BGP用戶培訓(xùn)材料

以下給出一簡單的配置：配置以上拓?fù)浣Y(jié)構(gòu)的BGP協(xié)議的命令為：RTA的配置：!RTArouterbgp100neighbor10.0.0.2remote-as200neighbor10.0.0.3remote-as200redistributeripneighbor129.102.1.2remote-as100!RTB的配置：!RTBrouterbgp100neighbor129.102.1.1remote-as100!RTC的配置：!RTCrouterbgp200neighbor10.0.0.1remote-as100neighbor139.102.1.2remote-as200noredistributerip!RTD的配置：!RTDrouterbgp200neighbor10.0.0.1remote-as100neighbor139.102.1.1remote-as200noredistributerip!2、BGP同步本地BGP在收到一條路由時(shí)，要檢查此路由的下一跳是否可達(dá)。在同步狀態(tài)下，此BGP路由直到IGP也通告了此路由，BGP路由才被加入到路由表中。在非同步狀態(tài)下，BGP路由被直接加入到路由表。BGP在通過EBGP收到其它AS自治區(qū)域BGP對端的UPDATE消息后，將此消息中的路由不加修改(<信宿地址，下一跳>不變)地通過IBGP發(fā)送給IBGP同伴。對于IBGP對端，在此路由的下一跳不可達(dá)的情況下，路由是應(yīng)該是無效的；同時(shí)，在IGP通告此路由前，此路由也應(yīng)該是無效的，因?yàn)榇藭r(shí)此路由還未在AS區(qū)域內(nèi)由IGP收斂，此信宿的IP包會(huì)因?yàn)橹贿\(yùn)行IGP的路由器無此路由而被丟棄。如何判斷下一跳是否可達(dá)呢？BGP在路由表中遞歸查找，直到找到一個(gè)直接相連的接口，從而確認(rèn)此下一跳可達(dá)，否則不可達(dá)；同時(shí)，到達(dá)此下一跳的路徑上的所有路由器必須也被通告了此路由，即AS區(qū)域內(nèi)此路由已經(jīng)由IGP擴(kuò)散。由于IBGP是通過TCP連接的，其間可能經(jīng)過若干路由器，IBGP消息中路由的下一跳的可達(dá)信息不能通過BGP來通告給途徑的路由器，而必須通過IGP在IBGP的發(fā)端通過引入BGP路由來完成。AS自治區(qū)域內(nèi)部的路由可達(dá)信息的傳播應(yīng)該由IGP完成，AS自治區(qū)域間的路由可達(dá)信息的傳播則由BGP完成。"同步"在這里指的是IGP和BGP的同步。以下舉例說明同步。RTC通過EBGP通告RTA路由170.10.0.0，下一跳為2.2.2.1。RTA將此路由通過IBGP通告給RTB，下一跳不變，也是2.2.2.1。RTB知道為了到達(dá)2.2.2.1，應(yīng)該將IP包發(fā)送到RTE，而RTE如果并不知到網(wǎng)絡(luò)路由170.10.0.0，則會(huì)把丟棄此IP包。同時(shí)，RTB通過EBGP將路由170.10.0.0通告給RTD，結(jié)果，AS400到網(wǎng)絡(luò)170.10.0.0的流量在RTE出全被丟棄了。為了避免此情況，RTA處的IGP應(yīng)該引入BGP的路由170.10.0.0并通告給RTE。RTB在收到IGP通告的網(wǎng)絡(luò)路由170.10.0.0時(shí)，說明RTA和RTB之間至少有一條通路上的路由器全部被通告了170.10.0.0的路由，因此可以安全地把路由加入到路由表中，并可以通告RTD。如果把AS自治區(qū)域視為一個(gè)大的AS路由器，AS路由器組成了Internet網(wǎng)絡(luò)。則BGP就成為了這個(gè)由AS路由器組成的更高一級的自治區(qū)域的IGP了，只不過這個(gè)更高一級的自治區(qū)域只有一個(gè)，即因特網(wǎng)本身。在AS路由器內(nèi)部，BGP運(yùn)行于各個(gè)端口上(AS邊界的與其它AS連通的路由器)。當(dāng)AS從一個(gè)端口上得到了一條其它AS的路由時(shí)，它通告給所有其它的端口(收到EBGP消息后通過IBGP通告AS內(nèi)部的所有BGP同伴)。而此AS路由器是分布式的，端口之間的可達(dá)信息是由AS內(nèi)部的IGP(RIP，OSPF)保證的，只有這條IBGP通告的路由的下一跳的可達(dá)信息通過IGP到達(dá)本地后，此IBGP通告的路由才加入本地路由表。之所以有"同步"問題，是因?yàn)镮GP的收斂需要一定時(shí)間，而IBGP通過TCP連接直接發(fā)送無收斂時(shí)間，如果未等IGP收斂，就將IBGP通告的路由加入路由表，會(huì)造成"黑洞"。在路由器中，BGP缺省處于同步狀態(tài)。通過上例可以看出，在IBGP同步直接相連的情況下，不需要同步。3、路由的過濾(1)定義訪問列表請參見防火墻的配置(2)定義AS路徑列表每個(gè)AS路徑列表是用數(shù)字來標(biāo)識的。在配置模式下使用命令：ipas-pathaccess-listlist-numpermit|denyAS正則表達(dá)式可以配置一條AS路徑訪問列表。其中，AS正則表達(dá)式規(guī)定了路由AS屬性的模式，用于指定符合此模式的路由集合。可以參考RFC1164Section4.2。CISCO正則表達(dá)式的符號意義：字符符號特殊意義句號.匹配任意單字符星號*匹配模式中0或更多的序列加號+匹配模式中1或更多的序列問號?匹配模式0或1次出現(xiàn)加字符^匹配輸入字符串的開始美元符$匹配輸入字符串的結(jié)束下劃線_匹配逗號，括號，字符串的開始和結(jié)束，空格方括號[范圍]表示一個(gè)單字符模式的范圍連字符-把一個(gè)范圍的結(jié)束點(diǎn)分開例如："100200300" 匹配_300$ "AS300始發(fā)的路徑""300400100" 匹配^300_ "AS300為相鄰的AS自治區(qū)域"所有AS路徑 匹配.