目录
第8章 BGP配置....................................................................................................................8-1
8.1 简介....................................................................................................................................8-1
8.1.1 BGP概述.................................................................................................................8-2
8.1.2 BGP的消息.............................................................................................................8-2
8.1.3 BGP的路由属性......................................................................................................8-6
8.1.4 BGP的选路规则....................................................................................................8-10
8.1.5 IBGP和IGP同步..................................................................................................8-12
8.1.6 大规模BGP网络所遇到的问题.............................................................................8-13
8.1.7 MP-BGP................................................................................................................8-17
8.1.8 参考信息................................................................................................................8-18
8.2 配置BGP的基本功能......................................................................................................8-18
8.2.1 建立配置任务.........................................................................................................8-18
8.2.2 BGP基本配置........................................................................................................8-19
8.2.3 配置BGP发布本地路由........................................................................................8-20
8.2.4 配置BGP连接所使用的本地接口..........................................................................8-20
8.2.5 配置EBGP连接的最大跳数..................................................................................8-20
8.2.6 进入BGP扩展地址族视图.....................................................................................8-21
8.2.7 检查配置结果.........................................................................................................8-22
8.3 控制路由信息的发布与接收..............................................................................................8-23
8.3.1 建立配置任务.........................................................................................................8-23
8.3.2 配置BGP引入路由...............................................................................................8-24
8.3.3 配置BGP对引入的路由信息进行过滤..................................................................8-25
8.3.4 配置BGP路由聚合...............................................................................................8-25
8.3.5 配置向对等体发送缺省路由...................................................................................8-26
8.3.6 配置相关访问列表..................................................................................................8-27
8.3.7 配置BGP路由信息的发布策略.............................................................................8-28
