛动态路由确保公网接口路由可达​​

​​4、配置tunnel​​

​​5、配置ebgp​​

​​分析和验证​​网络

​​1、在pc3上pinp2psearcherg pc2​p2p搜寻者

​​2、检查spoke2的nhrp表​​


如果分支路由交换机和交换机的区别机构分布地域较远,处于不同的as域中,总部和网络协议主要由哪三个要素组成分支机构的私网络安全法子网环境频繁变动,比如新增路由协议的作用和删除。为路由协议的分类了简化维护,as间建立ebgp来传递网络路由就比较适合。

复习bgp的内容

bgp邻居建立过程


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)

bgp依托tcp传递协议数据来建立邻居关系。邻居关系是相对于router-id而言的,而tcp是基于ip的,所以bgp的route-id必须路由可达。

bgp的router-id是手工配置或者自动生成的。如果没有进行手工配置,那么就会使用逻辑接口的地址作为路由器的router-id。这个逻辑接口可以是loopback接口,也可以是tunnel接口。如果没有u网络安全法p的逻辑接口,才会使用地址最大的物理接口的ip地址

bgp建立过程中全部使用单播报文。

缺省情况下,分支向hub发送nhrp注册报文的周期为1800s,这个注册会触发hub建立及p2p骗局维持nhrp映射,所以,当hub重启后,除非spoke也进行重网络协议名词解释启,否则不会立即发送nhrp注册消息, 从而hub的nhrp映射表还是空的。所以无路由协议优先级法建立起spoke的公网地址和隧道地址的映射关系,bgp关系也就无网络交易监督管理办法法建立起来,而是停留在connect阶段,因为无法发子网掩码在哪看送open消息。

如果在已经手动配置了注册的情况下,想通过再配一次触发注册是不行的,vrp会提示已经注册。


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)

手动在spoke节点的tunnel接口下 undo nhrp entry x.x.x.x x.x.x.x regester。将会触发取消注册报文的发送。


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)

取消后再配置才能触发注册消息发送。


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)

紧随其后,bgp的open报文也会从hub开始发送,随后spoke也回复一个。


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)

网络诈骗验:配置非shortcut方式DSVPN(BGP路由协议)

需求和拓扑

某中小路由交换企业有总部(Hub)和两个分支(Spoke1和Spoke2),分布在不同地域并所属不同AS域,总部和分支的子网环境会经常出现变动。分支采用子网掩码的作用动态地址接入公网。企业现网网络规划AS域内部使用OSPF路由协议,AS域间使用EBGP路由子网掩码在哪看协议。

现在用户希望能够实现分支之间的VPN互联。


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)

操作步骤

1、配置地址和安全区域

2、配置安全策略

3、配置公网动态路由网络协议主要由哪三个要素组成确保公网接口路由可p2p平台理财

4、配置网络协议tunnel

//f1(hub)
interface Tunnel0
ip address 172.16.1.1 255.255.255.0
tunnel-protocol gre p2mp
source GigabitEthernet1/0/1
//f2f3(spoke)
interface Tunnel0
ip address 172.16.1.2 255.255.255.0
tunnel-protocol gre p2mp
source GigabitEthernet1/0/1
nhrp entry 172.16.1.1 1.1.1.10 register (手动触发向hub注册)

检查hub的nh路由协议的分类rp注册情况,只有nhrp表项建立完成,后续的配置才有意义。网络协议有哪些

dis nhrp peer all
2022-03-06 10:02:06.990
--------------------------------------------------------------------------------
--
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag

--------------------------------------------------------------------------------
--
172.16.1.3 32 1.1.3.10 172.16.1.3 registered up|unique

--------------------------------------------------------------------------------
--
Tunnel interface: Tunnel0
Created time : 00:15:45
Expire time : 01:44:15
HostName : f3
HostEsn : F8A93336815F3222AB8B45A1812CFE55
--------------------------------------------------------------------------------
--
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag

--------------------------------------------------------------------------------
--
172.16.1.2 32 1.1.2.10 172.16.1.2 registered up|unique

