Руководство По Лабораторным Работам Hcip-ienp Сертификации Huawei v2.5

Сертификация Huawei
HCIP-IENP
Улучшение производительности в
корпоративной сети
Руководство по лабораторным работам
Huawei Technologies Co., Ltd

HCNP-IENP
Copyright © Huawei Technologies Co., Ltd. 2019. Все права защищены.

Воспроизведение и передача данного документа или какой-либо его части в любой
форме и любыми средствами без предварительного письменного разрешения
компании Huawei Technologies Co., Ltd. запрещены.
Товарные знаки
и прочие товарные знаки Huawei являются зарегистрированными товарными

знаками Huawei Technologies Co., Ltd.
Прочие товарные знаки, наименования изделий, услуг и компаний, упомянутые в
настоящем документе, принадлежат исключительно их владельцам.
Примечание
Приобретаемые продукты, услуги и функции предусмотрены договором,
заключенным между компанией Huawei и заказчиком. Все продукты, услуги и
функции, полностью или частично, описанные в данном документе, могут не входить
в объем закупок или использования. При отсутствии иных соглашений в договоре,
все утверждения, информация и рекомендации в настоящем документе
предоставляются по принципу «как есть» без каких-либо явных или
подразумеваемых гарантий.
Вся содержащаяся в данном документе информация может изменяться без
уведомления. Несмотря на то, что при подготовке данного документа были
приложены все усилия для обеспечения точности его содержания, ни одно из
содержащихся в нем утверждений, рекомендаций и никакая информация не
является явной или подразумеваемой гарантией.
Сертификация Huawei
Улучшение производительности в корпоративной сети
Лабораторное руководство
Издание 2.5
HUAWEI TECHNOLOGIES
HCNP-IENP
Система сертификации Huawei
Опираясь на сильную техническую и профессиональную подготовку и систему

сертификации, в соответствии с потребностями клиентов различных уровней в
технологиях ИКТ, сертификация Huawei призвана предоставить клиентам
аутентичную, профессиональную сертификацию, и отвечает потребности в
подготовке инженеров по обеспечению качества, способных поддерживать сети
предприятий в условиях непрерывно меняющейся индустрии ИКТ.
Сертификационный портфель Huawei по маршрутизации и коммутации (R&S)
состоит из трех уровней для поддержки и закрепления роста и ценности навыков и
знаний клиентов в технологиях маршрутизации и коммутации.
Уровень сертификации Huawei Certified Network Associate (HCNA) подтверждает

навыки и знания инженеров IP-сетей по реализации и поддержке корпоративных
сетей малых и средних размеров. В целях эффективной поддержки реальной
производственной деятельности сертификация HCNA предоставляет богатую основу
из навыков и знаний в области создания таких сетей предприятий, а также
возможностей реализации услуг и функций в рамках существующих сетей.
Сертификация HCNA охватывает фундаментальные навыки TCP/IP, маршрутизации,

коммутации и смежных технологий IP-сетей, знания о продуктах Huawei для
передачи данных, а также навыки работы и управления в Versatile Routing Platform
(VRP).
Сертификация Huawei Certified Network Professional (HCNP-R&S) предназначена для

инженеров сетей предприятий, участвующих в проектировании и техническом
обслуживании, а также для профессионалов, желающих углубить знания в области
маршрутизации, коммутации, эффективности сетей и оптимизации. HCNP-R&S
состоит из трех блоков, включающих Implementing Enterprise Routing and Switching
Network (IERS), Improving Enterprise Network Performance (IENP) и Implementing
Enterprise Network Engineering Project (IEEP), которые охватывают передовые
принципы маршрутизации IPv4 и технологий коммутации, безопасность сетей,
высокую доступность и QoS, а также применение соответствующих технологий в
продуктах Huawei.
Сертификация Huawei Certified Internet Expert (HCIE-R&S) предназначена для

обогащения знаний инженеров в области разнообразия технологий IP-сетей и
профессионального технического обслуживания, диагностики и устранения
неполадок в продуктах Huawei, преследуя цели углубления компетентности
инженеров при планировании, проектировании и оптимизации больших IP-сетей.
HUAWEI TECHNOLOGIES
HCNP-IENP
HUAWEI TECHNOLOGIES
HCBP-IENP
О документе
Обзор
Данный документ является учебным материалом HCNP-IENP (HCNP-Improving
Enterprise Network Performance). Он предназначен для тех, кто готовится к экзамену
HCNP-IENP и тех, кто хочет улучшить производительность корпоративной сети и
внедрение VRP (Huawei Versatile Routing Platform).
Главе 1 описывает принципы и конфигурации MPLS и MPLS VPN, а также помогает

читателям использовать основные методы для улучшения возможностей
корпоративных сетевых сервисов.
Главы 2, 3, 4, 5 и 6 иллюстрируют принципы и конфигурации DHCP, QoS, основы

сетевой безопасности, VRRP и BFD, а также помогают читателям всесторонне
освоить соответствующие теории и практику для улучшения качества обслуживания
корпоративных сетей и повышения безопасности и надежности корпоративной сети.
Этот курс помогает читателям постепенно понять технологии маршрутизации и

способы внедрения этих технологий в продукции Huawei.
Необходимые фоновые знания

Для полного понимания этого документа читатели должны:
 Участвовать в тренингах HCIA.
 Пройти HCIA-экзаменов.
 Ознакомиться с стеком протоколов TCP/IP и IP-адресацией.
HUAWEI TECHNOLOGIES
HCBP-IENP
Значки
Router Layer 3 switch Layer 2 switch Firewall Network cloud
Ethernet cable Serial cable
HUAWEI TECHNOLOGIES
HCBP-IENP
Лабораторная среда
Описание сети
Лабораторные устройства включают пять маршрутизаторов, четыре коммутатора и
один брандмауэр. Каждая лаборатория позволяет двум кандидатам одновременно
выполнять лабораторные работы.
Устройство
Для выполнения требований эксперимента HCNP-IENP рекомендуется следующая
конфигурация в каждой лаборатории.
В следующей таблице приведено соответствие между именами устройств, моделями

и версиями.
Версия ПО
Имя устройства Модель устройства
(программного обеспечения)
R1 AR2220E V2R7
R2 AR2220E V2R7
R3 AR2220E V2R7
R4 AR2220E V2R7
R5 AR2220E V2R7
S1 S5720-36C-EI-AC V2R8
S2 S5720-36C-EI-AC V2R8
S3 S3700-28TP-EI-AC V1R6C5
S4 S3700-28TP-EI-AC V1R6C5
FW1 USG6330 V100R001C30
HUAWEI TECHNOLOGIES
HCNP-IENP Содержание
Содержание
Глава 1 Конфигурация MPLS VPN ................................................................................. 1

Лаборатория 1-1 Конфигурация MPLS LDP ..................................................................................... 1
Лаборатория 1-2 Конфигурация MPLS VPN ................................................................................... 15
Глава 2 Конфигурация DHCP ....................................................................................... 32

Лаборатория 2-1 Конфигурация DHCP ........................................................................................... 32
Глава 3 Качество обслуживания и управление трафиком ..................................... 52

Лаборатория 3-1 Основы QoS ......................................................................................................... 52
Глава 4 Конфигурация брандмауэра .......................................................................... 73

Лаборатория 4-1 Зона брандмауэра и конфигурация политики безопасности ........................... 73
Лаборатория 4-2 Конфигурация NAT брандмауэра ....................................................................... 88
Глава 5 Конфигурация VRRP ..................................................................................... 105

Лаборатория 5-1 Конфигурация VRRP ......................................................................................... 105
Глава 6 Конфигурация BFD ........................................................................................ 127

Лаборатория 6-1 Объединение между BFD и статическими маршрутами ................................ 127
Лаборатория 6-2 Объединение между BFD и OSPF ................................................................... 139
Лаборатория 6-3 Объединение между BFD и VRRP ................................................................... 147
HUAWEI TECHNOLOGIES
HCIP-IENP Глава 1 Конфигурация MPLS VPN
Конфигурация MPLS VPN
Лаборатория 1-1 Конфигурация MPLS LDP
Цели обучения
Цели этой лаборатории заключаются в том, чтобы узнать и понять:
 Как включить и отключить MPLS
 Как включить и отключить MPLS LDP
 Как сконфигурировать LSP с помощью MPLS LDP
 Как сконфигурировать триггерную стратегию LDP LSP на маршрутизаторе
MPLS
Топология
Рисунок 1-1 Топология MPLS LDP
Сценарий
Предположим, что вы являетесь сетевым администратором предприятия. Ваше
предприятие использует IP-сеть с низкой производительностью переадресации.
Необходимо использовать MPLS для повышения скорости переадресации
маршрутизаторов. Статические LSP конфигурируются вручную, а LDP — протокол,
разработанный для распределения меток. Чтобы выполнить гибкую конфигурацию,
используйте LDP для установки MPLS LSP.
Серия HC HUAWEI TECHNOLOGIES 1

Задача
Шаг 1 Выполните основные конфигурации и сконфигурируйте IP-
адреса.
Сконфигурируйте IP-адреса и маски для всех маршрутизаторов.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S1
[S1]interface Vlanif 1
[S1-Vlanif1]ip address 10.0.1.2 24
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.0.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]interface Serial 1/0/0
[R1-Serial1/0/0]ip address 10.0.12.1 24
[R1-Serial1/0/0]quit
[R1]interface loopback 0
[R1-LoopBack0]ip address 2.2.2.2 24
<Huawei>system-view
[Huawei]sysname R2
<Huawei>system-view
[Huawei]sysname R3


<Huawei>system-view
[Huawei]sysname S2
[S2-Vlanif1]ip address 10.0.2.2 24
После завершения конфигурирования проверьте подключение прямых каналов.
Шаг 2 Сконфигурируйте OSPF для одной области.

Добавьте 10.0.12.0/24, 10.0.23.0/24, 10.0.1.0/24 и 10.0.2.0/24 в область OSPF 0.
[S1]ospf 1 router-id 1.1.1.1
[S1-ospf-1]area 0
[S1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255
[R1]ospf 1 router-id 2.2.2.2

[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255

[R2-ospf-1]area 0

[R3-ospf-1]area 0
[S2]ospf 1 router-id 5.5.5.5

[S2-ospf-1]area 0
[S2-ospf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255
Проверьте таблицу маршрутизации и соединение на всей сети.

[R2]ping 10.0.1.2
PING 10.0.1.2: 56 data bytes, press CTRL_C to break
Reply from 10.0.1.2: bytes=56 Sequence=1 ttl=253 time=36 ms
--- 10.0.1.2 ping statistics ---

5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/32/36 ms
[R2]ping 10.0.2.2

0.00% packet loss
Запустите команду display ip routing-table для просмотра таблицы маршрутизации

OSPF.
[R2]display ip routing-table
Route Flags: R - relay, D - download to fib
----------------------------------------------------------------------------
Routing Tables: Public
Destinations : 19 Routes : 19
Destination/Mask Proto Pre Cost Flags NextHop Interface
2.2.2.2/32 OSPF 10 1562 D 10.0.12.1 Serial1/0/0

3.3.3.0/24 Direct 0 0 D 3.3.3.3 LoopBack0
3.3.3.3/32 Direct 0 0 D 127.0.0.1 InLoopBack0
4.4.4.4/32 OSPF 10 1562 D 10.0.23.3 Serial2/0/0

10.0.1.0/24 OSPF 10 1563 D 10.0.12.1 Serial1/0/0

10.0.2.0/24 OSPF 10 1563 D 10.0.23.3 Serial2/0/0
10.0.12.0/24 Direct 0 0 D 10.0.12.2 Serial1/0/0
10.0.12.1/32 Direct 0 0 D 10.0.12.1 Serial1/0/0
10.0.23.0/24 Direct 0 0 D 10.0.23.2 Serial2/0/0
10.0.23.3/32 Direct 0 0 D 10.0.23.3 Serial2/0/0
Шаг 3 Сконфигурируйте MPLS LDP.

Сконфигурируйте MPLS и LDP глобально на маршрутизаторах MPLS.
[R1]mpls lsr-id 2.2.2.2
[R1]mpls
Info: Mpls starting, please wait... OK!
[R1-mpls]mpls ldp

[R2]mpls
[R2-mpls]mpls ldp

[R3]mpls
[R3-mpls]mpls ldp
Сконфигурируйте MPLS и LDP на интерфейсах маршрутизаторов MPLS.

[R1-Serial1/0/0]mpls
[R1-Serial1/0/0]mpls ldp



После завершения конфигурирования выполните команду display mpls ldp session

на маршрутизаторах. Вы увидите, что статус локальных сеансов LDP между R1 и R2,
R1 и R3 являются Operational.
[R1]display mpls ldp session
LDP Session(s) in Public Network
Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM)
A '*' before a session means the session is being deleted.
----------------------------------------------------------------------------
PeerID Status LAM SsnRole SsnAge KASent/Rcv
----------------------------------------------------------------------------
3.3.3.3:0 Operational DU Passive 0000:00:10 41/41
---------------------------------------------------------------------------- TOTAL: 1
session(s) Found.

----------------------------------------------------------------------------
----------------------------------------------------------------------------
2.2.2.2:0 Operational DU Active 0000:00:11 46/46
4.4.4.4:0 Operational DU Passive 0000:00:10 43/43
----------------------------------------------------------------------------
TOTAL: 2 session(s) Found.

----------------------------------------------------------------------------
----------------------------------------------------------------------------
3.3.3.3:0 Operational DU Active 0000:00:11 46/46
----------------------------------------------------------------------------

TOTAL: 1 session(s) Found.
Шаг 4 Установите LDP LSP.

Все LSR запускаются для установления LDP LSP на основе маршрута хоста, который
является триггерной стратегией по умолчанию.
Выполните команду display mpls ldp lsp. Все маршруты хоста запускаются для
установления LDP LSP.
[R1]display mpls ldp lsp

LDP LSP Information
----------------------------------------------------------------------------
DestAddress/Mask In/OutLabel UpstreamPeer NextHop OutInterface
----------------------------------------------------------------------------
2.2.2.2/32 3/NULL 3.3.3.3 127.0.0.1 InLoop0
*2.2.2.2/32 Liberal/1024 DS/3.3.3.3
3.3.3.3/32 NULL/3 - 10.0.12.2 S1/0/0
3.3.3.3/32 1024/3 3.3.3.3 10.0.12.2 S1/0/0
4.4.4.4/32 NULL/1025 - 10.0.12.2 S1/0/0
4.4.4.4/32 1025/1025 3.3.3.3 10.0.12.2 S1/0/0
----------------------------------------------------------------------------
TOTAL: 5 Normal LSP(s) Found.
TOTAL: 1 Liberal LSP(s) Found.
TOTAL: 0 Frr LSP(s) Found.
A '*' before an LSP means the LSP is not established
A '*' before a Label means the USCB or DSCB is stale
A '*' before a UpstreamPeer means the session is in GR state
A '*' before a DS means the session is in GR state
A '*' before a NextHop means the LSP is FRR LSP

LDP LSP Information
----------------------------------------------------------------------------
----------------------------------------------------------------------------
2.2.2.2/32 NULL/3 - 10.0.12.1 S1/0/0
2.2.2.2/32 1024/3 2.2.2.2 10.0.12.1 S1/0/0
2.2.2.2/32 1024/3 4.4.4.4 10.0.12.1 S1/0/0
*2.2.2.2/32 Liberal/1024 DS/4.4.4.4
3.3.3.3/32 3/NULL 2.2.2.2 127.0.0.1 InLoop0
3.3.3.3/32 3/NULL 4.4.4.4 127.0.0.1 InLoop0
*3.3.3.3/32 Liberal/1024 DS/2.2.2.2

*3.3.3.3/32 Liberal/1025 DS/4.4.4.4

4.4.4.4/32 NULL/3 - 10.0.23.3 S2/0/0
4.4.4.4/32 1025/3 2.2.2.2 10.0.23.3 S2/0/0
4.4.4.4/32 1025/3 4.4.4.4 10.0.23.3 S2/0/0
*4.4.4.4/32 Liberal/1025 DS/2.2.2.2
----------------------------------------------------------------------------

LDP LSP Information
----------------------------------------------------------------------------
----------------------------------------------------------------------------
2.2.2.2/32 NULL/1024 - 10.0.23.2 S2/0/0
2.2.2.2/32 1024/1024 3.3.3.3 10.0.23.2 S2/0/0
3.3.3.3/32 NULL/3 - 10.0.23.2 S2/0/0
3.3.3.3/32 1025/3 3.3.3.3 10.0.23.2 S2/0/0
4.4.4.4/32 3/NULL 3.3.3.3 127.0.0.1 InLoop0
*4.4.4.4/32 Liberal/1025 DS/3.3.3.3
----------------------------------------------------------------------------
В большинстве случаев используется триггерную стратегию по умолчанию.