8.3.8 配置BGP路由信息的接收策略.............................................................................8-29
8.3.9 配置BGP路由衰减...............................................................................................8-30
8.3.10 检查配置结果.......................................................................................................8-30
8.4 配置BGP的路由属性......................................................................................................8-31
8.4.1 建立配置任务.........................................................................................................8-31
8.4.2 配置BGP协议优先级............................................................................................8-32
8.4.3 配置本机的缺省Local_Pref属性值.......................................................................8-33
8.4.4 配置MED属性......................................................................................................8-33
8.4.5 配置Next_Hop属性..............................................................................................8-34
8.4.6 配置AS_Path属性................................................................................................8-35
8.4.7 检查配置结果.........................................................................................................8-37
8.5 调整和优化BGP网络......................................................................................................8-37
8.5.1 建立配置任务.........................................................................................................8-37
8.5.2 配置BGP定时器...................................................................................................8-38
8.5.3 配置更新报文的发送时间间隔...............................................................................8-39
8.5.4 配置BGP软复位...................................................................................................8-40
8.5.5 使能EBGP连接快速复位......................................................................................8-41
8.5.6 配置MD5验证.......................................................................................................8-41
8.5.7 配置最大等价路由的条数.......................................................................................8-41
8.5.8 检查配置结果.........................................................................................................8-41 8.6 组建大型BGP网络..........................................................................................................8-42
8.6.1 建立配置任务.........................................................................................................8-42
8.6.2 配置BGP对等体组...............................................................................................8-43
8.6.3 配置BGP团体.......................................................................................................8-44
8.6.4 配置BGP路由反射器............................................................................................8-45
8.6.5 配置BGP联盟.......................................................................................................8-46
