《路由交换技术》部署和实施企业网络互联（任务1）

部署和实施企业网络互联引例描述按照公司的整体网络功能和性能规划，运维部工程师需要完成的任务如下。（1）按照公司A

IP地址规划方案和网络连接配置各台设备的IP地址。（2）在深圳总部部署和实施浮动静态默认路由和NAT实现整个公司A接入Internet。（3）在深圳总部以及广州分公司之间部署多区域OSPF。（4）在广州分公司内部部署IS-IS协议。（5）通过路由引入技术实现公司A整个网络的连通。（6）部署和实施路由优化，实现深圳总部和广州分公司的内网设备只学习到彼此业务网段路由。（7）在深圳总部部署IPv6试验网络，为公司全面部署IPv6网络做好准备。引例描述项目任务任务3-1部署和实施静态路由和NAT实现Internet接入任务3-2部署和实施OSPF协议实现总部和分公司网络互联任务3-3部署和实施IS-IS协议实现分公司网络互联任务3-4部署和实施网络路由引入和路由优化任务3-5部署和实施总部IPv6网络任务3-1部署和实施静态路由和NAT实现Internet接入任务陈述知识准备任务实施任务陈述本任务主要要求读者夯实和理解静态路由的特征和使用场合、路由聚合概念、BFD工作原理和检测机制、NAT工作原理和类型以及静态路由、BFD和NAT配置命令等基础知识，通过在企业边界路由器部署和实施静态路由和NAT，掌握IP地址配置、BFD配置和验证、静态默认路由配置和验证以及NAT配置和验证等职业技能，为后续网络互联做好准备。知识准备1.1静态路由1.2双向转发检测1.3NAT技术1.4静态路由和NAT基本配置命令3.1静态路由路由是指导报文转发的路径信息，通过路由可以确认转发IP报文的路径。路由设备是依据路由转发报文到目的网段的网络设备，最常见的路由设备：路由器。路由设备维护着一张路由表，保存着路由信息。R1R2R3NMR4DATA路由指导报文转发路径依据路由转发路由设备3.1

静态路由路由器依据路由表进行路由转发，为实现路由转发，路由器需要发现路由，以下为常见的路由获取方式。GE0/0/0/24/24GE0/0/1GE0/0/1/24/24GE0/0/2直连路由路由来源目的网络/掩码出接口直连/24GE0/0/0直连/24GE0/0/1静态路由动态路由路由来源目的网络/掩码出接口静态/24GE0/0/1动态路由协议OSPF路由来源目的网络/掩码出接口动态路由协议/24GE0/0/2由设备自动生成指向本地直连网络由网络管理员手工配置的路由条目路由器运行动态路由协议学习到的路由R1R2R1R2R3R1R33.1

静态路由GE0/0/1/24GE0/0/0/24GE0/0/1/24GE0/0/0/24RTARTCRTB前往/24目的网络来源下一跳静态直连静态路由静态路由优点:占用的CPU和RAM资源较少。可控性强，便于管理员了解整个网络路由信息。不需要动态路由更新，可以减少对带宽的占用。简单和易于配置。3.1

静态路由GE0/0/1/24GE0/0/0/24GE0/0/1/24GE0/0/0/24RTARTCRTB前往/24目的网络来源下一跳静态直连静态路由静态路由缺点：配置和维护耗费管理员大量时间，尤其对于大型网络，而且配置时容易出错。当网络拓扑发生变化时，需要管理员维护变化的路由信息。随着网络规模的增长和配置的扩展，维护越来越麻烦。需要管理员对整个网络的情况完全了解才能进行恰当的操作和配置。3.1

静态路由GE0/0/1/24GE0/0/0/24GE0/0/1/24GE0/0/0/24RTARTCRTB前往/24目的网络来源下一跳静态直连静态路由静态路由使用场合：网络中仅包含几台路由器。网络仅通过单个ISP接入Internet。路由器没有足够的CPU和内存来运行动态路由协议。可以通过浮动静态路由为动态路由提供备份。链路的带宽较低,因为动态的路由更新和维护会带来额外的链路负担。3.1

