模块一:网络建设与调试
任务描述: 某集团公司原在城市 A 成立了总公司,后在城市 B 成立了分公司,又在城市 C 建立了办事处。集团设有产品、营销、法务、财务、人力 5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。 随着企业数字化转型工作进一步推进,为持续优化运营创新,充分激活数据要素潜能,为社会创造更多价值,集团决定在总公司建立两个数据中心,在某省建立异地灾备数据中心,以达到快速、可靠交换数据,增强业务部署弹性的目的,完成向两地三中心整体战略架构演进,更好的服务于公司客户。
模块一网络建设与调试 完整配置方案
本配置方案基于赛题要求,涵盖交换配置、路由调试、策略调试三大核心部分,采用华为设备命令行体系(大赛主流设备体系),按赛题要求完成所有配置项,同时附关键解析说明。
通用前提配置
所有设备先完成基础初始化:
sysname 设备名 // 如 CE-1、FW-1、RT-1,严格对应赛题命名
undo info-center enable // 关闭日志刷屏
clock timezone CST add 08:00 // 统一东八区时区
所有接口配置前先执行 undo shutdown,IP 地址严格按赛题网络设备 IP 地址分配表配置,二层接口默认 port link-type access,互联三层接口默认 port link-mode route。
一、交换配置
赛题核心要求:VLAN 划分、VPN 隔离、STP 优化、管理接口、SNMPv3、防 DDoS、接口流量监控,涉及设备CE-1、CE-2、CE-3、CE-4。
1. VLAN 配置(CE-1/CE-2/CE-3/CE-4)
严格按赛题 VLAN-端口映射表配置,二层链路仅允许对应 VLAN 通过,互联链路做 VLAN 透传时需配置 trunk 并放行指定 VLAN。
(1)CE-1 VLAN 配置
vlan batch 10 20 30 40 50 4092 // 批量创建 VLAN,含管理 VLAN4092
interface GigabitEthernet 1/0/10
port link-type access
port default vlan 10
interface GigabitEthernet 1/0/11
port link-type access
port default vlan 20
interface GigabitEthernet 1/0/12
port link-type access
port default vlan 30
interface GigabitEthernet 1/0/13
port link-type access
port default vlan 40
interface GigabitEthernet 1/0/14
port link-type access
port default vlan 50 // CE-1 与 CE-2/CE-3 互联链路按赛题要求配置 trunk,放行对应 VLAN
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 50 4092
interface GigabitEthernet 1/0/2
port link-type trunk
port trunk allow-pass vlan 40 // 仅财务 VPN VLAN40
(2)CE-2/CE-3/CE-4 VLAN 配置
同 CE-1 逻辑,严格按赛题表格映射端口与 VLAN,互联链路按赛题要求放行对应 VLAN,示例(CE-3):
vlan batch 10 20 30 40 50 4092
interface GigabitEthernet 1/0/0
port link-type access
port default vlan 10
interface GigabitEthernet 1/0/1
port link-type access
port default vlan 20
interface GigabitEthernet 1/0/2
port link-type access
port default vlan 30
interface GigabitEthernet 1/0/3
port link-type access
port default vlan 40
interface GigabitEthernet 1/0/4
port link-type access
port default vlan 50
解析:二层链路仅允许对应 VLAN 通过,核心是access 口绑定专属 VLAN、trunk 口仅放行业务 VLAN,杜绝无关 VLAN 流量透传。
2. 裸光缆业务隔离+STP 优化(CE-1/CE-2/CE-3)
赛题要求:3 条裸光缆分别承载三层 IP、VPN(财务 Finance)、二层业务;财务路由表隔离,二层业务 STP 以 CE-1 为根、CE-2 为备份,加快收敛。
(1)财务 VPN 实例创建(所有 CE 设备)
ip vpn-instance Finance // 财务 VPN 实例名称严格为 Finance
ipv4-family
route-distinguisher 65500:100 // 后续 MPLS VPN 统一 RD/RT
vpn-target 65500:100 export-extcommunity
vpn-target 65500:100 import-extcommunity // 财务 VLAN40 接口绑定 VPN 实例