8.6.6 检查配置结果.........................................................................................................8-47 8.7 维护..................................................................................................................................8-47
8.7.1 复位BGP连接.......................................................................................................8-47
8.7.2 清除BGP统计信息...............................................................................................8-48
8.7.3 调试BGP...............................................................................................................8-48 8.8 配置举例...........................................................................................................................8-49
8.8.1 配置BGP的基本功能............................................................................................8-49
8.8.2 配置AS_Path过滤器............................................................................................8-56
8.8.3 配置BGP与IGP交互...........................................................................................8-60
8.8.4 配置BGP负载分担和MED属性...........................................................................8-65
8.8.5 配置BGP团体.......................................................................................................8-70
8.8.6 配置BGP路由反射器............................................................................................8-74
8.8.7 配置BGP联盟.......................................................................................................8-80
第8章 BGP配置
BGP(Border Gateway Protocol)是一种用于自治系统AS(Autonomous System)之间的动态路由协议。下表列出了本章所包含的内容。
如果您需要……请阅读……
了解BGP的基本原理和概念简介
启动BGP,配置BGP对等体或对等体组配置任务:配置BGP的基本功能
配置举例:配置BGP的基本功能
配置BGP对接收或发布的路由进行控制,以及引入外部路由配置任务:控制路由信息的发布与接收配置举例:配置BGP与IGP交互
通过配置一些属性来改变BGP的选路策略配置任务:配置BGP的路由属性
配置举例:配置BGP负载分担和MED属性
在某些特殊的网络环境中配置BGP的一些特性功能,对BGP网络的性能进行调整和优化配置任务:调整和优化BGP网络
配置举例:配置BGP负载分担和MED属性
大型BGP网络中,简化路由策略的管理,提高路由的发布效率配置任务:组建大型BGP网络
配置举例1:配置BGP团体
配置举例2:配置BGP路由反射器配置举例3:配置BGP联盟
复位BGP连接、清除BGP的统计信息或
调试BGP
维护
8.1 简介
本节介绍配置BGP所需要理解的知识,具体包括:
z BGP概述
z BGP的消息
z BGP的路由属性
z IBGP和IGP同步
z大规模BGP网络所遇到的问题
z MP-BGP
z参考信息
8.1.1 BGP概述
BGP是一种用于自治系统AS之间的动态路由协议。早期发布的三个版本分别是
BGP-1(RFC1105)、BGP-2(RFC1163)和BGP-3(RFC1267),当前使用的
版本是BGP-4(RFC1771)。
BGP-4做为事实上的Internet外部路由协议标准,被广泛应用于ISP(Internet
Service Provider)之间。
说明:
下文中若不做特殊说明,所指的BGP均为BGP-4。
BGP特性描述如下:
z BGP是一种外部网关协议(EGP),与OSPF、RIP等内部网关协议(IGP)不同,其着眼点不在于发现和计算路由,而在于控制路由的传播和选择最佳路
由。
z BGP使用TCP作为其传输层协议(端口号179),提高了协议的可靠性。
z BGP支持无分类域间路由CIDR(Classless Inter-Domain Routing)。
z路由更新时,BGP只发送更新的路由,大大减少了BGP传播路由所占用的带宽,适用于在Internet上传播大量的路由信息。
z BGP路由通过携带AS路径信息彻底解决路由环路问题。
z BGP提供了丰富的路由策略,能够对路由实现灵活的过滤和选择。
z BGP易于扩展,能够适应网络新的发展。
BGP在路由器上以下列两种方式运行:
z IBGP(Internal BGP)
z EBGP(External BGP)
当BGP运行于同一自治系统内部时,被称为IBGP;当BGP运行于不同自治系统
之间时,称为EBGP。
8.1.2 BGP的消息
1. 消息中的角色
z Speaker:发送BGP消息的路由器称为BGP发言者(Speaker),它接收或产生新的路由信息,并发布(Advertise)给其它BGP发言者。当BGP发言
者收到来自其它自治系统的新路由时,如果该路由比当前已知路由更优、或者当前还没有该路由,它就把这条路由发布给自治系统内所有其它BGP发言者。
z Peer:相互交换消息的BGP发言者之间互称对等体(Peer),若干相关的对等体可以构成对等体组(Peer group)。
2. 消息头格式
BGP的运行是通过消息驱动的,共有5种消息类型。这些消息有相同的报文头,其格式如图8-1所示。
图8-1BGP消息的报文头格式
主要字段的解释如下:
