[2]互聯(lián)網(wǎng)標準應用方案-BGP接入-BGP技術介紹

1、BGPBGP路由協(xié)議路由協(xié)議數(shù)據(jù)業(yè)務部方案支持部數(shù)據(jù)業(yè)務部方案支持部目錄目錄1 1、BGPBGP概貌概貌2 2、EBGPEBGP和和IBGPIBGP3 3、BGPBGP實踐實踐4 4、BGPBGP屬性信息和決策機制屬性信息和決策機制5 5、操縱、操縱BGPBGP的決策的決策6 6、自治域內的路由控制、自治域內的路由控制BGPBGP概貌概貌- -什么是自治域（什么是自治域（ASAS）l 自治域是使用單一技術組織的網(wǎng)絡集合，是個管理概念。l 在自治域內部使用IGP進行路由交互。l 自治域之間使用BGP進行路由交互。l BGP擁有完善的防環(huán)機制BGPBGP概貌概貌-BGP-BGP是一種路徑矢量協(xié)議是

2、一種路徑矢量協(xié)議l 路由信息和數(shù)據(jù)流量的概念區(qū)別：路由信息和數(shù)據(jù)流量的概念區(qū)別：路由信息指到達某網(wǎng)絡的路徑信息。路由器得到路徑信息后，將數(shù)據(jù)流量沿著路徑逐跳發(fā)送到目的網(wǎng)絡。l BGPBGP協(xié)議傳播的信息包括協(xié)議傳播的信息包括：能到達哪些網(wǎng)絡、到達這些網(wǎng)絡的路徑是什么，這些可達網(wǎng)絡的屬性是什么。屬性是路由決策的依據(jù)l BGP BGP 允許網(wǎng)絡管理員定義策略和規(guī)則允許網(wǎng)絡管理員定義策略和規(guī)則，來根據(jù)路徑屬性決策出最優(yōu)路由。數(shù)據(jù)流量會沿著最優(yōu)路由穿越各個AS到達目的AS。BGPBGP概貌概貌- -誰需要誰需要BGPBGP？l 使用使用BGPBGP互聯(lián)的必要條件：有屬于用戶自己合法的互聯(lián)的必要條件：有

3、屬于用戶自己合法的IPIP地址段，地址段，l 滿足必要條件，有下列需求之一的用戶適合使用滿足必要條件，有下列需求之一的用戶適合使用BGP:BGP: 自身自治域將作為穿越自治域，允許其他自治域流量穿越自身自治域通信，比如網(wǎng)絡提供商：移動、聯(lián)通、電信通。 自身自治域和多個網(wǎng)絡供應商相連. 進入自身自治域的流量需要得到控制和調度。l 滿足必要條件，但有下列情況之一不適合使用滿足必要條件，但有下列情況之一不適合使用BGPBGP。 沒有對BGP協(xié)議深刻理解的網(wǎng)絡管理員 自身自治域只通過一條專線連接網(wǎng)絡提供商 沒有高性能路由器。BGPBGP概貌概貌-BGP-BGP的重要特點的重要特點l BGPBGP適合管

4、理管理大型網(wǎng)絡的協(xié)議，主要它具有以下重要特點適合管理管理大型網(wǎng)絡的協(xié)議，主要它具有以下重要特點 距離矢量協(xié)議，協(xié)議簡單，無為而治。 基于TCP (port 179)面向連接的應用，可靠性高。 路由信息增量、觸發(fā)更新，減少更新流量。 周期性的連接保活機制，確保連接穩(wěn)定 豐富的屬性信息 能對屬性進行靈活操作的工具 l 特點總結特點總結 路由協(xié)議簡單；可靠性高；工具豐富，發(fā)揮人腦，適合因地制宜。EBGPEBGP和和IBGP-BGPIBGP-BGP鄰居（鄰居（ BGP peer BGP peer、 BGP neighbor BGP neighbor ）l為了可靠的交換路由信息，必須建立鄰居關系為了可靠

