BGP用戶培訓(xùn)材料

以下給出一簡(jiǎn)單的配置：配置以上拓?fù)浣Y(jié)構(gòu)的BGP協(xié)議的命令為：RTA的配置：!RTArouterbgp100neighbor10.0.0.2remote-as200neighbor10.0.0.3remote-as200redistributeripneighbor129.102.1.2remote-as100!RTB的配置：!RTBrouterbgp100neighbor129.102.1.1remote-as100!RTC的配置：!RTCrouterbgp200neighbor10.0.0.1remote-as100neighbor139.102.1.2remote-as200noredistributerip!RTD的配置：!RTDrouterbgp200neighbor10.0.0.1remote-as100neighbor139.102.1.1remote-as200noredistributerip!2、BGP同步本地BGP在收到一條路由時(shí)，要檢查此路由的下一跳是否可達(dá)。在同步狀態(tài)下，此BGP路由直到IGP也通告了此路由，BGP路由才被加入到路由表中。在非同步狀態(tài)下，BGP路由被直接加入到路由表。BGP在通過(guò)EBGP收到其它AS自治區(qū)域BGP對(duì)端的UPDATE消息后，將此消息中的路由不加修改(<信宿地址，下一跳>不變)地通過(guò)IBGP發(fā)送給IBGP同伴。對(duì)于IBGP對(duì)端，在此路由的下一跳不可達(dá)的情況下，路由是應(yīng)該是無(wú)效的；同時(shí)，在IGP通告此路由前，此路由也應(yīng)該是無(wú)效的，因?yàn)榇藭r(shí)此路由還未在AS區(qū)域內(nèi)由IGP收斂，此信宿的IP包會(huì)因?yàn)橹贿\(yùn)行IGP的路由器無(wú)此路由而被丟棄。如何判斷下一跳是否可達(dá)呢？BGP在路由表中遞歸查找，直到找到一個(gè)直接相連的接口，從而確認(rèn)此下一跳可達(dá)，否則不可達(dá)；同時(shí)，到達(dá)此下一跳的路徑上的所有路由器必須也被通告了此路由，即AS區(qū)域內(nèi)此路由已經(jīng)由IGP擴(kuò)散。由于IBGP是通過(guò)TCP連接的，其間可能經(jīng)過(guò)若干路由器，IBGP消息中路由的下一跳的可達(dá)信息不能通過(guò)BGP來(lái)通告給途徑的路由器，而必須通過(guò)IGP在IBGP的發(fā)端通過(guò)引入BGP路由來(lái)完成。AS自治區(qū)域內(nèi)部的路由可達(dá)信息的傳播應(yīng)該由IGP完成，AS自治區(qū)域間的路由可達(dá)信息的傳播則由BGP完成。"同步"在這里指的是IGP和BGP的同步。以下舉例說(shuō)明同步。RTC通過(guò)EBGP通告RTA路由170.10.0.0，下一跳為2.2.2.1。RTA將此路由通過(guò)IBGP通告給RTB，下一跳不變，也是2.2.2.1。RTB知道為了到達(dá)2.2.2.1，應(yīng)該將IP包發(fā)送到RTE，而RTE如果并不知到網(wǎng)絡(luò)路由170.10.0.0，則會(huì)把丟棄此IP包。同時(shí)，RTB通過(guò)EBGP將路由170.10.0.0通告給RTD，結(jié)果，AS400到網(wǎng)絡(luò)170.10.0.0的流量在RTE出全被丟棄了。為了避免此情況，RTA處的IGP應(yīng)該引入BGP的路由170.10.0.0并通告給RTE。RTB在收到IGP通告的網(wǎng)絡(luò)路由170.10.0.0時(shí)，說(shuō)明RTA和RTB之間至少有一條通路上的路由器全部被通告了170.10.0.0的路由，因此可以安全地把路由加入到路由表中，并可以通告RTD。如果把AS自治區(qū)域視為一個(gè)大的AS路由器，AS路由器組成了Internet網(wǎng)絡(luò)。則BGP就成為了這個(gè)由AS路由器組成的更高一級(jí)的自治區(qū)域的IGP了，只不過(guò)這個(gè)更高一級(jí)的自治區(qū)域只有一個(gè)，即因特網(wǎng)本身。在AS路由器內(nèi)部，BGP運(yùn)行于各個(gè)端口上(AS邊界的與其它AS連通的路由器)。