z Marker:用于BGP验证的计算,不使用验证时所有比特均为“1”。
z Length:BGP消息总长度(包括报文头在内),以字节为单位。
z Type:BGP消息的类型。其取值从1到5,分别表示Open、Update、Notification、Keepalive和Route-refresh消息。其中,前四种消息是在RFC1771中定义的,而Type5的消息则是在RFC2918中定义的。
3. Open
Open消息是TCP连接建立后发送的第一个消息,用于建立BGP对等体之间的连接关系。其消息格式如图8-2所示。
图8-2BGP Open消息格式
主要字段的解释如下:
z Version:BGP的版本号。对于BGP-4来说,其值为4。
z My Autonomous System:本地AS编号。通过比较两端的AS编号可以确定是EBGP连接还是IBGP连接。
z Hold Time:在建立对等体关系时两端要协商Hold time,并保持一致。如果两端所配置的Hold time时间不同,则BGP会选择较小的那个值作为协商的结果。如果在这个时间内未收到对端发来的Keepalive消息或Update消息,则认为BGP连接中断。
z BGP Identifier:以IP地址的形式表示,用来识别BGP路由器。
z Opt Parm Len(Optional Parameters Length):可选参数的长度。如果为0则没有可选参数。
z Optional Parameters:用于BGP验证或多协议扩展(Multiprotocol Extensions)等功能的可选参数。
4. Update
Update消息用于在对等体之间交换路由信息。它可以发布一条可达路由信息,也可以撤销多条不可达路由信息。其消息格式如图8-3所示。
图8-3BGP Update消息格式
主要字段的解释如下:
z Unfeasible Routes Length:不可达路由字段的长度,单位为字节。如果为0则说明没有Withdrawn Routes字段。
z Withdrawn Routes:不可达路由的列表。
z Total Path Attribute Length:路径属性字段的长度,以字节为单位。如果为0则说明没有Path Attributes和NLRI字段。
z Path Attributes:与NLRI相关的所有路径属性列表,每个路径属性由一个TLV (Type-Length-Value)三元组构成。
z NLRI(Network Layer Reachability Information):可达路由的前缀和前缀长度二元组。
5. Notification
当BGP检测到错误状态时,就向对等体发出Notification消息,之后BGP连接会立即中断。其消息格式如图8-4所示。
图8-4BGP Notification消息格式
主要字段的解释如下:
z Error Code:指定错误类型。
z Error Subcode:错误类型的详细信息。
z Data:用来诊断错误原因,长度不固定。
6. Keepalive
BGP会周期性的向对等体发出Keepalive消息,用来保持连接的有效性。其消息格式中只包含报文头,没有附加其他任何字段。
7. Route-refresh
Route-refresh消息用来通知对等体自己支持路由刷新能力。其消息格式如图8-5所示。
图8-5BGP Route-refresh消息格式
主要字段的解释如下:
AFI(Address Family Identifier):地址族标识符(16bit)。
Res.(Reserved field):保留区域(8bit),发送方应将其设置为0,接收方应当忽略该区域的信息。
SAFI(Subsequent Address Family Identifier):子地址族标识符(8bit)。
在所有BGP路由器使能Route-refresh能力的情况下,如果BGP的路由策略发生了变化,本地BGP路由器会向对等体发布Route-refresh消息,收到此消息的对等体会将其路由信息重新发给本地BGP路由器。这样,可以在不中断BGP连接的情况下,对BGP路由表进行动态刷新,并应用新的路由策略。
8.1.3 BGP的路由属性
1. 路由属性的分类
BGP路由属性是一套参数,它对特定的路由进行了进一步的描述,使得BGP能够
对路由进行过滤和选择。
事实上,所有的BGP路由属性都可以分为以下4类:
z公认必须遵循的(Well-known mandatory):所有BGP路由器都可以识别,
且必须存在于Update消息中。如果缺少这种属性,路由信息就会出错。
z公认任意(Well-known discretionary):所有BGP路由器都可以识别,但不
要求必须存在于Update消息中,可以根据具体情况来选择。
z可选过渡(Optional transitive):在AS之间具有可传递性的属性。BGP路由
器可以不支持此属性,但它仍然会接收带有此属性的路由,并通告给其他对等
体。
z可选非过渡(Optional non-trasitive):如果BGP路由器不支持此属性,则相
应的Update消息会被忽略,且不会通告给其他对等体。
BGP路由属性和对应的类别如表8-1所示。
表8-1路由属性和类别
属性名称类别
mandatory Origin Well-known
mandatory As_Path Well-known
mandatory Next_Hop Well-known
discretionary Local_Pref Well-known
discretionary Atomic_Aggregate Well-known
transitive Aggregator Optional
transitive Community Optional
non-transitive Multi_Exit_Disc(MED) Optional
non-transitive Originatior_ID Optional
non-transitive Cluster_List Optional
2. 几种主要的路由属性
(1) 源(Origin)属性
Origin属性定义路径信息的来源,标记一条路由是怎么成为BGP路由的。它有以下
3种类型:
z IGP:具有最高的优先级。比如用network命令注入到BGP路由表的路由,其Origin属性为IGP。
z EGP:优先级次之。通过EGP得到的路由信息,其Origin属性为EGP。
z Incomplete:优先级最低。它并不是说明路由不可达,而是表示路由的来源无法确定。比如BGP引入的路由,其Origin属性为Incomplete。
(2) AS路径(AS_Path)属性
AS_Path属性按一定次序记录了某条路由从本地到目的地址所要经过的所有AS编号。当BGP将一条路由通告到其他AS时,便会把本地AS编号添加在AS_Path 列表的最前面(最左面)。收到此路由的BGP路由器根据AS_Path属性就可以知道去目的地址所要经过的AS。离本地AS最近的相邻AS编号排在前面,其他AS 编号按顺序依次排列,如图8-6所示。
图8-6AS_Path属性