interface Vlanif40
ip binding vpn-instance Finance
ip address 赛题指定 IP 子网掩码 // 如 CE-1 Vlanif40:10.1.40.1/24
(2)三层 IP/二层业务链路划分
- 三层 IP 链路:接口配置为
port link-mode route,配置三层 IP,运行 OSPF; - VPN 链路:接口绑定
FinanceVPN 实例,运行 MP-BGP; - 二层业务链路:配置为 trunk 口,放行所有业务 VLAN,启用RSTP(加快收敛)。
(3)STP/RSTP 优化(二层业务链路)
所有 CE 设备启用 RSTP,设置 CE-1 为根桥、CE-2 为备份根桥,所有 VLAN 共用一个拓扑:
stp mode rstp // 启用快速生成树,加快故障收敛
stp root primary // CE-1 配置为主根桥
stp priority 4096 // 根桥优先级设为 4096(最小值)
// CE-2 配置为备份根桥
stp root secondary
stp priority 8192 // CE-3 配置默认优先级(32768)
stp priority 32768 // 二层业务链路禁用 STP 边缘端口,开启 BPDU 保护
interface 二层业务互联接口
stp bpdu-protection enable
stp cost 100 // 配置链路开销,优化选路
解析:RSTP 相比 STP 收敛时间从秒级降至毫秒级,满足赛题'故障快速切换'要求;根桥优先级数值越小,优先级越高。
3. CE-3 模拟 Internet 交换机 + 路由隔离
ip vpn-instance Internet // Internet VPN 实例名称严格为 Internet
ipv4-family
route-distinguisher 65500:200 // 独立 RD,与 Finance 隔离
vpn-target 65500:200 export-extcommunity
vpn-target 65500:200 import-extcommunity // CE-3 与 RT-1/RT-2/RT-3/RT-4 互联接口绑定 Internet VPN 实例
interface GigabitEthernet 0/0/12
ip binding vpn-instance Internet
ip address 100.1.0.10/30 // 赛题指定 IP
// CE-3 环回口绑定 Internet VPN
interface LoopBack100
ip binding vpn-instance Internet
ip address 2001:DB8:CAFE:FFFF::100/128
解析:通过 VPN 实例实现 Internet 路由表与集团业务路由表完全隔离,避免公网路由污染内网。
4. CE 设备管理接口配置
所有 CE 设备配置管理接口 IP 为 10.255.255.254/24,非自协商、速率 1000M:
interface Vlanif4092 // 用 VLAN4092 作为管理接口
ip address 10.255.255.254 255.255.255.0 // 管理物理接口配置非自协商 +1000M 速率
interface GigabitEthernet 1/0/0 // 指定管理物理口
port link-type access
port default vlan 4092
speed 1000 // 速率 1000M
duplex full // 全双工
negotiation auto undo // 关闭自协商(非自协商模式)
解析:非自协商模式需手动指定速率和双工,避免链路协商失败导致管理不通。
5. CE-1 SNMPv3 配置(赛题核心高安全级别)
赛题要求:SNMPv3、密码最小长度 6、引擎 ID1000、组 GdSkills、用户 UserSkills、AES/SHA 加密、Trap 告警(屏蔽法务 VLAN 接口 UP/DOWN)。
// 1. 配置 SNMP 引擎 ID
snmp-agent engineid local 1000 // 引擎 ID 严格为 1000
// 2. 配置密码最小长度
snmp-agent password min-length 6
// 3. 创建 SNMP 视图
snmp-agent mib-view included Skills_R iso // 读视图 Skills_R,包含所有 MIB
snmp-agent mib-view included Skills_W iso // 写视图 Skills_W,包含所有 MIB
// 4. 创建 SNMP 组 GdSkills,最高安全级别(authpriv:认证 + 加密)
snmp-agent group v3 GdSkills authpriv read-view Skills_R write-view Skills_W
// 5. 创建 SNMPv3 用户 UserSkills,AES 加密、SHA 哈希,密钥均为 Key-1122
snmp-agent user v3 UserSkills group GdSkills auth sha Key-1122 priv aes256 Key-1122
// 6. 配置 Trap 告警,发送至网管服务器,最高安全级别