静态路由[Huawei]iproute-staticip-address

{

mask

|

mask-length

}nexthop-address关联下一跳IP的方式[Huawei]iproute-staticip-address

{

mask

|

mask-length

}interface-typeinterface-number关联出接口的方式[Huawei]iproute-staticip-address{mask|mask-length}interface-typeinterface-number[nexthop-address]关联出接口和下一跳IP方式在创建静态路由时，可以同时指定出接口和下一跳。对于不同的出接口类型，也可以只指定出接口或只指定下一跳。对于点到点接口（如串口），必须指定出接口。对于广播接口（如以太网接口），必须指定下一跳。3.1

静态路由配置举例S1/0/0/24GE0/0/0/24S1/0/0/24GE0/0/0/24RTARTCRTB前往/24前往/24[RTA]iproute-static[RTC]iproute-staticS1/0/0RTA的配置如下：RTC的配置如下：RTA与RTC上配置静态路由，实现/24与/24的互通。因为报文是逐跳转发的，所以每一跳路由设备上都需要配置到达相应目的地址的路由。另外需要注意通信是双向的，针对通信过程中的往返流量，都需关注途径设备上的路由配置。3.1

静态路由缺省路由是一种特殊的路由，当报文没有在路由表中找到匹配的具体路由表项时才使用的路由。如果报文的目的地址不能与路由表的任何目的地址相匹配，那么该报文将选取缺省路由进行转发。缺省路由在路由表中的形式为/0，缺省路由也被叫做默认路由。[RTA]iproute-static0RTARTB/24/24.GE0/0/0GE0/0/0/24/24.RTA前往非本地直连网段，将报文转发给。/24企业网络3.1