BGP要将区域AS10的路由D=8.0.0.0通告到其他AS时,首先把AS10的区域编号10放到AS_Path列表中(10),在经过AS20后,AS20又将自己的区域编号20放到AS_Path列表的最左边(20,10),以此类推。当AS50的路由器收到这条路由后,就可以根据AS_Path列表知道要去AS10可以有两条路径供选择,它们分别是经过AS30,AS20的路径和经过AS40的路径。
AS_Path属性可以防止路由环路。通常情况下,BGP不会接收AS_Path中已包含本地AS编号的路由,从而避免了形成路由环路的可能。
说明:
在VRP的实现中,通过配置peer allow-as-loop命令可以允许AS编号重复。
同时,AS_Path属性也可用于路由的选择和过滤。在其他因素相同的情况下,BGP 会优先选择路径较短的路由。比如在图8-6中,AS50中的BGP路由器会选择经过AS40的路径作为到目的地址8.0.0.0去的最优路由。
在某些应用中,可以使用路由策略人为的增加AS路径的长度,以便更为灵活的控制BGP路径的选择。
通过配置AS路径过滤器,还可以针对AS_Path属性中所包含的AS编号对路由进行过滤。
说明:
IBGP在向对等体通告路由时,并不改变AS_Path属性。
(3) 下一跳(Next_Hop)属性
BGP的下一跳属性和IGP的有所不同,不一定就是邻居路由器的IP地址。
通常情况下,BGP发言者在向EBGP对等体发布某条路由时,会把该路由信息的下一跳属性设置为本地与对端连接的接口地址;而在向IBGP对等体发布此路由时,并不改变该路由信息的下一跳属性。可以用命令设置BGP在进行IBGP传输时改变下一跳。如图8-7所示。
图8-7下一跳属性
(4) MED(Multi-Exit-Discriminator)
MED属性仅在相邻两个AS之间交换,收到此属性的AS一方不会再将其通告给任何其他第三方AS。
MED属性相当于IGP使用的度量值(Metrics),它用于判断流量进入AS时的最佳路由。当一个运行BGP的路由器通过不同的EBGP对等体得到目的地址相同但下一跳不同的多条路由时,在其它条件相同的情况下,将优先选择MED值较小者作为最佳路由。如图8-8所示,从AS10到AS20的流量将选择RouterB作为入口。
图8-8MED属性
通常情况下,BGP只比较来自同一个AS的路由的MED属性值。
说明:
在VRP的实现中,通过配置compare-different-as-med命令,可以强制BGP比较来自不同AS的路由的MED属性值。
(5) 本地优先(Local_Pref)属性
Local_Pref属性仅在IBGP对等体之间交换,不通告给其他AS。它表明BGP路由器的优先级。
Local_Pref属性用于判断流量离开AS时的最佳路由。当BGP的路由器通过不同的IBGP对等体得到目的地址相同但下一跳不同的多条路由时,将优先选择Local_Pref 属性值较高的路由。如图8-9所示,从AS20到AS10的流量将选择RouterC作为出口。
图8-9Local_Pref属性
(6) 团体(Community)属性
团体属性用来简化路由策略的应用和降低维护管理的难度。它是一组有相同特征的
目的地址的集合,没有物理上的边界,与其所在的AS无关。公认的团体属性有:
z Internet:缺省情况下,所有的路由都属于Internet团体。具有此属性的路由可以被通告给所有的BGP对等体。
z No_Export:具有此属性的路由在收到后,不能被发布到本地AS之外。如果使用了联盟,则不能被发布到联盟之外,但可以发布给联盟中的其他子AS(联
盟在大规模BGP网络所遇到的问题中介绍)。
z No_Advertise:具有此属性的路由在收到后,不能被通告给任何其他的BGP 对等体。
z No_Export_Subconfed:具有此属性的路由在收到后,不能被发布到本地AS 之外,也不能发布到联盟中的其他子AS。
8.1.4 BGP的选路规则
1. BGP选择路由的策略
在VRP的实现中,BGP选择路由时采取如下策略:
z首先丢弃下一跳(Next_Hop)不可达的路由;
z优选本地优先级(Local_Pref)最高的路由;
z优选本路由器始发的路由;
z优选AS路径(AS_Path)最短的路由;
z依次选择Origin类型为IGP、EGP、Incomplete的路由;
z优选MED值最低的路由;
z优选从EBGP学来的路由;
z优选AS内部IGP的Metric最低的路由。如果配置了负载分担,并且有多条到达同一AS的外部路由,则根据配置的路由条数选择多条路由进行负载分担;
z优选Router ID最小的路由器发布的路由。
2. 应用BGP负载分担时的选路策略
在BGP中,由于协议本身的特殊性,它产生的路由的下一跳地址可能不是当前路由器直接相连的邻居。常见的一个原因是,IBGP之间发布路由信息时不改变下一跳。这种情况下,为了能够将报文正确转发出去,路由器必须先找到一个直接可达的地址,通过这个地址到达路由表中指示的下一跳。在上述过程中,去往直接可达地址的路由被称为依赖路由,BGP路由依赖于这些路由指导报文转发。根据下一跳地址找到依赖路由的过程就是路由迭代(iterative)。
VRP支持基于迭代的BGP负载分担,即,如果依赖路由本身是负载分担的(假设有三个下一跳地址),则BGP也会生成相同数量的下一跳地址来指导报文转发。需要说明的是,基于迭代的BGP负载分担并不需要命令配置,这一特性在VRP上始终启用。
BGP的负载分担与IGP的负载分担在实现方法上有所不同:
z在IGP中,对到达同一目的地址的不同路由,IGP根据本身的路由算法计算路由的度量值(metric),在度量值相等的路由间进行负载分担。
z BGP由于本身并没有路由算法,不能根据一个明确的度量值决定是否对路由进行负载分担。但BGP有很多路由属性,这些属性在BGP选路策略中的优先顺序是不同的。对BGP负载分担的处理则是加入到这些选路策略中的,即在所有高优先级路由属性相同的情况下,BGP根据所配置的最大负载分担的路由条数进行负载分担。
说明:
z BGP只对AS_Path属性完全相同的路由进行负载分担。
z BGP负载分担特性同样适用于联盟内部的自治系统之间。
3. BGP发布路由的策略
在VRP的实现中,BGP发布路由时采用如下策略:
z存在多条有效路由时,BGP发言者(BGP Speaker)只将最优路由发布给对等体;
z BGP发言者只把自己使用的路由发布给对等体;
z BGP发言者从EBGP获得的路由会向它所有BGP对等体发布(包括EBGP 对等体和IBGP对等体);
z BGP发言者从IBGP获得的路由不向它的IBGP对等体发布;
z BGP发言者从IBGP获得的路由发布给它的EBGP对等体(在不使能BGP与IGP同步特性的情况下);
z连接一旦建立,BGP发言者将把自己所有BGP路由发布给新对等体。
8.1.5 IBGP和IGP同步
同步是指IBGP和IGP之间的同步,其目的是为了避免出现误导外部AS路由器的
现象发生。
如果一个AS中有非BGP路由器提供转发服务,经该AS转发的IP报文将可能因为
目的地址不可达而被丢弃。如图8-10所示,RouterE通过BGP从RouterD可以学
