交換機在江湖論劍BGP 略有小成一

1、【交換機在江湖】論劍BGP-略 有小成（一）-HUAWeiHUAWei 文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第2頁，共13頁自解決了路由黑洞的問題之后，交換機帶著師弟 師妹們?nèi)找箍嗑欱GP陣法。要知路由老祖所授陣 法雖只一圖，其中卻是千變?nèi)f化，有時雖是極細 微的變化，也需要調(diào)整行功方法，否則陣法運轉(zhuǎn) 便要滯澀。這一日，路由老祖來到門下弟子練功處，只見交 換機與S97和S77六掌相接，正練習陣法其中一 變。路由老祖駐足觀望良久，卻見交換機面色愈 發(fā)凝重，額頭汗流如雨，未幾，身體竟已微微顫 抖，再看S97和S77亦是如此。老祖驚覺不妙，身 形一晃，已至交換機身側(cè)，出掌按

2、住交換機頭額 正中，主血脈流行之心經(jīng)大穴。原來交換機行功 不慎，內(nèi)息業(yè)已紊亂，難以控制，若非老祖出手 相助，此刻恐已走火入魔。交換機只覺一股熱力 直通心脈，他本身本已疲乏脫力，得老祖內(nèi)力相 助，方渡過難關(guān)。交換機拜倒老祖身前道：“多謝師父相助 老祖擺擺手，問道：“方才為何如此？交換機回道：“弟子也不甚明白，方才弟子和S97、 變。哪知運功還未 多久，就覺得真氣忽然變得枯澀起來，難以運轉(zhuǎn)，S77正演練那BGP陣法其中鏗文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第3頁，共13頁初時還能已內(nèi)力硬撐，越是往后，這壓力卻是越 來越大，有如千斤重擔壓在身上，若非師父及時 出手相助，弟

3、子們恐怕已走火入魔了。以弟子的 內(nèi)功修為，應(yīng)不至有內(nèi)力不足無法修習的問題， 其中緣故，還請師父指點?！苯粨Q機還未說完，老祖已然明了，以手指在地上 畫出一圖：“你們練得是這一變吧？ 圖甚簡單，如下：老祖道：“以你的描述來看，為師認為應(yīng)該是遇 到了路由環(huán)路的問題。路由環(huán)路是每一個路由協(xié) 議必須考慮的問題，而BGP是距離矢量協(xié)議，其 防環(huán)機制你們考慮過么？”兩種防環(huán)機制。EBG P的路由環(huán)路：鏟莓題外話：這里給大家簡單介紹BGP的ASROABJAS200EBG P交換機GPEBGS97HUAWeiHUAWei 文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第4頁，共13頁首先我們來

4、看一下EBGP的路由環(huán)路是怎么形 成的，如上圖所示： 三個AS通過3臺設(shè)備兩兩建 立EBGP進行連接。假設(shè)在AS100中有一條路由192.168.16.0/24, S97把該路由通告給了交換機， 交換機又通告給了S77,S77又重新通告給了S97。 這時候如果由于某種原因，AS100中192.168.16.0/24這條路由消失了，而與此同時，S97又從S77那里學習到了192.168.16.0/24這條路由，路由環(huán)路就產(chǎn)生了。這時，S97上,192.168.16.0/24這條路由的下一跳是S77；S77上192.168.16.0/24這條路由的下一跳是交換機；而 交換機上，192.168.16

5、.0/24這條路由的下一跳是S97。那如何防止這種現(xiàn)象的發(fā)生呢？我們可以像一 下，這種情況發(fā)生的根本原因，其實就是192.168.16.0/24這條路由的起源和經(jīng)過的AS是 不明確的。如果我們給192.168.16.0/24這條路由 在傳遞時附加一些數(shù)值，這些數(shù)值反應(yīng)了這條路 由經(jīng)過的每一個AS，這樣就不會有路由環(huán)路的鏗文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第5頁，共13頁在S97將192.168.16.0/24這條路由發(fā)給交換機的 時候，給這條路由附加一個數(shù)值100,代表這條 路由是從AS100中發(fā)出， 交換機在將這條路由發(fā) 給S77寸， 在100后面在加這條路由又

6、經(jīng)過了AS200。最后，S77將這條路 由發(fā)送給S97時，再增加一個數(shù)值300。這樣當S97接收到這條路由時，檢查一下附加在這條路由的 數(shù)值，發(fā)現(xiàn)含有數(shù)值100,則代表這條路由曾經(jīng) 經(jīng)過自己這里，則不接收該路由。這樣，EBG P的路由環(huán)路問題就解決了。個數(shù)值200,代表發(fā)生了。例如:HUAWeiHUAWei 文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第6頁，共13頁IBGP的路由環(huán)路:IBGP路由環(huán)路產(chǎn)生的原因和EBGP類似，但是由 于IBGP是在AS內(nèi)部建立的BGP關(guān)系，所以無法 通過記錄路由經(jīng)過的AS號來進行防環(huán)。對于IBGP，協(xié)議采用了類似RIP的水平分割的機制，