静态路由[RTA]iproute-static054缺省路由应用场景:一般用于企业网络出口，配置一条缺省路由让出口设备能够转发前往Internet上任意地址的IP报文。/24RTAGE0/0/0PC00Gateway:54GE0/0/154Internet54企业网络3.2静态路由[RTA]iproute-static054缺省路由应用场景:一般用于企业网络出口，配置一条缺省路由让出口设备能够转发前往Internet上任意地址的IP报文。/24RTAGE0/0/0PC00Gateway:54GE0/0/154Internet54在R1路由器上配置到网关R2的默认路由，当SW1与R2之间的链路出现故障时R1能快速感知吗？R1与R2通过二层交换机连接建立OSPF邻接关系，当SW1与SW2之间的链路出现故障时，R1与R2能快速感知吗？3.2双向转发检测BFD在无法通过硬件信号检测故障的系统中，应用通常采用上层协议本身的Hello报文机制检测网络故障。常用路由协议的Hello报文机制检测时间较长，检测时间超过1秒钟。当应用在网络中传输的数据超过GB/s时，秒级的检测时间将会导致应用传输的数据大量丢失。在三层网络中，静态路由本身没有故障检查机制。R1R2SW1SW2OSPFNeighbor[R1]iproute-staticR1SW1R2/30/30Internet动态路由故障检测问题静态路由故障检测问题3.2双向转发检测BFD双向转发检测BFD（BidirectionalForwardingDetection）提供了一个通用的、标准化的、介质无关的、协议无关的快速故障检测机制，有以下两大优点：对相邻转发引擎之间的通道提供轻负荷、快速故障检测。用单一的机制对任何介质、任何协议层进行实时检测。BFD是一个简单的“Hello”协议。两个系统之间建立BFD会话通道，并周期性发送BFD检测报文，如果某个系统在规定的时间内没有收到对端的检测报文，则认为该通道的某个部分发生了故障。BFD控制报文采用UDP封装，目的端口号为3784，源端口在49152-65535之间随机应用层传输层网络层数据链路层物理侧应用层传输层网络层数据链路层物理侧BFD会话检测3.2双向转发检测BFDBFD会话的建立有两种方式，即静态建立BFD会话和动态建立BFD会话。BFD通过控制报文中的本地标识符和远端标识符区分不同的会话。静态和动态创建BFD会话的主要区别在于LocalDiscriminator和RemoteDiscriminator的配置方式不同。R1R2本地标识符（LocalDiscriminator=A）远端标识符（RemoteDiscriminator=B）本地标识符（LocalDiscriminator=B）远端标识符（RemoteDiscriminator=A）BFDSession静态建立BFD会话静态建立BFD会话是指通过命令行手工配置BFD会话参数，包括配置本地标识符和远端标识符等，然后手工下发BFD会话建立请求。动态建立BFD会话动态建立BFD会话的本地标识符由触发创建BFD会话的系统动态分配，远端标识符从收到对端BFD消息的LocalDiscriminator的值学习而来。R1R2LocalDiscriminator=ARemoteDiscriminator=0LocalDiscriminator=BRemoteDiscriminator=0LocalDiscriminator=ARemoteDiscriminator=BLocalDiscriminator=BRemoteDiscriminator=ABFDSession相互发送匹配学习123.2双向转发检测BFDBFD的检测机制：两个系统建立BFD会话，并沿它们之间的路径周期性发送BFD控制报文，如果一方在既定的时间内没有收到BFD控制报文，则认为路径上发生了故障。BFD的检测模式有异步模式和查询模式两种。异步模式系统之间相互周期性地发送BFD控制包，如果某个系统在检测时间内没有收到对端发来的BFD控制报文，就宣布会话为Down。查询模式在需要验证连接性的情况下，系统连续发送多个BFD控制包，如果在检测时间内没有收到返回的报文就宣布会话为Down。R1R2BFDSession……R1R2BFDSessionBFDmessageBFDmessageBFDmessageBFDmessageBFDmessageBFDmessage周期性发送BFD控制报文按需发送BFD控制报文3.2双向转发检测BFDBFD会话检测时长由TX（DesiredMinTXInterval），RX（RequiredMinRXInterval），DM（DetectMulti）三个参数决定。BFD报文的实际发送时间间隔，实际接受时间间隔由BFD会话协商决定。本地BFD报文实际发送时间间隔＝MAX{本地配置的发送时间间隔，对端配置的接收时间间隔}本地BFD报文实际接收时间间隔＝MAX{对端配置的发送时间间隔，本地配置的接收时间间隔}本地BFD报文实际检测时间：异步模式：本地BFD报文实际检测时间＝本地BFD报文实际接收时间间隔×对端配置的BFD检测倍数查询模式：本地BFD报文实际检测时间=本地BFD报文实际接收时间间隔×本端配置的BFD检测倍数R1R2BFDSession当前配置时间参数：TX:100msRX:200msDM:3当前配置时间参数：TX:150msRX:50msDM:4协商后时间参数：TX:100msRX:200msDM:3协商后时间参数：TX:200msRX:100msDM:4参数协商R1在异步模式下的实际检测时间=4*200msR1在查询模式下的实际检测时间=3*200ms3.2双向转发检测BFDBFD检测方式包括单跳检测和多跳检测。BFD单跳检测是指对两个直连系统进行IP连通性检测，这里所说的“单跳”是IP的一跳。在进行BFD单跳检测的两个系统中，对于一种给定的数据协议，在指定接口上只存在一个BFD会话。因此，BFD会话是与接口绑定的，接口类型包括物理接口、虚电路以及隧道。3.2双向转发检测BFDBFD检测方式包括单跳检测和多跳检测。BFD多跳检测是指BFD可以检测两个系统间的任意路径，这些路径可能跨越很多跳，也可能在某些部分发生重叠。多跳BFD会话绑定对端IP但不绑定出接口。3.2双向转发检测BFDBFDEcho功能也称为BFD回声功能，是由本地发送BFDEcho报文，远端系统将报文环回的一种检测机制。在两台直接相连的设备中，其中一台设备支持BFD功能（R1）；另一台设备不支持BFD功能（R2），只支持基本的网络层转发。为了能够快速的检测这两台设备之间的故障，可以在支持BFD功能的设备上创建单臂回声功能的BFD会话。支持BFD功能的设备主动发起回声请求功能，不支持BFD功能的设备接收到该报文后直接将其环回，从而实现转发链路的连通性检测功能。R1R2支持BFD功能设备不支持BFD功能设备主动发起回声请求1网络层直接环回2判断链路是否正常33.2双向转发检测BFD[Huawei]bfd

session-name

bind

peer-ip

ip-address[vpn-instance

vpn-name]interface

interface-typeinterface-number[source-ip

ip-address]创建BFD会话绑定信息，并进入BFD会话视图。缺省情况下，未创建BFD会话。在第一次创建单跳BFD会话时，必须绑定对端IP地址和本端相应接口，且创建后不可修改。如果需要修改，则只能删除后重新创建。[Huawei]bfdsession-namebindpeer-ipdefault-ipinterfaceinterface-typeinterface-number[source-ipip-address]创建使用组播地址作为对端地址的BFD会话，并进入BFD会话视图。[Huawei]bfd

