互聯(lián)網(wǎng)標(biāo)準(zhǔn)應(yīng)用方案BGP接入BGP技術(shù)介紹分析課件

1、BGP路由協(xié)議數(shù)據(jù)業(yè)務(wù)部方案支持部第1頁，共38頁。目錄1、BGP概貌2、EBGP和IBGP3、BGP實(shí)踐4、BGP屬性信息和決策機(jī)制5、操縱BGP的決策6、自治域內(nèi)的路由控制第2頁，共38頁。BGP概貌-什么是自治域（AS）自治域是使用單一技術(shù)組織的網(wǎng)絡(luò)集合，是個(gè)管理概念。在自治域內(nèi)部使用IGP進(jìn)行路由交互。自治域之間使用BGP進(jìn)行路由交互。BGP擁有完善的防環(huán)機(jī)制第3頁，共38頁。BGP概貌-BGP是一種路徑矢量協(xié)議路由信息和數(shù)據(jù)流量的概念區(qū)別：路由信息指到達(dá)某網(wǎng)絡(luò)的路徑信息。路由器得到路徑信息后，將數(shù)據(jù)流量沿著路徑逐跳發(fā)送到目的網(wǎng)絡(luò)。BGP協(xié)議傳播的信息包括：能到達(dá)哪些網(wǎng)絡(luò)、到達(dá)這些網(wǎng)絡(luò)

2、的路徑是什么，這些可達(dá)網(wǎng)絡(luò)的屬性是什么。屬性是路由決策的依據(jù)BGP 允許網(wǎng)絡(luò)管理員定義策略和規(guī)則，來根據(jù)路徑屬性決策出最優(yōu)路由。數(shù)據(jù)流量會(huì)沿著最優(yōu)路由穿越各個(gè)AS到達(dá)目的AS。第4頁，共38頁。BGP概貌-誰需要BGP？使用BGP互聯(lián)的必要條件：有屬于用戶自己合法的IP地址段，滿足必要條件，有下列需求之一的用戶適合使用BGP:自身自治域?qū)⒆鳛榇┰阶灾斡?，允許其他自治域流量穿越自身自治域通信，比如網(wǎng)絡(luò)提供商：移動(dòng)、聯(lián)通、電信通。自身自治域和多個(gè)網(wǎng)絡(luò)供應(yīng)商相連.進(jìn)入自身自治域的流量需要得到控制和調(diào)度。滿足必要條件，但有下列情況之一不適合使用BGP。沒有對BGP協(xié)議深刻理解的網(wǎng)絡(luò)管理員自身自治域只通

3、過一條專線連接網(wǎng)絡(luò)提供商沒有高性能路由器。第5頁，共38頁。BGP概貌-BGP的重要特點(diǎn)BGP適合管理管理大型網(wǎng)絡(luò)的協(xié)議，主要它具有以下重要特點(diǎn) 距離矢量協(xié)議，協(xié)議簡單，無為而治。 基于TCP (port 179)面向連接的應(yīng)用，可靠性高。 路由信息增量、觸發(fā)更新，減少更新流量。 周期性的連接?；顧C(jī)制，確保連接穩(wěn)定 豐富的屬性信息 能對屬性進(jìn)行靈活操作的工具 特點(diǎn)總結(jié) 路由協(xié)議簡單；可靠性高；工具豐富，發(fā)揮人腦，適合因地制宜。第6頁，共38頁。EBGP和IBGP-BGP鄰居（ BGP peer、 BGP neighbor ）為了可靠的交換路由信息，必須建立鄰居關(guān)系 運(yùn)行BGP協(xié)議的路由器叫做B

4、GP speaker。為了在BGP路由器之間傳遞路由信息必須建立鄰居關(guān)系(BGP peer/BGP neighbor) 。和哪個(gè)BGP speaker建立鄰居關(guān)系由管理員配置。兩個(gè)鄰居可以不直連 兩個(gè)BGP speakers 通過TCP建立鄰居關(guān)系，TCP不需要雙方直連。BGP的路由信息傳播方式有別于傳統(tǒng)IGP的范洪（flooding）方式第7頁，共38頁。EBGP和IBGP-EBGPBGP鄰居屬于不同的自治域（AS）的BGP關(guān)系叫做EBGPEBGP鄰居之間默認(rèn)必須直連。通過TTL默認(rèn)為1控制必須直連。對于沒辦法直連的EBGP鄰居，配置EBGP多跳改變TTL。EBGP的防環(huán)機(jī)制：每過一個(gè)AS，