7、我們稱之為IBGP的水平分割，其內(nèi)容為：從IBGP對等體接收到的路由不會通告給其他的IBGP鄰居。如圖，R1、R2、R3、R4之間建立IBGP連接（R1和R4未建立IBGP關(guān)系），R1將192.168.16.0/24這條路由發(fā)給R2和R4，R2和R4不會將這條路由 再發(fā)給R3，于是就防止了路由環(huán)路。鏗文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第7頁，共13頁這種情況下，R3就完全接收不到R1傳過來的路 由。所以必須在4臺路由器之間建立IBGP的全連 接的關(guān)系，R3才能從R1處直接獲取到路由。路由老祖將這前因后果說與交換機，交換機方才 明白，怪不得之前自己這邊發(fā)出的流量越多

8、， 壓 力越大，直至后來完全無法支撐，原來并非神功 不靈，而是運功方式不得其法。路由老祖道：“BGP神功千變?nèi)f化，萬不可拘泥 于你之前修煉IGP所用方法。 在修煉BGP神功 時， 你要牢記“屬，其中所包含義絕非-慢慢領(lǐng)悟，待你完全理解之時，就是你神功大成 之日” 交換機不解道：何為屬，鏟菁題外話：我們把添加在BGP路由中，為了 解決某些問題的數(shù)據(jù)稱為屬，EBGP環(huán)路問題所引入的數(shù)值，就是我們目前第 一次引入性”二字。這二字說來簡單， 一時所能理解，你以后修煉中性”？”性。如上文解決HUAWeiHUAWei 文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第8頁，共13頁的屬性的

9、概念，我們稱之為AS_PATHHUAweiHUAwei 文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第9頁，共13頁屬性。在BGP中因為BGP相較IGP非常大的一個優(yōu)勢就是可以 在路由中攜帶豐富的屬性，這些屬性可以幫助我 們對路由進行控制。交換機若有所悟，他本就聰明絕頂，對路由一道 又天賦極高，老祖這一點破，就如同給他打開了 一扇武學寶庫的大門。 思索半晌， 突然一臉狂喜, 沖到S97面前大聲道： “師弟，我們前幾日苦思 不得其解的那個難題，有了這AS_PATH屬性， 豈不是迎刃而解？” 地上畫出一幅圖。交換機道：“這個陣法的關(guān)鍵也是我們一直不得 其解的地方是，這里陣法的脈

10、絡(luò)要求的是我和,屬性是一個非常重要的概念，齊練習的陣法，但卻 法的脈絡(luò)。說罷以指為筆，三兩下便在 眾人定睛望去，原是幾日前一 直不得要領(lǐng)，無法打通陣AS2S67S97IBGPAS1i iEBEB_i 11-FC:1:!S127 S57EBGp交換機IBGPHUAweiHUAwei 文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第10頁，共13頁S67之間的交流要經(jīng)過S97,而我和S57之間的交 流要經(jīng)過S127。但是現(xiàn)在有了AS_PATH屬性， 這個問題就簡單了，只需要調(diào)整 發(fā)給我路由所攜帶的AS_PATH屬性，就解決 了?！崩?F 題外話：交換機的這個問題是AS_PATH在

11、 路由選路和路由過濾中的一個典型應(yīng)用， 我們把現(xiàn)要求R4訪問1.1.1.0/24網(wǎng)段必須通過R2，訪問222.0/24網(wǎng)段必須通過R3。 通過AS_PATH屬性 我們可以很輕松的解決這個問題。R4會通過R2和R3分別獲得1.1.1.0/24和222.0/24這兩條路由，下一跳選擇R2還是R3我們可以通過AS PATH來進行控制。BGP里規(guī)定，AS PATHS97和S127忌區(qū) I I文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第11頁，共13頁把1.1.1.0/24這條路由發(fā)給R4時，攜帶的AS_PATH屬性變長，R4優(yōu)選R2發(fā)來的1.1.1.0/24的路由進行轉(zhuǎn)發(fā)（因為R

12、2發(fā)來的1.1.1.0/24路由的AS_PATH屬性較短），則R4訪問1.1.1.0/24網(wǎng)段的流量就會通過R2進行轉(zhuǎn)發(fā)。訪問2.2.2.0/24置在R2和R3R2的關(guān)鍵配置:bgp 1peer 10.1.1.1 as-n umber 2peer 10.3.1.2 as-n umber 1#ip v4-family uni castundo syn chro ni zati on /peer 10.1.1.1 en ablepeer 10.3.1.2 en ablepeer 10.3.1.2 route-policy loop1 exp ort /這里對岀方向使用路由策略。peer 10.3.