到RouterA的一条路由8.0.0.0/8,于是将到这个目的地址的报文转发给RouterD,
RouterD查询路由表,发现下一跳是RouterB。由于RouterD从IGP学到了到
RouterB的路由,所以通过路由迭代,RouterD将报文转发给RouterC。但RouterC
并不知道去8.0.0.0/8的路由,于是将报文丢弃。
图8-10IBGP和IGP同步
如果设置了同步特性,在IBGP路由加入路由表并发布给EBGP对等体之前,会先
检查IGP路由表。只有在IGP也知道这条IBGP路由时,它才会被加入到路由表,
并发布给EBGP对等体。
在下面的情况中,可以安全地关闭同步特性。
z本AS不是过渡AS(图8-10中的AS20就属于一个过渡AS)
z本AS内所有路由器建立IBGP全连接
8.1.6 大规模BGP网络所遇到的问题
1. 路由聚合
在大规模的网络中,BGP路由表十分庞大,使用路由聚合(Routes Aggregation)
可以大大减小路由表的规模。
路由聚合实际上是将多条路由合并的过程。这样BGP在向对等体通告路由时,可以
只通告聚合后的路由,而不是将所有的具体路由都通告出去。
VRP支持自动聚合和手动聚合方式。使用后者还可以控制聚合路由的属性,以及决
定是否发布具体路由。
2. BGP衰减
路由衰减(Route Dampening)用来解决路由不稳定的问题。路由不稳定的主要表
现形式是路由振荡(Route flaps),即路由表中的某条路由反复消失和重现。
发生路由振荡时,路由协议就会向邻居发布路由更新,收到更新报文的路由器需要
重新计算路由并修改路由表。所以频繁的路由振荡会消耗大量的带宽资源和CPU资
源,严重时会影响到网络的正常工作。
在多数情况下,BGP协议都应用于复杂的网络环境中,路由变化十分频繁。为了防
止持续的路由振荡带来的不利影响,BGP使用衰减来抑制不稳定的路由。
BGP衰减使用惩罚值来衡量一条路由的稳定性,惩罚值越高则说明路由越不稳定。
路由每发生一次振荡(路由从激活状态变为未激活状态,称为一次路由振荡),BGP
便会给此路由增加一定的惩罚值(1000)。当惩罚值超过抑制阈值时,此路由被抑
制,不加入到路由表中,也不再向其他BGP对等体发布更新报文。
被抑制的路由每经过一段时间,惩罚值便会减少一半,这个时间称为半衰期
(Half-life)。当惩罚值降到再使用阈值时,此路由变为可用并被加入到路由表中,
同时向其他BGP对等体发布更新报文。BGP衰减的处理过程如图8-11所示。
半衰期
图8-11BGP衰减示意图
3. 对等体组
对等体组(Peer Group)是一些具有某些相同属性的对等体的集合。当一个对等体加入对等体组中时,此对等体将获得与所在对等体组相同的配置。当对等体组的配置改变时,组内成员的配置也相应改变。
在大型BGP网络中,对等体的数量会很多,其中很多对等体具有相同的策略,在配置时会重复使用一些命令,利用对等体组在很多情况下可以简化配置。
另外,将对等体加入对等体组中还可以提高路由发布效率。
4. 团体
对等体组可以使一组对等体共享相同的策略,而利用团体可以使多个AS中的一组BGP路由器共享相同的策略。团体是一个路由属性,在BGP对等体之间传播,它并不受到AS范围的限制。
BGP路由器在将带有团体属性的路由发布给其它对等体之前,可以改变此路由原有的团体属性。
除了使用公认的团体属性外,用户还可以使用团体属性过滤器自定义扩展团体属性,以便更为灵活的控制路由策略。
5. 路由反射器
为保证IBGP对等体之间的连通性,需要在IBGP对等体之间建立全连接关系。假设在一个AS内部有n台路由器,那么应该建立的IBGP连接数就为n(n-1)/2。当IBGP 对等体数目很多时,对网络资源和CPU资源的消耗都很大。
利用路由反射可以解决这一问题。在一个AS内,其中一台路由器作为路由反射器RR(Route Reflector),其它路由器做为客户机(Client)与路由反射器之间建立IBGP连接。路由反射器在客户机之间传递(反射)路由信息,而客户机之间不需要建立BGP连接。
既不是反射器也不是客户机的BGP路由器被称为非客户机(Non-Client)。非客户机与路由反射器之间,以及所有的非客户机之间仍然必须建立全连接关系。其示意图如图8-12所示。
图8-12路由反射器示意图
路由反射器和它的客户机组成一个集群(CLUSTER)。在一个自治系统(AS)内,每个路由反射器使用唯一的CLUSTER_ID作为标识。
为防止产生路由环路,路由反射器使用CLUSTER_LIST,记录反射路由经过的所有CLUSTER_ID。
z当RR在它的客户机之间或客户机与非客户机之间反射路由时,它会把本地CLUSTER_ID添加到CLUSTER_LIST的前面。如果CLUSTER_LIST为空,RR就创建一个。
z当RR接收到一条更新路由时,它检查CLUSTER_LIST。如果CLUSTER_LIST 中已经有本地CLUSTER_ID,丢弃该路由;如果没有本地CLUSTER_ID,将其加入CLUSTER_LIST,然后反射该更新路由。
为增加网络的可靠性,防止单点故障,可以在一个集群中配置多个路由反射器。
说明:
CLUSTER_LIST只被RR用来检测路由环路,本身不是RR的客户机和非客户机不会检测CLUSTER_LIST。
在某些网络中,路由反射器的客户机之间已经建立了全连接,它们可以直接交换路由信息,此时客户机到客户机之间的路由反射是没有必要的,而且还占用带宽资源。VRP支持配置相关命令来禁止在客户机之间反射路由。禁止客户机之间的路由反射后,客户机到非客户机之间的路由仍然可以被反射。
6. 联盟
联盟(Confederation)是处理AS内部的IBGP网络连接激增的另一种方法,它将一个自治系统划分为若干个子自治系统,每个子自治系统内部的IBGP对等体建立全连接关系,子自治系统之间建立EBGP连接关系。其示意图如图8-13所示。
图8-13联盟示意图
在不属于联盟的BGP发言者看来,属于同一个联盟的多个子自治系统是一个整体,外界不需要了解内部的子自治系统情况,联盟ID就是标识联盟这一整体的自治系统号,如上图中的AS200就是联盟ID。
联盟的缺陷是:从非联盟向联盟方案转变时,要求路由器重新进行配置,逻辑拓扑也要改变。
在大型BGP网络中,路由反射器和联盟可以被同时使用。
8.1.7 MP-BGP
1. MP-BGP概述
传统的BGP-4只能管理IPv4的路由信息,对于使用其它网络层协议(如IPv6等)
的应用,在跨自治系统传播时就受到一定限制。
为了提供对多种网络层协议的支持,IETF对BGP-4进行了扩展,形成MP-BGP,
目前的MP-BGP标准是RFC2858(Multiprotocol Extensions for BGP-4,BGP-4
的多协议扩展)。
MP-BGP向后兼容,即支持BGP扩展的路由器与不支持BGP扩展的路由器可以互
通。
2. MP-BGP的扩展属性
BGP-4使用的报文中,与IPv4相关的三条信息都由Update报文携带,这三条信息
分别是:NLRI、路径属性中的Next_Hop、路径属性中的Aggregator(该属性中包
含形成聚合路由的BGP发言者的IP地址)。