當(dāng)AS從一個(gè)端口上得到了一條其它AS的路由時(shí)，它通告給所有其它的端口(收到EBGP消息后通過(guò)IBGP通告AS內(nèi)部的所有BGP同伴)。而此AS路由器是分布式的，端口之間的可達(dá)信息是由AS內(nèi)部的IGP(RIP，OSPF)保證的，只有這條IBGP通告的路由的下一跳的可達(dá)信息通過(guò)IGP到達(dá)本地后，此IBGP通告的路由才加入本地路由表。之所以有"同步"問(wèn)題，是因?yàn)镮GP的收斂需要一定時(shí)間，而IBGP通過(guò)TCP連接直接發(fā)送無(wú)收斂時(shí)間，如果未等IGP收斂，就將IBGP通告的路由加入路由表，會(huì)造成"黑洞"。在路由器中，BGP缺省處于同步狀態(tài)。通過(guò)上例可以看出，在IBGP同步直接相連的情況下，不需要同步。3、路由的過(guò)濾(1)定義訪問(wèn)列表請(qǐng)參見(jiàn)防火墻的配置(2)定義AS路徑列表每個(gè)AS路徑列表是用數(shù)字來(lái)標(biāo)識(shí)的。在配置模式下使用命令：ipas-pathaccess-listlist-numpermit|denyAS正則表達(dá)式可以配置一條AS路徑訪問(wèn)列表。其中，AS正則表達(dá)式規(guī)定了路由AS屬性的模式，用于指定符合此模式的路由集合?？梢詤⒖糝FC1164Section4.2。CISCO正則表達(dá)式的符號(hào)意義：字符符號(hào)特殊意義句號(hào).匹配任意單字符星號(hào)*匹配模式中0或更多的序列加號(hào)+匹配模式中1或更多的序列問(wèn)號(hào)?匹配模式0或1次出現(xiàn)加字符^匹配輸入字符串的開(kāi)始美元符$匹配輸入字符串的結(jié)束下劃線_匹配逗號(hào)，括號(hào)，字符串的開(kāi)始和結(jié)束，空格方括號(hào)[范圍]表示一個(gè)單字符模式的范圍連字符-把一個(gè)范圍的結(jié)束點(diǎn)分開(kāi)例如："100200300" 匹配_300$ "AS300始發(fā)的路徑""300400100" 匹配^300_ "AS300為相鄰的AS自治區(qū)域"所有AS路徑 匹配.* "所有AS路徑""300100200400" 匹配_100_ "經(jīng)過(guò)AS100的路徑"(3)指定對(duì)路由的過(guò)濾根據(jù)配置的地址訪問(wèn)列表和AS路徑列表可以指定對(duì)特定的路由集合進(jìn)行過(guò)濾。此過(guò)濾可以施加于所有的同伴或特定的同伴。在BGP中，使用distribute-list指定地址訪問(wèn)列表，使用filter-list指定AS路由列表。以下分別舉例說(shuō)明地址過(guò)濾和路徑過(guò)濾：如圖，由于各種原因，網(wǎng)絡(luò)路由160.10.0.0不能經(jīng)過(guò)RTC通告給AS100中的RTA，但要通告本AS區(qū)域的網(wǎng)絡(luò)路由170.10.0.0，此時(shí)應(yīng)使用基于地址訪問(wèn)列表的路由過(guò)濾。路由器RTC的匹配為：！RTCrouterbgp300network170.10.0.0neighbor3.3.3.3remote-as200neighbor2.2.2.2remote-as100neighbor2.2.2.2distribute-list1out！access-list1deny160.10.0.00.0.255.255access-list1permit0.0.0.0255.255.255.255！路由器RTC在向RTA通告路由時(shí)，要通過(guò)地址訪問(wèn)列表1，如果一條路由的信宿地址被地址訪問(wèn)列表拒絕，則不發(fā)送此路由。從而完成過(guò)濾路由160.10.0.0的目的。用上圖說(shuō)明基于AS路徑屬性的過(guò)濾。此時(shí)也要RTC過(guò)濾掉所有發(fā)自AS200的路由。RTC使用的配置：！RTCrouterbgp300neighbor3.3.3.3remote-as200neighbor2.2.2.2remote-as100neighbor2.2.2.2filter-list1out！