5、的交換路由信息，必須建立鄰居關系 運行BGP協(xié)議的路由器叫做BGP speaker。為了在BGP路由器之間傳遞路由信息必須建立鄰居關系(BGP peer/BGP neighbor) 。和哪個BGP speaker建立鄰居關系由管理員配置。l兩個鄰居可以不直連兩個鄰居可以不直連 兩個BGP speakers 通過TCP建立鄰居關系，TCP不需要雙方直連。lBGPBGP的路由信息傳播方式有別于傳統(tǒng)的路由信息傳播方式有別于傳統(tǒng)IGPIGP的范洪（的范洪（floodingflooding）方式）方式EBGPEBGP和和IBGP-EBGPIBGP-EBGPl BGP鄰居屬于不同的自治域（AS）的BGP關

6、系叫做EBGPl EBGP鄰居之間默認必須直連。通過TTL默認為1控制必須直連。l 對于沒辦法直連的EBGP鄰居，配置EBGP多跳改變TTL。l EBGP的防環(huán)機制：每過一個AS，將AS加入路由屬性中，終點收到AS號不重復.EBGPEBGP和和IBGP- IBGPIBGP- IBGPl BGP鄰居位于相同自治域（AS）內的BGP關系叫做IBGPl IBGP不要求鄰居間直連l IBGP的防環(huán)機制：距離矢量路由協(xié)議的水平分割機制。EBGPEBGP和和IBGP-IBGP-為什么需要為什么需要IBGP-IBGP-路由黑洞問題路由黑洞問題l穿越自治域（穿越自治域（Transit ASTransit AS

7、）的路由黑洞問題）的路由黑洞問題 由于路由器C沒有到10.0.0.0的路由，將丟棄到10.0.0.0網(wǎng)絡的數(shù)據(jù)流量。l為了防止路由黑洞的發(fā)生為了防止路由黑洞的發(fā)生IBGPIBGP制定了同步規(guī)則制定了同步規(guī)則 IBGP學到的路由可用（可用的含義）是在IGP中也學習到了這個路由l穿越自治域（穿越自治域（Transit ASTransit AS）的路由黑洞問題的解決辦法之一）的路由黑洞問題的解決辦法之一 將BGP學習到的路由注入IBP中，讓路由器C學到10.0.0.0EBGPEBGP和和IBGP-IBGP-為什么需要為什么需要IBGP-BGP IBGP-BGP 注入注入IGPIGPl 在邊界在邊界B

8、GPBGP路由器上將路由器上將BGPBGP學到的路由發(fā)布到學到的路由發(fā)布到IGPIGP中。中。 不推薦這么做的原因是BGP學習到的路由的量是巨大的且頻繁變動的。IGP內存和CPU負擔不起l 替代方法是在穿越路由器上運行替代方法是在穿越路由器上運行IBGPIBGPl BGPBGP同步原則：同步原則：BGPBGP路由在能使用前必須確保在路由在能使用前必須確保在IGPIGP中也收到該路由中也收到該路由EBGPEBGP和和IBGP-IBGP-為什么需要為什么需要IBGP-IBGPIBGP-IBGP的水平分割和全互聯(lián)的水平分割和全互聯(lián)l 穿越自治域（穿越自治域（Transit ASTransit AS）

9、的路由黑洞問題的解決辦法之二：）的路由黑洞問題的解決辦法之二： 在自治域內的所有穿越路徑上路由器中運行IBGP，讓路由器C學到10.0.0.0l IBGPIBGP水平分割準則水平分割準則：從IBGP學習到的路由信息不向其他IBGP鄰居傳遞。l IBGPIBGP防環(huán)機制防環(huán)機制：嚴格執(zhí)行水平分割準則，所以IBGP之間必須全互聯(lián)即兩兩相連（full-mesh）。l 關閉關閉BGPBGP同步規(guī)則同步規(guī)則。EBGPEBGP和和IBGP-IBGP-為什么需要為什么需要IBGP-IBGP-關閉關閉BGPBGP同步同步l所有穿越路徑上的路由器都運行所有穿越路徑上的路由器都運行IBGPIBGP協(xié)議并且做到全互

10、聯(lián)協(xié)議并且做到全互聯(lián)l如果不關閉同步如果不關閉同步： 路由器A、C、D不能發(fā)布和使用到172.16.0.0的路由且路由器E收不到給路由因為IGP沒學習到該路由。l如果關閉同步：如果關閉同步： 路由器A、C、D能發(fā)布和使用到172.16.0.0的路由且路由器E收到該路由且能正確的向路由器F發(fā)送流量。BGPBGP實踐實踐- -基本實踐注意事項基本實踐注意事項l一個設備只能屬于一個自治域（一個設備只能屬于一個自治域（ASAS）。）。自治域的邊界是鏈路，不是設備。一個設備只能配置一個BGP進程。lBGPBGP依賴依賴IGPIGP建立連通性建立連通性。鄰居建立鄰居關系的前提是鄰居必須可達。lBGPBGP

