當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

HCIE 实验

發布時間：2024/3/26 编程问答 38 豆豆

生活随笔收集整理的這篇文章主要介紹了 HCIE 实验小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

HCIE 實驗LAB1

1、Layer-2 （交換）

1.1 鏈路聚合

S1 和 S2 之間配置鏈路聚合，使用手動負載分擔模式，基于源目 MAC 地址負載分擔。
SW1/2 配置如下命令：
interface Eth-Trunk12
Mode manual load-balance
load-balance src-dst-mac
Trunkport gi0/0/23
Trunkport gi0/0/24
Quit
驗證命令：Display eth-trunk

1.2 鏈路類型

S1/S2/S3/S4 互聯接口的鏈路類型是 Trunk，允許除 VLAN1 以外的所有 VLAN 通過。
SW1/2 配置如下命令：
Port-group group-member gi0/0/1 gi0/0/12 eth-trunk 12
Port link-type trunk
Port trunk allow-pass vlan all
Undo port trunk allow-pass vlan 1
Quit
SW3/4 配置如下命令：
Port-group group-member gi0/0/1 gi0/0/2
Port link-type trunk
Port trunk allow-pass vlan all
Undo port trunk allow-pass vlan 1
Quit

CE1、CE2 的 VRRP 虛擬 IP 地址為 10.3.1.254，為 PC1 的網關。CE1 會周期性的發送源 IP 地址為 10.3.1.254、源 MAC 為 00-00-5E-00-01-01 的免費 ARP。PC-1 與網關之間的數據包封裝在 VLAN10 中（PC-1 收發的數據是沒有標簽的幀）。（說明CE1 為VLAN10 的主網關，vrid為1）

CE1、CE2 的 VRRP 虛擬 IP 地址為 10.3.2.254，為 Server1 的網關。CE2 會周期性的發送源 IP 地址為 10.3.2.254、源 MAC 為 00-00-5E-00-01-02 的免費 ARP。Server-1 與網關之間的數據包封裝在 VLAN20 中（Server1 收發的數據是沒有標簽的幀）。（說明CE2 為VLAN20 的主網關，vrid為2）
@在 SW1/2/3/4 上，創建 VLAN 10/20：
Vlan batch 10 20
@將終端設備加入到特定的 vlan
SW3：
Interface eth0/0/1
Port link-type access
Port default vlan 10
Quit
SW4：
Interface eth0/0/1
Port link-type access
Port default vlan 20
Quit
@將 CE1/2 連接到交換機上：
SW1：（將與 CE1 互聯的接口配置為 trunk）
Interface gi0/0/2
Port link-type trunk
Port trunk allow-pass vlan all
Quit
SW2：（將與 CE2 互聯的接口配置為 trunk）
Interface gi0/0/2
Port link-type trunk
Port trunk allow-pass vlan all
Quit
CE1：（配置每個 vlan 的子接口），配置 VRRP - VLAN 10 。
Interface gi0/0/2.10
dot1q termination vid 10
arp broadcast enable
ip address 10.3.1.1 255.255.255.0
Quit
Interface gi0/0/2.20
dot1q termination vid 20
arp broadcast enable
ip address 10.3.2.1 255.255.255.0
Quit
CE1 的配置（VLAN10 的主網關）
interface GigabitEthernet0/0/2.10
vrrp vrid 1 virtual-ip 10.3.1.254
vrrp vrid 1 priority 120
Quit
CE1 的配置（VLAN20 的備份網關）
interface GigabitEthernet0/0/2.20
vrrp vrid 2 virtual-ip 10.3.2.254
quit
CE2：（配置每個 vlan 的子接口），配置 VRRP - VLAN 20 。
Interface gi0/0/2.10
dot1q termination vid 10
arp broadcast enable
ip address 10.3.1.2 255.255.255.0
Quit
Interface gi0/0/2.20
dot1q termination vid 20
arp broadcast enable
ip address 10.3.2.2 255.255.255.0
Quit
CE2 的配置（VLAN20 的主網關）
interface GigabitEthernet0/0/2.20
vrrp vrid 2 virtual-ip 10.3.2.254
Vrrp vrid 2 priority 120
quit
CE2 的配置（VLAN10 的備份網關）
interface GigabitEthernet0/0/2.10
vrrp vrid 1 virtual-ip 10.3.1.254
quit
@驗證命令： Display vrrp brief

VRRP 的 master 設備重啟時，Gi0/0/2 變為 UP 狀態 1 分鐘后，才能重新成為 master。
在 CE1 的配置命令：
Interface gi0/0/2.10
vrrp vrid 1 preempt-mode timer delay 60
Quit
在 CE2 的配置命令： I
Interface gi0/0/2.20
vrrp vrid 2 preempt-mode timer delay 60
quit
1.3MSTP（多生成樹協議）

S1/S2/S3/S4 都運行 MSTP。VLAN10 在 instance 10 中，S1 作為 Primary Root，S2 作為 Secondary Root。VLAN20 在 instance 20 中，S2 作為 Primary Root，S1 作為 Secondary Root。 MSTP 的 Region name 是 HUAWEI，Revision-level 為 12。
SW1/2/3/4 配置命令：
Stp mode mstp
stp region-configuration
region-name HUAWEI
revision-level 12
instance 10 vlan 10
instance 20 vlan 20
active region-configuration
Quit
SW1 配置 VLAN10 的根/備份根交換機：
Stp instance 10 root primary
Stp instance 20 root secondary
SW2 配置 VLAN20 的根/備份根交換機：
Stp instance 20 root primary
Stp instance 10 root secondary

除了交換機互聯的接口，其他接口要確保不參與 MSTP 計算，由 disabled 狀態直接轉到 Forwarding 狀態.
SW1/2/3/4 的配置命令：
stp edged-port default -> 將每個設備的所有接口都開啟“邊緣端口”特性
接下來，需要將 SW 之間的互聯接口，關閉掉邊緣端口特性：
SW1/2：(SW 之間的互聯接口)
Port-group group-member gi0/0/1 gi0/0/12 eth-trunk 12
undo stp edged-port
SW3/4：(SW 之間的互聯接口)
Port-group group-member gi0/0/1 gi0/0/2
undo stp edged-port
1.4WAN（廣域網）

PE1-RR1 之間的互聯接口為 serial 接口，綁定為一個邏輯接口，成員鏈路采用的是 HDLC 協議。邏輯接口的 IPv4 地址和 IPv6 地址，請按照圖 1、圖 5 配置。（除了PE1-RR1之外都已經預配完成）

PE1 的配置命令：
Interface serial 0/0/0
Link-protocol hdlc
Y
Quit
Interface serial 0/0/1
Link-protocol hdlc
Y
Quit
Interface ip-trunk 13
Trunkport serial 0/0/0
Trunkport serial 0/0/1
Ip address 10.1.13.1 30
Quit
RR1 的配置命令：
Interface serial 0/0/0
Link-protocol hdlc
Y
Quit
Interface serial 0/0/1
Link-protocol hdlc
Y
Quit
Interface ip-trunk 13
Trunkport serial 0/0/0
Trunkport serial 0/0/1
Ip address 10.1.13.2 30
Quit
2. PE3-CE3 之間的互聯接口是 POS 接口，綁定為一個邏輯接口，成員鏈路采用的是 PPP 協議。邏輯接口的 IPv4 地址，請按照圖 1 配置。（除了PE3-CE3之外都已經預配完成）
在 PE3 上配置命令：
Interface mp-group 0/0/1
Ip address 10.2.33.2 30
Quit
Interface pos 4/0/0
Link-protocol ppp
Ppp mp mp-group 0/0/1
Quit
Interface pos 6/0/0
Link-protocol ppp
Ppp mp mp-group 0/0/1
Quit
在 CE3 上配置命令：
Interface mp-group 0/0/1
Ip address 10.2.33.1 30
Quit
Interface pos 4/0/0
Link-protocol ppp
Ppp mp mp-group 0/0/1
Quit
Interface pos 6/0/0
Link-protocol ppp
Ppp mp mp-group 0/0/1
Quit
驗證命令： Display ppp mp Ping x.x.x.x （10.2.33.1 10.2.33.2）