Установление LDP LSP запускается в режиме Host.
Измените триггерную стратегию LDP LSP на All, чтобы все статические маршруты и
записи IGP могли запускать установление LDP LSP.
[R1]mpls
[R1-mpls]lsp-trigger all

[R2]mpls
[R3]mpls
После завершения конфигурирования выполните команду display mpls ldp lsp на

каждом узле для просмотра установленных LDP LSP.
LDP LSP Information
----------------------------------------------------------------------------
----------------------------------------------------------------------------
2.2.2.0/24 3/NULL 3.3.3.3 2.2.2.2 Loop0
2.2.2.2/32 3/NULL 3.3.3.3 127.0.0.1 InLoop0
*2.2.2.2/32 Liberal/1024 DS/3.3.3.3
*3.3.3.0/24 Liberal/3 DS/3.3.3.3
3.3.3.3/32 NULL/3 - 10.0.12.2 S1/0/0
3.3.3.3/32 1024/3 3.3.3.3 10.0.12.2 S1/0/0
4.4.4.4/32 NULL/1025 - 10.0.12.2 S1/0/0
4.4.4.4/32 1025/1025 3.3.3.3 10.0.12.2 S1/0/0
10.0.1.0/24 3/NULL 3.3.3.3 10.0.1.1 GE0/0/1
*10.0.1.0/24 Liberal/1026 DS/3.3.3.3
10.0.2.0/24 NULL/1027 - 10.0.12.2 S1/0/0
10.0.2.0/24 1027/1027 3.3.3.3 10.0.12.2 S1/0/0
10.0.12.0/24 3/NULL 3.3.3.3 10.0.12.1 S1/0/0
*10.0.12.0/24 Liberal/3 DS/3.3.3.3
10.0.23.0/24 NULL/3 - 10.0.12.2 S1/0/0
10.0.23.0/24 1026/3 3.3.3.3 10.0.12.2 S1/0/0
----------------------------------------------------------------------------

LDP LSP Information
----------------------------------------------------------------------------


----------------------------------------------------------------------------
*2.2.2.0/24 Liberal/3 DS/2.2.2.2
2.2.2.2/32 NULL/3 - 10.0.12.1 S1/0/0
2.2.2.2/32 1024/3 2.2.2.2 10.0.12.1 S1/0/0
2.2.2.2/32 1024/3 4.4.4.4 10.0.12.1 S1/0/0
*2.2.2.2/32 Liberal/1024 DS/4.4.4.4
3.3.3.0/24 3/NULL 2.2.2.2 3.3.3.3 Loop0
3.3.3.0/24 3/NULL 4.4.4.4 3.3.3.3 Loop0
3.3.3.3/32 3/NULL 2.2.2.2 127.0.0.1 InLoop0
3.3.3.3/32 3/NULL 4.4.4.4 127.0.0.1 InLoop0
*3.3.3.3/32 Liberal/1024 DS/2.2.2.2
*3.3.3.3/32 Liberal/1025 DS/4.4.4.4
*4.4.4.0/24 Liberal/3 DS/4.4.4.4
4.4.4.4/32 NULL/3 - 10.0.23.3 S2/0/0
4.4.4.4/32 1025/3 2.2.2.2 10.0.23.3 S2/0/0
4.4.4.4/32 1025/3 4.4.4.4 10.0.23.3 S2/0/0
*4.4.4.4/32 Liberal/1025 DS/2.2.2.2
10.0.1.0/24 NULL/3 - 10.0.12.1 S1/0/0
10.0.1.0/24 1026/3 2.2.2.2 10.0.12.1 S1/0/0
10.0.1.0/24 1026/3 4.4.4.4 10.0.12.1 S1/0/0
*10.0.1.0/24 Liberal/1026 DS/4.4.4.4
10.0.2.0/24 NULL/3 - 10.0.23.3 S2/0/0
10.0.2.0/24 1027/3 2.2.2.2 10.0.23.3 S2/0/0
10.0.2.0/24 1027/3 4.4.4.4 10.0.23.3 S2/0/0
*10.0.2.0/24 Liberal/1027 DS/2.2.2.2
10.0.12.0/24 3/NULL 2.2.2.2 10.0.12.2 S1/0/0
10.0.12.0/24 3/NULL 4.4.4.4 10.0.12.2 S1/0/0
*10.0.12.0/24 Liberal/3 DS/2.2.2.2
*10.0.12.0/24 Liberal/1027 DS/4.4.4.4
10.0.23.0/24 3/NULL 2.2.2.2 10.0.23.2 S2/0/0
10.0.23.0/24 3/NULL 4.4.4.4 10.0.23.2 S2/0/0
*10.0.23.0/24 Liberal/1026 DS/2.2.2.2
*10.0.23.0/24 Liberal/3 DS/4.4.4.4
----------------------------------------------------------------------------


LDP LSP Information
----------------------------------------------------------------------------
----------------------------------------------------------------------------
2.2.2.2/32 NULL/1024 - 10.0.23.2 S2/0/0
2.2.2.2/32 1024/1024 3.3.3.3 10.0.23.2 S2/0/0
*3.3.3.0/24 Liberal/3 DS/3.3.3.3
3.3.3.3/32 NULL/3 - 10.0.23.2 S2/0/0
3.3.3.3/32 1025/3 3.3.3.3 10.0.23.2 S2/0/0
4.4.4.0/24 3/NULL 3.3.3.3 4.4.4.4 Loop0
4.4.4.4/32 3/NULL 3.3.3.3 127.0.0.1 InLoop0
*4.4.4.4/32 Liberal/1025 DS/3.3.3.3
10.0.1.0/24 NULL/1026 - 10.0.23.2 S2/0/0
10.0.1.0/24 1026/1026 3.3.3.3 10.0.23.2 S2/0/0
10.0.2.0/24 3/NULL 3.3.3.3 10.0.2.1 GE0/0/2
*10.0.2.0/24 Liberal/1027 DS/3.3.3.3
10.0.12.0/24 NULL/3 - 10.0.23.2 S2/0/0
10.0.12.0/24 1027/3 3.3.3.3 10.0.23.2 S2/0/0
10.0.23.0/24 3/NULL 3.3.3.3 10.0.23.3 S2/0/0
*10.0.23.0/24 Liberal/3 DS/3.3.3.3
----------------------------------------------------------------------------
Шаг 5 Сконфигурируйте стратегию LDP Inbound.

Если метки, полученные на R1, не контролируются, R1 установит большое
количество LSP, потребляя большую память.
После конфигурирования стратегии LDP Inbound, R1 получает сообщения

сопоставления меток только от R2 и устанавливает LSP до R2, экономя ресурсы.
Запустите команду display mpls lsp на R1. Отображается информация об

установленных LSP.
[R1]display mpls lsp
----------------------------------------------------------------------------
LSP Information: LDP LSP

----------------------------------------------------------------------------
FEC In/Out Label In/Out IF Vrf Name
3.3.3.3/32 NULL/3 -/S1/0/0
3.3.3.3/32 1024/3 -/S1/0/0
2.2.2.2/32 3/NULL -/-
4.4.4.4/32 NULL/1025 -/S1/0/0
4.4.4.4/32 1025/1025 -/S1/0/0
10.0.12.0/24 3/NULL -/-
10.0.1.0/24 3/NULL -/-
2.2.2.0/24 3/NULL -/-
10.0.23.0/24 NULL/3 -/S1/0/0
10.0.23.0/24 1026/3 -/S1/0/0
10.0.2.0/24 NULL/1027 -/S1/0/0
10.0.2.0/24 1027/1027 -/S1/0/0
Можно увидеть, что LSP к R2 и R3 устанавливаются на R1. Сконфигурируйте

стратегия Inbound на R1, чтобы разрешить только маршруты к R2.
[R1]ip ip-prefix prefix1 permit 10.0.12.0 24
[R1]mpls ldp
[R1-mpls-ldp]inbound peer 3.3.3.3 fec ip-prefix prefix1
[R1-mpls-ldp]quit
[R1]display mpls lsp
----------------------------------------------------------------------------
LSP Information: LDP LSP
----------------------------------------------------------------------------
FEC In/Out Label In/Out IF Vrf Name
2.2.2.2/32 3/NULL -/-
10.0.12.0/24 3/NULL -/-
10.0.1.0/24 3/NULL -/-
2.2.2.0/24 3/NULL -/-
----Конец
Дополнительные упражнения: анализ и проверка

Как настроить R1 для получения сообщений сопоставления меток от R1 до R3?
Конфигурация устройства
<S1>display current-configuration
!Software Version V200R008C00SPC500
#
sysname S1

#
interface Vlanif1
ip address 10.0.1.2 255.255.255.0
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 10.0.1.0 0.0.0.255
#
return
<R1>display current-configuration
[V200R007C00SPC600]
#
sysname R1
#
mpls lsr-id 2.2.2.2
mpls
lsp-trigger all
#
mpls ldp
inbound peer 3.3.3.3 fec ip-prefix prefix1
#
interface Serial1/0/0
link-protocol ppp
ip address 10.0.12.1 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet0/0/1
ip address 10.0.1.1 255.255.255.0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.0
#
area 0.0.0.0
network 10.0.1.0 0.0.0.255
network 10.0.12.0 0.0.0.255
network 2.2.2.0 0.0.0.255
#
ip ip-prefix prefix1 index 10 permit 10.0.12.0 24
#
return

[V200R007C00SPC600]
#
sysname R2
#
mpls lsr-id 3.3.3.3
mpls
lsp-trigger all
#
mpls ldp
#
link-protocol ppp
ip address 10.0.12.2 255.255.255.0
mpls
mpls ldp
#
link-protocol ppp
ip address 10.0.23.2 255.255.255.0
mpls
mpls ldp
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.0
#
area 0.0.0.0
network 10.0.12.0 0.0.0.255
network 10.0.23.0 0.0.0.255
network 3.3.3.0 0.0.0.255
#
return
[V200R007C00SPC600]
#
sysname R3
#
mpls lsr-id 4.4.4.4
mpls
lsp-trigger all
#
mpls ldp

#
link-protocol ppp
ip address 10.0.23.3 255.255.255.0
mpls
mpls ldp
#
ip address 10.0.2.1 255.255.255.0
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.0
#
area 0.0.0.0
network 10.0.2.0 0.0.0.255
network 10.0.23.0 0.0.0.255
network 4.4.4.0 0.0.0.255
#
return
#
sysname S2
#
interface Vlanif1
ip address 10.0.2.2 255.255.255.0
#
area 0.0.0.0
network 10.0.2.0 0.0.0.255
#
Return
Лаборатория 1-2 Конфигурация MPLS VPN
 Как сконфигурировать экземпляры MPLS VPN
 Как сконфигурировать MP-BGP

 Как сконфигурировать MPLS LDP

 Процессы передачи маршрутов и переадресации данных MPLS VPN
Топология
Рисунок 1-2 Топология MPLS VPN
Сценарий
Предприятие имеет сети A и B. Сотрудники, работающие в двух сетях, должны
общаться через VPN-маршруты. Граничное устройство должно использовать BGP
(Border Gateway Protocol) для объявления маршрутов VPN в сети оператора.
Оператор использует MP-BGP для передачи маршрутов VPN в общественной сети и
обеспечивает безопасность и конфиденциальность информации о сети клиентов
через MPLS VPN.
Задача
адреса.
<Huawei>system-view
[Huawei]sysname R1

[R1]interface LoopBack 0
<Huawei>system-view
[Huawei]sysname R2
<Huawei>system-view
[Huawei]sysname R3
<Huawei>system-view
[Huawei]sysname R4
<Huawei>system-view
[Huawei]sysname R5

Проверка соединения канала после завершения конфигурирования.
Шаг 2 Сконфигурируйте одну область для OSPF на операторской

сети.
Добавьте 10.1.12.0/24, 10.1.23.0/24 и адреса интерфейсов Loopback0 на
операторской сети в область OSPF 0.
[R1]router id 1.1.1.1
[R1]ospf 1
[R1-ospf-1]area 0
[R2]ospf 1
[R2-ospf-1]area 0
[R3]ospf 1
[R3-ospf-1]area 0
Проверьте отношения соседства OSPF на R1, R2 и R3 после завершения

конфигурирования.
[R1]display ospf peer brief
OSPF Process 1 with Router ID 1.1.1.1

Peer Statistic Information
----------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 Serial1/0/0 2.2.2.2 Full
----------------------------------------------------------------------------
Total Peer(s): 1


----------------------------------------------------------------------------
0.0.0.0 Serial1/0/0 1.1.1.1 Full
0.0.0.0 Serial2/0/0 3.3.3.3 Full
----------------------------------------------------------------------------
Total Peer(s): 2

----------------------------------------------------------------------------
0.0.0.0 Serial2/0/0 2.2.2.2 Full
----------------------------------------------------------------------------
Total Peer(s): 1
Шаг 3 Сконфигурируйте экземпляры VPN на граничных устройствах

операторской сети.
Сконфигурируйте экземпляры VPN для сети A и сети B на R1 и R3 соответственно.
Установите экземпляры VPN в VPN1, RD (router distinguisher) на 1:1, Export Target 1:2
для сети A. Установите экземпляр VPN в VPN2, RD на 2:2, Export Target на 1:2 для
сети B.
[R1]ip vpn-instance VPN1
[R1-vpn-instance-VPN1]route-distinguisher 1:1
[R1-vpn-instance-VPN1-af-ipv4]vpn-target 1:2 both
[R1-vpn-instance-VPN1-af-ipv4]quit
[R1-vpn-instance-VPN1]quit
[R1-Serial3/0/0]ip binding vpn-instance VPN1
Info: All IPv4 related configurations on this interface are removed!
[R1-Serial3/0/0] ip address 10.1.14.1 24
[R3]ip vpn-instance VPN2

[R3-vpn-instance-VPN2]route-distinguisher 2:2
[R3-vpn-instance-VPN2-af-ipv4]vpn-target 1:2 both
[R3-vpn-instance-VPN2-af-ipv4]quit
[R3-vpn-instance-VPN2]quit

[R3-Serial3/0/0]ip binding vpn-instance VPN2

Проверьте экземпляры VPN на R1 и R3 после завершения конфигурирования.

[R1]display ip vpn-instance verbose
Total VPN-Instances configured : 1
Total IPv4 VPN-Instances configured : 1
VPN-Instance Name and ID : VPN1, 1

Interfaces : Serial3/0/0
Address family ipv4
Create date : 2016/09/20 14:51:08
Up time : 0 days, 00 hours, 09 minutes and 34 seconds
Route Distinguisher : 1:1
Export VPN Targets : 1:2
Import VPN Targets : 1:2
Label Policy : label per route
Log Interval : 5
[R3]display ip vpn-instance verbose

Total VPN-Instances configured : 1
VPN-Instance Name and ID : VPN2, 1

Interfaces : Serial3/0/0
Address family ipv4
Create date : 2016/09/20 15:02:52
Up time : 0 days, 00 hours, 05 minutes and 32 seconds
Route Distinguisher : 2:2
Export VPN Targets : 1:2
Import VPN Targets : 1:2
Label Policy : label per route
Log Interval : 5
Шаг 4 Сконфигурируйте BGP для передачи маршрутов на

граничных устройствах сетей клиентов (CE) и операторской сети
(PE).