13、1.2 next-hop-local /注意這條必配，設(shè)備向IBGP對等體發(fā)送路由時缺省不改變路由的下一跳，配了這條之后，會將下一跳改為自己。如果不配，發(fā)到R4上的路由下一跳為R1的接口地址，由于R4上沒有到R1的路由，所以該路由的下一跳不可達，即路由不生效。# ip ip-prefix loop1 in dex 10 permit 2.2.2.0 24屬性較短的路由，將會被優(yōu)選。那么我們讓R3同理。下面我們看F具體配置。這里的關(guān)鍵配這條是缺省的。route-p olicy loop1 p ermit node 5 /情況下給該路由添加AS_PATH屬性6，7,8if-match ip-p r

14、efix loop1apply as-p ath 6 7 8 additive#配置路由策略，在匹配到ip-prefix loop1忌區(qū) I I文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第12頁，共13頁R3的關(guān)鍵配置:bgp 1route-p olicy loop1 p ermit node 10 /匹配2.2.2.0/24的路由，其他路由均被過濾,#注意這條是必須的配置，如果不配置，則除了無法發(fā)送給BGP對等體。忌區(qū) I I文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第13頁，共13頁peer 10.2.1.1 as-n umber 2peer 1

15、0.4.1.2 as-n umber 1#ip v4-family uni castundo syn chro ni zati on /peer 10.2.1.1 en ablepeer 10.4.1.2 en ablepeer 10.4.1.2 route-policy loop0 exp ort /這里對岀方向使用路由策略。peer 10.4.1.2 next-hop-local /注意這條必配，設(shè)備向IBGP對等體發(fā)送路由時缺省不改變路由的下一跳，配了這條之后，會將下一跳改為自己。如果不配，發(fā)到R4上的路由下一跳為R1的接口地址，由于R4上沒有到R1的路由，所以該路由的下一跳不可達，即路

16、由不生效。ip ip-prefix loo pO in dex 10 p ermit 1.1.1.0 24 /這里我們通過路由策略，在R2上配置將2.2.2.0/24的路由發(fā)給R4時，添加AS_PATH屬性6,7,8;在R3上配置將1.1.1.0/24路由發(fā)給R4時，添加AS_PATH屬性6,7,8。我們查看R4的BGP路由表:這條是缺省的。route-p olicy loop0 p ermit node 5 /情況下給該路由添加AS_PATH屬性6，7，8if-match ip-p refix loop0apply as-p ath 6 7 8 additive#配置路由策略，在匹配到ip-

17、prefix loop0route-p olicy loop0 p ermit node 10 /匹配1.1.1.0/24的路由，其他路由均被過濾,注意這條是必須的配置，如果不配置，則除了無法發(fā)送給BGP對等體。配置ip-prefixHUAWeiHUAWei 文檔名稱文檔密級2020-6-15華為保密信息，未經(jīng)授權(quán)禁止擴散第14頁，共13頁di3 tgp rcLitizg-table3GP3GPLocal Icuter ID is 10.3.1.2StatLia codes :* - Talid -匕est,d一dsiTFedJ Jh一hiatorypi 3一SLippreased,5 Sta

18、leOrigin : i - IGF,=-EGF, ?-二nccnipleteT T匚11 rfaweirfawei0101 nouces:nouces: T TNetworkHextKopHextKopHEDHED匸ocPrfocPrfPrefValFath/Ogn1.1.1 .f：./7 410.3.1.1n1f)ninJiJi1 10 01001000578 821212.2,2.C/20 010010002121祈i iL0*3.1.1L0*3.1.10 010010000 073 32i2i可以看到，R4上1.1.1.0/24優(yōu)選的路由下一跳為R2，2.220/24優(yōu)選的路由下一跳為R3。均為AS PATH較短的。爭本期問題：小伙伴們還記不記得，在上期 中，我們曾經(jīng)提到在BGP聯(lián)盟中，AS_PATH屬 性有以下2個規(guī)則：1)在聯(lián)盟內(nèi)部需要將成員AS的AS號加入到，但這些AS號不能被宣告到聯(lián) 盟之外。在默認情況下，成員AS號被列在AS_PAT中作為AS_PAT屬性類型4，即卩AS_CONFED_SEQUENC果在