2、IGP（IPv4）

2.1 基本配置 1. 所有設備的接口 IPv4 地址，按照圖 1 配置。（除 PE1-RR1 的邏輯接口外，該地址已預配） 2. Router-id 與Loopback0 的 IPv4 地址相同。MPLS 域中各設備的Loopback0為 172.16.0.0/32 的主機地址（已預配置）。未來擴展的 MPLS 域個設備的 Loopback0，從 172.16.0.0/16 中取可用的主機地址。比如 172.16.1.21/32 可能在 AS100，也可能在 AS200。
2.2OSPF

CE1 和 CE2 之間的鏈路，以及該設備的 Loopback0，已經通告進入 OSPF 區域 0（已預配）

CE1 的 Gi0/0/2.10 和 Gi0/0/2.20，CE2 的 Gi0/0/2.10 和 Gi0/0/2.20，直連網段宣告進入 OSPF 區域 0，但這些接口不能收發 OSPF 報文。（CE1 CE2 的子接口要配置成靜默接口）
CE1 的配置：
ospf 1
silent-interface GigabitEthernet0/0/2.10
silent-interface GigabitEthernet0/0/2.20
area 0.0.0.0
network 10.3.1.1 0.0.0.0
network 10.3.2.1 0.0.0.0
Quit
CE2 的配置：
ospf 1
silent-interface GigabitEthernet0/0/2.10
silent-interface GigabitEthernet0/0/2.20
area 0.0.0.0
network 10.3.1.2 0.0.0.0
network 10.3.2.2 0.0.0.0
Quit

PE3-PE4 的 OSPF 鏈路類型為 P2P。
PE3/4 的配置命令：
Interface gi0/0/0
Ospf network-type p2p
q

PE4上將Loopback0 地址引入 OSPF。AS 200 中，各OSPF網元到PE4 Loopback0的路由，要包含內部 cost。（因為之需要引入Loopback0到OSPF，所以要加入一個策略）（direct 回環口地址）
PE4 的配置命令：
Ip ip-prefix 1 permit 172.16.1.2 32
Route-policy LOOP32 permit node 10
If-match ip-prefix 1
Quit
Ospf 1
Import-route direct route-policy LOOP32 type 1
2.3ISIS

AS 100 內各設備的 Loopback0 和互聯接口全部開啟 ISIS 協議，其中 PE1、PE2 路由器類型為 L1，區域號為 49.0001；RR1 和 P1 路由器類型為 L1/2，區域號為 49.0001；ASBR1 和 ASBR2 的路由器類型為 L2，區域號為 49.0002。各網元 System-ID 唯一，cost-style 為 wide ；cost 值如圖 2 配置（除 PE1-RR1 之間的邏輯接口外，其他已預配置）
PE1:
Interface ip-trunk 13
Isis enable 1
Isis cost 1500
q
RR1：
Interface ip-trunk 13
Isis enable 1
Isis cost 1500
q

RR2-P2 之間的 ISIS 鏈路類型為 P2P。
RR2/P2 的配置命令：
Interface gi0/0/0
Isis circuit-type p2p
q
注意：
在 AS 100 中，我們需要在 RR1 和 P1 上面，將 L2 的路由，泄露到 L1 區域；目的是為了實現后面的 MPLS-VPN 需求中的“總部與分部”的網段之間的數據包的互通。（為了后面的實驗記得要做！）
RR1/P1：
Isis 1
Import-route isis level-2 into level-1

在 RR2、P2 上，ISIS 和 OSPF 雙向引入前綴為 172.16.0.0/16 的主機路由。被引入的協議的 cost 要繼承到引入后的協議中，P2 和 PE4 的 Loopback0 的互相訪問要走最優路徑。配置要求有最好的擴展性。（重點）
RR2 配置命令： (OSPF->ISIS) 【逆時針環路】
Ip ip-prefix 32 permit 172.16.0.0 16 greater-equal 32 less-equal 32
Route-policy OSPF-ISIS deny node 5
If-match tag 200 （拒絕掉標簽200的數據）
Quit
Route-policy OSPF-ISIS permit node 10
If-match ip-prefix 32 （OSPF進ISIS的時候給自己的數據打上100的標簽）
Apply tag 100
Quit
Isis 1
Import-route ospf 1 inherit-cost route-policy OSPF-ISIS
RR2 的配置：（ISIS->OSPF）【順時針環路】
Route-policy ISIS-OSPF deny node 5
If-match tag 400
Quit
Route-policy ISIS-OSPF permit node 10
If-match ip-prefix 32
Apply tag 300
Quit
Ospf 1
Import-route isis 1 type 1 route-policy ISIS-OSPF
Default cost inherit-metric
P2 配置命令：（ISIS->OSPF）【逆時針環路】
Ip ip-prefix 32 permit 172.16.0.0 16 greater-equal 32 less-equal 32
Route-policy ISIS-OSPF deny node 5
If-match tag 100
Quit
Route-policy ISIS-OSPF permit node 10
If-match ip-prefix 32
Apply tag 200
Quit
Ospf 1
Import-route isis 1 type 1 route-policy ISIS-OSPF
Default cost inherit-metric
P2 的配置：（OSPF-ISIS）【順時針環路】
Route-policy OSPF-ISIS deny node 5
If-match tag 300
Quit
Route-policy OSPF-ISIS permit node 10
If-match ip-prefix 32
Apply tag 400
Quit
Isis 1
import-route ospf 1 inherit-cost route-policy OSPF-ISIS

現在解決的是：數據轉發的次優路徑問題。
RR2：
Route-policy P150 permit node 10
If-match tag 200
Apply preference 150
Quit
Ospf 1
Preference ase 10 route-policy P150
P2：
Route-policy P150 permit node 10
If-match tag 300
Apply preference 150
Quit
Ospf 1
Preference ase 10 route-policy P150
q

P1 的 ISIS 進程：產生 LSP 的最大延遲時間是 1s，初始延遲是 50ms，遞增時間為 50ms；使能 LSP的快速擴散特性；SPF計算最大延遲為 1s，初始延遲為 100ms，遞增時間為 100ms；
P1 的配置命令：
Isis 1
Timer lsp-generation 1 50 50
Timer spf 1 100 100
Flash-flood

3、MPLS VPN

CE1、CE2 為 VPN1 的 Hub-CE，PE1、PE2 為 Hub-PE；CE3、CE4 為 VPN1 的 Spoke 站點； PE3、PE4 為 Spoke-PE。