Установите номера AS сети A, операторской сети и сети B на 14, 123 и 35

соответственно. Установить отношения соседства BGP между СЕ и РЕ, чтобы
объявить маршруты VPN клиентов на РЕ с помощью BGP.
[R1]bgp 123
[R1-bgp]ipv4-family vpn-instance VPN1
[R1-bgp-VPN1]peer 10.1.14.4 as-number 14
[R3]bgp 123
[R3-bgp]ipv4-family vpn-instance VPN2
[R3-bgp-VPN2]peer 10.1.35.5 as-number 35
[R4]bgp 14
[R4-bgp]peer 10.1.14.1 as-number 123
[R4-bgp]network 192.168.1.0 24
[R5]bgp 35
[R5-bgp]network 192.168.2.0 24
Проверьте отношения соседства между R1 и R4, R3 и R5 после завершения

[R1]display bgp vpnv4 vpn-instance VPN1 peer
BGP local router ID : 1.1.1.1
Local AS number : 123
VPN-Instance VPN1, Router ID 1.1.1.1:
Total number of peers : 1 Peers in established state : 1
Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv
10.1.14.4 4 14 7 8 0 00:05:21 Established 0
[R4]display bgp peer

10.1.14.1 4 123 4 6 0 00:02:56 Established 0
[R3]display bgp vpnv4 vpn-instance VPN2 peer



VPN-Instance VPN2, Router ID 3.3.3.3:
10.1.35.5 4 35 7 8 0 00:05:16 Established 0
[R5]display bgp peer

10.1.35.3 4 123 8 10 0 00:06:04 Established 0
Проверьте маршруты VPN, извлеченные от сетей клиентов, в таблице

маршрутизации VPN на R1 и R3.
[R1]display ip routing-table vpn-instance VPN1
------------------------------------------------------------------------------
Routing Tables: VPN1
10.1.14.0/24 Direct 0 0 D 10.1.14.1 Serial3/0/0

10.1.14.1/32 Direct 0 0 D 127.0.0.1 Serial3/0/0
10.1.14.4/32 Direct 0 0 D 10.1.14.4 Serial3/0/0
10.1.14.255/32 Direct 0 0 D 127.0.0.1 Serial3/0/0
192.168.1.0/24 EBGP 255 0 D 10.1.14.4 Serial3/0/0
[R3]display ip routing-table vpn-instance VPN2

------------------------------------------------------------------------------
Routing Tables: VPN2
10.1.35.0/24 Direct 0 0 D 10.1.35.3 Serial3/0/0

10.1.35.3/32 Direct 0 0 D 127.0.0.1 Serial3/0/0

10.1.35.5/32 Direct 0 0 D 10.1.35.5 Serial3/0/0
10.1.35.255/32 Direct 0 0 D 127.0.0.1 Serial3/0/0
192.168.2.0/24 EBGP 255 0 D 10.1.35.5 Serial3/0/0
Шаг 5 Сконфигурируйте устройства в сети оператора для передачи

маршрутов VPN клиента с использованием протокола MP-BGP.
Установите отношения соседства IBGP между R1 и R3. Передайте маршруты VPN
клиентов на удаленный РЕ с помощью MP-BGP.
[R1]bgp 123
[R1-bgp]peer 3.3.3.3 connect-interface LoopBack 0
[R1-bgp]ipv4-family vpnv4 unicast
[R1-bgp-af-vpnv4]peer 3.3.3.3 enable
[R3]bgp 123
[R3-bgp]peer 1.1.1.1 connect-interface LoopBack 0
[R3-bgp]ipv4-family vpnv4 unicast
[R3-bgp-af-vpnv4]peer 1.1.1.1 enable
Проверьте отношения соседства MP-BGP на R1 и R3 после завершения

[R1]display bgp vpnv4 all peer
3.3.3.3 4 123 4 7 0 00:02:10 Established 0
[R3]display bgp vpnv4 all peer


1.1.1.1 4 123 5 6 0 00:03:22 Established 0
Шаг 6 Сконфигурируйте устройства в сети оператора для

переадресации данных VPN клиента с использованием MPLS LDP.
Включите MPLS LDP на каждом устройстве сети оператора и используйте метки для
передачи данных VPN клиента для изоляции данных клиента от других сетевых
данных.
[R1]mpls
[R1-mpls]mpls ldp
[R1-mpls-ldp]quit

[R2]mpls
[R2-mpls]mpls ldp
[R2-mpls-ldp]quit
[R2]interface s1/0/0
[R2]interface s2/0/0

[R3]mpls
[R3-mpls]mpls ldp
[R3-mpls-ldp]quit
Проверьте отношения соседства MPLS LDP на R1, R2 и R3 после завершения

[R1]display mpls ldp peer
LDP Peer Information in Public network
A '*' before a peer means the peer is being deleted.

----------------------------------------------------------------------------
PeerID TransportAddress DiscoverySource
----------------------------------------------------------------------------
2.2.2.2:0 2.2.2.2 Serial1/0/0
----------------------------------------------------------------------------
TOTAL: 1 Peer(s) Found.

----------------------------------------------------------------------------
----------------------------------------------------------------------------
1.1.1.1:0 1.1.1.1 Serial1/0/0
3.3.3.3:0 3.3.3.3 Serial2/0/0
----------------------------------------------------------------------------

----------------------------------------------------------------------------
----------------------------------------------------------------------------
2.2.2.2:0 2.2.2.2 Serial2/0/0
----------------------------------------------------------------------------
Шаг 7 Проверьте соединение между сетью A и B на CE.

Используйте Loopback0 для моделирования пользовательской сети на R4 и R5,
соответственно. Выполните команду ping для проверки соединения между сетью A и
B.
<R4>ping -a 192.168.1.1 192.168.2.1


0.00% packet loss
<R5>ping -a 192.168.2.1 192.168.1.1


0.00% packet loss
Проверьте маршруты, извлеченные из удаленных сетей на R4 и R5.

<R4>display ip routing-table
----------------------------------------------------------------------------Routing
Tables: Public
10.1.14.0/24 Direct 0 0 D 10.1.14.4 Serial1/0/0
10.1.14.1/32 Direct 0 0 D 10.1.14.1 Serial1/0/0
10.1.14.4/32 Direct 0 0 D 127.0.0.1 Serial1/0/0
10.1.14.255/32 Direct 0 0 D 127.0.0.1 Serial1/0/0
192.168.2.0/24 EBGP 255 0 D 10.1.14.1 Serial1/0/0
----------------------------------------------------------------------------


10.1.35.0/24 Direct 0 0 D 10.1.35.5 Serial1/0/0
10.1.35.3/32 Direct 0 0 D 10.1.35.3 Serial1/0/0
10.1.35.5/32 Direct 0 0 D 127.0.0.1 Serial1/0/0
10.1.35.255/32 Direct 0 0 D 127.0.0.1 Serial1/0/0
192.168.1.0/24 EBGP 255 0 D 10.1.35.3 Serial1/0/0
----Конец

Когда на R1 добавляется другая сеть MPLS VPN, как сконфигурирован R1 для
обеспечения связи между двумя VPN?
[V200R007C00SPC600]
#
sysname R1
#
router id 1.1.1.1
#
ip vpn-instance VPN1
ipv4-family
route-distinguisher 1:1
vpn-target 1:2 export-extcommunity
vpn-target 1:2 import-extcommunity
#
mpls lsr-id 1.1.1.1
mpls
#
mpls ldp
#
link-protocol ppp

ip address 10.1.12.1 255.255.255.0

mpls
mpls ldp
#
link-protocol ppp
ip binding vpn-instance VPN1
ip address 10.1.14.1 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
bgp 123
peer 3.3.3.3 as-number 123
peer 3.3.3.3 connect-interface LoopBack0
#
ipv4-family unicast
undo synchronization
peer 3.3.3.3 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.3 enable
#
ipv4-family vpn-instance VPN1
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.1.12.0 0.0.0.255
#
return
[V200R007C00SPC600]
#
sysname R2
#
router id 2.2.2.2
#
mpls lsr-id 2.2.2.2
mpls
#

mpls ldp
#
link-protocol ppp
ip address 10.1.12.2 255.255.255.0
mpls
mpls ldp
#
link-protocol ppp
ip address 10.1.23.2 255.255.255.0
mpls
mpls ldp
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.12.0 0.0.0.255
network 10.1.23.0 0.0.0.255
#
return
[V200R007C00SPC600]
#
sysname R3
#
router id 3.3.3.3
#
ip vpn-instance VPN2
ipv4-family
route-distinguisher 2:2
vpn-target 1:2 export-extcommunity
vpn-target 1:2 import-extcommunity
#
mpls lsr-id 3.3.3.3
mpls
#
mpls ldp
#

link-protocol ppp
ip address 10.1.23.3 255.255.255.0
mpls
mpls ldp
#
link-protocol ppp
ip binding vpn-instance VPN2
ip address 10.1.35.3 255.255.255.0
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
#
bgp 123
peer 1.1.1.1 connect-interface LoopBack0
#
ipv4-family unicast
peer 1.1.1.1 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.1 enable
#
ipv4-family vpn-instance VPN2
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.23.0 0.0.0.255
#
return
[V200R007C00SPC600]
#
sysname R4
#
link-protocol ppp
ip address 10.1.14.4 255.255.255.0
#

interface LoopBack0
ip address 192.168.1.1 255.255.255.0
#
bgp 14
#
ipv4-family unicast
network 192.168.1.0
peer 10.1.14.1 enable
#
return
[V200R007C00SPC600]
#
sysname R5
#
link-protocol ppp
ip address 10.1.35.5 255.255.255.0
#
interface LoopBack0
ip address 192.168.2.1 255.255.255.0
#
bgp 35
#
ipv4-family unicast
network 192.168.2.0
peer 10.1.35.3 enable
#
return

HCIP-IENP Глава 2 Конфигурация DHCP
Конфигурация DHCP
Лаборатория 2-1 Конфигурация DHCP
 Как сконфигурировать пул IP-адресов
 Как сконфигурировать сервер DHCP
 Как сконфигурировать клиент DHCP
 Как сконфигурировать ретрансляцию DHCP
 Как сконфигурировать основные функции DHCP Snooping
Топология
Рисунок 2-1 Конфигурация DHCP
R3 R1
DHCP server 2 DHCP server 1
IP pool IP pool
192.168.1.0/24 10.10.10.0/24
G0/0/1 G0/0/2
R4 S1 G0/0/3 R2 G0/0/1 S2
G0/0/1 G0/0/4 G0/0/2 G0/0/1 G0/0/2 G0/0/2
DHCP client GW
Сценарий
Предположим, что вы являетесь сетевым администратором предприятия. Сервер
DHCP должен быть сконфигурирован в сети, поскольку трудно управлять многими
хостами со использованием статического адреса.
R1 функционирует как сервер DHCP, R4 как клиент DHCP, а R2 — как шлюз для
устройств на S1. Пакеты DHCP Discover являются широковещательными пакетами и
не могут проходить через маршрутизаторы, поэтому агент ретрансляции DHCP
развернут для отправки пакетов DHCP Relay с R2 на R1. S2 не требует какой-либо
конфигурации и только прозрачно передает пакеты.
Чтобы повысить безопасность сети и предотвратить получение клиентами DHCP

неправильных IP-адресов от других серверов DHCP, разверните DHCP Snooping на

S1, чтобы R4 получил IP-адрес R1 (сервер DHCP 1), но не IP-адрес R3 (сервер DHCP
2). Для дальнейшего повышения безопасности включите некоторые функции DHCP
Snooping, чтобы предотвратить атаки DHCP Exhaustion и man-in-the-middle.
Задача
адреса.
<Huawei>system-view
[Huawei]sysname R1
<Huawei>system-view
[Huawei]sysname R2
<Huawei>system-view
[Huawei]sysname R3
Чтобы включить интерфейс R4 для получения IP-адресов с использованием DHCP,

включите функцию DHCP-клиента на интерфейсе.
<Huawei>system-view
[Huawei]sysname R4
[R4]dhcp enable
[R4-GigabitEthernet0/0/1] ip address dhcp-alloc

Сконфигурируйте имя коммутатора и отключите ненужные интерфейсы.

<Huawei>system-view
[Huawei]sysname S1
[S1]interface GigabitEthernet 0/0/9
[S1-GigabitEthernet0/0/9]shutdown
[S1-GigabitEthernet0/0/9]quit
<Huawei>system-view
[Huawei]sysname S2
Проверьте соединение между R2 и R1.

[R1]ping 10.0.12.2

0.00% packet loss
Шаг 2 Сконфигурируйте маршрут между R1 и R2.

R1 объявляет маршрут своего интерфейса обратной связи R2, а R2 объявляет R1

свой подключенный к S1 маршрут интерфейса, чтобы шлюз LAN и внешняя сеть
могли обмениваться данными.
[R1]ospf 1
[R1-ospf-1]area 0
[R2]ospf 1
[R2-ospf-1]silent-interface GigabitEthernet 0/0/1
[R2-ospf-1]area 0
Сконфигурируйте интерфейс, подключенный к R2, в качестве интерфейса silent,

чтобы обеспечить маршрутное объявление сетевого сегмента. Однако на этом
интерфейсе не установлено никаких отношений соседства. Проверьте соединение
между двумя сетями.
[R2]ping –a 10.10.10.1 1.1.1.1

0.00% packet loss
Шаг 3 Сконфигурируйте пулы IP-адресов.

Создайте пулы IP-адресов на R1 и R3 соответственно. Диапазон пула IP-адресов на
R1 — от 10.10.10.0 до 10.10.10.24, IP-адрес G0/0/0 на R2 — 10.10.10.1, адрес
сервера DNS — 1.1.1.1. Чтобы предотвратить выделение некоторых статических
адресов в этой сети, резервируйте 10.10.10.2-10.10.10.10 от динамического
распределения через DHCP. Диапазон пула IP-адресов на R3 — от 192.168.1.0 до
192.168.1.24, IP-адрес G0 / 0/0 на R3 — 192.168.1.1, адрес DNS-сервера —
192.168.1.1. Для резервирования IP-адресов 192.168.1.2-192.168.1.10 от

динамического распределения через DHCP, установите срок аренды двух серверов

на 3 дня.
[R1]ip pool DHCP
[R1-ip-pool-DHCP]gateway-list 10.10.10.1
[R1-ip-pool-DHCP]network 10.10.10.0 mask 255.255.255.0
[R1-ip-pool-DHCP]excluded-ip-address 10.10.10.2 10.10.10.10
[R1-ip-pool-DHCP]dns-list 1.1.1.1
[R1-ip-pool-DHCP]lease day 3
[R3]ip pool DHCP

[R3-ip-pool-DHCP]gateway-list 192.168.1.1
[R3-ip-pool-DHCP]network 192.168.1.0 mask 255.255.255.0
[R3-ip-pool-DHCP]excluded-ip-address 192.168.1.2 192.168.1.10
[R3-ip-pool-DHCP]dns-list 192.168.1.1
[R3-ip-pool-DHCP]lease day 3
Проверка конфигурации пула IP-адресов.

<R1>display ip pool
----------------------------------------------------------------------------
Pool-name : DHCP
Pool-No : 0
Lease : 3 Days 0 Hours 0 Minutes
Position : Local Status : Unlocked
Gateway-0 : 10.10.10.1
Network : 10.10.10.0
Mask : 255.255.255.0
VPN instance : --
Address Statistic: Total :253 Used :0
Idle :244 Expired :0
Conflict :0 Disable :9
IP address Statistic
Total :253
Used :0 Idle :244
Expired :0 Conflict :0 Disable :9
<R3>display ip pool
----------------------------------------------------------------------------
Pool-name : DHCP
Pool-No : 0


Gateway-0 : 192.168.1.1
Network : 192.168.1.0
Mask : 255.255.255.0
VPN instance : --
Total :253
Used :0 Idle :244
Шаг 4 Сконфигурируйте DHCP-сервер на основе глобального пула

адресов.
Параметры пула адресов DHCP сконфигурированы, но не могут быть использованы
клиентами. DHCP должен быть включен глобально и на интерфейсе.
[R3]dhcp enable
[R3-GigabitEthernet0/0/1]dhcp select global
После конфигурирования DHCP на R3 R4 может нормально получить IP-адрес.

<R4>display ip interface GigabitEthernet 0/0/1
GigabitEthernet0/0/1 current state : UP
Line protocol current state : UP
The Maximum Transmit Unit : 1500 bytes
input packets : 0, bytes : 0, multicasts : 0
output packets : 17, bytes : 5605, multicasts : 0
Directed-broadcast packets:
received packets: 0, sent packets: 17
forwarded packets: 0, dropped packets: 0
ARP packet input number: 0
Request packet: 0
Reply packet: 0
Unknown packet: 0
Internet Address is allocated by DHCP, 192.168.1.254/24
Broadcast address : 192.168.1.255

TTL being 1 packet number: 0

TTL invalid packet number: 0
ICMP packet input number: 0
Echo reply: 0
Unreachable: 0
Source quench: 0
Routing redirect: 0
Echo request: 0
Router advert: 0
Router solicit: 0
Time exceed: 0
IP header bad: 0
Timestamp request: 0
Timestamp reply: 0
Information request: 0
Information reply: 0
Netmask request: 0
Netmask reply: 0
Unknown type: 0
IP-адрес данного интерфейса — 192.168.1.254, полученный через DHCP.
Шаг 5 Сконфигурируйте ретрансляцию DHCP.