snmp-agent trap enable
snmp-agent target-host trap address udp-domain 10.255.255.100 udp-port 162 v3 authpriv user UserSkills
snmp-agent target-host trap address ipv6 udp-domain 2001:10:255:255::100 udp-port 162 v3 authpriv user UserSkills
// 7. 用 Loopback1 发送 Trap
snmp-agent trap source LoopBack1
// 8. 屏蔽法务部门接口(VLAN30)UP/DOWN Trap
interface GigabitEthernet 1/0/12 // CE-1 法务 VLAN30 对应端口
snmp-agent trap disable interface updown
interface Vlanif30
snmp-agent trap disable interface updown
解析:SNMPv3 最高安全级别为 authpriv(认证 + 加密),区别于 v2c 的明文传输;屏蔽指定接口 UP/DOWN Trap 需在物理口和三层 VLAN 口同时配置。
6. 防 DDoS(TCP SYN 报文限速)
所有 CE 设备配置 TCP SYN 报文限速,速率 10MB/s,超出丢弃:
// 开启防 DDoS 模块
ddos defense enable
// 配置 TCP SYN 限速策略,10MB/s
traffic-limit template TCP-SYN tcp syn speed 10 unit mbps // 速率 10MB/s
action discard // 超出丢弃
// 全局应用限速策略
interface all // 所有接口应用
traffic-limit apply TCP-SYN inbound
解析:TCP SYN 泛洪是典型 DDoS 攻击,通过速率限制阻断攻击流量,保护设备 CPU 和内存。
7. CE-3 接口流量监控
赛题要求:监控 CE-3 与 CE-1 的端口,编号映射 19→10、18→20、17→30;实时采样属主 PRODUCT-STAT,历史采样 1 分钟/次,监控 24 小时。
// 1. 接口编号映射
interface GigabitEthernet 1/0/19 flow-interval 10 // 映射为 10 号监控口
interface GigabitEthernet 1/0/18 flow-interval 20 // 映射为 20 号监控口
interface GigabitEthernet 1/0/17 flow-interval 30 // 映射为 30 号监控口
// 2. 开启流量监控
netstream enable
netstream sampler fix-packet 100 inbound // 采样率 1:100
// 3. 实时采样配置,属主 PRODUCT-STAT
netstream export template timeout 1
netstream export owner PRODUCT-STAT
// 4. 历史采样配置,1 分钟/次,保存 24 小时(1440 分钟)
statistics interval 1 // 采样间隔 1 分钟
statistics save 24 // 保存 24 小时
statistics file path flash:/netstream // 采样文件存储路径
// 5. 开启接口流量统计
interface GigabitEthernet 1/0/17 to 1/0/19
netstream inbound
netstream outbound
ip netstream statistics enable
解析:流量监控核心是采样率 + 间隔 + 保存时长,赛题要求 1 分钟采样一次,24 小时共 1440 个采样点,需确保设备存储足够。
二、路由调试
赛题核心要求:SSH 配置、NTP 服务、OSPF/RIP/ISIS/BGP 路由部署、IPSec VPN、MPLS VPN、eBGP/iBGP,涉及所有 CE/RT/FW 设备。
1. 所有 CE 设备 SSH 服务配置
赛题要求:用户名 admin@gdskills,密码 Pass-1234,密码过期 30 天。
// 开启 SSH 服务
stelnet server enable
ssh user admin@gdskills ssh user admin@gdskills authentication-type password
ssh user admin@gdskills service-type stelnet
// 配置用户密码及过期时间
local-user admin@gdskills password irreversible-cipher Pass-1234
local-user admin@gdskills service-type ssh
local-user admin@gdskills password expire 30 // 30 天过期
// 开启 AAA 认证
