总部分公司SD-WAN+IPSEC双链路互联配置实例(4)

数通2023-01-06

目录:

BGP配置和路由引入

总部分公司SD-WAN+IPSEC双链路互联配置实例(4)-下一朵云

一、BGP配置

1.1-分公司外网防火墙-R5配置:

R5和R2、R3建立EBGP邻居。

[FGS-R5]router id 5.5.5.5
[FGS-R5]bgp 65501
[FGS-R5-bgp-default]peer 11.1.1.2 as 65511
[FGS-R5-bgp-default]peer 11.1.2.3 as 65512
[FGS-R5-bgp-default]address-family ipv4 unicast
[FGS-R5-bgp-default-ipv4]peer 11.1.1.2 enable
[FGS-R5-bgp-default-ipv4]peer 11.1.2.3 enable

1.2-C5外网防火墙-R2配置:

R2和R5、R1建立EBGP邻居

[C5-R2]router id 5.5.5.11
[C5-R2]bgp 65511
[C5-R2-bgp-default]peer 11.1.1.5 as 65501
[C5-R2-bgp-default]peer 192.168.100.2 as 65500
[C5-R2-bgp-default]add
[C5-R2-bgp-default]address-family ipv4 un
[C5-R2-bgp-default-ipv4]peer 11.1.1.5 en
[C5-R2-bgp-default-ipv4]peer 192.168.100.2 en

1.3-总部外网防火墙-R3配置:

R3和R5、R1建立EBGP邻居。

[Zongbu-R3]router id 5.5.5.12
[Zongbu-R3]bgp 65512
[Zongbu-R3-bgp-default]peer 11.1.2.5 as 65501
[Zongbu-R3-bgp-default]peer 192.168.200.2 as 65500
[Zongbu-R3-bgp-default]address-family ipv4 unicast
[Zongbu-R3-bgp-default-ipv4]peer 11.1.2.5 en
[Zongbu-R3-bgp-default-ipv4]peer 192.168.200.2 en

1.4-总部内网防火墙-R1配置:

R1和R2、R3建立EBGP邻居。

[R1]router id 5.5.5.10
[R1]bgp 65500
[R1-bgp-default]peer 192.168.100.1 as 65511
[R1-bgp-default]peer 192.168.200.1 as 65512
[R1-bgp-default]address-family ipv4 un
[R1-bgp-default-ipv4]peer 192.168.100.1 en
[R1-bgp-default-ipv4]peer 192.168.200.1 en

此时BGP邻居已将建立成功,查看命令:

dis bgp peer ipv4

二、路由引入

将内网网段引入到BGP。

2.1-总部内网防火墙-R1配置:

路由引入

[R1]bgp 65500
[R1-bgp-default]address-family ipv4 un
[R1-bgp-default-ipv4]network 192.168.4.0 24
[R1-bgp-default-ipv4]network 192.168.2.0 24

2.2-分公司外网防火墙-R5配置:

[FGS-R5]ip route-static 172.18.2.0 24 192.168.244.2
[FGS-R5]ip route-static 172.18.95.0 24 192.168.244.2
[FGS-R5]ip route-static 192.168.101.0 24 192.168.244.2
[FGS-R5]bgp 65501
[FGS-R5-bgp-default]add ipv4 un
[FGS-R5-bgp-default-ipv4]net 172.18.2.0 24
[FGS-R5-bgp-default-ipv4]net 172.18.95.0 24
[FGS-R5-bgp-default-ipv4]net 192.168.101.0 24

2.3-分公司核心交换机SW2配置缺省路由:

ip route-static 0.0.0.0 0 192.168.244.1

三、配置验证

bgp路由调试命令:

dis bgp routing-table ipv4

此时在总部内网防火墙-R1和分公司外网防火墙-R5上已经可以看到通过BGP内网传递的路由。

R1上的BGP路由,如图1

总部分公司SD-WAN+IPSEC双链路互联配置实例(4)-下一朵云
图1 R2上BGP路由

R5上的BGP路由,如图2

总部分公司SD-WAN+IPSEC双链路互联配置实例(4)-下一朵云
图2 R5上的BGP路由

四、链路故障切换

所有设备均运行正常的情况下,使用分公司的终端ping测试总部的主机192.168.4.69。因为OSPF的路由优先级大于BGP,总部R1和分公司SW2,的IP路由表中是OSPF路由,如图3、图4,数据包走SD-WAN线路。

总部分公司SD-WAN+IPSEC双链路互联配置实例(4)-下一朵云
图3 SD-WAN线路正常R1的IP路由表
总部分公司SD-WAN+IPSEC双链路互联配置实例(4)-下一朵云
图4 SD-WAN线路正常SW2的IP路由表

测试如果SD-WAN线路故障,shutdown 总部内网R1的G5/0口模拟SD-WAN故障,此时OSPF路由会从IP路由表中消失,BGP路由进入IP路由表,如图5,数据包切换到IPSEC线路。

总部分公司SD-WAN+IPSEC双链路互联配置实例(4)-下一朵云
图5 SD-WAN故障R1的IP路由表

链路故障切换测试成功,总部分公司SD-WAN+IPSEC双链路互联配置实例完成。

关于生产、办公BGP选路的问题,以及BFD联动OSPF故障快速检测优化,会在后续文章中更新,敬请期待。

版权声明:本文为下一朵云发布文章,转载请附上原文出处链接和本声明。
本文链接:https://www.orcy.net.cn/3224.html

​ 广告:HCIE-Security认证课程辅导资料(付费)

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注