Конфигурирование R3 в качестве временного сервера DHCP завершено.
Фактическим сервером DHCP является R1. Поскольку пакеты DHCP Discover не
могут быть напрямую отправлены с клиентов DHCP на R1. В этом случае
сконфигурируйте R2 в качестве агента ретрансляции DHCP и укажите R2 в качестве
шлюза LAN, подключенного к S1. Затем R2 может передавать пакеты DHCP Request
для клиентов DHCP.
Включите DHCP на R1.

[R1]dhcp enable
[R1-GigabitEthernet0/0/2]dhcp select global
На R2 укажите IP-адрес сервера DHCP в качестве 10.0.12.1 и сконфигурируйте агент

ретрансляции DHCP на интерфейсе.
[R2]dhcp enable
[R2]dhcp server group DHCP
[R2-dhcp-server-group-DHCP]dhcp-server 10.0.12.1
[R2-dhcp-server-group-DHCP]quit

[R2-GigabitEthernet0/0/1]dhcp select relay

[R2-GigabitEthernet0/0/1]dhcp relay server-select DHCP
Проверьте конфигурацию агента ретрансляции DHCP на R2.

[R2]display dhcp server group
Group-name : DHCP
(0) Server-IP : 10.0.12.1
Gateway : --
VPN instance : --
1 DHCP server group(s) in total
[R2]display dhcp relay all

DHCP relay agent running information of interface GigabitEthernet0/0/1 :
Server group name : DHCP
Gateway address in use : 10.10.10.1
Группа сервера DHCP сконфигурирована на R2, IP-адрес сервера DHCP в группе

серверов DHCP — 10.0.12.1. Функция ретрансляции DHCP активирована на G0/0/1
R2, агент ретрансляции DHCP посылает пакеты DHCP Request на сервер DHCP.
Чтобы дополнительно проверить, успешно ли развернуто агент ретрансляции DHCP,

отключите интерфейс на R3 (чтобы не дать R2 получить IP-адрес от R3), отключите
интерфейс на R4 и снова включите интерфейсы. Обычно R4 может получить адрес
подсети 10.10.10.0/24.
[R3-GigabitEthernet0/0/1]shutdown

[R4-GigabitEthernet0/0/1]undo shutdown
[R4]display ip interface GigabitEthernet 0/0/1



Request packet: 0
Reply packet: 0
Unknown packet: 0
Echo reply: 0
Unreachable: 0
Source quench: 0
Routing redirect: 0
Echo request: 0
Router advert: 0
Router solicit: 0
Time exceed: 0
IP header bad: 0
Timestamp reply: 0
Netmask request: 0
Netmask reply: 0
Unknown type: 0
R4 успешно получает IP-адрес 10.10.10.254. Проверьте статистику R2 и состояние

пула IP-адресов на R1.
<R2>display dhcp relay statistics
The statistics of DHCP RELAY:
DHCP packets received from clients : 2
DHCP DISCOVER packets received : 1
DHCP REQUEST packets received : 1
DHCP RELEASE packets received : 0
DHCP INFORM packets received : 0
DHCP DECLINE packets received : 0
DHCP packets sent to clients : 2
Unicast packets sent to clients : 2
Broadcast packets sent to clients : 0
DHCP packets received from servers : 2
DHCP OFFER packets received : 1
DHCP ACK packets received : 1
DHCP NAK packets received : 0

DHCP packets sent to servers : 2

DHCP Bad packets received : 0
<R1>display ip pool
----------------------------------------------------------------------------
Pool-name : DHCP
Pool-No : 0
Gateway-0 : 10.10.10.1
Network : 10.10.10.0
Mask : 255.255.255.0
VPN instance : --
Total :253
Used :1 Idle :243
Проверьте маршрут R4 и соединение от R4 к интерфейсу шлейфа R1.

------------------------------------------------------------------------------
0.0.0.0/0 Unr 60 0 D 10.10.10.1 GigabitEthernet

0/0/0
10.10.10.0/24 Direct 0 0 D 10.10.10.254 GigabitEthernet
0/0/0
0/0/0
0/0/0

<R4>ping 1.1.1.1

0.00% packet loss
Шаг 6 Сконфигурируйте функции DHCP Snooping и защиты от атак.

На предыдущем шаге интерфейс на R3 временно отключается. В этом случае R4
получает IP-адрес только от R1 через агент ретрансляции DHCP R2. Какая
конфигурация необходима, когда интерфейс на R3 должен быть включен, а R4 не
получает IP-адрес от R3? В частности, по умолчанию DHCP активирован на
маршрутизаторах уровня SOHO. Если они подключены к сети, существуют
серьезные риски безопасности. Рекомендуется включить DHCP Snooping на S1,
чтобы предотвратить несанкционированный DHCP-сервер от вмешательства с
хостами в локальной сети.
На коммутаторе S1 можно включить защиту от атак DHCP Exhaustion и DHCP man-in-

the-middle, чтобы дополнительно защитить сеть, где устройства получают IP-адреса
через DHCP.
Сконфигурируйте DHCP snooping для предотвращения несанкционированных DHCP-

серверов предоставлять IP-адресы.
[S1]dhcp enable
[S1]dhcp snooping enable
[S1-GigabitEthernet0/0/3]dhcp snooping enable
[S1-GigabitEthernet0/0/2]dhcp snooping enable
По умолчанию, интерфейс, в котором активирован DHCP snooping, является

ненадежным интерфейсом.

[S1]display dhcp snooping

DHCP snooping global running information :
DHCP snooping : Enable
Static user max number : 1024
Current static user number : 0
Dhcp user max number : 1024 (default)
Current dhcp user number : 0
Arp dhcp-snooping detect : Disable (default)
Alarm threshold : 100 (default)
Check dhcp-rate : Disable (default)
Dhcp-rate limit(pps) : 100 (default)
Alarm dhcp-rate : Disable (default)
Alarm dhcp-rate threshold : 100 (default)
Discarded dhcp packets for rate limit : 0
Bind-table autosave : Disable (default)
Offline remove mac-address : Disable (default)
Client position transfer allowed : Enable (default)
DHCP snooping running information for interface GigabitEthernet0/0/2 :

Trusted interface : No
Check dhcp-giaddr : Disable (default)
Check dhcp-chaddr : Disable (default)
Alarm dhcp-chaddr : Disable (default)
Check dhcp-request : Disable (default)
Alarm dhcp-request : Disable (default)
Alarm dhcp-rate threshold : 100
Alarm dhcp-reply : Disable (default)



Снова включите интерфейс на R4. В этом случае R4 не может получить IP-адрес от

любого сервера DHCP, поскольку интерфейсы, подключенные к двум серверам,
являются ненадежными интерфейсами.
[r4]display ip interface GigabitEthernet 0/0/1

Line protocol current state : DOWN
Request packet: 0
Reply packet: 0
Unknown packet: 0
Internet protocol processing : disabled
Echo reply: 0
Unreachable: 0
Source quench: 0
Routing redirect: 0
Echo request: 0
Router advert: 0
Router solicit: 0
Time exceed: 0
IP header bad: 0
Timestamp reply: 0

Netmask request: 0
Netmask reply: 0
Unknown type: 0
Поскольку R1 является авторизованным сервером DHCP, интерфейс на

коммутаторе, подключенном к R2, может быть сконфигурирован как надежный
интерфейс.
[S1-GigabitEthernet0/0/2]dhcp snooping trusted
Проверьте DHCP Snooping на этом интерфейсе.

[S1]display dhcp snooping interface GigabitEthernet 0/0/2
Trusted interface : Yes
R4 может снова получить IP-адрес.

[R4]display ip interface GigabitEthernet 0/0/0


Request packet: 0
Reply packet: 0
Unknown packet: 0
Echo reply: 0
Unreachable: 0
Source quench: 0
Routing redirect: 0
Echo request: 0
Router advert: 0
Router solicit: 0
Time exceed: 0
IP header bad: 0
Timestamp reply: 0
Netmask request: 0
Netmask reply: 0
Unknown type: 0
Предыдущие конфигурации выполнены. Предположим, что R4 является ненадежным

хостом, который может отправить большое количество пакетов DHCP Request, чтобы
истощать пулы IP-адресов. Защита от атаки DHCP Exhaustion включена на
интерфейсе S1, подключенном к R4.
[S1-GigabitEthernet0/0/4]dhcp snooping check dhcp-chaddr enable
Убедитесь, что значение параметра Check dhcp-chaddr является Enable. Если

значение параметра Check dhcp-chaddr является Enable, коммутатор проверяет
поле CHADDR в полученном пакете DHCP Request и определяет, соответствует ли
значение поля CHADDR аппаратному адресу хоста. Если значение поля CHADDR не
соответствует с аппаратным адресом хоста, интерфейс не передает пакет DHCP
Request.
[S1]display dhcp snooping interface GigabitEthernet 0/0/4

DHCP snooping : Disable (default)

Check dhcp-chaddr : Enable
Включите защиту от атаки DHCP man-in-the-middle.

[S1]arp dhcp-snooping-detect enable
Проверьте глобальное DHCP Snooping.

[S1]display dhcp snooping
DHCP snooping global running information :
Static user max number : 1024
Current static user number : 0
Arp dhcp-snooping detect : Enable
Alarm threshold : 100 (default)
Dhcp-rate limit(pps) : 100 (default)
Alarm dhcp-rate threshold : 100 (default)
Bind-table autosave : Disable (default)
Offline remove mac-address : Disable (default)
Client position transfer allowed : Enable (default)
Функция ARP dhcp-snooping detect включена. По умолчанию ARP dhcp-snooping

detect отключена. Конфигурирование защиты безопасности DHCP завершено.
----Конец

Справочная конфигурация
[V200R007C00SPC600]
#
sysname R1
#
dhcp enable
#
ip pool DHCP
gateway-list 10.10.10.1
network 10.10.10.0 mask 255.255.255.0
excluded-ip-address 10.10.10.2 10.10.10.10
lease day 3 hour 0 minute 0
dns-list 1.1.1.1
ip address 10.0.12.1 255.255.255.0
dhcp select global
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.0.12.0 0.0.0.255
#
return
[V200R007C00SPC600]
#
sysname R2
#
dhcp enable
#
dhcp server group DHCP
dhcp-server 10.0.12.1 0
#
ip address 10.10.10.1 255.255.255.0
dhcp select relay
dhcp relay server-select DHCP

#
ip address 10.0.12.2 255.255.255.0
#
ospf 1
silent-interface GigabitEthernet0/0/1
area 0.0.0.0
network 10.0.12.0 0.0.0.255
network 10.10.10.0 0.0.0.255
#
return
[V200R007C00SPC600]
#
sysname R3
#
dhcp enable
#
ip pool DHCP
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
excluded-ip-address 192.168.1.2 192.168.1.10
lease day 3 hour 0 minute 0
dns-list 192.168.1.1
#
ip address 192.168.1.1 255.255.255.0
dhcp select global
#
return
[V200R007C00SPC600]
#
sysname R4
#
dhcp enable
#
ip address dhcp-alloc
#
return

<SW1>display current-configuration
#
sysname S1
#
dhcp enable
#
dhcp snooping enable
arp dhcp-snooping-detect enable
#
#
dhcp snooping trusted
#
#
dhcp snooping check dhcp-chaddr enable
#
shutdown
#
shutdown
#
shutdown
#
shutdown
#
return
<SW2>display current-configuration
#
sysname SW2
#
shutdown
#

shutdown
#
return

HCIP-IENP Глава 3 Качество обслуживания и управление трафиком
Качество обслуживания и управление трафиком
Лаборатория 3-1 Основы QoS
Задачами этой лаборатории являются изучение и понимание:
 Как проанализировать SLA с помощью NQA
 Как осуществлять сопоставление приоритетов и контроль трафика
 Как настроить формирование трафика
 Как реализовать управление перегрузками на основе очередей и
классификаторов трафика
 Как настроить предотвращение перегрузок на основе WRED
Топология
Рисунок 3-1 QoS
Сценарий
Предположим, что вы являетесь сетевым администратором предприятия. R1 и S1
расположены в штаб-квартире предприятия, а R2 и S2 расположены в филиале
предприятия. Штаб-квартира и филиал подключаются через арендованную линию.
Пропускная способность интрасети постепенно увеличивается, но пропускная

способность арендованной линии не увеличивается. В этом случае важные услуги
задерживаются или некоторые услуги недоступны.

Вы можете использовать дифференцированные услуги QoS и корректировать

параметры QoS для обеспечения того, чтобы важные данные услуги были впервые
отправлены в пункт назначения.
В лаборатории S3 и S4 используют NQA для обмена большим количеством потоков

данных. R3, R4 и R5 имитируют клиентов и сервер для проверки доступности важных
приложений.
Задача
адреса.
Сконфигурируйте IP-адреса и маски для всех маршрутизаторов и коммутаторов S3 и
S4.
Установите скорость baud S1/0/0 на R1 в 72000 и имитируйте перегрузку на канале

WAN из-за недостаточной полосы пропускания.
<Huawei>system-view
[Huawei]sysname R1
[R1-Serial1/0/0]ip address 10.0.12.1 255.255.255.0
[R1-Serial1/0/0]baudrate 72000
[R1-Serial1/0/0]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.0.145.1 255.255.255.0
<Huawei>system-view
[Huawei]sysname R2
[R2-Serial1/0/0]ip address 10.0.12.2 255.255.255.0
[R2-Serial1/0/0]interface GigabitEthernet 0/0/2
<Huawei>system-view
[Huawei]sysname R3
<Huawei>system-view
[Huawei]sysname R4


<Huawei>system-view
[Huawei]sysname R5
<Huawei>system-view
[Huawei]sysname S3
[S3-Vlanif1]ip address 10.0.145.3 255.255.255.0
<Huawei>system-view
[Huawei]sysname S4
[S4-Vlanif1]ip address 10.0.34.4 255.255.255.0
После завершения конфигурирования проверьте соединение прямых каналов.

[R1]ping -c 1 10.0.12.2

0.00% packet loss
[R1]ping -c 1 10.0.145.3

0.00% packet loss
[R1]ping -c 1 10.0.145.4



0.00% packet loss
[R1]ping -c 1 10.0.145.5

0.00% packet loss
[R2]ping -c 1 10.0.34.3

0.00% packet loss
[R2]ping -c 1 10.0.34.4

0.00% packet loss
Шаг 2 Сконфигурируйте статические маршруты и NQA.

Сконфигурируйте статические маршруты для всех маршрутизаторов и коммутаторов
S3 и S4.

[R1]ip route-static 10.0.34.0 255.255.255.0 10.0.12.2
[R2]ip route-static 10.0.145.0 255.255.255.0 10.0.12.1
[R3]ip route-static 0.0.0.0 0.0.0.0 10.0.34.2
[R4]ip route-static 0.0.0.0 0.0.0.0 10.0.145.1
[R5]ip route-static 0.0.0.0 0.0.0.0 10.0.145.1
[S3]ip route-static 0.0.0.0 0.0.0.0 10.0.145.1
[S4]ip route-static 0.0.0.0 0.0.0.0 10.0.34.2
После завершения конфигурирования проверьте соединение сети.

[S3]ping -c 1 10.0.34.4

0.00% packet loss
[R4]ping -c 1 10.0.34.3

0.00% packet loss
[R5]ping -c 1 10.0.34.3

0.00% packet loss

Соединения между S3 и S4, R4 и R3, R5 и R3 достижимы, что означает правильность

связи сети.
Перегрузка легко происходит на последовательном канале 72 кбит/с между штаб-

квартирой и филиалом.
Используйте NQA для генерирования трафика. S4 функционирует как сервер NQA, а

S3 — как клиент NQA. Создайте тестовые экземпляры NQA UDP и Jitter для
моделирования данных и голосового трафика соответственно.
Задайте параметры в тестовых экземплярах NQA для моделирования среды, в

которой перегрузка не происходит, если есть только трафик данных или трафик
голоса, а перегрузка происходит, если есть трафик данных и голоса одновременно.
Сконфигурируйте S4 в качестве сервера NQA и установите IP-адрес интерфейса,

используемого для мониторинга услуг UDP, на 10.0.34.4. Установите номер порта на
6000.
[S4]nqa-server udpecho 10.0.34.4 6000
На S3 настройте тестовый экземпляр NQA UDP для имитации трафика данных и

установите значение ToS на 28, размер пакета на 5800 байтов, интервал, с которым
пакеты отправляются до 1 с, интервал для теста NQA до 3 с и интервал тайм-аута
для теста NQA на 1 с. Запустите тестовый экземпляр NQA UDP.
[S3]nqa test-instance admin udp
[S3-nqa-admin-udp]test-type udp
[S3-nqa-admin-udp]destination-address ipv4 10.0.34.4
[S3-nqa-admin-udp]destination-port 6000
[S3-nqa-admin-udp]tos 28
[S3-nqa-admin-udp]datasize 5800
[S3-nqa-admin-udp]interval seconds 1
[S3-nqa-admin-udp]frequency 3
[S3-nqa-admin-udp]timeout 1
[S3-nqa-admin-udp]start now
Проверьте тестовый экземпляр NQA UDP.

