客戶需求:公司總部在蘇州,北京業務處理中心,深圳有生產基地,已租用電信線路,須將三地網絡互聯,設備型號:思科Cisco 2800路由器(蘇州)、山石 Hillstone SG6000防火牆(北京和深圳)。
各地IP地址,以及設備的接口信息,請看下圖
1、蘇州思科Cisco 2800路由器的配置 (//後面為註解,實際配置時不輸入)
hostname suzhou //設備名稱設置為:suzhou
interface FastEthernet0/0 //配置接口FastEthernet0/0
description WAN //描述為WAN口
ip address 10.18.0.2 255.255.255.252 //設置IP地址和子掩碼
duplex auto //雙工模式為自動協商
speed auto //端口速率設置為自動
interface FastEthernet0/1
description LAN
ip address 192.168.0.254 255.255.255.0
duplex auto
speed auto
router bgp 65xxx //啟用BGP路由,後面的5位數是指autonomous-system,簡稱AS,由電信提供,不能隨意填寫,我已用xxx替代三位數字
bgp log-neighbor-changes //記錄鄰居狀態改變的信息
neighbor 10.18.0.1 remote-as 48xx //指定鄰居,因為BGP的鄰居需要手動指定,remote-as同樣由電信提供,我已用xx替代兩位數字
address-family ipv4 //創建並進入BGP IPv4單播地址族視圖
neighbor 10.18.0.1 activate //激活10.18.0.1這個鄰居
no auto-summary //關閉路由協議的自動彙總
no synchronization //關閉自動同步
network 10.18.0.0 mask 255.255.255.252 //把網絡通告出去
network 192.168.0.0 //把網絡通告出去
exit-address-family //退出單播地址族視圖
ip route 0.0.0.0 0.0.0.0 10.18.0.1 60 permanent //默認路由,下一跳地址為10.18.0.1,優先級 60
2、北京:山石 Hillstone SG6000防火牆的配置
interface ethernet0/1 //配置接口ethernet0/1
zone "untrust" //設置安全域為untrust(不可信任,一般指外網WAN接口)
ip address 10.18.0.6 255.255.255.252 //配置接口IP
reverse-route prefer //反向路由優先
interface ethernet0/2
zone "trust" //設置安全域為trust(可信任,一般指內網LAN接口)
ip address 172.16.12.1 255.255.255.0
reverse-route prefer
ip vrouter "trust-vr"
ip route 0.0.0.0/0 ethernet0/1 10.18.0.5 //配置默認路由,出接口為ethernet0/1,下一跳IP為10.18.0.5
router bgp 65130
neighbor 10.18.0.5 remote-as 4809
network 10.18.0.0/30
network 172.16.12.0/24
rule id 1 //新建策略
action permit //動作設置為:允許
src-addr "Any" //源地址為any
dst-addr "Any" //目的地址為any
service "Any" //服務為any
也就是說,本策略允許任何方式、任何地址的通訊,不做任何限制。
3、深圳的配置,因為設備型號與北京相同,配置目的也相同,所以配置過程基本上一致,只是IP地址略作修改,所以此處就省略了。
閱讀更多 IT狂人日誌 的文章