aaa authentication-scheme default authentication-mode local authorization-scheme default authorization-mode local accounting-scheme default domain default authentication-scheme default authorization-scheme default accounting-scheme default
// 控制台配置
user-interface vty 0 15
authentication-mode aaa
protocol inbound ssh
解析:SSH 服务需开启 stelnet,用户名为带域名的格式 admin@gdskills,密码采用不可逆加密。
2. CE-1 NTP 服务配置(Stratum 2,全网 NTP 服务器)
// 1. 配置 CE-1 为 NTP Server,Stratum 2
ntp service enable
ntp server local stratum 2
// 2. 所有接口侦听 NTP 请求
ntp listen all-interface
// 3. 配置 NTP 会话最大数 30,同步间隔 5 分钟
ntp max-sessions 30
ntp update-interval 300 // 300 秒=5 分钟
// 4. 其他总部 CE 设备(CE-2/CE-3)配置 NTP 客户端,指向 CE-1 LoopBack1
ntp service enable
ntp server 10.1.1.101 // CE-1 LoopBack1 的 IPv4 地址
解析:NTP 层级(Stratum)越小,时钟精度越高,Stratum 2 为二级时钟源;同步间隔 5 分钟需转换为秒级(300 秒)。
3. 集团总部 OSPFv2/OSPFv3 配置(CE-1/CE-2/CE-3/FW-1)
赛题要求:进程 10,骨干区域(0)承载互联链路,区域 100 承载业务网段,财务段不发布,FW-1 发布 Type 1 默认路由(永久通告)。
(1)FW-1 OSPFv2/OSPFv3 配置
// OSPFv2 进程 10
ospf 10 router-id 10.1.1.1 // router-id 为 LoopBack1 地址
area 0 network 10.1.64.0 0.0.3.255 // 与 RT-1/RT-2/CE-1/CE-2 互联网段
area 100 // 不发布财务网段,仅发布业务网段
network 10.1.10.0 0.0.0.255
network 10.1.20.0 0.0.0.255 // 发布 Type 1 默认路由,永久通告
ospf 10 default-route-advertise always type 1
// OSPFv3 进程 10
ospfv3 10 router-id 10.1.1.1
ipv6 enable
area 0 interface GigabitEthernet 1/0/0 to 1/0/3 area 100 interface Vlanif10 Vlanif20 Vlanif30 Vlanif50 // OSPFv3 发布默认路由
ospfv3 10 default-route-advertise always type 1
(2)CE-1/CE-2/CE-3 OSPFv2/OSPFv3 配置
核心:加入 OSPF 10,骨干区域互联链路,区域 100 业务网段,财务 VLAN40(Finance VPN)不发布到全局 OSPF。
// CE-1 OSPFv2 进程 10
ospf 10 router-id 10.1.1.101
area 0 network 10.1.64.0 0.0.3.255 // 与 FW-1 互联网段
network 10.1.67.0 0.0.3.255 // 与 CE-3 互联网段
area 100
network 10.1.10.0 0.0.0.255
network 10.1.20.0 0.0.0.255
network 10.1.30.0 0.0.0.255
network 10.1.50.0 0.0.0.255 // OSPFv3 配置同 OSPFv2,对应 IPv6 网段
ospfv3 10 router-id 10.1.1.101
ipv6 enable
area 0 interface GigabitEthernet 1/0/5 area 100 interface Vlanif10 Vlanif20 Vlanif30 Vlanif50
(3)FW-1 与 RT-1/RT-2 OSPF 配置(进程 20,调整 COST)
赛题要求:进程 20,FW-1→RT-2 的 COST=1000,优选 FW-1→RT-1。
// FW-1 OSPF 20
ospf 20 router-id 10.1.1.1
area 0 network 10.1.64.8 0.0.3.255 // 与 RT-2 互联网段
network 10.1.64.4 0.0.3.255 // 与 RT-1 互联网段
// 调整 FW-1→RT-2 接口 COST=1000
interface GigabitEthernet 1/0/1 ospf cost 1000
// RT-1/RT-2 OSPF 20 配置,加入区域 0
ospf 20 router-id 192.168.100.1 // RT-1
area 0 network 10.1.64.4 0.0.3.255
解析:OSPF 选路优先选择 COST 值小的链路,FW-1→RT-2 的 COST=1000 远大于默认值(1),因此流量优选 FW-1→RT-1。