[S3]display nqa results test-instance admin udp
1 . Test 2 result The test is finished
Send operation times: 3 Receive response times: 3
Completion:success RTD OverThresholds number: 0
Attempts number:1 Drop operation number:0

Disconnect operation number:0 Operation timeout number:0

System busy operation number:0 Connection fail number:0
Operation sequence errors number:0 RTT Stats errors number:0
Destination ip address:10.0.34.4
Min/Max/Average Completion Time: 930/950/943
Sum/Square-Sum Completion Time: 2830/2669900
Last Good Probe Time: 2010-10-10 18:10:02.4
Lost packet ratio: 0 %
Пакет не отбрасывается и перегрузка не происходит. Отключите тестовый экземпляр

NQA UDP.
[S3-nqa-admin-udp]stop
На S3 настройте тестовый экземпляр jitter NQA для имитации голосового трафика и

установите ToS на 46, размер пакета на 90 байт, интервал, в течение которого пакеты
отправляются, на 20 мс, интервал для теста NQA на 3 с, интервал ожидания для
теста NQA на 1 с. Запустите тестовый экземпляр jitter NQA.
[S3]nqa test-instance admin jitter
[S3-nqa-admin-jitter]test-type jitter
[S3-nqa-admin-jitter]destination-address ipv4 10.0.34.4
[S3-nqa-admin-jitter]destination-port 6000
[S3-nqa-admin-jitter]tos 46
[S3-nqa-admin-jitter]datasize 90
[S3-nqa-admin-jitter]interval milliseconds 20
[S3-nqa-admin-jitter]frequency 3
[S3-nqa-admin-jitter]timeout 1
[S3-nqa-admin-jitter]start now
Проверьте тестовый экземпляр jitter NQA.

[S3]display nqa results test-instance admin jitter
NQA entry(admin, jitter) :testflag is active ,testtype is jitter

1 . Test 1 result The test is finished
SendProbe:60 ResponseProbe:60
Completion:success RTD OverThresholds number:0
Min/Max/Avg/Sum RTT:40/70/54/3260 RTT Square Sum:179800
NumOfRTT:60 Drop operation number:0
Operation sequence errors number:0 RTT Stats errors number:0
System busy operation number:0 Operation timeout number:0

Min Positive SD:10 Min Positive DS:10

Max Positive SD:10 Max Positive DS:10
Positive SD Number:5 Positive DS Number:11
Positive SD Sum:50 Positive DS Sum:110
Positive SD Square Sum:500 Positive DS Square Sum:1100
Min Negative SD:10 Min Negative DS:10
Max Negative SD:10 Max Negative DS:20
Negative SD Number:4 Negative DS Number:10
Negative SD Sum:40 Negative DS Sum:110
Negative SD Square Sum:400 Negative DS Square Sum:1300
Min Delay SD:20 Min Delay DS:19
Avg Delay SD:27 Avg Delay DS:26
Max Delay SD:35 Max Delay DS:34
Packet Loss SD:0 Packet Loss DS:0
Packet Loss Unknown:0 jitter out value:0.0937500
jitter in value:0.2291667 NumberOfOWD:60
OWD SD Sum:1630 OWD DS Sum:1570
TimeStamp unit: ms
Пакет не отбрасывается и перегрузка не происходит. Отключите тестовый экземпляр

jitter NQA.
[S3-nqa-admin-jitter]stop
Шаг 3 Сконфигурируйте сопоставление приоритетов.

Выполните команду ping для моделирования трафика менее важных услуг и
сопоставите приоритет DSCP на BE без гарантии QoS.
Сконфигурируйте G0/0/1 и S1/0/0 на R1, чтобы доверять приоритетам DSCP пакетов.

[R1-GigabitEthernet0/0/1]trust dscp override
[R1-GigabitEthernet0/0/1]interface Serial 1/0/0
[R1-Serial1/0/0]trust dscp
Добавите override в команде trust на интерфейсе G0/0/1, чтобы приоритеты DSCP

были изменены на сопоставленные значения после конфигурирования
сопоставления приоритетов на R1.
Выполните команду ping на R4 для моделирования трафика, предназначенного для

R3, и установите ToS на 26.

[R4]ping –tos 26 10.0.34.3
Сконфигурируйте сопоставление приоритетов на R1 и сопоставите приоритет DSCP

26 на 0.
[R1]qos map-table dscp-dscp
[R1-maptbl-dscp-dscp]input 26 output 0
Проверьте конфигурацию сопоставления приоритетов на R1.

[R1]display qos map-table dscp-dscp
Input DSCP DSCP
-------------------
0 0
1 1
2 2
3 3
4 4
5 5
6 6
7 7
8 8
9 9
10 10
11 11
12 12
13 13
14 14
15 15
16 16
17 17
18 18
19 19
20 20
21 21
22 22
23 23
24 24
25 25
26 0
27 27
28 28
29 29

30 30
Приведенная выше информация показывает, что приоритет DSCP 26 сопоставляется

на 0, а другие приоритеты DSCP используют значения по умолчанию.
Шаг 4 Сконфигурируйте формирование трафика и управление

трафиком.
Запустите тестовые экземпляры NQA UDP и Jitter на S3 для имитации перегрузки
канала 72 кбит/с между штаб-квартирой и филиалом.
[S3-nqa-admin-udp]start now
[S3-nqa-admin-udp]quit
[S3-nqa-admin-jitter]start now
На R4 выполните команду ping, установите размер пакета на 700 байт, количество

пакетов на 10 для моделирования трафика, предназначенного для R3.
[R4]ping -s 700 -c 10 10.0.34.3
Request time out
Request time out
Request time out
Request time out
Request time out
Request time out
Request time out
Request time out
Request time out

90.00% packet loss
Серьезная перегрузка происходит в канале между штаб-квартирой и филиалом, что

приводит к серьезной потере пакетов. Существует длительная задержка для
переадресации пакетов данных. В этом случае R4 не может взаимодействовать с R3.

Далее описывается, как настроить управление трафиком и формирование трафика

для устранения перегрузки в канале, чтобы R4 в штаб-квартире мог обмениваться
данными с R3 в филиале.
Настройте контроль трафика, чтобы устранить перегрузку. На S1 настройте контроль

трафика на G0/0/13 и установите CIR на 64 кбит/с.
[S1-GigabitEthernet0/0/13]qos lr inbound cir 64
Проверьте конфигурацию контроля трафика на S1.

[S1]display qos lr inbound interface GigabitEthernet 0/0/13
GigabitEthernet0/0/13 lr inbound:
cir: 64 Kbps, cbs: 8000 Byte

[R4]ping -s 700 -c 10 10.0.34.3

0.00% packet loss
Никакие пакеты не отбрасываются, и R4 может взаимодействовать с R3 нормально.

Это указывает на то, что контроль за трафиком вступает в силу.
Удалите конфигурацию контроля трафика с S1.

[S1-GigabitEthernet0/0/13]undo qos lr inbound

Для устранения перегрузки используется формирование трафика. На S3

сконфигурируйте формирование трафика на E0/0/13 и установите CIR на 64 кбит/с.
[S3]interface Ethernet0/0/13
[S3-Ethernet0/0/13]qos lr outbound cir 64

[R4]ping -s 700 -c 10 10.0.34.3

0.00% packet loss
Пакеты не отбрасываются, и R4 может взаимодействовать с R3 нормально. Это

указывает на то, что формирование трафика вступает в силу.
Удалите конфигурацию формирования трафика с S3.

[S3]interface Ethernet0/0/13
[S3-Ethernet0/0/13]undo qos lr outbound

[R4]ping -s 700 -c 10 10.0.34.3

Request time out

Request time out
Request time out
Request time out
Request time out
Request time out
Request time out
Request time out

80.00% packet loss
После удаления конфигурации многие пакеты отбрасываются, а переадресованные

пакеты данных задерживаются. R4 не может взаимодействовать с R3.
Шаг 5 Сконфигурируйте управление перегрузками на основе

очереди и предотвращение перегрузок.
Чтобы предотвратить перегрузку сети на канал между штаб-квартирой и филиалом,
сконфигурируйте управление перегрузками на основе очереди и предотвращение
перегрузок.
На R1 создайте профиль сброса WRED с именем data на основе приоритетов DSCP

и установите верхний порог сброса на 90, нижний порог сброса на 50, максимальную
вероятность сброса на 30.
probability to 30.
[R1]drop-profile data
[R1-drop-profile-data]wred dscp
[R1-drop-profile-data]dscp af32 low-limit 50 high-limit 90 discard-percentage 30
Создайте профиль очереди с именем queue-profile1 на R1, поместите трафик

данных в очереди WFQ, свяжите профиль очереди с данными профиля сброса
WRED и поставьте высокоприоритетный и чувствительный к задержке трафик голоса
в очередь PQ.
[R1]qos queue-profile queue-profile1
[R1-qos-queue-profile-queue-profile1]schedule wfq 3 pq 5
[R1-qos-queue-profile-queue-profile1]queue 3 drop-profile data

Примените профиль очереди к S1/0/0 R1.

[R1-Serial1/0/0]qos queue-profile queue-profile1
Проверьте конфигурацию профиля очереди.

[R1]display qos queue-profile queue-profile1
Queue-profile: queue-profile1
Queue Schedule Weight Length(Bytes/Packets) Gts(CIR/CBS)
-----------------------------------------------------------------
3 WFQ 10 0/0 -/-
5 PQ - 0/0 -/-
Трафик данных и трафик голоса входят в очереди WFQ и PQ соответственно.
Проверьте конфигурацию профиля сброса.

[R1]display drop-profile data
Drop-profile[1]: data
DSCP Low-limit High-limit Discard-percentage
-----------------------------------------------------------------
default 30 100 10
1 30 100 10
2 30 100 10
3 30 100 10
4 30 100 10
5 30 100 10
6 30 100 10
7 30 100 10
cs1 30 100 10
9 30 100 10
af11 30 100 10
11 30 100 10
af12 30 100 10
13 30 100 10
af13 30 100 10
15 30 100 10
cs2 30 100 10
17 30 100 10
af21 30 100 10
19 30 100 10
af22 30 100 10
21 30 100 10

af23 30 100 10
23 30 100 10
cs3 30 100 10
25 30 100 10
af31 30 100 10
27 30 100 10
af32 50 90 30
29 30 100 10
af33 30 100 10
31 30 100 10
cs4 30 100 10
33 30 100 10
af41 30 100 10
Параметры в данных профиля сброса WRED вступают в силу, а другие параметры

используют значения по умолчанию.
Шаг 6 Сконфигурируйте управление перегрузками и

предотвращение перегрузок на основе потоков.
Чтобы предотвратить перегрузку сети на канал между штаб-квартирой и филиалом,
сконфигурируйте управление перегрузками и предотвращение перегрузок на основе
потоков.
Определите трафик между R4 в штаб-квартире и R3 на филиале в качестве важного

трафика и выполните гарантию QoS для трафика, чтобы R4 мог взаимодействовать
с R3.
Удалите профиль очереди из интерфейса S1/0/0 на R1.

[R1-GigabitEthernet0/0/1]undo qos queue-profile
На R4 выполните команду ping, установите исходный адрес на 10.0.145.4, размер

пакета на 700 байт и количество пакетов на 10 для тестирования соединения между
R4 и R3..
[R4]ping -a 10.0.145.4 -s 700 -c 10 10.0.34.3
Request time out
Request time out


Request time out
Request time out
Request time out
Request time out

60.00% packet loss
Перегрузка произошла по каналу между штаб-квартирой и филиалом, большое

количество пакетов отбрасывается и R4 не может взаимодействовать с R3.
Создайте ACL 3001 на R1, чтобы сопоставлять трафику, отправленному от 10.0.145.4

до 10.0.34.3.
[R1]acl number 3001
[R1-acl-adv-3001]rule 0 per ip source 10.0.145.4 0.0.0.0 destination 10.0.34.3 0.0.0.0
Создайте классификатор трафика на class-ef, ссылается на ACL 3001 в

классификаторе трафика, создайте поведение трафика behavior-ef. Установите
режим диспетчеризации очереди на EF и установите полосу пропускания на 10
кбит/с.
[R1]traffic classifier class-ef
[R1-classifier-class-ef]if-match acl 3001
[R1-classifier-class-ef]quit
[R1]traffic behavior behavior-ef
[R1-behavior-behavior-ef]queue ef bandwidth 10
Создайте классификатор трафика на class-af32 для сопоставления трафика данных

с приоритетом DSCP AF32, создайте поведение трафика behavior-af32, установите
режим диспетчеризации очереди на AF, задайте полосу пропускания на 30 кбит/с и
свяжите поведение трафика с профиля сброса data.
[R1]traffic classifier class-af32
[R1-classifier-class-af32]if-match dscp af32
[R1-classifier-class-af32]quit
[R1]traffic behavior behavior-af32
[R1-behavior-behavior-af32]queue af bandwidth 30
[R1-behavior-behavior-af32]drop-profile data

Создайте политику трафика policy-1, объедините классификатор трафика class-ef с

поведением трафика behavior-ef, классификатор трафика class-af32 с поведением
трафика behavior-af32. Примените политику трафика к S1/0/0 на R1.
[R1]traffic policy policy-1
[R1-trafficpolicy-policy-1]classifier class-ef behavior behavior-ef
[R1-trafficpolicy-policy-1]classifier class-af32 behavior behavior-af32
[R1-trafficpolicy-policy-1]quit
[R1-Serial1/0/0]traffic-policy policy-1 outbound
На R4 выполните команду ping, установите исходный адрес на 10.0.145.4, размер

пакета на 700 байт и количество пакетов на 10 для тестирования соединения между
R4 и R3
[R4]ping -a 10.0.145.4 -s 700 -c 10 10.0.34.3

0.00% packet loss
Сконфигурируйте трафик от R4 до R3 для перехода в очередь EF. Затем R4 может

взаимодействовать с R3.
----Конец


QoS использует дифференцированные услуги для обеспечения полосы пропускания
и сокращения задержки для различных услуг. Возможно ли окончательно решить
проблемы качества обслуживания с помощью повышения пропускной способности,
не используя QoS?
После лаборатории запоминайте и обобщайте процесс QoS.
[V200R007C00SPC600]
#
sysname R1
#
acl number 3001
rule 0 permit ip source 10.0.145.4 0 destination 10.0.34.3 0
#
drop-profile data
wred dscp
dscp af32 low-limit 50 high-limit 90 discard-percentage 30
#
qos queue-profile queue-profile1
queue 3 drop-profile data
schedule wfq 3 pq 5
#
qos map-table dscp-dscp
input 26 output 0
#
traffic classifier class-ef operator or
if-match acl 3001
traffic classifier class-af32 operator or
if-match dscp af32
#
traffic behavior behavior-ef
queue ef bandwidth 10 cbs 250
traffic behavior behavior-af32
queue af bandwidth 30
drop-profile data
traffic behavior behavir-af32
queue af bandwidth 30
#
traffic policy policy-1
classifier class-ef behavior behavior-ef

classifier class-af32 behavior behavior-af32

#
link-protocol ppp
ip address 10.0.12.1 255.255.255.0
trust dscp
traffic-policy policy-1 outbound
baudrate 72000
#
ip address 10.0.145.1 255.255.255.0
trust dscp override
#
ip route-static 10.0.34.0 255.255.255.0 10.0.12.2
#
return
[V200R007C00SPC600]
#
sysname R2
#
link-protocol ppp
ip address 10.0.12.2 255.255.255.0
#
ip address 10.0.34.2 255.255.255.0
#
ip route-static 10.0.145.0 255.255.255.0 10.0.12.1
#
return
[V200R007C00SPC600]
#
sysname R3
#
ip address 10.0.34.3 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.0.34.2
#
return

[V200R007C00SPC600]
#
sysname R4
#
ip address 10.0.145.4 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.0.145.1
#
return
[V200R007C00SPC600]
#
sysname R5
#
ip address 10.0.145.5 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.0.145.1
#
return
#
sysname S3
#
interface Vlanif1
ip address 10.0.145.3 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.0.145.1
#
nqa test-instance admin udp
test-type udp
destination-address ipv4 10.0.34.4
destination-port 6000
tos 28
frequency 3
interval seconds 1
timeout 1
datasize 5800

start now
nqa test-instance admin jitter
test-type jitter
destination-address ipv4 10.0.34.4
destination-port 6000
tos 46
frequency 3
interval milliseconds 20
timeout 1
datasize 90
start now
#
return
#
sysname S4
#
interface Vlanif1
ip address 10.0.34.4 255.255.255.0
#
nqa-server udpecho 10.0.34.4 6000
#
ip route-static 0.0.0.0 0.0.0.0 10.0.34.2
#
return

HCIP-IENP Глава 4 Конфигурация брандмауэра
Конфигурация брандмауэра
Лаборатория 4-1 Зона брандмауэра и конфигурация политики

безопасности
 Как сконфигурировать зону брандмауэра
 Как сконфигурировать политику безопасности
Топология
Рисунок 4-1 Конфигурация зоны брандмауэра

Сценарий
Предположим, что вы являетесь сетевым администратором предприятия. Сеть штаб-
квартиры разделена на три зоны: Trust, Untrust и DMZ. Брандмауэра используется
для управления данными, обеспечения безопасности внутренней сети и
предоставления услуг для внешних сетей через DMZ.
Задача
Шаг 1 Войдите в устройство с помощью порта консоли.
1. Подключите кабели конфигурационных портов.
− Отключите брандмауэр и настройте источник питания для терминала.
− Подключите последовательный порт RS-232 терминала к порту

консоли брандмауэра через конфигурационный кабель.
− Включите питание устройства после проверки установки.
2. Сконфигурируйте программное обеспечение HyperTerminal. (Вы можете
получить бесплатное программное обеспечение HyperTerminal с
Интернета, например PuTTY.)
− Загрузите программное обеспечение PuTTY на локальный компьютер и
дважды щелкните его, чтобы запустить программное обеспечение.