session-name

bind

peer-ip

ip-address[vpn-instance

vpn-name]interface

interface-typeinterface-number[source-ip

ip-address]auto创建静态标识符自协商BFD会话3.2双向转发检测BFD[Huawei-bfd-session-test]discriminatorlocaldiscr-value配置BFD会话的本地标识符[Huawei-bfd-session-test]discriminatorremotediscr-value配置BFD会话的远端标识符配置标识符时，本端的本地标识符与对端的远端标识符必需相同，否则BFD会话无法正确建立。并且，本地标识符和远端标识符配置成功后不可修改。此处假设BFDSession名称是test。[Huawei]bfd

session-name

bind

peer-ip

ip-address[vpn-instance

vpn-name]interface

interface-typeinterface-number[source-ip

ip-address]one-arm-echo创建单臂Echo功能的BFD会话3.3NAT技术公网地址：由专门的机构管理、分配，可以在Internet上直接通信的IP地址。私有地址：组织和个人可以任意使用，无法在Internet上直接通信，只能在内网使用的IP地址。A、B、C类地址中各预留了一些地址专门作为私有IP地址：A类：~55B类：~55C类：~55Internet企业办公园区/16校园网/8家庭网络/16咖啡厅/16小型厂房园区/163.3NAT技术NAT技术原理：对IP数据报文中的IP地址进行转换，是一种在现网中被广泛部署的技术，一般部署在网络出口设备，例如路由器或防火墙上。NAT的典型应用场景：在私有网络内部（园区、家庭）使用私有地址，出口设备部署NAT，对于“从内到外”的流量，网络设备通过NAT将数据包的源地址进行转换（转换成特定的公有地址），而对于“从外到内的”流量，则对数据包的目的地址进行转换。通过私有地址的使用结合NAT技术，可以有效节约公网IPv4地址。PC0/24Web服务器私有网络NAT源IP：0目的IP：源IP：目的IP：源IP：目的IP：0源IP：目的IP：124354Internet3.3NAT技术内部本地地址：通常不是RIR或服务提供商分配的IP地址，极有可能是RFC1918私有地址。内部全局地址：当内部主机流量流出NAT路由器时分配给内部主机的有效公有地址。外部全局地址：分配给Internet上主机的可达IP地址。外部本地地址：分配给外部网络上主机的本地IP地址。PC0/24Web服务器私有网络NAT源IP：0目的IP：源IP：目的IP：源IP：目的IP：0源IP：目的IP：124354Internet3.3NAT技术静态NAT：属于一对一的地址转换，即私有地址和公有地址之间的关系是一对一映射。在这种方式下只转换IP地址，而对TCP/UDP协议的端口号不处理，一个公网IP地址不能同时被多个用户使用。支持双向互访：私有地址访问Internet经过出口设备NAT转换时，会被转换成对应的公有地址。同时，外部网络访问内部网络时，其报文中携带的公有地址（目的地址）也会被NAT设备转换成对应的私有地址。私有地址公有地址/24Web服务器NAT/24/2454Internet私有网络NAT映射表------------------------3.3NAT技术静态NAT示例访问Internet时，源地址会被转换为。Internet的回包目的地址为，目的地址会被转换为。Internet上的主机主动访问，报文的目的地址会被出口设备NAT转换为。的回包源地址，经过出口设备时会被NAT转换为。源IP：目的IP：1源IP：目的IP：3源IP：目的IP：4源IP：目的IP：2/24Web服务器NAT/24/24源IP：目的IP：2源IP：目的IP：4源IP：目的IP：3源IP：目的IP：1外网主机54Internet3.3NAT技术[Huawei-GigabitEthernet0/0/0]natstaticglobal{global-address}inside{host-address}方式一：接口视图下配置静态NATglobal参数用于配置外部公有地址，inside参数用于配置内部私有地址。[Huawei]natstaticglobal{global-address}inside{host-address}方式二：系统视图下配置静态NAT配置命令相同，视图为系统视图，之后在具体的接口下开启静态NAT。[Huawei-GigabitEthernet0/0/0]natstaticenable在接口下使能natstatic功能。私有网络3.3NAT技术/24Web服务器GE0/0/1R1NAT/24/2454[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]nat

