BGP用戶培訓材料

以下給出一簡單的配置：配置以上拓撲結構的BGP協(xié)議的命令為：RTA的配置：!RTArouterbgp100neighbor10.0.0.2remote-as200neighbor10.0.0.3remote-as200redistributeripneighbor129.102.1.2remote-as100!RTB的配置：!RTBrouterbgp100neighbor129.102.1.1remote-as100!RTC的配置：!RTCrouterbgp200neighbor10.0.0.1remote-as100neighbor139.102.1.2remote-as200noredistributerip!RTD的配置：!RTDrouterbgp200neighbor10.0.0.1remote-as100neighbor139.102.1.1remote-as200noredistributerip!2、BGP同步本地BGP在收到一條路由時，要檢查此路由的下一跳是否可達。在同步狀態(tài)下，此BGP路由直到IGP也通告了此路由，BGP路由才被加入到路由表中。在非同步狀態(tài)下，BGP路由被直接加入到路由表。BGP在通過EBGP收到其它AS自治區(qū)域BGP對端的UPDATE消息后，將此消息中的路由不加修改(<信宿地址，下一跳>不變)地通過IBGP發(fā)送給IBGP同伴。對于IBGP對端，在此路由的下一跳不可達的情況下，路由是應該是無效的；同時，在IGP通告此路由前，此路由也應該是無效的，因為此時此路由還未在AS區(qū)域內由IGP收斂，此信宿的IP包會因為只運行IGP的路由器無此路由而被丟棄。如何判斷下一跳是否可達呢？BGP在路由表中遞歸查找，直到找到一個直接相連的接口，從而確認此下一跳可達，否則不可達；同時，到達此下一跳的路徑上的所有路由器必須也被通告了此路由，即AS區(qū)域內此路由已經(jīng)由IGP擴散。由于IBGP是通過TCP連接的，其間可能經(jīng)過若干路由器，IBGP消息中路由的下一跳的可達信息不能通過BGP來通告給途徑的路由器，而必須通過IGP在IBGP的發(fā)端通過引入BGP路由來完成。AS自治區(qū)域內部的路由可達信息的傳播應該由IGP完成，AS自治區(qū)域間的路由可達信息的傳播則由BGP完成。"同步"在這里指的是IGP和BGP的同步。以下舉例說明同步。RTC通過EBGP通告RTA路由170.10.0.0，下一跳為2.2.2.1。RTA將此路由通過IBGP通告給RTB，下一跳不變，也是2.2.2.1。RTB知道為了到達2.2.2.1，應該將IP包發(fā)送到RTE，而RTE如果并不知到網(wǎng)絡路由170.10.0.0，則會把丟棄此IP包。同時，RTB通過EBGP將路由170.10.0.0通告給RTD，結果，AS400到網(wǎng)絡170.10.0.0的流量在RTE出全被丟棄了。為了避免此情況，RTA處的IGP應該引入BGP的路由170.10.0.0并通告給RTE。RTB在收到IGP通告的網(wǎng)絡路由170.10.0.0時，說明RTA和RTB之間至少有一條通路上的路由器全部被通告了170.10.0.0的路由，因此可以安全地把路由加入到路由表中，并可以通告RTD。如果把AS自治區(qū)域視為一個大的AS路由器，AS路由器組成了Internet網(wǎng)絡。則BGP就成為了這個由AS路由器組成的更高一級的自治區(qū)域的IGP了，只不過這個更高一級的自治區(qū)域只有一個，即因特網(wǎng)本身。在AS路由器內部，BGP運行于各個端口上(AS邊界的與其它AS連通的路由器)。當AS從一個端口上得到了一條其它AS的路由時，它通告給所有其它的端口(收到EBGP消息后通過IBGP通告AS內部的所有BGP同伴)。而此AS路由器是分布式的，端口之間的可達信息是由AS內部的IGP(RIP，OSPF)保證的，只有這條IBGP通告的路由的下一跳的可達信息通過IGP到達本地后，此IBGP通告的路由才加入本地路由表。之所以有"同步"問題，是因為IGP的收斂需要一定時間，而IBGP通過TCP連接直接發(fā)送無收斂時間，如果未等IGP收斂，就將IBGP通告的路由加入路由表，會造成"黑洞"。在路由器中，BGP缺省處于同步狀態(tài)。通過上例可以看出，在IBGP同步直接相連的情況下，不需要同步。3、路由的過濾(1)定義訪問列表請參見防火墻的配置(2)定義AS路徑列表每個AS路徑列表是用數(shù)字來標識的。在配置模式下使用命令：ipas-pathaccess-listlist-numpermit|denyAS正則表達式可以配置一條AS路徑訪問列表。其中，AS正則表達式規(guī)定了路由AS屬性的模式，用于指定符合此模式的路由集合?？梢詤⒖糝FC1164Section4.2。CISCO正則表達式的符號意義：字符符號特殊意義句號.匹配任意單字符星號*匹配模式中0或更多的序列加號+匹配模式中1或更多的序列問號?匹配模式0或1次出現(xiàn)加字符^匹配輸入字符串的開始美元符$匹配輸入字符串的結束下劃線_匹配逗號，括號，字符串的開始和結束，空格方括號[范圍]表示一個單字符模式的范圍連字符-把一個范圍的結束點分開例如："100200300" 匹配_300$ "AS300始發(fā)的路徑""300400100" 匹配^300_ "AS300為相鄰的AS自治區(qū)域"所有AS路徑 匹配.