CE4 為 Multi-VPN-instance CE，CE4 的 VPN 實例 VPN1，通過 Gi0/0/1 【考試時，用的是子接口，一定要記得開啟 ARP 廣播功能與后面 CE1-PE1相似】連接 PE4。
CE4 的配置命令：（考試時候，PE4-CE4 之間使用的是子接口，到時注意開啟 ARP 廣播）
Ip vpn-instance VPN1
Route-distinguisher 100:14
Quit
Interface gi0/0/1
Ip binding vpn-instance VPN1
Ip address 10.2.41.1 30
Quit
Interface loopback 0
Ip binding vpn-instance VPN1
Ip address 172.17.1.4 32
Quit
Interface loopback 1
Ip binding vpn-instance VPN1
Ip address 10.3.3.34 32
Quit

合理配置 VPN1 參數，使得 Spoke 站點互訪的流量必須經過 Hub-CE 設備。當 CE1-PE1 鏈路斷開的情況下，PE1 仍然可以學習到 CE1 的業務路由。（ PE3 上的 VPN1 的 RD 為 100:13， Export RT 為 100:1，Import RT 為 200:1）。
解析：
整個網路中的 VPN 的實例的名字，都是叫做 VPN1，并且只有 PE3 上面明確規定了 RD 和 RT ，通過對這個 VPN1 的理解，可以推導出 PE1/2/4 上面的 RT，但是 RD 在每個設備上都是隨意設置的。（只有 PE3 明確規定了，但是不建議大家隨意修改，都按照解法來）
接下來，在 PE1/2 上面分別創建兩個 VPN 實例：VPN1_IN 和 VPN1_OUT，在 PE1/2 上面分別用于接收分支站點 CE3/4 發送過來的路由，以及用于將總部的路由發送給 CE3/CE4。（import 接收 export 發出）
PE1 的配置命令：
Ip vpn-instance VPN1_IN
Route-distinguisher 100:10
Vpn-target 100:1 import-extcommunity
Vpn-target 300:1 import-extcommunity
Quit
Ip vpn-instance VPN1_OUT
Route-distinguisher 100:12
Vpn-target 200:1 export-extcommunity
Vpn-target 400:1 import-extcommunity
Quit
PE2 的配置命令：
Ip vpn-instance VPN1_IN
Route-distinguisher 100:11
Vpn-target 100:1 import-extcommunity
Vpn-target 300:1 export-extcommunity
Quit
Ip vpn-instance VPN1_OUT
Route-distinguisher 100:15
Vpn-target 200:1 export-extcommunity
Vpn-target 400:1 export-extcommunity
Quit
PE3 的配置命令：
Ip vpn-instance VPN1
Route-distinguisher 100:13
Vpn-target 100:1 export-extcommunity
Vpn-target 200:1 import-extcommunity
Quit
interface Mp-group0/0/1
ip binding vpn-instance VPN1
ip address 10.2.33.2 255.255.255.252
Quit
PE4 的配置命令：
Ip vpn-instance VPN1
Route-distinguisher 100:14
Vpn-target 100:1 export-extcommunity
Vpn-target 200:1 import-extcommunity
Quit
Interface gi0/0/1
Ip binding vpn-instance VPN1
Ip address 10.2.41.2 30
Quit

如圖 4，CE1 通過 Gi0/0/1.1 和 Gi0/0/1.2 建立直連 EBGP 鄰居，接入 PE1。CE1 通過 Gi0/0/1.2 向 PE1 通告的 BGP update 中，某些路由的 as-path 中有 200。在 CE1 上將 OSPF 路由導入 BGP。
解析：
經過題意的分析，我們知道 CE1 通過 gi0/0/1.2 接口向 PE1 發送 BGP 路由，通過 gi0/0/1.1 接口從 PE1 接收其他分支站點的路由。所以，在 PE1 上面，gi0/0/1.1 接口應該屬于 VPN1_IN ，gi0/0/1.2 接口應該屬于 VPN1_OUT。
PE1 的配置命令：
Interface gi0/0/1.1
Ip binding vpn-instance VPN1_IN
Ip address 10.2.11.2 30
Arp broadcast enable
Quit
Interface gi0/0/1.2
Ip binding vpn-instance VPN1_OUT
Ip address 10.2.11.6 30
Arp broadcast enable
Quit
Bgp 100
Ipv4-family vpn-instance VPN1_IN
Peer 10.2.11.1 as-number 65000
Quit
Ipv4-family vpn-instance VPN1_OUT
Peer 10.2.11.5 as-number 65000
Peer 10.2.11.5 allow-as-loop
Quit
CE1 的配置命令：
Interface gi0/0/1.1
Arp broadcast enable
Quit
Interface gi0/0/1.2
Arp broadcast enable
Quit
Bgp 65000
Peer 10.2.11.2 as-number 100
Peer 10.2.11.6 as-number 100
Import-route ospf 1 med 0
q

CE2 通過 Gi0/0/1.1 和 Gi0/0/1.2 建立直連 EBGP 鄰居，接入 PE2。CE2 通過 Gi0/0/1.2 向 PE2 通告的 BGP update 中，某些路由的 as-path 中有 200。在 CE2 上，將 OSPF 路由導入 BGP。
PE2 的配置命令：
Interface gi0/0/1.1
Ip binding vpn-instance VPN1_IN
Ip address 10.2.22.2 30
Arp broadcast enable
Quit
Interface gi0/0/1.2
Ip binding vpn-instance VPN1_OUT
Ip address 10.2.22.6 30
Arp broadcast enable
Quit
Bgp 100
Ipv4-family vpn-instance VPN1_IN
Peer 10.2.22.1 as-number 65000
Quit
Ipv4-family vpn-instance VPN1_OUT
Peer 10.2.22.5 as-number 65000
Peer 10.2.22.5 allow-as-loop
Quit
CE2 的配置命令：
Interface gi0/0/1.1
Arp broadcast enable
Quit
Interface gi0/0/1.2
Arp broadcast enable
Quit
Bgp 65000
Peer 10.2.22.2 as-number 100
Peer 10.2.22.6 as-number 100
Import-route ospf 1 med 0
q

CE3 通過 OSPF 區域 1 接入 PE3，通過 PE3–CE3 的邏輯接口互通，宣告 CE3 的各回環口； CE4 通過 OSPF 區域 0 接入 PE4，通過 PE4-CE4 的 Gi0/0/1 的接口互通，通過 CE4 的各接口。
PE3 的 VPN1 啟用 OSPF 協議：
Ospf 2 vpn-instance VPN1
Area 1
Network 10.2.33.2 0.0.0.0
Quit
Quit
CE3 的 OSPF 協議：
Ospf 2
Area 1
Network 10.2.33.1 0.0.0.0
Network 172.17.1.3 0.0.0.0
Network 10.3.3.3 0.0.0.0
Quit
Quit
PE4 的 VPN1 的配置，并啟用 OSPF 協議：
Ip vpn-instance VPN1
Route-distinguisher 100:14
Vpn-target 100:1 export-extcommunity
Vpn-target 200:1 import-extcommunity
Quit
Interface gi0/0/1
Ip binding vpn-instance VPN1
Ip address 10.2.41.2 30
Quit
Ospf 2 vpn-instance VPN1
Area 0
Network 10.2.41.2 0.0.0.0
Quit
CE4 的 OSPF 協議：
Ospf 2 vpn-instance VPN1
Vpn-instance-capability simple
Area 0
Network 10.2.41.1 0.0.0.0
Network 10.3.3.4 0.0.0.0
Network 172.17.1.4 0.0.0.0
Quit