5、將AS加入路由屬性中，終點(diǎn)收到AS號不重復(fù).第8頁，共38頁。EBGP和IBGP- IBGPBGP鄰居位于相同自治域（AS）內(nèi)的BGP關(guān)系叫做IBGPIBGP不要求鄰居間直連IBGP的防環(huán)機(jī)制：距離矢量路由協(xié)議的水平分割機(jī)制。第9頁，共38頁。EBGP和IBGP-為什么需要IBGP-路由黑洞問題穿越自治域（Transit AS）的路由黑洞問題 由于路由器C沒有到10.0.0.0的路由，將丟棄到10.0.0.0網(wǎng)絡(luò)的數(shù)據(jù)流量。為了防止路由黑洞的發(fā)生IBGP制定了同步規(guī)則 IBGP學(xué)到的路由可用（可用的含義）是在IGP中也學(xué)習(xí)到了這個(gè)路由穿越自治域（Transit AS）的路由黑洞問題的解決辦法之

6、一將BGP學(xué)習(xí)到的路由注入IBP中，讓路由器C學(xué)到10.0.0.0第10頁，共38頁。EBGP和IBGP-為什么需要IBGP-BGP 注入IGP在邊界BGP路由器上將BGP學(xué)到的路由發(fā)布到IGP中。 不推薦這么做的原因是BGP學(xué)習(xí)到的路由的量是巨大的且頻繁變動(dòng)的。IGP內(nèi)存和CPU負(fù)擔(dān)不起替代方法是在穿越路由器上運(yùn)行IBGPBGP同步原則：BGP路由在能使用前必須確保在IGP中也收到該路由第11頁，共38頁。EBGP和IBGP-為什么需要IBGP-IBGP的水平分割和全互聯(lián)穿越自治域（Transit AS）的路由黑洞問題的解決辦法之二： 在自治域內(nèi)的所有穿越路徑上路由器中運(yùn)行IBGP，讓路由器

7、C學(xué)到10.0.0.0IBGP水平分割準(zhǔn)則：從IBGP學(xué)習(xí)到的路由信息不向其他IBGP鄰居傳遞。IBGP防環(huán)機(jī)制：嚴(yán)格執(zhí)行水平分割準(zhǔn)則，所以IBGP之間必須全互聯(lián)即兩兩相連（full-mesh）。關(guān)閉BGP同步規(guī)則。第12頁，共38頁。EBGP和IBGP-為什么需要IBGP-關(guān)閉BGP同步所有穿越路徑上的路由器都運(yùn)行IBGP協(xié)議并且做到全互聯(lián)如果不關(guān)閉同步： 路由器A、C、D不能發(fā)布和使用到172.16.0.0的路由且路由器E收不到給路由因?yàn)镮GP沒學(xué)習(xí)到該路由。如果關(guān)閉同步： 路由器A、C、D能發(fā)布和使用到172.16.0.0的路由且路由器E收到該路由且能正確的向路由器F發(fā)送流量。第13頁，

8、共38頁。BGP實(shí)踐-基本實(shí)踐注意事項(xiàng)一個(gè)設(shè)備只能屬于一個(gè)自治域（AS）。自治域的邊界是鏈路，不是設(shè)備。一個(gè)設(shè)備只能配置一個(gè)BGP進(jìn)程。BGP依賴IGP建立連通性。鄰居建立鄰居關(guān)系的前提是鄰居必須可達(dá)。BGP不具備發(fā)現(xiàn)鄰居的能力，需要管理員配置，利用人的智慧確保通信安全。RIP/EIGRP/OSPF/ISIS與鄰為友，BGP與友為鄰。第14頁，共38頁。BGP實(shí)踐-鄰居源地址問題檢查鄰居來包源地址，確保通信安全，確保與友為鄰。本端配置的鄰居地址是本端訪問鄰居的目的地址，也是本端接受鄰居BGP報(bào)文的源地址在本端接受到鄰居的BGP報(bào)文后進(jìn)行源地址驗(yàn)證。如報(bào)文中的源地址為本端配置的鄰居地址，接受該報(bào)