− Выберите Session и установите Connection type на Serial.
− Установите параметры для подключения последовательного порта к
устройству. На Рис. 4-2 показана настройка параметров.

Рисунок 4-2 Настройка параметров PuTTY для подключения последовательного

порта к брандмауэру
− Нажмите Open.
3. Нажмите Enter, введите учетную запись администратора по умолчанию
admin и пароль Admin@123.
4. Измените пароль учетной записи администратора по умолчанию и
введите CLI.
Для обеспечения безопасности пароль должен соответствовать требованию
сложности. То есть пароль должен содержать не менее трех комбинаций прописных
букв (A-Z), строчных букв (a to z), цифр (0-9) и специальных символов (например, !,
@, #, $и%).
Запомните новый пароль.

адреса.
Сконфигурируйте IP-адреса и статические маршруты для маршрутизаторов и
брандмауэра. Сконфигурируйте VLAN на коммутаторе.
<Huawei>system-view


[Huawei]sysname R1
<Huawei>system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet0/0/1
<Huawei>system-view
[Huawei]sysname R3
По умолчанию брандмауэр сконфигурировал IP-адрес GigabitEthernet0/0/0. Вы

можете удалить его для предотвращения конфликтов адресов.
<USG6300>system-view
[USG6300]sysname FW
[FW]int GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]undo ip address
[FW-GigabitEthernet0/0/0]quit
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.10.254 24

Сконфигурируйте VLAN на коммутаторе по мере необходимости.

[Quidway]sysname S1
[S1]vlan batch 11 to 13
[S1-GigabitEthernet0/0/1]port link-type access
[S1-GigabitEthernet0/0/1]port default vlan 11
Сконфигурируйте маршруты по умолчанию на R1, R2 и R3 и определенные

статические маршруты на брандмауэре, чтобы реализовать подключение трех
сегментов сети, которые связаны тремя интерфейсами Loopback0.
[R1]ip route-static 0.0.0.0 0 10.0.10.254
[R2]ip route-static 0.0.0.0 0 10.0.20.254
[R3]ip route-static 0.0.0.0 0 10.0.30.254
[FW]ip route-static 10.0.1.0 24 10.0.10.1


После завершения конфигурирования проверьте информацию о маршрутизации на

брандмауэре.
[FW]display ip routing-table

------------------------------------------------------------------------------
10.0.1.0/24 Static 60 0 RD 10.0.10.1 GigabitEthernet1/0/0

10.0.10.0/24 Direct 0 0 D 10.0.10.254 GigabitEthernet1/0/0
Шаг 3 Сконфигурируйте зону брандмауэра.

По умолчанию брандмауэр имеет четыре зоны: local, trust, untrust и DMZ. Здесь
используются зоны trust, untrust и DMZ. Добавите интерфейсы в зоны. Чтобы
предотвратить конфликты адресов, удалите GE0/0/0, так как по умолчанию GE0/0/0
добавляется в зону доверия.
[FW]firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/2
[FW-zone-dmz]quit
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/1
[FW-zone-trust]undo add interface GigabitEthernet 0/0/0
[FW-zone-trust]quit
[FW]firewall zone untrust
[FW-zone-untrust]add interface GigabitEthernet 1/0/0
[FW-zone-untrust]quit
Проверьте зоны, в которых находятся интерфейсы.

[FW]display zone interface
local
#
trust
interface of the zone is (1):
GigabitEthernet1/0/1
#
untrust
#
dmz
#
Проверьте приоритет каждой зоны.

[FW]display zone
local
priority is 100
#
trust
priority is 85
#
untrust
priority is 5
#
dmz
priority is 50
#
Можно увидеть, что в соответствующие зоны были добавлены три интерфейса. По

умолчанию интерфейсы в разных зонах не могут взаимодействовать друг с другом.
Трафик между маршрутизаторами не может проходить через зоны, поэтому
требуется межзональная политика безопасности, позволяющая пропускать трафик.

Шаг 4 Сконфигурируйте политику безопасности.

Если на брандмауэре не сконфигурирована межзональная политика безопасности
или политика безопасности не совпадает, по умолчанию используется политика
фильтрации пакетов. То есть, доступ всего трафика запрещен.
Сконфигурируйте политику безопасности, чтобы разрешить устройствам в зоне Trust

доступ к устройствам в других зонах и предотвратить доступ между другими зонами.
[FW]security-policy
[FW-policy-security]rule name policy_sec_1
[FW-policy-security-rule-policy_sec_1]source-zone trust
[FW-policy-security-rule-policy_sec_1]destination-zone untrust
[FW-policy-security-rule-policy_sec_1]action permit
[FW-policy-security-rule-policy_sec_1]quit
[FW-policy-security-rule-policy_sec_2]destination-zone dmz
[FW-policy-security]quit
Проверьте конфигурацию.
[FW]display security-policy all
Total:3
RULE ID RULE NAME STATE ACTION HITTED
----------------------------------------------------------------------------
0 default enable deny 0
1 policy_sec_1 enable permit 0
2 policy_sec_2 enable permit 0
----------------------------------------------------------------------------
[FW]display security-policy rule policy_sec_1
(0 times matched)
rule name policy_sec_1
source-zone trust
destination-zone untrust
action permit
[FW]display security-policy rule policy_sec_2

(0 times matched)
source-zone trust
destination-zone dmz
action permit
Проверьте соединение от зоны trust до зоны untrust и DMZ.

[R2]ping -a 10.0.2.2 10.0.1.1

0.00% packet loss
[R2]ping -a 10.0.2.2 10.0.3.3


0.00% packet loss
Проверьте соединение от зоны untrust до зоны trust и DMZ.

[R1]ping -a 10.0.1.1 10.0.2.2
Request time out
Request time out
Request time out
Request time out

Request time out

100.00% packet loss
[R1]ping -a 10.0.1.1 10.0.3.3

Request time out
Request time out
Request time out
Request time out
Request time out

100.00% packet loss
Проверьте соединение от зоны DMZ до зоны untrust и trust.

[R3]ping -a 10.0.3.3 10.0.1.1
Request time out
Request time out
Request time out
Request time out
Request time out

100.00% packet loss
[R3]ping -a 10.0.3.3 10.0.2.2

Request time out
Request time out
Request time out
Request time out
Request time out

100.00% packet loss
Посредством проверки устройства в зоне trust могут получить доступ к зоне untrust и
DMZ, но устройства в других зонах не могут получить доступ друг к другу.
Сконфигурируйте политику фильтрации пакетов между зонами, чтобы разрешить

устройствам в зоне untrust доступ к указанному серверу в DMZ.
Услуга Telnet включена для зоны untrust на сервере 10.0.3.3 в зоне DMZ. Включите
ICMP ping для тестирования соединения к сети.
[FW]security-policy
[FW-policy-security-rule-policy_sec_3]source-zone untrust
[FW-policy-security-rule-policy_sec_3]destination-address 10.0.3.3 mask 255.255.255.255
[FW-policy-security-rule-policy_sec_3]service icmp
[FW-policy-security-rule-policy_sec_3]service telnet
Включите функцию Telnet на R3 для выполнения теста Telnet.

[R3]telnet server enable
[R3]aaa
[R3-aaa]local-user test password irreversible-cipher Admin@123
[R3-aaa]local-user test service-type telnet
[R3-aaa]quit
[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode aaa
[R3-ui-vty0-4]protocol inbound telnet
Выполните операции ping и Telnet от R1 (untrust) до R3 (DMZ).

<R1>ping 10.0.3.3

0.00% packet loss
<R1>ping 10.0.30.1
Request time out
Request time out
Request time out
Request time out
Request time out

100.00% packet loss
<R1>telnet 10.0.3.3
Press CTRL_] to quit telnet mode
Trying 10.0.3.3 ...
Connected to 10.0.3.3 ...
Login authentication
Username:test
Password:
-----------------------------------------------------------------------------
User last login information:
-----------------------------------------------------------------------------
Access Type: Telnet
IP-Address : 10.0.10.1
Time : 2016-09-25 03:29:23+00:00
-----------------------------------------------------------------------------
<R3>quit
Info:Configuration console exit, please retry to log on
The connection was closed by the remote host
<R1>telnet 10.0.30.1
Trying 10.0.30.1 ...

Error: Can't connect to the remote host

<R1>
Через проверку могут пройти только пакеты ICMP и Telnet с указанным IP-адресом, а
другой трафик отклонен.
----Конец
#
sysname S1
#
vlan batch 11 to 13
#
port link-type access
port default vlan 11
#
#
#
#
#
#
return
[V200R007C00SPC600]

#
sysname R1
#
ip address 10.0.10.1 255.255.255.0
#
interface LoopBack0
ip address 10.0.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.0.10.254
#
return
[V200R007C00SPC600]
#
sysname R2
#
ip address 10.0.20.1 255.255.255.0
#
interface LoopBack0
ip address 10.0.2.2 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.0.20.254
#
return
[V200R007C00SPC600]
#
sysname R3
#
aaa
local-user test password irreversible-cipher Admin@123
local-user test privilege level 0
local-user test service-type telnet
#
ip address 10.0.30.1 255.255.255.0
#
interface LoopBack0
ip address 10.0.3.3 255.255.255.0
#

telnet server enable

#
ip route-static 0.0.0.0 0.0.0.0 10.0.30.254
#
user-interface vty 0 4
authentication-mode aaa
protocol inbound telnet
#
return
<FW>display current-configuration
#
sysname FW
#
ip address 10.0.10.254 255.255.255.0
#
ip address 10.0.20.254 255.255.255.0
#
ip address 10.0.30.254 255.255.255.0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
#
firewall zone dmz
set priority 50
#
ip route-static 10.0.1.0 255.255.255.0 10.0.10.1
ip route-static 10.0.2.0 255.255.255.0 10.0.20.1
ip route-static 10.0.3.0 255.255.255.0 10.0.30.1
#
security-policy

source-zone trust
action permit
source-zone trust
action permit
source-zone untrust
destination-address 10.0.3.3 mask 255.255.255.255
service icmp
service telnet
action permit
#
return
Лаборатория 4-2 Конфигурация NAT брандмауэра
 Как сконфигурировать сетевой адрес и NAPT (Port Translation) на основе
адресного пула на брандмауэре
 Как сконфигурировать сервер NAT на брандмауэре

Топология
Рисунок 4-3 Конфигурация NAT на брандмауэре
Сценарий
Предположим, что вы являетесь сетевым администратором предприятия.
Корпоративная сеть изолирована в трех зонах брандмауэром. Пользователи в зоне
trust должны получить доступ к зоне untrust. Необходимо предоставить услуги Telnet
и FTP, предоставляемые сервером на 10.0.4.4 в DMZ, и установить общий IP-адрес
на 1.1.1.254/24.
Задача
адреса.

Настройте IP-адреса и статические маршруты для маршрутизаторов и брандмауэра,

а также настройте VLAN на коммутаторе.
<Huawei>system-view
[Huawei]sysname R1
<Huawei>system-view
[Huawei]sysname R2
<Huawei>system-view
[Huawei]sysname R3
<Huawei>system-view
[Huawei]sysname R4
По умолчанию брандмауэр сконфигурировал IP-адрес GigabitEthernet0/0/0. Вы

можете удалить его, чтобы предотвратить конфликты адресов.
<USG6300>system-view

[USG6300]sysname FW
[FW-GigabitEthernet0/0/0]undo ip address
[FW-GigabitEthernet1/0/0]ip address 1.1.1.254 24 sub
Настройте VLAN на коммутаторе в соответствии с требованиями.

[Quidway]sysname S1
[S1]vlan batch 11 to 13


Сконфигурируйте маршруты по умолчанию на R2, R3 и R4. Сконфигурируйте

конкретные статические маршруты на брандмауэре для реализации подключения
сетевых сегментов, подключенных к четырем интерфейсам Loopback0. Маршрут по
умолчанию не должен быть определен на R1, используемом в качестве интернет-
устройства, так как R1 не нуждается в информации о информации частной сети в
зоне trust и DMZ.
[R2]ip route-static 0.0.0.0 0 10.0.20.254
[R3]ip route-static 0.0.0.0 0 10.0.20.254
[R4]ip route-static 0.0.0.0 0 10.0.40.254

После завершения конфигурирования проверьте информацию о маршрутизации на

брандмауэре.
[FW]display ip routing-table
06:44:57 2016/09/25
------------------------------------------------------------------------------



Шаг 2 Добавите интерфейсы в зоны.

Брандмауэр по умолчанию имеет четыре зоны: зона local, trust, untrust и DMZ. Здесь
используются зона trust, untrust и DMZ. Добавите интерфейсы в зоны. Чтобы
предотвратить конфликты адресов, удалите GE0/0/0, так как по умолчанию GE0/0/0
добавляется в зону trust.
[FW]firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/2
[FW-zone-dmz]quit
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/1
[FW-zone-trust]undo add interface GigabitEthernet 0/0/0
[FW-zone-trust]quit
[FW]firewall zone untrust
[FW-zone-untrust]add interface GigabitEthernet 1/0/0
[FW-zone-untrust]quit
Проверьте зоны, в которых находятся интерфейсы.

[FW]display zone interface
local
#
trust
#
untrust
#
dmz
#
Проверьте приоритет каждой зоны.

[FW]display zone

local
priority is 100
#
trust
priority is 85
#
untrust
priority is 5
#
dmz
priority is 50
#
Можно увидеть, что в соответствующие зоны были добавлены три интерфейса. По

умолчанию интерфейсы в разных зонах не могут взаимодействовать друг с другом.
Трафик между маршрутизаторами не может проходить через зоны, поэтому
требуется межзональная политика безопасности, позволяющая пропускать трафик.
Шаг 3 Сконфигурируйте политику безопасности.

Если на брандмауэре не сконфигурирована межзональная политика или политика
безопасности не совпадает, по умолчанию используется политика фильтрации
пакетов. То есть, доступ всего трафика запрещен.
Сконфигурируйте брандмауэр, чтобы разрешить пакеты данных, отправленные из

сетевых сегментов 10.0.2.0 и 10.0.3.0 зоны trust в зону untrust, и разрешить Telnet и
FTP-запросы, отправленные из зоны untrust на сервер назначения на 10.0.4.4 в DMZ.
[FW]security-policy
[FW-policy-security-rule-policy_sec_1]destination-zone untrust
[FW-policy-security-rule-policy_sec_1]source-address 10.0.2.0 mask 255.255.255.0
[FW-policy-security-rule-policy_sec_1]source-address 10.0.3.0 mask 255.255.255.0
[FW-policy-security-rule-policy_sec_2]source-zone untrust

[FW-policy-security-rule-policy_sec_2]destination-address 10.0.4.4 mask 255.255.255.255

[FW-policy-security-rule-policy_sec_2]service ftp
[FW-policy-security-rule-policy_sec_2]service telnet
Шаг 4 Сконфигурируйте NAT на основе IP-адресов источника.