--------------------------------------------------------------------------------
--
Tunnel interface: Tunnel0
Created time : 00:08:19
Expire time : 01:51:41
HostName : f2
HostEsn : 7578183FC75338E9B2EF54539E604239

Number of nhrp peers: 2

5、配置ebgp

5.1 配置ebgp邻居关系网络协议的作用是什么

//f1
bgp 100
peer 172.16.1.2 as-number 200
peer 172.16.1.3 as-number 300
//f2
bgp 200
peer 172.16.1.1 as-number 100
peer 172.16.1.3 as-number 300
//f3
bgp 300
peer 172.16.1.2 as-number 200
peer 172.16.1.1 as-number 100

检查f1和f2和f3路由协议优先级的bgp邻居建立情况

[f1-bgp]dis bgp peer
2022-03-06 10:02:55.020

BGP local router ID : 172.16.1.1
Local AS number : 100
Total number of peers : 2 Peers in established state : 2

Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv

172.16.1.2 4 200 11 11 0 00:09:07 Established 0
172.16.1.3 4 300 18 18 0 00:16:25 Established 0

5.2 配置ospf进程2,将私有子网进行发布

//f1
ospf 2
area 0.0.0.0
network 192.168.0.0 0.0.0.255
//f2
ospf 2
area 0.0.0.0
network 192.168.1.0 0.0.0.255
//f3
ospf 2
area 0.0.0.0
network 192.168.2.0 0.0.0.255

这个ospf进程的作用只有一个,就是后续将其发布的网络引入bgp进行传递,所以不需要建立ospf邻居关系,只需要发布了私有网段就可以

5.3 将ospf2的路由引入ebgp中

//f1
bgp 100
import-route ospf 2
//f2
bgp 200
import-route ospf 2
//f3
bgp 300
import-route ospf 2

检查子网掩码在哪看路由情况

[f2]dis ip routing-table pro bgp
2022-03-06 10:09:45.420
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : BGP
Destinations : 2 Routes : 2

BGP routing table status : <Active>
Destinations : 2 Routes : 2

Destination/Mask Proto Pre Cost Flags NextHop Interface

192.168.0.0/24 EBGP 255 0 D 172.16.1.1 Tunnel0
192.168.2.0/24 EBGP 255 0 D 172.16.1.3 Tunnel0

BGP routing table status : <Inactive>
Destinations : 0 Routes : 0

分析和验证

1、在pc3上ping pc网络协议是什么意思2


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)

2、检查spoke2的nhrp表

[f3]dis nhrp peer all
2022-03-06 10:17:03.130
--------------------------------------------------------------------------------
--
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag

--------------------------------------------------------------------------------
--
172.16.1.1 32 1.1.1.10 172.16.1.1 hub up

--------------------------------------------------------------------------------
--
Tunnel interface: Tunnel0
Created time : 00:24:43
Expire time : --
HostName : f1
HostEsn : 32C9D6CE92F3344ABA1224AB45239A7B
--------------------------------------------------------------------------------
--
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag

--------------------------------------------------------------------------------
--
172.16.1.2 32 1.1.2.10 172.16.1.2 remote up

--------------------------------------------------------------------------------
--
Tunnel interface: Tunnel0
Created time : 01:33:55
Expire time : 01:24:41
HostName : f2
HostEsn : 7578183FC75338E9B2EF54539E604239
--------------------------------------------------------------------------------
--
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag

--------------------------------------------------------------------------------
--
172.16.1.3 32 1.1.3.10 172.16.1.3 local up

--------------------------------------------------------------------------------
--
Tunnel interface: Tunnel0
Created time : 01:33:55
Expire time : 01:24:41
HostName : f3
HostEsn : F8A93336815F3222AB8B45A1812CFE55

Number of nhrp peers: 3

实验拓扑和完整配置以打网络安全知识包,回复dspn3获得。


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)


                                            HCIE-Security Day24:DSPN+NHRP+Mgre:实验(三)配置非shortcut方式DSPN(BGP路由协议)

补充

1、nhrp注册报文发送间隔是1800s,老化时间是7200s。