为实现对多种网络层协议的支持,BGP-4需要将网络层协议的信息反映到NLRI及
Next_Hop。MP-BGP中引入了两个新的路径属性:
z MP_REACH_NLRI:Multiprotocol Reachable NLRI,多协议可达NLRI。用于发布可达路由及下一跳信息。
z MP_UNREACH_NLRI:Multiprotocol Unreachable NLRI,多协议不可达NLRI。用于撤销不可达路由。
这两种属性都是可选非过渡(Optional non-transitive)的,因此,不提供多协议能
力的BGP发言者将忽略这两个属性的信息,不把它们传递给其它邻居。
3. 地址族
BGP采用地址族(Address Family)来区分不同的网络层协议,关于地址族的一些
取值可以参考RFC1700(Assigned Numbers)。VRP实现多种MP-BGP扩展应用,
包括对VPN的扩展、对IPv6的扩展等,不同的扩展应在各自的地址族视图下配置。
说明:
本章不对MP-BGP地址族视图下的、与特定应用相关的命令作详细介绍。
BGP IPv6地址族下的配置请参见“第9章 BGP4+配置”,MP-BGP在组播中的应
用请参见“第15章MBGP配置”。BGP VPNv4地址族、BGP VPN实例地址族
和BGP L2VPN地址族下的配置请参见《VRP操作手册 VPN分册》。
8.1.8 参考信息
如果要更详细了解BGP的原理,请参考以下文档。
z RFC1771:A Border Gateway Protocol 4 (BGP-4)
z RFC2858:Multiprotocol Extensions for BGP-4
z RFC3392:Capabilities Advertisement with BGP-4
z RFC2918:Route Refresh Capability for BGP-4
z RFC2439:BGP Route Flap Damping
z RFC1997:BGP Communities Attribute
z RFC2796:BGP Route Reflection
z RFC3065:Autonomous System Confederations for BGP
其他仍处在草案(Draft)阶段的特性还有Graceful Restart特性和扩展团体属性。
8.2 配置BGP的基本功能
说明:
z在本节中,不对BGP和MP-BGP进行严格的区分,命令的适用情况请参考所在的视图。
z为方便配置,BGP-IPv4单播地址族视图下的命令可以在BGP视图下执行,但在配置文件中这些命令仍位于BGP-IPv4单播地址族视图下。
8.2.1 建立配置任务
1. 应用环境
本节讲述最基本的BGP网络配置过程。
由于BGP使用TCP连接,所以在配置BGP时需要指定对等体的IP地址。BGP对
等体不一定就是相邻的路由器,利用逻辑链路也可以建立BGP对等体关系。有时为
了增强BGP连接的稳定性,通常使用Loopback接口地址建立连接。
2. 前置任务
在配置BGP基本功能之前,需要保证相邻节点的网络层互通。
3. 数据准备
在配置BGP的基本功能之前,需要准备以下数据:
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
华为路由器静态路由配置命令 4.6.1 ip route 配置或删除静态路由。 [ no ] ip route ip-address { mask | mask-length } { interfacce-name | gateway-address } [ preference preference-value ] [ reject | blackhole ] 【参数说明】 ip-address和mask为目的IP地址和掩码,点分十进制格式,由于要求掩码32位中‘1’必须是连续的,因此点分十进制格式的掩码可以用掩码长度mask-length来代替,掩码长度为掩码中连续‘1’的位数。 interfacce-name指定该路由的发送接口名,gateway-address为该路由的下一跳IP地址(点分十进制格式)。 preference-value为该路由的优先级别,范围0~255。 reject指明为不可达路由。 blackhole指明为黑洞路由。 【缺省情况】 系统缺省可以获取到去往与路由器相连子网的子网路由。在配置静态路由时如果不指定优先级,则缺省为60。如果没有指明reject或blackhole,则缺省为可达路由。 【命令模式】 全局配置模式 【使用指南】 配置静态路由的注意事项: 当目的IP地址和掩码均为0.0.0.0时,配置的缺省路由,即当查找路由表失败后,根据缺省路由进行包的转发。 对优先级的不同配置,可以灵活应用路由管理策略,如配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份。 在配置静态路由时,既可指定发送接口,也可指定下一跳地址,到底采用哪种方法,需要根据实际情况而定:对于支持网络地址到链路层地址解析的接口或点到点接口,指定发送接口即可;对于NBMA接口,如封装X.25或帧中继的接口、拨号口等,支持点到多点,这时除了配置IP路由外,还需在链路层建立二次路
华为AR1220路由器配置参数实际应用实例解说一 1. 配置参数 [GZ]dis cu [V200R001C00SPC200] //路由器软件版本,可从官方网站下载 # sysname GZ //路由器名字GZ ftp server enable //ftp 服务开通以便拷贝出配置文件备份 # voice # http server port 1025 //http undo http server enable # drop illegal-mac alarm # l2tp aging 0 # vlan batch 10 20 30 40 50 //本路由器设置的VLAN ID # igmp global limit 256 # multicast routing-enable //开启组播 #
dhcp enable //全局下开启DHCP服务然后在各VLAN上开启单独的DHCP # ip vpn-instance 1 ipv4-family # acl number 2000 rule 10 permit # acl number 2001 //以太网访问规则列表。 rule 6 permit source 172.23.68.0 0.0.0.255 //允许此网段访问外网 rule 7 permit source 172.23.69.0 0.0.0.255 //允许此网段访问外网 rule 8 permit source 172.23.65.0 0.0.0.3 //允许此网段的前三个IP访问外网rule 9 deny //不允许其他网段访问外网 # acl number 3000 //此规则并未应用 rule 40 permit ip source 172.23.65.0 0.0.0.255 destination 172.23.69.0 0.0.0.25 5 # acl number 3001//定义两个网段主机互不访问,学生不能访问65网段。 rule 5 deny ip source 172.23.65.0 0.0.0.255 destination 172.23.68.0 0.0.0.255 rule 10 deny ip source 172.23.68.0 0.0.0.255 destination 172.23.65.0 0.0.0.255 # aaa //默认视图窗口定义本地登录帐号和密码