11、不具備發(fā)現(xiàn)鄰居的能力不具備發(fā)現(xiàn)鄰居的能力，需要管理員配置，利用人的智慧確保通信通信安全安全。RIP/EIGRP/OSPF/ISIS與鄰為友，BGP與友為鄰。BGPBGP實踐實踐- -鄰居源地址問題鄰居源地址問題l檢查鄰居來包源地址，確保通信安全通信安全，確保與友為鄰。l本端配置的鄰居地址是本端訪問鄰居的目的地址，也是本端接受鄰居BGP報文的源地址l在本端接受到鄰居的BGP報文后進行源地址驗證。如報文中的源地址為本端配置的鄰居地址，接受該報文，否則丟棄。l鄰居源地址問題 實際上，鄰居發(fā)包的源地址是鄰居路由器的出口地址，并不一定是本端希望的源地址。（備注：路由器由多個出口，每個出口都有IP地址。從

12、哪個出口出去就要用哪個出口的地址作為源。） 鄰居要想辦法把BGP報文出接口穩(wěn)定在用來做BGP的接口上。BGPBGP實踐實踐- -鄰居源地址問題鄰居源地址問題- -用一個實例說明源地址問題用一個實例說明源地址問題l 從10.1.1.1到10.2.2.4有兩條等價路由，有一半BGP路由流量被BGP丟失。如10.1.1.1接口壞了。鄰居關系無法建立，而實際上AD間是可以連通的。l 在路由器A/D之間有兩條通路四個地址都能互通，在哪兩個地址見建立IBGP連接呢？莫非要建四個？那建立IBGP數(shù)量就和接口數(shù)量相關。BGPBGP實踐實踐- -鄰居源地址問題鄰居源地址問題- -用用LoopbackLoopba

13、ck接口解決接口解決l 解決辦法：使用LOOPBACK接口建立BGP鄰居關系，并通過命令更改本端發(fā)包接口始終為LOOPBACK接口。l LOOKBACK接口是什么？環(huán)回接口，是個軟件定義的虛接口，特點是穩(wěn)定，路由器在它就在。一般用法：代表路由器本身，如ROUTERID。BGPBGP實踐實踐- -鄰居源地址問題鄰居源地址問題-Loopback-Loopback接口解決方案的應用接口解決方案的應用-EBGP-EBGP多跳多跳l 通過TTL限制EBGP報文不能向更廣的地方傳播，所以EBGP必須直連。l 用兩條專線接入EBGP，增加備份功能提高穩(wěn)定性。通過loopback接口建立。EBGP接口并不直連

14、怎么辦？l EBGP多跳命令。實質上是更改TTL。BGPBGP實踐實踐- -下一跳地址不可達問題下一跳地址不可達問題l BGP協(xié)議路由的是自治域，不是路由器，是指導數(shù)據(jù)包發(fā)到哪個自治域，不是發(fā)到哪個路由器l 該協(xié)議攜帶路由信息的下一跳地址為自治域的出口地址。是自治域出口路由器的出接口地址。l 在IBGP中傳遞是不改變該下一跳地址。造成IBGP下一跳不可達。BGPBGP實踐實踐- -下一跳地址不可達問題下一跳地址不可達問題l 在IBGP中下一條不可達的路由不能被使用l 在自治域入口路由器更改下一跳地址為本路由器IBGP出口地址BGPBGP實踐實踐- -如何發(fā)布路由如何發(fā)布路由l BGP的路由發(fā)布

15、方法將IGP路由重發(fā)布到BGP中通過network命令手工發(fā)布路由。通過network命令發(fā)布的路由比IGP重發(fā)布到BGP中的路由優(yōu)先級高。通過network命令發(fā)布路由的前提是：該路由在本地路由表中生效。BGPBGP路由屬性和決策機制路由屬性和決策機制l BGP所傳遞的每條路由信息都會攜帶該路由的屬性信息。l 屬性信息是BGP協(xié)議進行路由決策的依據(jù)，也是管理員使用工具改變路由決策的依據(jù)。l BGP 常用路由屬性 AS path Next-hop Origin Local preference MED COMMUNITYBGPBGP路由屬性和決策機制路由屬性和決策機制- -AS Path AS