如圖 4，在 AS 100、AS 200 內建立 IBGP IPv4 鄰居關系：RR1 是 PE1/PE2/P1/ASBR1/ASBR2 的反射器；RR2 是 PE3/PE4/P2/ASBR3/ASBR4 的反射器；ASBR1–ASBR3、ASBR2–ASBR4 建立 EBGP IPv4 鄰居關系。（已預配）
解析：
注意，在考試過程中，AS 100 和 AS 200 內部的，以及 AS 之間的 IPv4 的 BGP 鄰居關系，都已經配置完成了，并且沒有錯誤。我們需要做的，僅僅是需要“查看一下每個 BGP 鄰居是否正常建立。一般都是正常“建立”的狀態”。

在 ASBR 上，將 ISIS 的 Loopback0 路由引入 BGP。
解析：
注意，我們做完這個需求的主要目的是為讓 RR1 和 RR2，能夠互相學習到對方的 Loopback 0 的路由條目，為的就是可以在 RR1 和 RR2 之間建立 VPNv4 的 EBGP 鄰居關系。
AS100 的回環口路由進入到 AS200：（ ASBR1–>ASBR3）
ASBR1 上面的配置：
Ip ip-prefix 32 permit 172.16.1.1 32
Ip ip-prefix 32 permit 172.16.1.3 32
Ip ip-prefix 32 permit 172.16.1.4 32
Ip ip-prefix 32 permit 172.16.1.5 32
Ip ip-prefix 32 permit 172.16.1.6 32
Ip ip-prefix 32 permit 172.16.1.20 32
Route-policy ISIS-BGP permit node 10
If-match ip-prefix 32
Quit
Bgp 100
Import-route isis 1 route-policy ISIS-BGP
q
AS100 的回環口路由進入到 AS200：（ ASBR2–>ASBR4）
ASBR2 上面的配置：
Ip ip-prefix 32 permit 172.16.1.1 32
Ip ip-prefix 32 permit 172.16.1.3 32
Ip ip-prefix 32 permit 172.16.1.4 32
Ip ip-prefix 32 permit 172.16.1.5 32
Ip ip-prefix 32 permit 172.16.1.6 32
Ip ip-prefix 32 permit 172.16.1.20 32
Route-policy ISIS-BGP permit node 10
If-match ip-prefix 32
Quit
Bgp 100
Import-route isis 1 route-policy ISIS-BGP
Quit
AS200 的回環口路由進入到 AS100：（ ASBR3–>ASBR1）
ASBR3 上面的配置：
Ip ip-prefix 32 permit 172.16.1.7 32
Ip ip-prefix 32 permit 172.16.1.8 32
Ip ip-prefix 32 permit 172.16.1.9 32
Ip ip-prefix 32 permit 172.16.1.10 32
Ip ip-prefix 32 permit 172.16.1.11 32
Ip ip-prefix 32 permit 172.16.1.2 32
Route-policy ISIS-BGP permit node 10
If-match ip-prefix 32
Quit
Bgp 200
Import-route isis 1 route-policy ISIS-BGP
Quit
AS200 的回環口路由進入到 AS100：（ ASBR4–>ASBR2）
ASBR4 上面的配置：
Ip ip-prefix 32 permit 172.16.1.7 32
Ip ip-prefix 32 permit 172.16.1.8 32
Ip ip-prefix 32 permit 172.16.1.9 32
Ip ip-prefix 32 permit 172.16.1.10 32
Ip ip-prefix 32 permit 172.16.1.11 32
Ip ip-prefix 32 permit 172.16.1.2 32
Route-policy ISIS-BGP permit node 10
If-match ip-prefix 32
Quit
Bgp 200
Import-route isis 1 route-policy ISIS-BGP
Quit
注意！
即使現在的兩個回環接口可以互相訪問，但是在 RR1 和 RR2 之間的 MP-EBGP 鄰居關系，依然存在問題：MP-EBGP 鄰居可以建立，但是 VPNv4 路由是不會互相傳遞的。
原因：因為 VPNv4 路由的下一跳都是對端的 Loopback 0 接口 IP 地址，而這些地址在本地設備上都是 BGP 路由，但是這些 BGP 路由是沒有標簽的。所以導致已經建立好的 RR1-RR2 之間的 MP-EBGP 鄰居關系是不會進行 VPNv4 路由傳遞的。
所以，接下來需要在 AS100 和 AS200 的 ASBR 之間進行傳遞 IPv4 路由的時候，配置 MPLS-Lable 。（ label-route-capability 用來使能發送標簽路由能力）
AS100 -? AS 200 : (ASBR1—ASBR3)
ASBR1:
Route-policy ASBR1-ASBR3 permit node 10
Apply mpls-label
Quit
Bgp 100
Peer 10.1.57.2 route-policy ASBR1-ASBR3 export
Peer 10.1.57.2 label-route-capability
Quit
ASBR3:
Route-policy ASBR3-RR2 permit node 10
If-match mpls-label
Apply mpls-label
Quit
Bgp 200
Peer 172.16.1.9 route-policy ASBR3-RR2 export
Peer 172.16.1.9 label-route-capability
RR2:
Bgp 200
Peer 172.16.1.7 label-route-capability
q
AS100 -? AS 200 : (ASBR2—ASBR4)
ASBR2:
Route-policy ASBR2-ASBR4 permit node 10
Apply mpls-label
Quit
Bgp 100
Peer 10.1.68.2 route-policy ASBR2-ASBR4 export
Peer 10.1.68.2 label-route-capability
Quit
ASBR4:
Route-policy ASBR4-RR2 permit node 10
If-match mpls-label
Apply mpls-label
Quit
Bgp 200
Peer 172.16.1.9 route-policy ASBR4-RR2 export
Peer 172.16.1.9 label-route-capability
RR2:
Bgp 200
Peer 172.16.1.8 label-route-capability
q
AS200 -? AS 100 : (ASBR3—ASBR1)
ASBR3:
Route-policy ASBR3-ASBR1 permit node 10
Apply mpls-label
Quit
Bgp 200
Peer 10.1.57.1 route-policy ASBR3-ASBR1 export
Peer 10.1.57.1 label-route-capability
Quit
ASBR1:
Route-policy ASBR1-RR1 permit node 10
If-match mpls-label
Apply mpls-label
Quit
Bgp 100
Peer 172.16.1.3 route-policy ASBR1-RR1 export
Peer 172.16.1.3 label-route-capability
RR1:
Bgp 100
Peer 172.16.1.5 label-route-capability
q
AS200 -? AS 100 : (ASBR4—ASBR2)
ASBR4:
Route-policy ASBR4-ASBR2 permit node 10
Apply mpls-label
Quit
Bgp 200
Peer 10.1.68.1 route-policy ASBR4-ASBR2 export
Peer 10.1.68.1 label-route-capability
Quit
ASBR2:
Route-policy ASBR2-RR1 permit node 10
If-match mpls-label
Apply mpls-label
Quit
Bgp 100
Peer 172.16.1.3 route-policy ASBR2-RR1 export
Peer 172.16.1.3 label-route-capability
RR1:
Bgp 100
Peer 172.16.1.6 label-route-capability
q
同時，我們需要在 RR1 和 RR2 上，對其他的客戶端也要配置 label-route-capability
RR1：
Bgp 100
Peer 172.16.1.1 label-route-capability
Peer 172.16.1.20 label-route-capability
Peer 172.16.1.4 label-route-capability
PE1/PE2/P1:
Bgp 100
Peer 172.16.1.3 label-route-capability
RR2：
Bgp 200
Peer 172.16.1.10 label-route-capability
Peer 172.16.1.11 label-route-capability
Peer 172.16.1.2 label-route-capability
PE3/PE4/P2:
Bgp 200
Peer 172.16.1.9 label-route-capability
另外，我們需要在 ASBR 之間的鏈路上啟用 MPLS ： ASBR1/2/3/4：
Interface gi0/0/2
Mpls
Q
到此時為止，RR1 和 RR2 之間的回環口應該是可以互相訪問的【ping -a 172.16.1.3 172.16.1.9,測試應該是通的】