Используйте IP-адрес 1.1.1.254 общественной сети для перевода IP-адреса
источника.
[FW]nat address-group group1
[FW-nat-address-group-group1]section 1.1.1.254 1.1.1.254
После завершения конфигурирования проверьте состояние пула адресов.

[FW]display nat address-group
NAT address-group information:

ID : 0 name : group1
sectionID : 0 sectionName : ---
startaddr : 1.1.1.254 endaddr : 1.1.1.254
excludeIP : 0 excludePort : 0
reference : 0 vrrp : ---
vpninstance : root natMode : pat
description : ---
Total 1 address-groups
Настройте политику NAT.

[FW]nat-policy
[FW-policy-nat]rule name policy_nat_1
[FW-policy-nat-rule-policy_nat_1]source-zone trust
[FW-policy-nat-rule-policy_nat_1]destination-zone untrust
[FW-policy-nat-rule-policy_nat_1]source-address 10.0.2.2 24
[FW-policy-nat-rule-policy_nat_1]source-address 10.0.3.3 24
[FW-policy-nat-rule-policy_nat_1]action nat address-group group1
Проверка соединения.
[R2]ping 11.11.11.11
Request time out
Request time out

Request time out

Request time out
Request time out

100.00% packet loss
[R2]ping -a 10.0.2.2 1.1.1.1


0.00% packet loss
[R3]ping 11.11.11.11
Request time out
Request time out
Request time out
Request time out
Request time out

100.00% packet loss
[R3]ping -a 10.0.3.3 11.11.11.11



0.00% packet loss
При непосредственном тестировании соединения между R2 и 11.11.11.11, R3 и

11.11.11.11 соединение не осуществляется. Выполните операцию ping с указанным
IP-адресом источника. Соединение осуществляется.
Причина в том, что R2 напрямую посылает пакеты данных с исходным IP-адресом

10.0.20.2 на брандмауэр, и этот IP-адрес не входит в диапазон адресов NAT, так же,
как и R3.
[FW]display nat-policy all
Total:2
RULE ID RULE NAME STATE ACTION HITTED
----------------------------------------------------------------------------
0 default enable no-nat 0
1 policy_nat_1 enable nat 2
----------------------------------------------------------------------------
[FW]display nat-policy rule policy_nat_1
(2 times matched)
rule name policy_nat_1
source-zone trust
source-address 10.0.2.0 mask 255.255.255.0
action nat address-group group1
Шаг 5 Сконфигурируйте NAT Server и NAT на основе IP-адресов

источника для предоставления услуг, предоставляемых сервером.
Настройте общественный IP-адрес сервера NAT на 1.1.1.254, номер порта Telnet на
2323 и номер порта FTP на 2121.
[FW]nat server policy_natserver_1 protocol tcp global 1.1.1.254 2323 inside 10.0.4.4
telnet no-reverse
[FW]nat server policy_natserver_2 protocol tcp global 1.1.1.254 2121 inside 10.0.4.4 ftp
no-reverse

[FW]display nat server
Server in private network information:

name : policy_natserver_1
zone : ---
interface : ---
global-start-addr : 1.1.1.254 global-end-addr : ---
inside-start-addr : 10.0.4.4 inside-end-addr : ---
global-start-port : 2323 global-end-port : ---
insideport : 23(teln)
globalvpn : public insidevpn : public
protocol : tcp vrrp : ---
no-reverse : yes
name : policy_natserver_2
zone : ---
interface : ---
global-start-addr : 1.1.1.254 global-end-addr : ---
inside-start-addr : 10.0.4.4 inside-end-addr : ---
global-start-port : 2121 global-end-port : ---
insideport : 21(ftp)
globalvpn : public insidevpn : public
protocol : tcp vrrp : ---
no-reverse : yes
Total 2 NAT servers
Включите услуги Telnet и FTP на R4.

[R4]telnet server enable
[R4]ftp server enable
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode aaa
[R4-ui-vty0-4]protocol inbound telnet
[R4-ui-vty0-4]quit
[R4]aaa
[R4-aaa]local-user test password irreversible-cipher Admin@123
[R4-aaa]local-user test service telnet ftp
[R4-aaa]local-user test ftp-directory flash:/
[R4-aaa]local-user test privilege level 3
[R4-aaa]quit

Необходимо сконфигурировать NAT ALG (NAT Application Level Gateway) во время

трансляции адресов, так как FTP — многоканальный протокол.
Сконфигурируйте NAT ALG в DMZ и зоне untrust, чтобы сервер NAT мог
предоставлять услуги FTP для внешних пользователей.
[FW]firewall interzone dmz untrust
[FW-interzone-dmz-untrust]detect ftp
Проверьте результаты конфигурирования на R1.

<R1>telnet 1.1.1.254 2323
Trying 1.1.1.254 ...
Connected to 1.1.1.254 ...
Login authentication
Username:test
Password:
----------------------------------------------------------------------------
User last login information:
----------------------------------------------------------------------------
Access Type: Telnet
IP-Address : 1.1.1.1
Time : 2016-09-25 07:45:45+00:00
----------------------------------------------------------------------------
<R4>quit
<R1>ftp 1.1.1.254 2121

Trying 1.1.1.254 ...
Press CTRL+K to abort
Connected to 1.1.1.254.
220 FTP service ready.
User(1.1.1.254:(none)):test
331 Password required for test.
Enter password:
230 User logged in.
[R1-ftp]
Зона untrust может получить доступ к услугам Telnet и FTP, предоставляемым DMZ.
----Конец

#
sysname S1
#
vlan batch 11 to 13
#
#
#
#
#
#
#
#
return
[V200R007C00SPC600]
#
sysname R1
#

ip address 1.1.1.1 255.255.255.0
#
interface LoopBack0
ip address 11.11.11.11 255.255.255.0
#
return
[V200R007C00SPC600]
#
sysname R2
#
ip address 10.0.20.2 255.255.255.0
#
interface LoopBack0
ip address 10.0.2.2 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.0.20.254
#
return
[V200R007C00SPC600]
#
sysname R3
#
ip address 10.0.20.3 255.255.255.0
#
interface LoopBack0
ip address 10.0.3.3 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.0.20.254
#
return
[V200R007C00SPC600]
#
sysname R4
#
aaa

local-user test password irreversible-cipher Admin@123

local-user test privilege level 3
local-user test ftp-directory flash:/
local-user test service-type telnet ftp
#
ip address 10.0.40.4 255.255.255.0
#
interface LoopBack0
ip address 10.0.4.4 255.255.255.0
#
ftp server enable
#
telnet server enable
#
ip route-static 0.0.0.0 0.0.0.0 10.0.40.254
#
user-interface vty 0 4
authentication-mode aaa
protocol inbound telnet
#
return
<FW>display current-configuration
#
nat server policy_natserver_1 protocol tcp global 1.1.1.254 2323 inside 10.0.4.4 telnet
no-reverse
nat server policy_natserver_2 protocol tcp global 1.1.1.254 2121 inside 10.0.4.4 ftp no-
reverse
#
sysname FW
#
ip address 10.0.10.254 255.255.255.0
ip address 1.1.1.254 255.255.255.0 sub
#
ip address 10.0.20.254 255.255.255.0
#
ip address 10.0.40.254 255.255.255.0
#
firewall zone local
set priority 100

#
firewall zone trust
set priority 85
#
firewall zone untrust
set priority 5
#
firewall zone dmz
set priority 50
#
firewall interzone dmz untrust
detect ftp
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
ip route-static 10.0.2.0 255.255.255.0 10.0.20.2
ip route-static 10.0.3.0 255.255.255.0 10.0.20.3
ip route-static 10.0.4.0 255.255.255.0 10.0.40.4
#
nat address-group group1
section 0 1.1.1.254 1.1.1.254
#
security-policy
source-zone trust
action permit
source-zone untrust
destination-address 10.0.4.4 mask 255.255.255.255
service ftp
service telnet
action permit
#
nat-policy
rule name policy_nat_1
source-zone trust


action nat address-group group1
#
return

HCIP-IENP Глава 5 Конфигурация VRRP
Конфигурация VRRP
Лаборатория 5-1 Конфигурация VRRP
 Как сконфигурировать группу VRRP (Virtual Router Redundancy Protocol) и
виртуальный IP-адрес
 Как сконфигурировать приоритет VRRP
 Как проверить конфигурацию VRRP
 Как сконфигурировать VRRP для мониторинга восходящего канала
 Как сконфигурировать балансировку нагрузки для нескольких групп VRRP
Топология
Рисунок 5-1 Топология VRRP
R1
L0:1.1.1.1
G0/0/0
OSPF
S5
Area 0
R2 G0/0/0 G0/0/0
R3
G0/0/1
VRRP Group 1 G0/0/1
Master 192.168.1.1 Slave
G0/0/2 G0/0/3
G0/0/4 G0/0/5
R4 R5
G0/0/1 S1 G0/0/1

Сценарий
R1 выполняет функции шлюза для локальной сети и внешней сети. R1 подключается
к R2 и R3 через S5, а R2, R3, R4 и R5 подключаются к локальной сети через S1.
VRRPv2 должен быть включен на интерфейсах R2 и R3, соединяющихся с S1, для
реализации резервирования first-hop. R2 является главным коммутатором, а R3 —
резервным. Для коммутаторов не требуется дополнительных конфигураций.
Коммутаторы только прозрачно пересылают пакеты.
Задача
адреса.
Сконфигурируйте IP-адреса для всех маршрутизаторов.
<Huawei>system-view
[Huawei]sysname R1
[R1-LoopBack0]quit
<Huawei>system-view
[Huawei]sysname R2
<Huawei>system-view
[Huawei]sysname R3
<Huawei>system-view


[Huawei]sysname R4
<Huawei>system-view
[Huawei]sysname R5
После завершения конфигурирования проверьте соединение между R1 и R2, R1 и

R3.
[R1]ping 10.0.123.2

0.00% packet loss
[R1]ping 10.0.123.3

0.00% packet loss
Проверьте соединение между R2, R3, R4 и R5. В качестве примера используется R2.

[R2]ping 192.168.1.3

0.00% packet loss
[R2]ping 192.168.1.4

0.00% packet loss
[R2]ping 192.168.1.5

0.00% packet loss
Шаг 2 Сконфигурируйте OSPF и статические маршруты.

Интерфейс loopback на R1, соединенные интерфейсы на R1, R2 и R3 работают в

зоне OSPF 0. Маршруты интерфейсов на R2 и R3, соединяющихся с S1,
объявляются в OSPF, но не установлены отношения соседства OSPF. Поэтому
используется режим silent.
Для моделирования ПК R4 и R5 используют статические маршруты по умолчанию,

указывающие на 192.168.1.1 (виртуальный IP-адрес VRRP).
Включите R1 для изучения маршрутов 192.168.1.0 и включите R2 и R3 для изучения

маршрутов 1.1.1.1.
[R1]ospf 1
[R1-ospf-1]area 0
[R2]ospf 1
[R2-ospf-1]area 0
[R3]ospf 1
[R3-ospf-1]area 0
[R4]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

[R5]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
После завершения конфигурирования проверьте таблицу маршрутизации R1, R2 и

R4.
------------------------------------------------------------------------------



192.168.1.0/24 OSPF 10 2 D 10.0.123.3 GigabitEthernet0/0/0
OSPF 10 2 D 10.0.123.2 GigabitEthernet0/0/0
------------------------------------------------------------------------------
1.1.1.1/32 OSPF 10 1 D 10.0.123.1 GigabitEthernet0/0/0

------------------------------------------------------------------------------



Предыдущий вывод показывает, что R1 может изучать маршруты 192.168.1.0/24, R2

может изучать маршруты 1.1.1.1/32, а R4 имеет статический маршрут по умолчанию к
192.168.1.1.
Шаг 3 Сконфигурируйте группу VRRP и виртуальный IP-адрес.

Включите VRRP на интерфейсах R2 и R3. Сконфигурируйте VRID и виртуальный IP-
адрес.
[R2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.1
R2 сначала конфигурируется и становится маршрутизатором Master, если в группе

VRRP нет другого участника после периода времени.
После завершения конфигурирования проверьте состояние VRRP на R2 и R3.

[R2]display vrrp
GigabitEthernet0/0/1 | Virtual Router 1
State : Master
Virtual IP : 192.168.1.1
Master IP : 192.168.1.2
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2016-07-22 18:00:03
Last change time : 2016-07-22 18:00:07

[R3]display vrrp
State : Backup
Virtual IP : 192.168.1.1
Master IP : 192.168.1.2
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2016-07-22 18:03:16
Last change time : 2016-07-22 18:03:16
R2 выбирается как маршрутизатор Master, а R3 как маршрутизатор Slave.

Приоритеты маршрутизаторов Master и Slave являются 100. Когда R3 запускается
сначала, он становится маршрутизатором Master, чего мы не ожидаем.
Шаг 4 Сконфигурируйте приоритет VRRP и проверьте

активное/резервное переключение
Сконфигурируйте приоритеты VRRP на R2 и R3. Большее значение приоритета
указывает на более высокий приоритет. Установите приоритеты VRRP R2 и R3 на
120 и 110 соответственно.
[R2-GigabitEthernet0/0/1]vrrp vrid 1 priority 120

Проверьте конфигурацию после изменения приоритетов.

[R2]display vrrp
State : Master

Virtual IP : 192.168.1.1
Master IP : 192.168.1.2
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2016-07-22 18:00:03
Last change time : 2016-07-22 18:00:07
[R3]display vrrp
State : Backup
Virtual IP : 192.168.1.1
Master IP : 192.168.1.2
PriorityRun : 110
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2016-07-22 18:03:16
Last change time : 2016-07-22 18:03:16
Предыдущий вывод показывает, что приоритеты R2 и R3 были успешно изменены.

По умолчанию приоритетное прерывание VRRP включено. Когда приоритет R3
изменяется на более высокий уровень, активируется активное/резервное
переключение.
Проверьте соединение между R4 и R1.

[R4]ping 1.1.1.1



0.00% packet loss
Вышеуказанный вывод показывает, что виртуальный шлюз работает правильно и

может пересылать R1 данные локальной сети, где R4 расположен. Обычно, главный
маршрутизатор передает данные, поэтому трафик проходит через R2. Чтобы
проверить статус коммутации, выполните операцию ping от R4 до R1 в течение
длительного времени и выключите интерфейс R2, подключенный к S1.
R4 отбрасывает два пакета данных во время переключения, а последующие данные

пересылаются нормально.
[R4]ping -c 1000 1.1.1.1
Request time out
Request time out



10.00% packet loss
R3 становится маршрутизатором Master после переключения.

[R3]display vrrp
State : Master
Virtual IP : 192.168.1.1
Master IP : 192.168.1.3
PriorityRun : 110
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2016-07-22 18:03:16
Last change time : 2016-07-22 18:29:41
Шаг 5 Сконфигурируйте VRRP для мониторинга восходящего

канала.
Активное/резервное переключение VRRP осуществляется путем прослушивания
пакетов объявления. Если резервный маршрутизатор не может прослушивать
сообщения маршрутизатора Master или иметь более высокий приоритет, то
резервный маршрутизатор выполняет приоритетное прерывание и становится
маршрутизатором Master (без задержки приоритетного прерывания (preemption
delay) по умолчанию).
Если неисправность происходит на восходящем канале, активное/резервное

переключение не выполняется. В этом случае, весь трафик доступа в Интернет не
может быть переадресован после достижения R2. VRRP включен для мониторинга

восходящего канала. При сбое восходящего канала, R2 автоматически сокращает

свой приоритет. R3 выполняет приоритетное прерывание и становится
маршрутизатором Master, и трафик переключается на маршрутизатор резервного
копирования и восходящий канал.
Перед конфигурированием VRRP для мониторинга восходящего канала,

восстановите выключенный канал.
Сконфигурируйте VRRP для мониторинга восходящего интерфейса и задайте

значение, с помощью которого приоритет уменьшается на 30. То есть, при сбое
канала приоритет R2 становится 90, что ниже приоритета R3 (110).
[R2-GigabitEthernet0/0/1]vrrp vrid 1 track interface GigabitEthernet 0/0/0 reduced 30
Проверьте конфигурацию.
[R2]display vrrp
State : Master
Virtual IP : 192.168.1.1
Master IP : 192.168.1.2
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Track IF : GigabitEthernet0/0/0 Priority reduced : 30
IF state : UP
Create time : 2016-07-25 17:14:56 UTC-08:00
Last change time : 2016-07-25 17:32:27 UTC-08:00
Выполните операцию ping на R4 в течение длительного времени и выключите

интерфейс восходящей линии на R2.

