cấu hình bgp với nat

Cấu hình BGP với NAT1.. Mục tiêu Trong bài lab này, chúng ta sẽ cấu hình BGP với NAT 2.. Hoàn cảnh Mạng của Công ty XYZ ở Sài Gòn, thuộc AS64512, sử dụng giao thức định tuyến OSPF để địn

Trang 1

Cấu hình BGP với NAT

1 Mục tiêu

Trong bài lab này, chúng ta sẽ cấu hình BGP với NAT

2 Hoàn cảnh

Mạng của Công ty XYZ ở Sài Gòn, thuộc AS64512, sử dụng giao thức định tuyến OSPF

để định tuyến giữa các internal router SaiGon1 và SaiGon2 ISP nối với SaiGon1 dùng eBGP, đồng thời SaiGon1 cũng được cấu hình NAT trước khi đến ISP

3 Thực hiện

a Bước 1

Kết nối mạng theo sơ đồ như trên Cấu hình hostname, địa chỉ IP các interface serial, loopback theo đúng sơ đồ Chưa cấu hình routing protocol Kiểm tra các kết nối trực tiếp bằng lệnh ping và show cdp neighbor

b Bước 2

Cấu hình OSPF giữa router SaiGon1 và SaiGon2:

SaiGon1(config)#router ospf 1

SaiGon1(config-router)#network 172.16.1.1 0.0.0.0 area 0

SaiGon2(config)#router ospf 1

Kiểm tra adjacency giữa SaiGon1 và SaiGon2, chẩn đoán lỗi nếu có Dùng lệnh show ip ospf neighbor và show ip ospf interface

SaiGon1#show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface

172.16.32.1 1 FULL/ - 00:00:30 172.16.1.2 Serial0/1

SaiGon1#show ip ospf interface serial 0/1

Serial0/1 is up, line protocol is up

Internet Address 172.16.1.1/24, Area 0

Process ID 1, Router ID 172.16.64.1, Network Type POINT_TO_POINT, Cost: 64 Transmit Delay is 1 sec, State POINT_TO_POINT,

Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5

Hello due in 00:00:09

Neighbor Count is 1, Adjacent neighbor count is 1

Adjacent with neighbor 172.16.32.1

Suppress hello for 0 neighbor(s)

Trang 2

c Bước 3

Cấu hình eBGP giữa ISP và SaiGon1:

SaiGon1(config)#router bgp 64512

SaiGon1(config-router)#neighbor 192.168.1.5 remote-as 200

ISP(config)#router bgp 200

ISP(config-router)#network 210.210.210.0 mask 255.255.255.0

ISP(config-router)#neighbor 192.168.1.6 remote-as 64512

Ở đây, ta lưu ý là SaiGon1 không quảng bá bất cứ network nào bên trong nó cho ISP (không có câu lệnh network)

Kiểm tra kết nối BGP giữa SaiGon1 và ISP Dùng lệnh clear ip bgp * để thiết lập lại kết

nối, sau đó vài phút, dùng lệnh show ip bgp để kiểm tra:

SaiGon1#show ip bgp

BGP table version is 2, local router ID is 172.16.64.1

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal

Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path

*> 210.210.210.0 192.168.1.5 0 0 200 i

SaiGon1#show ip bgp summary

BGP table version is 2, main routing table version 2

1 network entries (1/3 paths) using 208 bytes of memory

1 BGP path attribute entries using 108 bytes of memory

0 BGP route-map cache entries using 0 bytes of memory

0 BGP filter-list cache entries using 0 bytes of memory

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd

192.168.1.5 4 200 33 27 2 0 0 00:06:36 1

Kiểm tra bảng định tuyến:

SaiGon1#show ip route

Gateway of last resort is not set

B 210.210.210.0/24 [20/0] via 192.168.1.5, 00:07:12

172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks

O 172.16.32.1/32 [110/65] via 172.16.1.2, 00:07:44, Serial0/1

C 172.16.1.0/24 is directly connected, Serial0/1

C 172.16.64.0/24 is directly connected, Loopback0

192.168.1.0/30 is subnetted, 1 subnets

C 192.168.1.4 is directly connected, Serial0/0

Trang 3

Tại SaiGon1, dùng extend ping đến 210.210.210.1 với địa chỉ source 172.16.64.1 Ping không thành công, do packet đi từ SaiGon1 đến ISP nhưng ISP không có route đến network 172.16.64.0 để quay trả lời

SaiGon1#ping

Protocol [ip]:

Target IP address: 210.210.210.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 172.16.64.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 210.210.210.1, timeout is 2 seconds:

Success rate is 0 percent (0/5)

d Bước 4

Cấu hình NAT trên SaiGon1, đổi địa chỉ private 172.16.0.0 thành địa chỉ public có thể ra được Internet (đến ISP)

SaiGon1(config)#interface s0/0

SaiGon1(config-if)#ip nat outside

SaiGon1(config-if)#interface lo0

SaiGon1(config-if)#ip nat inside

SaiGon1(config-if)#interface s0/1

SaiGon1(config-if)#ip nat inside

Cấu hình NAT pool và NAT translation trên SaiGon1:

SaiGon1(config)#access-list 1 permit 172.16.0.0 0.0.255.255

SaiGon1(config)#ip nat pool NAT_POOL 66.122.33.98 66.122.33.126 netmask 255.255.255.224

SaiGon1(config)#ip nat inside source list 1 pool NAT_POOL overload

Ở đây, ta sử dụng range IP public là 66.122.33.96/27 để cho các host ra Internet

Đưa mạng 66.122.33.96/27 vào BGP:

SaiGon1(config)#router bgp 64512

Trang 4

SaiGon1(config-router)#network 66.122.33.96 mask 255.255.255.224

Ta sử dụng interface loopback 100 với địa chỉ IP 66.122.33.97 để BGP quảng bá network 66.122.33.96/27 Chú ý rằng BGP chỉ quảng bá một network khi network đó là connected hoặc static hoặc từ một dynamic routing protocol được redistribute vào BGP

SaiGon1(config)#interface lo100

SaiGon1(config-if)#ip address 66.122.33.97 255.255.255.224

Kiểm tra cấu hình BGP:

SaiGon1#show ip bgp

BGP table version is 5, local router ID is 172.16.64.1

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal

Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path

*> 66.122.33.96/27 0.0.0.0 0 32768 i

*> 210.210.210.0 192.168.1.5 0 0 200 i

Dùng extend ping 210.210.210.1 từ private address 172.16.64.1 của SaiGon1:

SaiGon1#ping

Protocol [ip]:

Target IP address: 210.210.210.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 172.16.64.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

Từ SaiGon2 ping thử đến 210.210.210.1

SaiGon2#debug ip packet

SaiGon2#ping 210.210.210.1

Trang 5

Success rate is 0 percent (0/5)

01 13: IP: s=172.16.32.1 (local), d=210.210.210.1, len 100, unroutable.

01 15: IP: s=172.16.32.1 (local), d=210.210.210.1, len 100, unroutable

SaiGon2 chưa có route đến network 210.210.210.0 nên lệnh ping ở trên cho kết quả không thành công Ta sẽ cấu hình default route trên SaiGon1 và cho phép nó quảng bá trên miền OSPF:

SaiGon1(config)#router ospf 1

SaiGon1(config-router)#defaul-information originate always metric 2500 metric-type 1

SaiGon1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.5

Kiểm tra routing table tại SaiGon2:

SaiGon2#show ip route

Gateway of last resort is 172.16.1.1 to network 0.0.0.0

172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks

C 172.16.32.0/24 is directly connected, Loopback0

C 172.16.1.0/24 is directly connected, Serial1

O 172.16.64.1/32 [110/65] via 172.16.1.1, 00:08:01, Serial1

O*E1 0.0.0.0/0 [110/2564] via 172.16.1.1, 00:07:09, Serial1

Default đã xuất hiện trên SaiGon2 Tại SaiGon2 ping 210.210.210.1 để kiểm tra kết nối, đồng thời tại SaiGon1 debug ip nat để kiểm tra quá trình NAT:

SaiGon2#ping 210.210.210.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 64/70/84 ms

SaiGon1#debug ip nat

IP NAT debugging is on

SaiGon1#

00 00: NAT: s=172.16.1.2->66.122.33.98, d=210.210.210.1 [25]

00 00: NAT*: s=210.210.210.1, d=66.122.33.98->172.16.1.2 [25]

Trang 6

00 00: NAT: s=172.16.1.2->66.122.33.98, d=210.210.210.1 [26]

00 00: NAT*: s=210.210.210.1, d=66.122.33.98->172.16.1.2 [26]

00 00: NAT: s=172.16.1.2->66.122.33.98, d=210.210.210.1 [27]

00 00: NAT*: s=210.210.210.1, d=66.122.33.98->172.16.1.2 [27]

00 00: NAT: s=172.16.1.2->66.122.33.98, d=210.210.210.1 [28]

00 00: NAT*: s=210.210.210.1, d=66.122.33.98->172.16.1.2 [28]

00 00: NAT: s=172.16.1.2->66.122.33.98, d=210.210.210.1 [29]

00 00: NAT*: s=210.210.210.1, d=66.122.33.98->172.16.1.2 [29]

4 Cấu hình

SaiGon1#show running-config

Building configuration

Current configuration:

!

version 11.3

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname SaiGon1

!

ip nat pool NAT_POOL 66.122.33.98 66.122.33.126 netmask 255.255.255.224

ip nat inside source list 1 pool NAT_POOL overload

!

interface Loopback0

ip address 172.16.64.1 255.255.255.0

ip nat inside

!

interface Loopback100

ip address 66.122.33.97 255.255.255.224

!

interface Serial0/0

ip address 192.168.1.6 255.255.255.252

ip nat outside

no ip mroute-cache

!

interface Serial0/1

ip address 172.16.1.1 255.255.255.0

ip nat inside

!

router ospf 1

network 172.16.1.1 0.0.0.0 area 0

network 172.16.64.1 0.0.0.0 area 0

default-information originate always metric 2500 metric-type 1

Trang 7

router bgp 64512

network 66.122.33.96 mask 255.255.255.224

neighbor 192.168.1.5 remote-as 200

!

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.1.5

ip route 66.122.33.96 255.255.255.224 Null0 230

!

access-list 1 permit 172.16.0.0 0.0.255.255

!

line con 0

logging synchronous

line aux 0

line vty 0 4

privilege level 15

no login

!

end

-SaiGon2#show running-config

Current configuration:

!

version 12.0

!

hostname SaiGon2

!

ip subnet-zero

no ip domain-lookup

!

interface Loopback0

ip address 172.16.32.1 255.255.255.0

no ip directed-broadcast

!

interface Ethernet0

no ip address

!

interface Serial1

Trang 8

ip address 172.16.1.2 255.255.255.0

clockrate 64000

!

router ospf 1

network 172.16.1.2 0.0.0.0 area 0

network 172.16.32.1 0.0.0.0 area 0

!

ip classless

no ip http server

!

line con 0

logging synchronous

transport input none

line aux 0

line vty 0 4

privilege level 15

no login

!

end

-ISP#show running-config

Current configuration : 799 bytes

!

version 12.2

!

hostname ISP

!

ip subnet-zero

no ip domain-lookup

!

interface Loopback0

ip address 210.210.210.1 255.255.255.0

!

interface Serial0

ip address 192.168.1.5 255.255.255.252

no fair-queue

clockrate 64000

!

Trang 9

router bgp 200

no synchronization

bgp log-neighbor-changes

network 210.210.210.0

neighbor 192.168.1.6 remote-as 64512

!

ip classless

ip http server

!

line con 0

logging synchronous

line aux 0

line vty 0 4

privilege level 15

no login

!

end

Định dạng
Số trang	9
Dung lượng	77,5 KB