* "所有AS路徑""300100200400" 匹配_100_ "經(jīng)過AS100的路徑"(3)指定對路由的過濾根據(jù)配置的地址訪問列表和AS路徑列表可以指定對特定的路由集合進行過濾。此過濾可以施加于所有的同伴或特定的同伴。在BGP中，使用distribute-list指定地址訪問列表，使用filter-list指定AS路由列表。以下分別舉例說明地址過濾和路徑過濾：如圖，由于各種原因，網(wǎng)絡路由160.10.0.0不能經(jīng)過RTC通告給AS100中的RTA，但要通告本AS區(qū)域的網(wǎng)絡路由170.10.0.0，此時應使用基于地址訪問列表的路由過濾。路由器RTC的匹配為：！RTCrouterbgp300network170.10.0.0neighbor3.3.3.3remote-as200neighbor2.2.2.2remote-as100neighbor2.2.2.2distribute-list1out！access-list1deny160.10.0.00.0.255.255access-list1permit0.0.0.0255.255.255.255！路由器RTC在向RTA通告路由時，要通過地址訪問列表1，如果一條路由的信宿地址被地址訪問列表拒絕，則不發(fā)送此路由。從而完成過濾路由160.10.0.0的目的。用上圖說明基于AS路徑屬性的過濾。此時也要RTC過濾掉所有發(fā)自AS200的路由。RTC使用的配置：！RTCrouterbgp300neighbor3.3.3.3remote-as200neighbor2.2.2.2remote-as100neighbor2.2.2.2filter-list1out！ipas-pathaccess-list1deny^200$ipas-pathaccess-list1permit.*！路徑訪問列表1定義了只有AS號200的路徑屬性的路由集合，屬于此集合的路由將在RTC發(fā)送給RTA的UPDATE消息中過濾掉。從AS400始發(fā)的路由被RTC正常的通告。4、路由屬性控制和策略路由的過濾也屬于路由策略。但路由策略的靈活性主要體現(xiàn)于BGP對于路由屬性的控制。BGP通過Route-map完成路由屬性的控制，從而施加BGP的路由策略。Route-map定義了若干序列，每個序列中定義了一種匹配路由和的路由屬性賦值的集合。路由通過一個Route-map時，按序列號從小到大依次匹配各序列。當路由屬性匹配某序列的匹配條件時，根據(jù)此序列的賦值屬性對此路由的指定的路由屬性進行操作，同時中斷匹配操作，路由通過此Route-map。若路由未匹配任何一序列，則路由未通過此Route-map，之后的操作被終止。在一個序列中，可以根據(jù)一條路由的信宿地址、AS路徑、Metric花費、BGP路由的源類型等對路由進行匹配；同時，可以設置路由的下一跳、AS路徑、Metric花費、源類型、本地優(yōu)先級等路由屬性?？梢钥闯?，Route-map也可以用作路由過濾，但更靈活一些。同時Route-map通過修改路由屬性來影響對端BGP的路由選擇。以下舉例說明Route-map的應用：例一：使用Route-map令RTC從RTB引入AS200區(qū)域中的路由，并將其Metric設置為20，而丟棄其它AS區(qū)域的路由。配置如下：！RTCrouterbgp300network170.10.0.0neighbor3.3.3.3remote-as200neighbor3.3.3.3route-mapstampin！route-mapstamppermit10matchas-path1setmetric20！ipas-pathaccess-list1permit^200$！其中使用的AS路徑列表1匹配AS200發(fā)出的路由。Route-map的序列10，使用AS路徑列表1作為匹配規(guī)則，如匹配，將匹配路由的Metric設置為20。對于其它AS屬性的路由，由于未匹配任何一條Route-map序列，即未匹配此Route-map，則拒絕引入此路由。例二：要求引入AS200發(fā)送的路由，并設置此路由的Metric屬性為20，丟棄AS400發(fā)送的路由，引入其它AS區(qū)域發(fā)送的路由，并匹配此路由的Metirc為10。路由器的配置為：！RTCrouterbgp300network170.10.0.0neighbor3.3.3.3remote-as200neighbor3.3.3.3route-mapstampin！route-mapstamppermit10matchas-path1setmetric20！route-mapstampdeny20matchas-path2!route-mapstamppermit30setmetric10！ipas-pathaccess-list1permit^200$ipas-pathaccess-list2permit^400.*！匹配AS路徑列表1的路由metric被設置為20，匹配AS路徑列表2的路由被拒絕引入，其余的路由metric被設置為10。使用上圖說明Route-map中setas-pathprepend的作用：AS600中的路由器通過2條路徑收到了網(wǎng)絡路由170.10.0.0，AS路徑屬性分別為(100，300)和(400，200，300)。在其它因素相同的情況下，AS600會選擇AS100發(fā)送的路由，因為它具有較短的AS路徑。為了影響這種選擇，可以使用setas-pathprepend功能。！RTCrouterbgp300network170.10.0.0neighbor2.