staticglobalinside[R1-GigabitEthernet0/0/1]nat

staticglobalinside[R1-GigabitEthernet0/0/1]nat

staticglobalinside在R1上配置静态NAT将内网主机的私有地址一对一映射到公有地址。Internet静态NAT配置示例3.3NAT技术动态NAT原理：静态NAT严格地一对一进行地址映射，这就导致即便内网主机长时间离线或者不发送数据时，与之对应的公有地址也处于使用状态。为了避免地址浪费，动态NAT提出了地址池的概念：所有可用的公有地址组成地址池。当内部主机访问外部网络时临时分配一个地址池中未使用的地址，并将该地址标记为“InUse”。当该主机不再访问外部网络时回收分配的地址，重新标记为“NotUse”。NotUseNotUseNotUse/24Web服务器NAT/24/2454Internet私有网络NAT地址池-----------------Select3.3NAT技术动态NAT示例/24Web服务器NAT/24/24InUseNotUseNotUse源IP：目的IP：1源IP：目的IP：2STEP1选择一个地址池中未使用的地址作为转换后的地址，同时将该地址的标记变为“InUse”。私有地址公有地址STEP2生成一个临时的NAT映射表。InternetNAT地址池-----------------NAT映射表--------------------Match3.3NAT技术动态NAT示例/24Web服务器NAT/24/24私有地址公有地址源IP：目的IP：3源IP：目的IP：4查找NAT映射表，根据公有地址查找私有地址，并进行IP数据报文目的地址转换。InternetNAT映射表----------------------3.3NAT技术[Huawei]nataddress-groupgroup-index

start-addressend-address创建地址池配置公有地址范围，其中group-index为地址池编号，start-address、end-address分别为地址池起始地址、结束地址。[Huawei]acl

number[Huawei-acl-basic-number]rulepermitsourcesource-addresssource-wildcard配置地址转换的ACL规则配置基础ACL，匹配需要进行动态转换的源地址范围。[Huawei-GigabitEthernet0/0/0]natoutboundacl-numberaddress-groupgroup-index

[no-pat]接口视图下配置带地址池的NATOutbound接口下关联ACL与地址池进行动态地址转换，no-pat参数指定不进行端口转换。私有网络3.3NAT技术[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound2000address-group1no-pat在R1上配置动态NAT将内网主机的私有地址动态映射到公有地址。/24Web服务器NATR1/24/24InternetGE0/0/1动态NAT配置示例NAT映射表-------------私有网络3.3NAT技术动态NAT选择地址池中的地址进行地址转换时不会转换端口号，即No-PAT（No-PortAddressTranslation，非端口地址转换），公有地址与私有地址还是1:1的映射关系，无法提高公有地址利用率。NAPT（NetworkAddressandPortTranslation，网络地址端口转换）原理：从地址池中选择地址进行地址转换时不仅转换IP地址，同时也会对端口号进行转换，从而实现公有地址与私有地址的1:n映射，可以有效提高公有地址利用率。/24Web服务器NAT/24/24私有地址:端口公有地址:端口:10321:1025:17087:102654NAT地址池-------------InternetSelect映射表-------------3.3NAT技术NAPT示例源：:10321目的：:801源：:1025目的：:802Step1选择一个地址池中的地址，同时转换源IP、端口。Step2同时生成一个临时的NAT映射表，其中记录：[转换前源IP:端口]，[转换后IP:端口]。私有地址:端口公有地址:端口:10321:1025:17087:1026/24Web服务器NAT/24/24NAT地址池----------Internet3.3NAT技术NAPT示例/24Web服务器NAT/24/24查找NAT映射表，根据[公有地址:端口]信息查找对应的[私有地址:端口]，并进行IP数据报文目的地址、端口转换。源：:80目的：:10253源：:80目的：:103214InternetNAT映射表-------------Match私有地址:端口公有地址:端口:10321:1025:17087:1026私有网络3.3NAT技术NAPT配置示例[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound2000address-group1在R1上配置NAPT让内网所有私有地址通过访问公网。/24Web服务器NATR1/24/2454GE0/0/1InternetNAT映射表-------------3.3NAT技术EasyIP：实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于EasyIP没有地址池的概念，使用接口地址作为NAT转换的公有地址。EasyIP方式特别适合小型局域网访问Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境，一般具有以下特点：内部主机较少、出接口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。对于这种情况，可以使用EasyIP方式使局域网用户都通过这个IP地址接入Internet。私有网络/24Web服务器NAT/24/24私有地址:端口公有地址:端口:10321:1025:17087:102654Internet3.3NAT技术EasyIP配置示例[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound2000在R1上配置Easy-IP让内网所有私有地址通过访问公网。私有网络/24Web服务器NATR1/24/2454G