如圖 3，AS 100、AS 200 內各網元配置 MPLS LSR-ID，全局使能 MPLS，MPLS LDP（預配）。 AS100、AS200 內各直連鏈路建立 LDP 鄰居（除 PE1-RR1 之間的鏈路外，其他已預先配置）。
解析：
注意，關于每個 AS 內部的 MPLS 和 MPLS-LDP 都已經配置完成了。我們需要做的僅僅配置 AS 100 內的 PE1–RR1 之間的虛擬鏈路：
PE1/RR1：
Interface ip-trunk 13
Mpls
Mpls ldp
Quit

如圖 4，各站點通過 MPLS BGP VPN 跨域 Option C 方案 1，能夠互相學習路由。MPLS 域不能出現次優路徑。

解析：
首先，我們需要在 RR1 和 RR2 之間建立 VPNv4 BGP 鄰居（不需要 IPv4 BGP 鄰居）難點（Undo policy vpn-target 關閉RT的過濾功能）建立vpnv4鄰居關系一定要關閉ipv4的！
RR1 的配置：
Bgp 100
Peer 172.16.1.9 as-number 200
Peer 172.16.1.9 connect-interface loopback 0
Peer 172.16.1.9 ebgp-max-hop
Ipv4-family vpnv4
Peer 172.16.1.9 enable
Undo policy vpn-target
Quit
Ipv4-family unicast
Undo peer 172.16.1.9 enable
Quit
RR2 的配置：
Bgp 200
Peer 172.16.1.3 as-number 100
Peer 172.16.1.3 connect-interface loopback 0
Peer 172.16.1.3 ebgp-max-hop
Ipv4-family vpnv4
Peer 172.16.1.3 enable
Peer 172.16.1.3 allow-as-loop
Undo policy vpn-target
Quit
Ipv4-family unicast
Undo peer 172.16.1.3 enable
Quit
其次，需要在 RR 和 PE 之間建立 VPNv4 BGP 鄰居關系（reflect-client 指定自己的反射客戶端）
RR1 的配置：
Bgp 100
Ipv4-family vpnv4
Peer 172.16.1.1 enable
Peer 172.16.1.1 reflect-client
Peer 172.16.1.20 enable
Peer 172.16.1.20 reflect-client
Peer 172.16.1.4 enable
Peer 172.16.1.4 reflect-client
Peer 172.16.1.5 enable
Peer 172.16.1.5 reflect-client
Peer 172.16.1.6 enable
Peer 172.16.1.6 reflect-client
Quit
PE1/PE2/P1/ASBR1/ASBR2:
Bgp 100
Ipv4-family vpnv4
Peer 172.16.1.3 enable
RR2 的配置：
Bgp 200
Ipv4-family vpnv4
Peer 172.16.1.11 enable
Peer 172.16.1.11 reflect-client
Peer 172.16.1.2 enable
Peer 172.16.1.2 reflect-client
Peer 172.16.1.7 enable
Peer 172.16.1.7 reflect-client
Peer 172.16.1.8 enable
Peer 172.16.1.8 reflect-client
Peer 172.16.1.10 enable
Peer 172.16.1.10 reflect-client
Quit
PE3/PE4/P2/ASBR3/ASBR4:
Bgp 200
Ipv4-family vpnv4
Peer 172.16.1.9 enable
再次，在 PE 上將從 CE 學習過來的路由，導入到 MP-BGP 協議
PE3 的配置：
Bgp 200
Ipv4-family vpn-instance VPN1
Import-route ospf 2
Quit
PE4 的配置：
Bgp 200
Ipv4-family vpn-instance VPN1
Import-route ospf 2
Quit
最后，將從總部 PE 學習過來的路由，導入到分部的 PE-CE 之間的 OSPF 協議中
PE3 的配置：
Ospf 2
Import-route bgp
PE4 的配置：
Ospf 2
Import-route bgp
CE4 的配置：
Ospf 2
Vpn-instance-capability simple
Quit
驗證：用CE3 ping -a 172.17.1.3 172.17.1.4 display ip routing-table vpn-instance VPN1（CE4上查
看路由）

注意：
關于總部的 PE-CE 之間的路由傳遞是不需要手動導入的，因為總部的 PE-CE 之間的路由協議是 BGP 協議，PE 會將從總部 CE 學習過來的 BGP 路由，自動的導入到總部連接的 PE 中。
為了讓分部與總部之間的數據，在 MPLS 域內轉發的時候沒有轉發的次優路徑，我們需要確保 MPLS-VPN 路由，在傳遞過程中，是不能更改下一跳 IP 地址的。所以我們需要在所有的 MPLS-VPN 鄰居關系之間配置：下一跳 IP 地址不變的特性。
AS100：
RR1：
BGP 100
ipv4-family vpnv4
Peer 172.16.1.1 next-hop-invariable
Peer 172.16.1.4 next-hop-invariable
Peer 172.16.1.5 next-hop-invariable
Peer 172.16.1.6 next-hop-invariable
Peer 172.16.1.20 next-hop-invariable
Peer 172.16.1.9 next-hop-invariable
AS200：
RR2：
BGP 200
ipv4-family vpnv4
Peer 172.16.1.7 next-hop-invariable
Peer 172.16.1.8 next-hop-invariable
Peer 172.16.1.10 next-hop-invariable
Peer 172.16.1.11 next-hop-invariable
Peer 172.16.1.2 next-hop-invariable
Peer 172.16.1.3 next-hop-invariable
驗證：CE3 tracert -a 172.17.1.3 172.17.1.4

CE1-PE1 之間鏈路斷開，CE1 設備上仍可以學到 Spoke 業務網段；當 CE2-PE2 之間鏈路斷開，CE2 仍可學習到 Spoke 業務網段。配置保證有最好的擴展屬性。