[R2]display vrrp
State : Backup
Virtual IP : 192.168.1.1
Master IP : 192.168.1.3
PriorityRun : 90
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
IF state : DOWN
Create time : 2016-07-25 17:14:56 UTC-08:00
[R3]display vrrp
State : Master
Virtual IP : 192.168.1.1
Master IP : 192.168.1.3
PriorityRun : 110
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2016-07-25 17:20:00 UTC-08:00
R3 становится основным маршрутизатором, а трафик успешно переключается на R3.

Восстановите восходящий канал и приоритет R2. R2 выполняет приоритетное

прерывание и снова становится маршрутизатором Master. Во время приоритетного
прерывания, несколько пакетов отбрасываются на R4. Это объясняется тем, что
маршруты OSPF не быстро конвергируют. Более подробную информацию о
ускорении конвергенции маршрутов см. в эксперименте OSPF.
[R2]display vrrp
State : Master
Virtual IP : 192.168.1.1
Master IP : 192.168.1.2
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
IF state : UP
Create time : 2016-07-25 17:14:56 UTC-08:00
Когда статус интерфейса является Up, отношения соседства OSPF должны быть
восстановлены на восходящем интерфейсе R2. Если скорость конвергенции OSPF
не сконфигурирована, данные не могут быть перенаправлены на несколько секунд.
Рекомендуется установить задержку приоритетного прерывания дольше, чем время
конвергенции OSPF во время переключения.
[R2-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode timer delay 10
Повторите проверку конфигураций VRRP. Можно увидеть, что задержка

приоритетного прерывания была сконфигурирована успешно.
[R2]display vrrp


State : Master
Virtual IP : 192.168.1.1
Master IP : 192.168.1.2
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
IF state : UP
Create time : 2016-07-25 17:14:56 UTC-08:00
Шаг 6 Сконфигурируйте балансировку нагрузки нескольких групп

VRRP.
Как правило, устройство Master перенаправляет весь трафик, а устройство Slave не
работает.
Для реализации балансировки нагрузки двойного шлюза сконфигурируйте несколько

групп VRRP. Сконфигурируйте группу 1 VRRP на R2 и R3, установите виртуальный
IP-адрес на 192.168.1.1 и сконфигурируйте R2 в качестве устройства Master.
Сконфигурируйте группу 2 VRRP, установите виртуальный адрес на 192.168.1.254 и
сконфигурируйте R3 в качестве устройства Master. Сконфигурируйте адрес шлюза по
умолчанию, указывающий на 192.168.1.1 для R4 и адрес шлюза по умолчанию,
указывающий на 192.168.1.254 для R5. Трафик доступа в Интернет может быть
сбалансирован с двумя шлюзами.
Конфигурация выглядит следующим образом:



[R3-GigabitEthernet0/0/1]vrrp vrid 2 track interface GigabitEthernet0/0/0 reduced 30
[R5]undo ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

[R5]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254
Проверьте балансировку нагрузки двух групп VRRP на R2 и R3.

<R2>display vrrp
State : Master
Virtual IP : 192.168.1.1
Master IP : 192.168.1.2
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
IF state : UP
Create time : 2016-07-25 17:14:56 UTC-08:00

State : Backup
Virtual IP : 192.168.1.254
Master IP : 192.168.1.3
PriorityRun : 110
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Create time : 2016-07-25 17:15:54 UTC-08:00

<R3>display vrrp
State : Backup
Virtual IP : 192.168.1.1
Master IP : 192.168.1.2
PriorityRun : 110
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2016-07-25 17:20:00 UTC-08:00

State : Master
Virtual IP : 192.168.1.254
Master IP : 192.168.1.3
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
IF state : UP
Create time : 2016-07-25 17:20:14 UTC-08:00
Выполните операцию tracert для проверки шлюзов, которые обрабатывают данные,

предназначенные для двух маршрутов по умолчанию. Вы можете видеть, что

данные, отправленные R4, передаются устройством в группе 1 VRRP, а данные,

отправленные R5, передаются устройством Master в группе 2 VRRP.
Включите R1 для отправления недоступных пакетов ICMP.

[R1]icmp port-unreachable send
<R4>tracert 1.1.1.1
traceroute to 1.1.1.1(1.1.1.1), max hops: 30 ,packet length: 40,press CTRL_C t

o break
1 192.168.1.2 80 ms 40 ms 40 ms
2 10.0.123.1 100 ms 70 ms 70 ms
<R5>tracert 1.1.1.1

o break
1 192.168.1.3 50 ms 30 ms 50 ms
2 10.0.123.1 60 ms 90 ms 60 ms
Проверьте переключение при сбое восходящего канала.

<R4>tracert 1.1.1.1

o break
1 192.168.1.3 50 ms 40 ms 50 ms
2 10.0.123.1 70 ms 80 ms 50 ms
<R5>tracert 1.1.1.1

o break

1 192.168.1.3 40 ms 50 ms 40 ms
2 10.0.123.1 70 ms 100 ms 90 ms
Проверьте состояние двух групп VRRP.

<R2>display vrrp
State : Backup
Virtual IP : 192.168.1.1
Master IP : 192.168.1.3
PriorityRun : 90
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
IF state : DOWN
Create time : 2016-07-25 17:14:56 UTC-08:00

State : Backup
Virtual IP : 192.168.1.254
Master IP : 192.168.1.3
PriorityRun : 110
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Create time : 2016-07-25 17:15:54 UTC-08:00

<R3>display vrrp
State : Master
Virtual IP : 192.168.1.1
Master IP : 192.168.1.3
PriorityRun : 110
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2016-07-25 17:20:00 UTC-08:00

State : Master
Virtual IP : 192.168.1.254
Master IP : 192.168.1.3
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
IF state : UP
Create time : 2016-07-25 17:20:14 UTC-08:00
Обычно R2 и R3 балансируют нагрузки. Если R2 неисправен, R3 берет на себя весь

трафик на R2. В этом случае конфигурируется балансировка нагрузки двух групп
VRRP.
----Конец

#
sysname R1
#
ip address 10.0.123.1 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.0.123.0 0.0.0.255
#
return
#
sysname R2
#
shutdown
ip address 10.0.123.2 255.255.255.0
#
ip address 192.168.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.1
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 10
vrrp vrid 1 track interface GigabitEthernet0/0/0 reduced 30
#
ospf 1
area 0.0.0.0
network 10.0.123.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return

#
sysname R3
#
ip address 10.0.123.3 255.255.255.0
#
ip address 192.168.1.3 255.255.255.0
vrrp vrid 2 track interface GigabitEthernet0/0/0 reduced 30
#
ospf 1
area 0.0.0.0
network 10.0.123.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
#
sysname R4
#
ip address 192.168.1.4 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
#
return
#
sysname R5
#
ip address 192.168.1.5 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254
#
return

HCIP-IENP Глава 6 Конфигурация BFD
Конфигурация BFD
Лаборатория 6-1 Объединение между BFD и статическими

маршрутами
 Как объединить BFD со статическими маршрутами для реализации
плавающих маршрутов
Топология
Рисунок 6-1 Сетевое объединение между BFD и статическими маршрутами
Сценарий
R1 подключается к R2 и R3 через S1 и S2. Устройства подключаются через
статические маршруты, и пакеты могут достигать целевой сети 23.23.23.23/32 через
R2 или R3. R2 — активный следующий переход (next hop), а R3 — резервный

следующий переход. Ссылка не является прямой, поэтому статус интерфейса не

влияет на достижимость статических маршрутов. BFD используется для определения
достижимости статических маршрутов. При сбое обнаружения, резервный
статический маршрут используется для передачи данных.
Задача
Шаг 1 Выполите основные конфигурации и конфигурации IP-
адресов.
Сконфигурируйте IP-адреса для всех маршрутизаторов и проверьте адреса.
<Huawei>system-view
[Huawei]sysname R1
[R1]display ip interface brief

*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(E): E-Trunk down
The number of interface that is UP in Physical is 9
The number of interface that is DOWN in Physical is 3
The number of interface that is UP in Protocol is 6
The number of interface that is DOWN in Protocol is 6
Interface IP Address/Mask Physical Protocol

Cellular0/0/0 unassigned down down
GigabitEthernet0/0/0 unassigned up down
GigabitEthernet0/0/1 10.0.12.1/24 up up
LoopBack0 10.0.1.1/32 up up(s)
NULL0 unassigned up up(s)

Serial1/0/0 unassigned up up
Serial2/0/0 unassigned up down
Serial4/0/0 unassigned down down
<Huawei>system-view
[Huawei]sysname R2
[R2-LoopBack0]quit

^down: standby
(l): loopback
(s): spoofing
(E): E-Trunk down

Ethernet4/0/0 unassigned down down
LoopBack0 23.23.23.23/32 up up(s)
<Huawei>system-view


[Huawei]sysname R3
[R3-LoopBack0]quit

^down: standby
(l): loopback
(s): spoofing
(E): E-Trunk down

LoopBack0 23.23.23.23/32 up up(s)
Проверьте соединение между R1 и R2, между R1 и R3.

[R1]ping 10.0.12.2


0.00% packet loss
[R1]ping 10.0.13.2

0.00% packet loss
Шаг 2 Сконфигурируйте BFD.

Включите BFD на активном пути и проверьте интерфейс на R1, подключенном к R2.
[R1]bfd
[R1-bfd]quit
[R1]bfd 1 bind peer-ip 10.0.12.2 source-ip 10.0.12.1 auto
[R1-bfd-session-1]commit
[R1-bfd-session-1]quit
[R2]bfd
[R2-bfd]quit
[R2]bfd 1 bind peer-ip 10.0.12.1 source-ip 10.0.12.2 auto
[R2-bfd-session-1]commit
[R2-bfd-session-1]quit
Проверьте информацию о сеансе BFD.

[R1]display bfd session all
--------------------------------------------------------------------------------
Local Remote PeerIpAddr State Type InterfaceName
--------------------------------------------------------------------------------
8192 8192 10.0.12.2 Up S_AUTO_PEER -
--------------------------------------------------------------------------------

Total UP/DOWN Session Number : 1/0
[R2]display bfd session all

--------------------------------------------------------------------------------
Local Remote PeerIpAddr State Type InterfaceName
--------------------------------------------------------------------------------
8192 8192 10.0.12.1 Up S_AUTO_PEER -
--------------------------------------------------------------------------------
Total UP/DOWN Session Number : 1/0
Шаг 3 Configure association between BFD and static routes.

На R2 и R3 сконфигурируйте статические маршруты к интерфейсу loopback на R1.
[R2]ip route-static 10.0.0.0 8 10.0.12.1
------------------------------------------------------------------------------

[R3]ip route-static 10.0.0.0 8 10.0.13.1

------------------------------------------------------------------------------



Сконфигурируйте два статических маршрута на R1 и свяжите их с BFD.

[R1]ip route-static 0.0.0.0 0.0.0.0 10.0.12.2 track bfd-session 1
[R1]ip route-static 0.0.0.0 0.0.0.0 10.0.13.2 preference 100
Маршрут к R3 имеет приоритет 100, что ниже маршрута к R2 (60). Таблица

маршрутизации выглядит следующим образом.
----------------------------------------------------------------------------

[R1]display ip routing-table 0.0.0.0 0.0.0.0 verbose

----------------------------------------------------------------------------
Routing Table : Public
Summary Count : 2
Destination: 0.0.0.0/0

Protocol: Static Process ID: 0

Preference: 60 Cost: 0
NextHop: 10.0.12.2 Neighbour: 0.0.0.0
State: Active Adv Relied Age: 00h01m19s
Tag: 0 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x80000001
RelayNextHop: 0.0.0.0 Interface: GigabitEthernet0/0/1
TunnelID: 0x0 Flags: RD
Destination: 0.0.0.0/0
Protocol: Static Process ID: 0
Preference: 100 Cost: 0
NextHop: 10.0.13.2 Neighbour: 0.0.0.0
State: Inactive Adv Relied Age: 00h01m03s
Tag: 0 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x80000002
RelayNextHop: 0.0.0.0 Interface: GigabitEthernet0/0/2
TunnelID: 0x0 Flags: R
Проверьте соединение в нормальной ситуации.

[R1]ping -a 10.0.1.1 23.23.23.23

0.00% packet loss
Выполните команду ping на R1 в течение длительного времени и выключите

интерфейс на R2.
[R1]ping -c 100 23.23.23.23

Проверьте конфигурацию на R1.

[R1]ping -c 100 23.23.23.23
Request time out
Request time out
Reply from 23.23.23.23: bytes=56 Sequence=19

Язык

Руководство По Лабораторным Работам Hcip-ienp Сертификации Huawei v2.5

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Руководство По Лабораторным Работам Hcip-ienp Сертификации Huawei v2.5

Загружено:

Авторское право:

Доступные форматы

Сертификация Huawei

Руководство по лабораторным работам

Huawei Technologies Co., Ltd

Copyright © Huawei Technologies Co., Ltd. 2019. Все права защищены.

и прочие товарные знаки Huawei являются зарегистрированными товарными

Система сертификации Huawei

Опираясь на сильную техническую и профессиональную подготовку и систему

Уровень сертификации Huawei Certified Network Associate (HCNA) подтверждает

Сертификация HCNA охватывает фундаментальные навыки TCP/IP, маршрутизации,

Сертификация Huawei Certified Network Professional (HCNP-R&S) предназначена для

Сертификация Huawei Certified Internet Expert (HCIE-R&S) предназначена для

Главе 1 описывает принципы и конфигурации MPLS и MPLS VPN, а также помогает

Главы 2, 3, 4, 5 и 6 иллюстрируют принципы и конфигурации DHCP, QoS, основы

Этот курс помогает читателям постепенно понять технологии маршрутизации и

Необходимые фоновые знания

Router Layer 3 switch Layer 2 switch Firewall Network cloud

Ethernet cable Serial cable

В следующей таблице приведено соответствие между именами устройств, моделями

FW1 USG6330 V100R001C30

Глава 1 Конфигурация MPLS VPN ................................................................................. 1

Глава 2 Конфигурация DHCP ....................................................................................... 32

Глава 3 Качество обслуживания и управление трафиком ..................................... 52

Глава 4 Конфигурация брандмауэра .......................................................................... 73

Глава 5 Конфигурация VRRP ..................................................................................... 105

Глава 6 Конфигурация BFD ........................................................................................ 127

Конфигурация MPLS VPN

Лаборатория 1-1 Конфигурация MPLS LDP

Серия HC HUAWEI TECHNOLOGIES 1

Серия HC HUAWEI TECHNOLOGIES 2

[R3-Serial2/0/0]ip address 10.0.23.3 24

После завершения конфигурирования проверьте подключение прямых каналов.

Шаг 2 Сконфигурируйте OSPF для одной области.

[R1]ospf 1 router-id 2.2.2.2

[R2]ospf 1 router-id 3.3.3.3

[R3]ospf 1 router-id 4.4.4.4

[S2]ospf 1 router-id 5.5.5.5

Проверьте таблицу маршрутизации и соединение на всей сети.

Серия HC HUAWEI TECHNOLOGIES 3

--- 10.0.1.2 ping statistics ---

--- 10.0.2.2 ping statistics ---

Запустите команду display ip routing-table для просмотра таблицы маршрутизации

Destination/Mask Proto Pre Cost Flags NextHop Interface

2.2.2.2/32 OSPF 10 1562 D 10.0.12.1 Serial1/0/0

Серия HC HUAWEI TECHNOLOGIES 4

10.0.1.0/24 OSPF 10 1563 D 10.0.12.1 Serial1/0/0

Шаг 3 Сконфигурируйте MPLS LDP.

[R2]mpls lsr-id 3.3.3.3

[R3]mpls lsr-id 4.4.4.4

Сконфигурируйте MPLS и LDP на интерфейсах маршрутизаторов MPLS.

[R2]interface Serial 1/0/0

Серия HC HUAWEI TECHNOLOGIES 5

[R3]interface Serial 2/0/0

После завершения конфигурирования выполните команду display mpls ldp session

[R2]display mpls ldp session

[R3]display mpls ldp session

Серия HC HUAWEI TECHNOLOGIES 6

TOTAL: 1 session(s) Found.

Шаг 4 Установите LDP LSP.

[R1]display mpls ldp lsp

[R2]display mpls ldp lsp

Серия HC HUAWEI TECHNOLOGIES 7

*3.3.3.3/32 Liberal/1025 DS/4.4.4.4

[R3]display mpls ldp lsp