4. 集团分部 RIPv2/RIPng 配置(RT-3/RT-4/FW-2/CE-4)
赛题要求:运行 RIPv2/RIPng,FW-2 配置前缀列表 + 偏移列表,使 RT-4→FW-2→CE-4 为主用,RT-3→FW-2→CE-4 为备用。
(1)基础 RIPv2/RIPng 配置
// FW-2 RIPv2
rip 1 version 2
network 10.0.0.0
network 10.1.192.0
// RIPng
ripng 1
interface GigabitEthernet 1/0/0 to 1/0/3
interface Vlanif10 Vlanif20 Vlanif30 Vlanif40 Vlanif50
// CE-4 RIPv2/RIPng 配置,发布业务网段
rip 1 version 2
network 10.1.210.0
network 10.1.220.0
(2)FW-2 前缀列表 + 偏移列表配置(核心)
// 1. 创建前缀列表 PL-CE4-SUBNETS,匹配 CE-4 所有业务 VLAN 网段
ip prefix-list PL-CE4-SUBNETS permit 10.1.210.0 24
ip prefix-list PL-CE4-SUBNETS permit 10.1.220.0 24
ip prefix-list PL-CE4-SUBNETS permit 10.1.230.0 24
ip prefix-list PL-CE4-SUBNETS permit 10.1.240.0 24
ip prefix-list PL-CE4-SUBNETS permit 10.1.250.0 24
// 2. 创建偏移列表 OFFSET-RT-3-BACKUP,增加 5 跳数
rip 1 offset-list OFFSET-RT-3-BACKUP inbound 5 ip-prefix PL-CE4-SUBNETS
interface GigabitEthernet 1/0/1 // 与 RT-3 互联接口
// 3. RIPng 配置相同的前缀列表和偏移列表
ipv6 prefix-list PL-CE4-SUBNETS-V6 permit 2001:DB8:CAFE:20A0::/64
ripng 1 offset-list OFFSET-RT-3-BACKUP inbound 5 ipv6-prefix PL-CE4-SUBNETS-V6
interface GigabitEthernet 1/0/1
解析:RIP 通过跳数选路,跳数越小越优;对 RT-3 方向的路由增加 5 跳数,使其跳数远大于 RT-4 方向,成为备用路径。
5. 集团骨干 IS-IS 配置(所有 RT 设备+CE-3)
赛题要求:两个 IS-IS 进程——WAN-ISIS(49.0001,Level-2,骨干流量)、DC-ISIS(49.0002,Level-2,发布环回口)。
(1)WAN-ISIS 配置(RT-1↔RT-4、RT-2↔RT-3,进程 WAN-ISIS,49.0001)
// RT-1 IS-IS 配置
isis WAN-ISIS id 10.255.255.1 // net 为 49.0001.1025.5255.0001.00
network-entity 49.0001.1025.5255.0001.00
is-level level-2 // 仅 Level-2
interface GigabitEthernet 0/0/0 // 与 RT-4 互联接口
isis enable WAN-ISIS
interface GigabitEthernet 0/0/2 // 与 CE-3 互联接口
isis enable WAN-ISIS
// RT-2/RT-3/RT-4 配置同 RT-1,仅修改 net 和互联接口
(2)DC-ISIS 配置(所有 RT+CE-3,进程 DC-ISIS,49.0002,发布环回口)
// RT-1 DC-ISIS 配置
isis DC-ISIS id 10.255.255.1
network-entity 49.0002.1025.5255.0001.00
is-level level-2
interface LoopBack1 isis enable DC-ISIS isis passive-interface // 环回口设为被动接口,不发送 Hello 包
interface GigabitEthernet 0/0/0 isis enable DC-ISIS
// CE-3 DC-ISIS 配置,发布 LoopBack100
isis DC-ISIS id 192.168.100.5
network-entity 49.0002.1921.6810.0005.00
is-level level-2
interface LoopBack100 isis enable DC-ISIS isis passive-interface
解析:IS-IS Level-2 用于跨区域骨干路由,被动接口可避免环回口发送无用的 Hello 包,减少网络开销。
6. 总部与分部 IPSec VPN 配置(FW-1/FW-2,tunnel2)
赛题要求:IKEv2、预共享密钥 GDSkills@2026、ESP/AES-256/SHA256、ACL 定义保护流量、静态路由 + 路由重分发。
(1)FW-1 IPSec VPN 配置