ipas-pathaccess-list1deny^200$ipas-pathaccess-list1permit.*！路徑訪問(wèn)列表1定義了只有AS號(hào)200的路徑屬性的路由集合，屬于此集合的路由將在RTC發(fā)送給RTA的UPDATE消息中過(guò)濾掉。從AS400始發(fā)的路由被RTC正常的通告。4、路由屬性控制和策略路由的過(guò)濾也屬于路由策略。但路由策略的靈活性主要體現(xiàn)于BGP對(duì)于路由屬性的控制。BGP通過(guò)Route-map完成路由屬性的控制，從而施加BGP的路由策略。Route-map定義了若干序列，每個(gè)序列中定義了一種匹配路由和的路由屬性賦值的集合。路由通過(guò)一個(gè)Route-map時(shí)，按序列號(hào)從小到大依次匹配各序列。當(dāng)路由屬性匹配某序列的匹配條件時(shí)，根據(jù)此序列的賦值屬性對(duì)此路由的指定的路由屬性進(jìn)行操作，同時(shí)中斷匹配操作，路由通過(guò)此Route-map。若路由未匹配任何一序列，則路由未通過(guò)此Route-map，之后的操作被終止。在一個(gè)序列中，可以根據(jù)一條路由的信宿地址、AS路徑、Metric花費(fèi)、BGP路由的源類(lèi)型等對(duì)路由進(jìn)行匹配；同時(shí)，可以設(shè)置路由的下一跳、AS路徑、Metric花費(fèi)、源類(lèi)型、本地優(yōu)先級(jí)等路由屬性。可以看出，Route-map也可以用作路由過(guò)濾，但更靈活一些。同時(shí)Route-map通過(guò)修改路由屬性來(lái)影響對(duì)端BGP的路由選擇。以下舉例說(shuō)明Route-map的應(yīng)用：例一：使用Route-map令RTC從RTB引入AS200區(qū)域中的路由，并將其Metric設(shè)置為20，而丟棄其它AS區(qū)域的路由。配置如下：！RTCrouterbgp300network170.10.0.0neighbor3.3.3.3remote-as200neighbor3.3.3.3route-mapstampin！route-mapstamppermit10matchas-path1setmetric20！ipas-pathaccess-list1permit^200$！其中使用的AS路徑列表1匹配AS200發(fā)出的路由。Route-map的序列10，使用AS路徑列表1作為匹配規(guī)則，如匹配，將匹配路由的Metric設(shè)置為20。對(duì)于其它AS屬性的路由，由于未匹配任何一條Route-map序列，即未匹配此Route-map，則拒絕引入此路由。例二：要求引入AS200發(fā)送的路由，并設(shè)置此路由的Metric屬性為20，丟棄AS400發(fā)送的路由，引入其它AS區(qū)域發(fā)送的路由，并匹配此路由的Metirc為10。路由器的配置為：！RTCrouterbgp300network170.10.0.0neighbor3.3.3.3remote-as200neighbor3.3.3.3route-mapstampin！route-mapstamppermit10matchas-path1setmetric20！route-mapstampdeny20matchas-path2!route-mapstamppermit30setmetric10！ipas-pathaccess-list1permit^200$ipas-pathaccess-list2permit^400.*！匹配AS路徑列表1的路由metric被設(shè)置為20，匹配AS路徑列表2的路由被拒絕引入，其余的路由metric被設(shè)置為10。使用上圖說(shuō)明Route-map中setas-pathprepend的作用：AS600中的路由器通過(guò)2條路徑收到了網(wǎng)絡(luò)路由170.10.0.0，AS路徑屬性分別為(100，300)和(400，200，300)。在其它因素相同的情況下，AS600會(huì)選擇AS100發(fā)送的路由，因?yàn)樗哂休^短的AS路徑。為了影響這種選擇，可以使用setas-pathprepend功能。！RTCrouterbgp300network170.10.0.0neighbor2.