9、文，否則丟棄。鄰居源地址問題 實(shí)際上，鄰居發(fā)包的源地址是鄰居路由器的出口地址，并不一定是本端希望的源地址。（備注：路由器由多個(gè)出口，每個(gè)出口都有IP地址。從哪個(gè)出口出去就要用哪個(gè)出口的地址作為源。） 鄰居要想辦法把BGP報(bào)文出接口穩(wěn)定在用來做BGP的接口上。第15頁，共38頁。BGP實(shí)踐-鄰居源地址問題-用一個(gè)實(shí)例說明源地址問題從10.1.1.1到10.2.2.4有兩條等價(jià)路由，有一半BGP路由流量被BGP丟失。如10.1.1.1接口壞了。鄰居關(guān)系無法建立，而實(shí)際上AD間是可以連通的。在路由器A/D之間有兩條通路四個(gè)地址都能互通，在哪兩個(gè)地址見建立IBGP連接呢？莫非要建四個(gè)？那建立IBGP數(shù)

10、量就和接口數(shù)量相關(guān)。第16頁，共38頁。BGP實(shí)踐-鄰居源地址問題-用Loopback接口解決解決辦法：使用LOOPBACK接口建立BGP鄰居關(guān)系，并通過命令更改本端發(fā)包接口始終為LOOPBACK接口。LOOKBACK接口是什么？環(huán)回接口，是個(gè)軟件定義的虛接口，特點(diǎn)是穩(wěn)定，路由器在它就在。一般用法：代表路由器本身，如ROUTERID。第17頁，共38頁。BGP實(shí)踐-鄰居源地址問題-Loopback接口解決方案的應(yīng)用-EBGP多跳通過TTL限制EBGP報(bào)文不能向更廣的地方傳播，所以EBGP必須直連。用兩條專線接入EBGP，增加備份功能提高穩(wěn)定性。通過loopback接口建立。EBGP接口并不直連

11、怎么辦？EBGP多跳命令。實(shí)質(zhì)上是更改TTL。第18頁，共38頁。BGP實(shí)踐-下一跳地址不可達(dá)問題BGP協(xié)議路由的是自治域，不是路由器，是指導(dǎo)數(shù)據(jù)包發(fā)到哪個(gè)自治域，不是發(fā)到哪個(gè)路由器該協(xié)議攜帶路由信息的下一跳地址為自治域的出口地址。是自治域出口路由器的出接口地址。在IBGP中傳遞是不改變該下一跳地址。造成IBGP下一跳不可達(dá)。第19頁，共38頁。BGP實(shí)踐-下一跳地址不可達(dá)問題在IBGP中下一條不可達(dá)的路由不能被使用在自治域入口路由器更改下一跳地址為本路由器IBGP出口地址第20頁，共38頁。BGP實(shí)踐-如何發(fā)布路由BGP的路由發(fā)布方法將IGP路由重發(fā)布到BGP中通過network命令手工發(fā)布

12、路由。通過network命令發(fā)布的路由比IGP重發(fā)布到BGP中的路由優(yōu)先級高。通過network命令發(fā)布路由的前提是：該路由在本地路由表中生效。第21頁，共38頁。BGP路由屬性和決策機(jī)制BGP所傳遞的每條路由信息都會(huì)攜帶該路由的屬性信息。屬性信息是BGP協(xié)議進(jìn)行路由決策的依據(jù)，也是管理員使用工具改變路由決策的依據(jù)。BGP 常用路由屬性AS path Next-hop Origin Local preferenceMED COMMUNITY第22頁，共38頁。BGP路由屬性和決策機(jī)制-AS Path 屬性到達(dá)目的網(wǎng)絡(luò)所要經(jīng)過的自治域號列表；在BGP路由傳遞時(shí)，路由每經(jīng)過一個(gè)自治域，將該自治域號