* "所有AS路徑""300100200400" 匹配_100_ "經(jīng)過AS100的路徑"(3)指定對路由的過濾根據(jù)配置的地址訪問列表和AS路徑列表可以指定對特定的路由集合進(jìn)行過濾。此過濾可以施加于所有的同伴或特定的同伴。在BGP中，使用distribute-list指定地址訪問列表，使用filter-list指定AS路由列表。以下分別舉例說明地址過濾和路徑過濾：如圖，由于各種原因，網(wǎng)絡(luò)路由160.10.0.0不能經(jīng)過RTC通告給AS100中的RTA，但要通告本AS區(qū)域的網(wǎng)絡(luò)路由170.10.0.0，此時(shí)應(yīng)使用基于地址訪問列表的路由過濾。路由器RTC的匹配為：！RTCrouterbgp300network170.10.0.0neighbor3.3.3.3remote-as200neighbor2.2.2.2remote-as100neighbor2.2.2.2distribute-list1out！access-list1deny160.10.0.00.0.255.255access-list1permit0.0.0.0255.255.255.255！路由器RTC在向RTA通告路由時(shí)，要通過地址訪問列表1，如果一條路由的信宿地址被地址訪問列表拒絕，則不發(fā)送此路由。從而完成過濾路由160.10.0.0的目的。用上圖說明基于AS路徑屬性的過濾。此時(shí)也要RTC過濾掉所有發(fā)自AS200的路由。RTC使用的配置：！RTCrouterbgp300neighbor3.3.3.3remote-as200neighbor2.2.2.2remote-as100neighbor2.2.2.2filter-list1out！ipas-pathaccess-list1deny^200$ipas-pathaccess-list1permit.*！路徑訪問列表1定義了只有AS號200的路徑屬性的路由集合，屬于此集合的路由將在RTC發(fā)送給RTA的UPDATE消息中過濾掉。從AS400始發(fā)的路由被RTC正常的通告。4、路由屬性控制和策略路由的過濾也屬于路由策略。但路由策略的靈活性主要體現(xiàn)于BGP對于路由屬性的控制。BGP通過Route-map完成路由屬性的控制，從而施加BGP的路由策略。Route-map定義了若干序列，每個(gè)序列中定義了一種匹配路由和的路由屬性賦值的集合。路由通過一個(gè)Route-map時(shí)，按序列號從小到大依次匹配各序列。當(dāng)路由屬性匹配某序列的匹配條件時(shí)，根據(jù)此序列的賦值屬性對此路由的指定的路由屬性進(jìn)行操作，同時(shí)中斷匹配操作，路由通過此Route-map。若路由未匹配任何一序列，則路由未通過此Route-map，之后的操作被終止。在一個(gè)序列中，可以根據(jù)一條路由的信宿地址、AS路徑、Metric花費(fèi)、BGP路由的源類型等對路由進(jìn)行匹配；同時(shí)，可以設(shè)置路由的下一跳、AS路徑、Metric花費(fèi)、源類型、本地優(yōu)先級等路由屬性。可以看出，Route-map也可以用作路由過濾，但更靈活一些。同時(shí)Route-map通過修改路由屬性來影響對端BGP的路由選擇。以下舉例說明Route-map的應(yīng)用：例一：使用Route-map令RTC從RTB引入AS200區(qū)域中的路由，并將其Metric設(shè)置為20，而丟棄其它AS區(qū)域的路由。配置如下：！RTCrouterbgp300network170.10.0.0neighbor3.3.3.3remote-as200neighbor3.3.3.3route-mapstampin！route-mapstamppermit10matchas-path1setmetric20！ipas-pathaccess-list1permit^200$！其中使用的AS路徑列表1匹配AS200發(fā)出的路由。Route-map的序列10，使用AS路徑列表1作為匹配規(guī)則，如匹配，將匹配路由的Metric設(shè)置為20。對于其它AS屬性的路由，由于未匹配任何一條Route-map序列，即未匹配此Route-map，則拒絕引入此路由。例二：要求引入AS200發(fā)送的路由，并設(shè)置此路由的Metric屬性為20，丟棄AS400發(fā)送的路由，引入其它AS區(qū)域發(fā)送的路由，并匹配此路由的Metirc為10。路由器的配置為：！RTCrouterbgp300network170.10.0.0neighbor3.3.3.3remote-as200neighbor3.3.3.3route-mapstampin！route-mapstamppermit10matchas-path1setmetric20！route-mapstampdeny20matchas-path2!route-mapstamppermit30setmetric10！ipas-pathaccess-list1permit^200$ipas-pathaccess-list2permit^400.*！匹配AS路徑列表1的路由metric被設(shè)置為20，匹配AS路徑列表2的路由被拒絕引入，其余的路由metric被設(shè)置為10。使用上圖說明Route-map中setas-pathprepend的作用：AS600中的路由器通過2條路徑收到了網(wǎng)絡(luò)路由170.10.0.0，AS路徑屬性分別為(100，300)和(400，200，300)。在其它因素相同的情況下，AS600會(huì)選擇AS100發(fā)送的路由，因?yàn)樗哂休^短的AS路徑。為了影響這種選擇，可以使用setas-pathprepend功能。！RTCrouterbgp300network170.10.0.0neighbor2.