16、 Path 屬性屬性l 到達目的網(wǎng)絡所要經(jīng)過的自治域號列表；l 在BGP路由傳遞時，路由每經(jīng)過一個自治域，將該自治域號加入AS PATH屬性列表中。BGPBGP路由屬性和決策機制路由屬性和決策機制- -Next-Hop Next-Hop 屬性屬性l 該協(xié)議攜帶路由信息的下是自治域出口路由器的出接口地址。一跳地址為自治域的出口地址。BGPBGP路由屬性和決策機制路由屬性和決策機制- - OriginOrigin屬性屬性l 路由信息是如何進入BGP的l IGP (i)lnetwork 命令手動敲入，最常用l Incomplete (?)l由IGP重發(fā)布進BGP。不常用，因為不好控制。BGPBGP路

17、由屬性和決策機制路由屬性和決策機制- -Local Preference Local Preference 屬性屬性l 本地優(yōu)先屬性，越大越優(yōu)先l 僅僅在自治域內傳播，決定數(shù)據(jù)流量如何離開自治域。影響自治域的出方向流量。l 管理員用它在不同的出口間分配出向流量。BGPBGP路由屬性和決策機制路由屬性和決策機制- - MED MED 屬性屬性l域間度量屬性，值越小越優(yōu)先。l本端在發(fā)送的路由信息中加入該屬性，用來影響對等自治域流量從哪條鏈路進入本端自治域。l管理員用它來影響進入自治域的流量BGPBGP路由屬性和決策機制路由屬性和決策機制-Community-Community屬性屬性l Commu

18、nity屬性表明一個目的網(wǎng)絡作為一些團體中的一個成員，這些目的網(wǎng)絡共享一個或者多個共同的特性。常用Community值NO_EXPORT,接受到該值的路由本能公布給EBGP對等，聯(lián)盟可以NO_ADVERTISE，不能公布該路由l 管理員可以為某個網(wǎng)絡在離開該自治域時定義一個團體屬性。以便在其他自治域能根據(jù)這個屬性值為該網(wǎng)絡定義特殊策略。BGPBGP路由屬性和決策機制路由屬性和決策機制 Prefer highest local preference (global within AS). Prefer route originated by the local router (next hop

19、= 0.0.0.0). Prefer shortest AS path. Prefer lowest origin code (IGP EGP incomplete). Prefer lowest MED (exchanged between autonomous systems). Prefer EBGP path over IBGP path. Prefer the path through the closest IGP neighbor. Prefer oldest route for EBGP paths. Prefer the path with the lowest neighb

20、or BGP router ID. Prefer the path with the lowest neighbor IP address.操縱操縱BGPBGP的決策的決策- -三部曲三部曲l 利用BGPBGP策略過濾器策略過濾器抽取相關路由信息。l 對路由信息攜帶的BGPBGP路由屬性路由屬性進行修改。l 進而影響B(tài)GPBGP路由決策路由決策，影響流量的走向。操縱操縱BGPBGP的決策的決策-BGP-BGP策略過濾器策略過濾器l 策略過濾器策略過濾器訪問控制列表 (ACL) 用于匹配路由信息的目的地址網(wǎng)段。地址前綴列表 (Prefix-List) 用于匹配路由信息的目的地址網(wǎng)段；可以指定ga

21、teway選項，指明只接收某些路由器發(fā)布的路由信息。AS路徑訪問列表 (as path) 使用正則表達式匹配自治域號。團體屬性列表 (community) 匹配路由信息中的community屬性。l Filter-PolicyFilter-Policy過濾路由過濾路由 Distribute-list、Filter-list。與ACL、 Prefix-List、as path結合定義自己的匹配規(guī)則，只有通過過濾的路由才能被加入或被發(fā)送。l Route-PolicyRoute-Policy有濾有改有濾有改 Route-map。Route-policy不僅可以匹配給指定路由信息的某些屬性，還可以在條件滿足時改變路由信息的屬性?？梢允褂们懊鎺追N過濾器定義自己的匹配規(guī)則。操縱