在拓撲正常的情況下，要求 CE1、CE2 訪問 Spoke 業務網段時，不從本 AS 內部繞行。
解析：
下面的分析，是同時考慮了 11/12 兩個題目的需求。在 CE1-PE1 和 CE2-PE2 之間，存在路由環路和數據轉發的次優路徑問題。
當 CE1-PE1 之間鏈路斷開的時候，分支站點的客戶路由經過 PE2，通過 EBGP 鄰居，發送給了 CE2，CE2 上面將 BGP 路由引入到了 OSPF，然后通過 OSPF 傳輸給了 CE1。此時 CE1 依然可以訪問分支站點的路由，但是是通過 OSPF 的外部路由來實現的。當 CE1-PE1 之間的鏈路修復之后， PE1 也會通過 EBGP 鄰居將路由發送給 CE1，但是通過 EBGP 鄰居學習過來的路由，優先級為 255，通過 OSPF 從 CE2 學習過來的路由的優先級為 150. 所以，CE1 的路由表中去往分支站點的路由的下一跳是 CE2，此時就出現了次由路徑。同時，CE1 上也配置了將 OSPF 路由引入到 BGP 協議中，此時從 CE2 學習過來的路由如果再次引入到 BGP 協議的話，就會出現了“路由環路”。因為這些分支站點的路由，本來就是從 AS 100 中學習過來的（從 PE2 學習過來的）。所以，PE1-CE1，PE2-CE2 的連接環境中，存在上述兩個問題。（CE2把BGP路由引入ospf的時候打上200的標簽，當CE1把OSPF路由引入BGP的時候拒絕引入打200標簽的路由）（CE1把BGP路由引入OSPF的時候打上100的標簽，當CE2把OSPF引入BGP的時候拒絕引入打上100標簽的路由）
解決問題 1：路由環路問題；
CE1：
Route-policy BGP-OSPF permit node 10
Apply tag 100
Quit
Ospf 1
Import-route bgp route-policy BGP-OSPF
Quit
CE2:
Route-policy OSPF-BGP deny node 5
If-match tag 100
Quit
Route-policy OSPF-BGP permit node 10
Bgp 65000
Import-route ospf 1 med 0 route-policy OSPF-BGP
Quit
CE2：
Route-policy BGP-OSPF permit node 10
Apply tag 200
Quit
Ospf 1
Import-route bgp route-policy BGP-OSPF
Quit
CE1:
Route-policy OSPF-BGP deny node 5
if-match tag 200
quit
route-policy OSPF-BGP permit node 10
quit
bgp 65000
import-route ospf 1 med 0 route-policy OSPF-BGP

解決問題 2：
次優路徑在 CE1/2 的 BGP 進程下，將 EBGP 路由的優先級修改為小于 OSPF 外部路由的優先級；
我們建議選擇修改為 120 （默認是 255）命令如下：
CE1/2
Bgp 65000
Preference 120 255 255
Quit
13. 在 PE3/PE4 上修改 BGP Local-preference 屬性，實現 CE3/CE4 訪問非直連的 10.3.x.0/24 網段時，如果 X 為奇數，PE3/PE4 優選的下一跳為 PE1；如果 X 為偶數，PE3/PE4 優選的下一跳為 PE2。不用考慮來回的路徑是否一致。
配置思路： (首先明確：在 PE3/PE4 的策略配置是相同)
首先，抓取基數路由和偶數路由；
其次，抓取路由器的下一跳 IP 地址
再次，修改上述路由的優先級（3000）
PE3/4:
Acl 2000 // 匹配的是偶數路由
Rule 10 permit source 10.3.0.0 0.0.254.0
Acl 2001 // 匹配的是基數路由
Rule 10 permit source 10.3.1.0 0.0.254.0
Ip ip-prefix PE1 permit 172.16.1.1 32 ? 匹配下一跳 IP 地址 172.16.1.1；
Ip ip-prefix PE2 permit 172.16.1.20 32 ? 匹配下一跳 IP 地址 172.16.1.20；
Route-policy LOCAL permit node 10 // 抓取下一跳為 PE1 的基數路由，設置屬性
If-match acl 2001
If-match ip next-hop ip-prefix PE1
Apply local-preference 3000
Quit
Route-policy LOCAL permit node 20 // 抓取下一跳為 PE2 的偶數路由，設置屬性
If-match acl 2000
If-match ip next-hop ip-prefix PE2
Apply local-preference 3000
Quit
Route-policy LOCAL permit node 100 // 允許其他所有路由
Bgp 200
Ipv4-family vpnv4
Peer 172.16.1.9 route-policy LOCAL import

4、Feature（特性）

4.1HA（高可用性）

CE1 配置靜態的默認路由訪問 ISP，下一跳 IP 為 100.0.1.2。該默認路由要與 CE1-ISP 鏈路的 BFD 狀態綁定（CE1 的對端設備不支持 BFD），感知故障的時間要小于 150ms。（detect-multiplier 4 min-echo-rx-interval 30 120ms）
CE1：(全局開啟 BFD，創建 BFD 會話，關聯 BFD 會話)
Bfd
Quit
bfd isp bind peer-ip 100.0.1.2 interface GigabitEthernet2/0/1 one-arm-echo
discriminator local 1
detect-multiplier 4
min-echo-rx-interval 30
commit
Ip route-static 0.0.0.0 0.0.0.0 100.0.1.2 track bfd-session isp

CE2 配置靜態的默認路由訪問 ISP，下一跳 IP 為 200.0.2.2。默認路由要與 CE2-ISP 鏈路的 NQA ICMP 測試綁定，每隔 3s 測試執行 1 次。
CE2：（創建 NQA，配置靜態默認路由，調用 NQA）
Nqa test-instance admin icmp
Test-type icmp
Destination-address ipv4 200.0.2.2
Frequency 3
Start now
Quit
Ip route-static 0.0.0.0 0.0.0.0 200.0.2.2 track nqa admin icmp
3.CE3、CE4 能夠通過默認路由訪問 ISP。CE1-ISP 的鏈路斷開時，CE1 仍能夠訪問 ISP；CE2-ISP 的鏈路斷開時，CE2 仍能訪問 ISP。
解析：
總部將默認發送給分部，同時讓分部訪問 ISP 時，首選 CE1。（CE1/CE2 自己本地有0.0.0.0 的路由就會產生一條默認路由去PE1）(CE2 寫一條規則加上自己的起源屬性）
CE1：
Bgp 65000
Peer 10.2.11.6 default-route-advertise conditional-route-match-all 0.0.0.0 0
Quit
PE3/PE4:
Ospf 2
Default-route-advertise （向CE3 CE4 產生默認路由）
CE2:
Route-policy ORG permit node 10
Apply origin incomplete
Quit
Bgp 65000
Peer 10.2.22.6 default-route-advertise route-policy ORG conditional-route-match-all 0.0.0.0 0
Quit
為了能夠讓 CE1/2 去往 ISP 的時候，存在備份路徑，需要：（產生一個默認路由給對方）
CE1/2：
Ospf 1
Default-route-advertise
為了防止CE與ISP之間的鏈路斷開導致總部PC無法訪問ISP，所以，我們需要配置 VRRP 的鏈路跟蹤
CE1：是 VLAN 10 的主網關
Interface gi0/0/2.10
Vrrp vrid 1 track interface gi2/0/1 reduced 15
Vrrp vrid 1 track interface gi0/0/0 reduced 15
CE2：是 VLAN 20 的主網關
Interface gi0/0/2.20
Vrrp vrid 2 track interface gi2/0/2 reduced 15
Vrrp vrid 2 track interface gi0/0/0 reduced 15
4.2NAT 1. 在 CE1 上，10.3.0.0/16（不包含 10.3.2.10）的內網地址轉換為 102.0.1.2 – 102.0.1.6，通過 Gi2/0/1 訪問 ISP。在 CE2 上，10.3.0.0/16（不包含 10.3.2.10）的內網地址轉換為 102.0.1.2 – 102.0.1.6，通過 Gi2/0/2 訪問 ISP。 Server1 擁有單獨的公網地址 102.0.1.1，對 ISP 提供 FTP 和 HTTP 服務。
解析：
為了實現從內網去往 ISP，應該配置 PNAT； CE1/2: {以下的 ACL 和 address-group ，在 CE1/2 都要配置}
CE1/CE2：
Acl 2000
Rule 10 deny source 10.3.2.10 0.0.0.0
Rule 20 permit source 10.3.0.0 0.0.255.255
q
nat address-group 1 102.0.1.2 102.0.1.6
Interface gi2/0/1{這是 CE1 上連接 ISP 的接口}
Nat outbound 2000 address-group 1
Interface gi2/0/2{這是 CE2 上連接 ISP 的接口}
Nat outbound 2000 address-group 1
為了實現從 ISP 訪問內網的 Server1，需要配置 NAT Server ：
CE1：
Interface gi2/0/1
Nat server protocol tcp global 102.0.1.1 www inside 10.3.2.10 www
Nat server protocol tcp global 102.0.1.1 ftp inside 10.3.2.10 ftp
CE2：
Interface gi2/0/2
Nat server protocol tcp global 102.0.1.1 www inside 10.3.2.10 www
Nat server protocol tcp global 102.0.1.1 ftp inside 10.3.2.10 ftp