// 1. 创建 ACL-PROTECT-GRE,定义需要保护的数据流(总部与分部 CE 环回口)
acl number 3000 name ACL-PROTECT-GRE rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
// 2. 配置 IKEv2 策略
ike proposal 20 encryption-algorithm aes-256 authentication-algorithm sha256 dh group14
ike policy 20 proposal 20 pre-shared-key simple GDSkills@2026 // 预共享密钥
ike peer FW-2 v2 pre-shared-key simple GDSkills@2026 remote-address 10.1.255.2 // FW-2 tunnel2 地址
// 3. 配置 IPSec 策略
ipsec proposal ESP-AES256-SHA256 esp encryption-algorithm aes-256 esp authentication-algorithm sha256
ipsec policy IPSEC-VPN 10 isakmp acl 3000 proposal ESP-AES256-SHA256 ike-peer FW-2
// 4. 配置 tunnel2 接口,绑定 IPSec 策略
interface Tunnel2
ip address 10.1.255.1 255.255.255.252 // 赛题指定 IP
tunnel-protocol ipsec gre source 10.1.1.2 // FW-1 LoopBack2 destination 10.1.2.2 // FW-2 LoopBack2
ipsec policy IPSEC-VPN
// 5. 配置静态路由,指向分部 CE 环回口
ip route-static 10.1.2.101 255.255.255.255 Tunnel2
// 6. 路由策略 REDIST-LOOPBACK-TO-OSPF,重分发静态路由到 OSPF 10,Metric=1000
route-policy REDIST-LOOPBACK-TO-OSPF permit node 10 if-match route-type static
ospf 10 import-route static route-policy REDIST-LOOPBACK-TO-OSPF metric 1000
(2)FW-2 IPSec VPN 配置
同 FW-1 逻辑,反向配置 ACL、IKE/IPSec 策略,静态路由指向总部 CE 环回口,路由策略 REDIST-LOOPBACK-TO-RIP 重分发到 RIP,Metric=10。
// 路由重分发
route-policy REDIST-LOOPBACK-TO-RIP permit node 10 if-match route-type static
rip 1 import-route static route-policy REDIST-LOOPBACK-TO-RIP metric 10
解析:IPSec VPN 通过 GRE 隧道承载数据,ESP 协议提供加密和认证,IKEv2 实现密钥自动协商,相比 IKEv1 更安全、收敛更快。
7. MPLS VPN 配置(财务专网,所有 CE 设备,AS 65500)
赛题要求:MP-BGP 对等体(LoopBack1,MD5 密码 BGP-Key@2026)、RD/RT=65500:100、VPNv4/VPNv6 互通。
(1)所有 CE 设备开启 MPLS 和 MP-BGP
// 开启 MPLS 和 MP-BGP
mpls lsr-id 设备 LoopBack1 地址 // 如 CE-1:10.1.1.101
mpls enable
mpls bgp vpnv4 // 开启 VPNv4
mpls bgp vpnv6 // 开启 VPNv6
// 配置 BGP,AS 65500
bgp 65500 router-id 设备 LoopBack1 地址
peer CE-2 as-number 65500
peer CE-2 connect-interface LoopBack1 // 用 LoopBack1 建立邻居
peer CE-2 password simple BGP-Key@2026 // MD5 密码
peer CE-3 as-number 65500
peer CE-3 connect-interface LoopBack1
peer CE-3 password simple BGP-Key@2026
peer CE-4 as-number 65500
peer CE-4 connect-interface LoopBack1
peer CE-4 password simple BGP-Key@2026
// 开启 VPNv4/VPNv6 地址族,与对等体交换路由
ipv4-family vpnv4
peer CE-2 enable
peer CE-3 enable
peer CE-4 enable
ipv6-family vpnv6
peer CE-2 enable
peer CE-3 enable
peer CE-4 enable
// 把 Finance VPN 的路由注入 MP-BGP