13、加入AS PATH屬性列表中。第23頁，共38頁。BGP路由屬性和決策機(jī)制-Next-Hop 屬性該協(xié)議攜帶路由信息的下是自治域出口路由器的出接口地址。一跳地址為自治域的出口地址。第24頁，共38頁。BGP路由屬性和決策機(jī)制- Origin屬性路由信息是如何進(jìn)入BGP的IGP (i)network 命令手動(dòng)敲入，最常用Incomplete (?)由IGP重發(fā)布進(jìn)BGP。不常用，因?yàn)椴缓每刂?。?5頁，共38頁。BGP路由屬性和決策機(jī)制-Local Preference 屬性本地優(yōu)先屬性，越大越優(yōu)先僅僅在自治域內(nèi)傳播，決定數(shù)據(jù)流量如何離開自治域。影響自治域的出方向流量。管理員用它在不同的出口間分

14、配出向流量。第26頁，共38頁。BGP路由屬性和決策機(jī)制- MED 屬性域間度量屬性，值越小越優(yōu)先。本端在發(fā)送的路由信息中加入該屬性，用來影響對等自治域流量從哪條鏈路進(jìn)入本端自治域。管理員用它來影響進(jìn)入自治域的流量第27頁，共38頁。BGP路由屬性和決策機(jī)制-Community屬性Community屬性表明一個(gè)目的網(wǎng)絡(luò)作為一些團(tuán)體中的一個(gè)成員，這些目的網(wǎng)絡(luò)共享一個(gè)或者多個(gè)共同的特性。常用Community值NO_EXPORT,接受到該值的路由本能公布給EBGP對等，聯(lián)盟可以NO_ADVERTISE，不能公布該路由管理員可以為某個(gè)網(wǎng)絡(luò)在離開該自治域時(shí)定義一個(gè)團(tuán)體屬性。以便在其他自治域能根據(jù)這個(gè)屬

15、性值為該網(wǎng)絡(luò)定義特殊策略。第28頁，共38頁。BGP路由屬性和決策機(jī)制Prefer highest local preference (global within AS).Prefer route originated by the local router (next hop = 0.0.0.0).Prefer shortest AS path.Prefer lowest origin code (IGP EGP incomplete).Prefer lowest MED (exchanged between autonomous systems).Prefer EBGP path over

16、 IBGP path.Prefer the path through the closest IGP neighbor.Prefer oldest route for EBGP paths.Prefer the path with the lowest neighbor BGP router ID.Prefer the path with the lowest neighbor IP address.第29頁，共38頁。操縱BGP的決策-三部曲利用BGP策略過濾器抽取相關(guān)路由信息。對路由信息攜帶的BGP路由屬性進(jìn)行修改。進(jìn)而影響B(tài)GP路由決策，影響流量的走向。第30頁，共38頁。操縱BGP的決

17、策-BGP策略過濾器策略過濾器訪問控制列表 (ACL) 用于匹配路由信息的目的地址網(wǎng)段。地址前綴列表 (Prefix-List) 用于匹配路由信息的目的地址網(wǎng)段；可以指定gateway選項(xiàng)，指明只接收某些路由器發(fā)布的路由信息。AS路徑訪問列表 (as path) 使用正則表達(dá)式匹配自治域號。團(tuán)體屬性列表 (community) 匹配路由信息中的community屬性。第31頁，共38頁。Filter-Policy過濾路由 Distribute-list、Filter-list。與ACL、 Prefix-List、as path結(jié)合定義自己的匹配規(guī)則，只有通過過濾的路由才能被加入或被發(fā)送。Rou

18、te-Policy有濾有改 Route-map。Route-policy不僅可以匹配給指定路由信息的某些屬性，還可以在條件滿足時(shí)改變路由信息的屬性?？梢允褂们懊鎺追N過濾器定義自己的匹配規(guī)則。操縱BGP的決策-BGP操縱工具第32頁，共38頁。不設(shè)置LP屬性，路由器C則按照AS-PATH長短選擇路由。在路由器B/A上設(shè)置LP屬性，任意人為操縱路由器C的出站流量LP僅在本自治域內(nèi)生效，不向外傳遞 操縱BGP的決策-利用Local Preference屬性操縱出站流量第33頁，共38頁。改變在路由器A/B上改變發(fā)布路由的MED屬性，影響對端自治域65004的路由決策。MED僅僅影響直連對端自治域，對端自治域不向外傳遞。操縱BGP的決策-利用MED屬性操縱入站流量第34頁，共38頁。路由器C改變AS-PATH長度，將自身自治域AS號填充，讓路由器Z發(fā)送的入站流量從路由器A進(jìn)自治域。影響全互聯(lián)網(wǎng)的對自身的入站流量