4.3QOS 1. 在 CE1 的 Gi2/0/1、CE2 的 Gi2/0/2 的出方向，周一至周五的 8:00—18:00，對 TCP 目標端口號為 6881 — 6999 的流量，承諾的平均速率為 1Mbps。
解析：
在 CE1/CE2 的 Gi2/0/1 /Gi2/0/2的接口上配置流量監控
time-range work 08:00 to 18:00 working-day // 創建時間列表
acl number 3000
rule 5 permit tcp destination-port range 6881 6999 time-range work
quit
interface gi2/0/1
qos car outbound acl 3000 cir 1024
quit
在 CE2 的 Gi2/0/2 的接口上配置流量監控（與 CE1 上面的配置完全相同）
2. CE4-PE4 的 QOS 規劃如下所示

在 CE4 的 Gi0/0/1 的出方向對流量進行 802.1p 標記。在 PE4 的 Gi0/0/1 入方向，繼承 CE4 的 802.1p 值，并將 802.1p 映射為 DSCP。
解析:
在 CE4 的 Gi0/0/1 的出方向對流量進行 802.1P 標記。（先用ACL抓住數據包）（Traffic classifie調用ACL）（traffic behavior 行為打 802.1P的標記）
acl name office advance
rule 5 permit ip destination 10.3.4.0 0.0.0.255
quit
acl name monitor advance
rule 5 permit ip destination 10.3.3.0 0.0.0.255
quit
acl name signal advance
rule 5 permit ip destination 10.3.2.0 0.0.0.255
quit
acl name realtime advance
rule 5 permit ip destination 10.3.1.0 0.0.0.255
quit
Traffic classifier Office
if-match acl office
quit
traffic classifier Monitor
if-match acl monitor
quit
traffic classifier Signal
if-match acl signal
quit
traffic classifier RealTime
if-match acl realtime
quit
traffic behavior Office
remark 8021p 2
quit
traffic behavior Monitor
remark 8021p 3
quit
traffic behavior Signal
remark 8021p 4
quit
traffic behavior RealTime
remark 8021p 5
quit
traffic behavior Other
remark 8021p 0
quit
traffic policy Remark
classifier Signal behavior Signal
classifier Office behavior Office
classifier Monitor behavior Monitor
classifier RealTime behavior RealTime
classifier default-class behavior Other ---->不要忘記！
quit
CE4：調用 Traffic Policy
interface gi0/0/1
traffic-policy Remark outbound
quit
在 PE4 的 gi0/0/1 的入方向，繼承 CE4 的 802.1p 值，并將其轉化為 DSCP 。
qos map-table dot1p-dscp
input 5 output 46
input 4 output 32
input 3 output 24
input 2 output 16
input 0 output 0
interface gi0/0/1
trust 8021p override
3. PE4 的 Gi0/0/0 和 Gi0/0/2 匹配 DSCP 值，根據表-1（上述表格）配置擁塞管理和擁塞避免。
解析：
在 PE4 上配置 WRED 丟棄模板。
drop-profile cs4
wred dscp
dscp cs4 low-limit 70 high-limit 100 discard-percentage 50
quit
drop-profile cs3
wred dscp
dscp cs3 low-limit 50 high-limit 90 discard-percentage 50
quit
drop-profile cs2
wred dscp
dscp cs2 low-limit 50 high-limit 80 discard-percentage 50
quit
drop-profile default
wred dscp
dscp default low-limit 50 high-limit 80 discard-percentage 50
q
配置隊列權重和套用 WRED 模板
qos queue-profile test
queue 0 weight 1
queue 2 weight 9
queue 3 weight 21
queue 4 weight 63
schedule wfq 0 to 4 pq 5
queue 0 drop-profile default
queue 2 drop-profile cs2
queue 3 drop-profile cs3
queue 4 drop-profile cs4
quit
interface gi0/0/0
qos queue-profile test
quit

5、IPv6

所有設備的接口 IPv6 地址，按照圖 5 配置。（除 PE1–RR1 的邏輯接口以外，其他已預配）
解析：
配置 PE1 和 RR1 互聯接口的 IPv6 地址
在 RR1 上面配置 IPv6 :
interface ip-trunk 13
ipv6 enable
ipv6 address 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:1301/127
在 PE1 上配置 IPv6：
interface ip-trunk 13
ipv6 enable
ipv6 address 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:1300/127
5.2ISIS（IPv6）

如圖 6，PE1、PE2、RR1、P1、ASBR1、ASBR2 運行 ISIS 協議。各直連網段宣告進 ISIS 協議，配置各鏈路 cost。

解法：在 PE1 上配置 ISIS 協議，并配置鏈路開銷。
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 20
quit
interface ip-trunk 13
isis ipv6 enable 1
isis ipv6 cost 1550
quit
在 PE2 上配置 ISIS 協議，并配置鏈路開銷。
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 20
quit
interface gi0/0/2
isis ipv6 enable 1
isis ipv6 cost 1550
quit
在 RR1 上配置 ISIS 協議，并配置鏈路開銷
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 80
quit
interface gi0/0/1
isis ipv6 enable 1
isis ipv6 cost 860
quit
interface ip-trunk 13
isis ipv6 enable 1
isis ipv6 cost 1550
quit
在 P1 上配置 ISIS 協議，并配置鏈路開銷
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 80
quit
interface gi0/0/1
isis ipv6 enable 1
isis ipv6 cost 1000
quit
interface gi0/0/2
isis ipv6 enable 1
isis ipv6 cost 1550
quit
在 ASBR1 上配置 ISIS ，并配置鏈路開銷（僅僅是 AS 100 的內部鏈路以及 loopback 啟用 ISIS IPv6 ，AS 之間不需要啟用）
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 100
quit
interface gi0/0/1
isis ipv6 enable 1
isis ipv6 cost 860
quit
在 ASBR 2 上配置 ISIS 協議，并配置鏈路開銷
isis 1
ipv6 enable topology ipv6
quit
interface loopback 0
isis ipv6 enable 1
quit
interface gi0/0/0
isis ipv6 enable 1
isis ipv6 cost 100
quit
interface gi0/0/1
isis ipv6 enable 1
isis ipv6 cost 1000
quit
為了防止 IPv6 的 ISIS 路由的次優路徑，在 RR1 上配置路由泄露，不泄露的話，也會導致 IPv6 BGP 路由下一跳不可達，后續要求無法實現。
isis 1
ipv6 import-route isis level-2 into level-1
為了防止 IPv6 的 ISIS 路由的次優路徑，在 P1 上配置路由泄露，不泄露的話，也會導致 IPv6 BGP 路由下一跳不可達，后續要求無法實現。
isis 1
ipv6 import-route isis level-2 into level-1
5.3BGP（IPv6）