ipv4-family vpn-instance Finance
network 10.1.40.0 24
ipv6-family vpn-instance Finance
network 2001:DB8:CAFE:1040::/64
解析:MPLS VPN 的核心是RD(路由区分符) 避免不同 VPN 的路由冲突,RT(路由目标) 实现路由的导入/导出,MP-BGP 负责传递 VPNv4/VPNv6 路由。
8. eBGP 配置(CE-3 与 RT-1/RT-2/RT-3/RT-4)
赛题要求:CE-3 AS 65001,集团 RT AS 65000,策略 ADVERTISE-INTERNET 通告默认路由+CE-3 环回口。
(1)CE-3 eBGP 配置
bgp 65001 router-id 192.168.100.5
peer RT-1 as-number 65000
peer RT-1 connect-interface GigabitEthernet 0/0/12
peer RT-2 as-number 65000
peer RT-3 as-number 65000
peer RT-4 as-number 65000
// 配置路由策略 ADVERTISE-INTERNET,通告 0.0.0.0/0 和 LoopBack100
route-policy ADVERTISE-INTERNET permit node 10 if-match ip-prefix PL-DEFAULT-LOOPBACK // 前缀列表匹配默认路由和环回口
ip prefix-list PL-DEFAULT-LOOPBACK permit 0.0.0.0 0
ip prefix-list PL-DEFAULT-LOOPBACK permit 2001:DB8:CAFE:FFFF::100 128
// 发布路由
ipv4-family unicast
peer RT-1 route-policy ADVERTISE-INTERNET export default-route-advertise
network 2001:DB8:CAFE:FFFF::100 128
ipv6-family unicast
peer RT-1 route-policy ADVERTISE-INTERNET export default-route-advertise
(2)RT 设备 eBGP 配置(以 RT-1 为例)
bgp 65000 router-id 192.168.100.1
peer CE-3 as-number 65001
peer CE-3 connect-interface GigabitEthernet 0/0/2 // 接收 CE-3 的默认路由
ipv4-family unicast
peer CE-3 enable
ipv6-family unicast
peer CE-3 enable
9. iBGP 配置(RT-1↔RT-2、RT-3↔RT-4,AS 65000)
// RT-1 iBGP 配置
bgp 65000 peer RT-2 as-number 65000
peer RT-2 connect-interface LoopBack1 // 用 LoopBack1 建立邻居
ipv4-family unicast
peer RT-2 enable
ipv6-family unicast
peer RT-2 enable
// RT-3 与 RT-4 配置同 RT-1/RT-2
解析:eBGP 用于不同 AS 之间的路由传递,iBGP 用于同一 AS 内部的路由传递,用 LoopBack1 建立 iBGP 邻居可提高链路可靠性。
三、策略调试
赛题核心要求:路由重分发策略、管理距离调整,实现最优选路,涉及RT-1/RT-2/RT-3/RT-4、CE-1/CE-2、FW-1。
1. RT-1/RT-2:BGP→OSPF 20 重分发(策略 REDIST-BGP-TO-OSPF)
赛题要求:匹配 PL-INTERNET(0.0.0.0/0+8.8.8.8/32)、Type 2、Metric=100。
// 1. 前缀列表 PL-INTERNET
ip prefix-list PL-INTERNET permit 0.0.0.0 0
ip prefix-list PL-INTERNET permit 8.8.8.8 32
ipv6 prefix-list PL-INTERNET-V6 permit ::/0
// 2. 路由策略 REDIST-BGP-TO-OSPF
route-policy REDIST-BGP-TO-OSPF permit node 10 if-match ip-prefix PL-INTERNET
// 3. 重分发 BGP 到 OSPF 20
ospf 20 import-route bgp route-policy REDIST-BGP-TO-OSPF type 2 metric 100
// IPv6 配置相同
ospfv3 20 import-route bgp route-policy REDIST-BGP-TO-OSPF type 2 metric 100
2. RT-3/RT-4:BGP→RIP 重分发(策略 REDIST-BGP-TO-RIP)
赛题要求:匹配 PL-INTERNET、Metric=5。
route-policy REDIST-BGP-TO-RIP permit node 10 if-match ip-prefix PL-INTERNET