如圖 7,ASBR1–ASBR3 通過直連鏈路建立 EBGP+鄰居。PE1\PE2\P1 是 RR1 的 IBGP4+客戶端（已預先配置）
解析 :
在 ASBR1 上激活與 ASBR3 和 RR1 的 IPv6 的鄰居關系。【考試的時候需要注意一下，ASBR1 和 ASBR2 是不是 RR1 的客戶端。應該都是的，就怕有變化】【并且在 IPv6 的地址中，有些 BGP 的鄰居是沒有被激活的，需要手動激活一下，否則無法建立鄰居。】
在 ASBR1 上配置如下：
bgp 100
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:5701 enable —> 表示的是 ASBR3 的 IPv6 地址，是直連接口的；
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA3 enable --> 表示的是 RR1 的 IPv6 地址，并且是回環口；
分別在 PE1/PE2/P1/ABSR2 上面，激活與 RR1 的 IPv6 地址簇的鄰居關系：
bgp 100
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA3 enable —> 激活與 RR1 之間的 IPv6 的 IBGP 鄰居關系
在 RR1 上，激活與 ASBR1 和 ASBR2 的 IPv6 的地址簇鄰居關系:
bgp 100
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 enable
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 reflect-client
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 enable
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 reflect-client

在 ASBR1 上將 ISIS IPv6 的所有路由導入 BGP4+，只向 ASBR3 通告前綴為 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00/120的路由（不能使用 route-policy）。將 ASBR3 的 Loopback0 通過進入 BGP4+。
解析：
其實這里想要考察的就是 IPv6 在 BGP 協議中的匯總：
首先，在 ASBR1 上將所有 ISIS IPv6 路由，引入到 BGP 中：
Bgp 100
Ipv6-family unicast
Import-route isis 1
在 ASBR1 上配置 BGP ipv6 路由匯總命令如下：
bgp 100
ipv6-family unicast
aggregate 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120 detail-suppressed
關于上面的紅色部分的需求的理解，其實考察的就是路由過濾了。
因為 ASBR1 向 ASBR3 發送的 120 位的路由，我們通過匯總的方式已經構造出來了，但是我們得記得，當初我們在 ASBR1 上將 ISIS 的路由，都引入到 BGP4+ 中了。這些路由中包含了回環口的 128 位的路由，也包含了設備之間的互聯網段 127 位的路由。所以，想滿足這個“僅僅發送 120 的路由給 ASBR3”的需求，我們還得繼續配置一個針對 ASBR 3 的出向過濾策略：按照需求，不使用 route-policy，就僅僅使用 ipv6-prefix ；
ip ipv6-prefix 1 permit 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120
bgp 100
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:5701 ipv6-prefix 1 export --> 做一個出向的過濾。
需要注意的，如果需求有變化，比如變化成了：
將 ISIS 的 IPv6 路由引入到 BGP4+的時候，僅僅引入那些 128 位的回環口 / 主機路由。
我們就需要在 ASBR1 上進行如下的配置了：
1.配置策略匹配 AS100 中的 ISIS 的 IPv6 路由中的 128 位的；
2.配置 route-policy ，調用在將 ISIS IPv6 引入到 BGP4+ 的時候；
Ip ipv6-prefix abc permit 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120 greater 128 less 128 // 專門用來匹配 AS100 中的 IPv6 的主機路由；
route-policy ISIS-BGP permit node 10
if-match ipv6 address prefix-list abc
quit
bgp 100
ipv6-family unicast
import-route isis 1 route-policy ISIS-BGP
quit
當然，如果真的出現上述的需求的變化“僅僅引入 ISIS 的主機路由”，那么我們在實現該需求的時候，ASBR1 針對 ASBR3 的過濾，就不需要做了。因為我們匯總之后，就僅僅剩下 120 的路由了，不存在 127 位的那種設備之間的互聯網段了。所以，腦子必須得清醒!
將 ASBR3 的 loopback 0 宣告進入到 BGP4+
bgp 200
ipv6-family unicast
network 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA7 128
quit

在 PE1、PE2 上學習到 ASBR3 的 Loopback0 的 BGP4+的明細路由。
解法：
首先我們需要知道的是，當我們將 ASBR3 的路由宣告之后，我們在 ASBR1 上是可以看到這個路由條目的，但是這個路由條目，是不會發送給 ASBR1 的 IBGP 鄰居的，因為，我們之前在 ASBR1 上配置了一個 “ IPv6 的路由匯總 ”，而這個 120 位的匯總路由，正好抑制住這個明細路由的發送。所以 ASBR3 的回環口路由，來到了 ASBR1 的 BGP 數據庫中，前面有一個 "小 s” 的標志，標明該路由已經被抑制。
如果我們想讓該路由發送給 PE1/2 的話，我們需要確保在 ASBR1 上進行 IPv6 匯總的時候，不能抑制這個明細路由，所以配置如下：
ASBR1 的配置：
ip ipv6-prefix 7 index 10 permit 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA7 128 greater 128 less 128
route-policy AGG deny node 10
if-match ipv6 address prefix-list 7
quit
route-policy AGG permit node 20
quit
bgp 100
ipv6-family unicast
aggregate 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120 suppress-policy AGG -> 有條件的進行明細路由的抑制；
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA3 next-hop-local ->給 RR1 發送路由的時候，必須修改下一跳 IP 地址；否則在 RR1 上看到該路由不是最優的。
同時，為了確保 RR1 將路由反射到自己的客戶端： PE1/PE2/P1 上面，也得是最優的，所以我們需要：在 RR1 和 P1 上面，進行 ISIS 路由的泄露
【如果在考場需求有了變化，比如：讓 ASBR2 也學習到 ASBR3 的回環口路由，并且 ASBR2 不是 RR1 的客戶端的情況下，才配置下面的內容】【如果 ASBR2 也是 RR1 的客戶端，就不需要配置下面的內容了】
此時，我們就需要直接在 ASBR1 和 ASBR2 之間通過回環口建立 IPv6 鄰居關系了。因為，在之前的鄰居關系中，雖然 ASBR2 與 RR1 建立了 IBGP 鄰居關系，但是 ASBR2 并不是 RR1 的客戶端，所以 ASBR1 的路由給了 RR1 以后，必會發送給 ASBR2 。
ASBR1 的配置
bgp 100
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 as-number 100
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 connnect-interface loopback 0
ipv6 family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 enable
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 next-hop-local
quit
ASBR2 的配置
bgp 100
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 as-number 100
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 connnect-interface loopback 0
ipv6-family unicast
peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 enable
q
4.請在 PE1 上面開啟某個特性，確保 PE2 在啟動的過程中，（從物理接口 UP 開始，到各協議鄰居全都起來）PE2 ---- ASBR3 之間的 IPv6 ping 包沒有丟包（4 分）
解析：
我們僅僅需要在 PE1 上配置 “開機啟動配置 OL 位”就可以了。
isis
set-overload on-startup wait-for-bgp
quit

總結

以上是生活随笔為你收集整理的HCIE 实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

hcie

上一篇：创建geth节点
下一篇： java和hcie_hcie为什么工资这