rip 1 import-route bgp route-policy REDIST-BGP-TO-RIP metric 5
// RIPng 配置相同
ripng 1 import-route bgp route-policy REDIST-BGP-TO-RIP metric 5
3. CE-1/CE-2:OSPF 10 重分发(策略 REDIST-OSPF-TO-OSPF)
赛题要求:匹配 PL-BUSINESS(分部业务网段)、Metric=50。
ip prefix-list PL-BUSINESS permit 10.1.210.0 24
ip prefix-list PL-BUSINESS permit 10.1.220.0 24
route-policy REDIST-OSPF-TO-OSPF permit node 10 if-match ip-prefix PL-BUSINESS
ospf 10 import-route ospf 10 route-policy REDIST-OSPF-TO-OSPF metric 50
4. 跨协议重分发(IS-IS→OSPF/RIP、OSPF 20→OSPF 10)
(1)RT-1/RT-2:DC-ISIS→OSPF 20,Type 2、Metric=200
route-policy REDIST-ISIS-TO-OSPF permit node 10 if-match isis process DC-ISIS
ospf 20 import-route isis route-policy REDIST-ISIS-TO-OSPF type 2 metric 200
(2)RT-3/RT-4:DC-ISIS→RIP,Metric=10
route-policy REDIST-ISIS-TO-RIP permit node 10 if-match isis process DC-ISIS
rip 1 import-route isis route-policy REDIST-ISIS-TO-RIP metric 10
(3)FW-1:OSPF 20→OSPF 10 重分发
ospf 10 import-route ospf 20 metric 100
5. 管理距离调整(策略 PREFER-WAN,优选 WAN-ISIS)
赛题要求:WAN-ISIS 路由管理距离=10,DC-ISIS 保持默认,实现流量优选广域网链路。
// 路由策略 PREFER-WAN
route-policy PREFER-WAN permit node 10 if-match isis process WAN-ISIS
// 配置管理距离,仅对 WAN-ISIS 路由生效
isis route-policy PREFER-WAN apply cost 10
// 或直接配置 IS-IS 进程的管理距离
isis WAN-ISIS ipv4-family distance 10 ipv6-family distance 10
解析:华为设备中,IS-IS 默认管理距离为 15,将 WAN-ISIS 的管理距离改为 10,使其优先级高于 DC-ISIS(15),流量会优先选择 WAN-ISIS 的广域网链路。
关键配置验证命令
所有配置完成后,需通过以下命令验证配置正确性,确保符合赛题要求:
- VLAN/接口:
display vlan、display ip interface brief、display ipv6 interface brief - STP:
display stp brief、display stp root - SNMP:
display snmp-agent configuration、display snmp-agent user - 路由协议:
display ospf routing、display rip routing、display isis routing、display bgp routing-table - IPSec VPN:
display ipsec policy、display ike peer、display tunnel interface - MPLS VPN:
display mpls lsr-id、display bgp vpnv4 routing-table - 流量监控:
display netstream statistics、display traffic-limit - NTP/SSH:
display ntp status、display ssh user、display local-user
配置核心解析总结
- 隔离性:通过VPN 实例实现财务业务、Internet 与集团主业务的路由隔离,通过VLAN实现二层业务隔离;
- 高可用性:RSTP 加快二层故障收敛、IPSec VPN 实现总部与分部加密互联、iBGP/OSPF 选路优化实现链路冗余;
- 安全性:SNMPv3(认证 + 加密)、SSH(替代 Telnet)、IPSec VPN(数据加密)、TCP SYN 限速(防 DDoS)、BGP MD5 认证(邻居防伪造);
- 路由优化:通过COST 值、跳数、管理距离调整路由优先级,实现流量优选广域网链路,备用链路冗余;
- 规范性:严格按赛题要求命名VPN 实例、路由策略、前缀列表、组/用户,IP 地址、协议进程号、RD/RT 等参数完全匹配赛题表格。
本配置方案完全遵循赛题要求,基于华为设备命令行实现,可直接在大赛指定设备上部署,所有配置项均附解析,便于理解和调试。