华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。
[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2
华为路由器dhcp简单配置实例 session 1 DHCP的工作原理 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP 服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。 DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口,DHCP的IP地址自动获取工作原理及详细步骤如下: 1、DHCP Client以广播的方式发出DHCP Discover报文。 2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server 能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client 区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。 3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。 4、DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK 报文,并在选项字段中增加IP地址的使用租期信息。 5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client 开始新的地址申请过程。 6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。
RA配置 System-view Sysname RA Interface ethernet 0/0 Ip address 192.168.1.1 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.2.1 255.255.255.0 quit ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 ip route-static 192.168.4.0 255.255.255.0 192.168.2.2 RB配置 System-view Sysname RB Interface ethernet 0/0 Ip address 192.168.3.1 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.2.2 255.255.255.0 quit ip route-static 192.168.1.0 255.255.255.0 192.168.2.1 ip route-static 192.168.4.0 255.255.255.0 192.168.3.2 RC配置 System-view Sysname RC Interface ethernet 0/0 Ip address 192.168.3.2 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.4.1 255.255.255.0 quit ip route-static 192.168.1.0 255.255.255.0 192.168.3.1 ip route-static 192.168.2.0 255.255.255.0 192.168.3.1
华为AR1200 路由器策略路由配置 [Huawei]display current-configuration [V200R007C00SPC900] # drop illegal-mac alarm # l2tp enable # ipv6 # ip load-balance hash src-ip # dns resolve dns server 219.141.136.10 dns server 219.141.140.10 dns proxy enable # vlan batch 2 # dhcp enable #
pki realm default enrollment self-signed # ssl policy default_policy type server pki-realm default # aclnumber 2999 rule 5 permit source 172.16.10.0 0.0.1.255 # acl number 3000 1;创建用于策略路由的ACL rule 5 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 用于策略路由及默认路由两个网段之间互通的ACL rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255 # traffic classifier 2 operator or 2;创建traffic classifier 匹配acl两个网段互通 if-match acl 3001 traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由 if-match acl 3000 # traffic behavior 2 3创建流行为网段互通不做任何行为
华为浮动静态路由路径备份配置实例 作者:救世主220 实验日期:2015.7.3 实验拓扑如下: AR1配置: [AR1]dis current-configuration [V200R003C00] # sysname AR1 # interface GigabitEthernet0/0/0 ip address 100.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.0.21.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.0 ospf network-type broadcast # ospf 1 router-id 1.1.1.1 import-route direct area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 10.0.21.1 0.0.0.0 # ip route-static 3.3.3.0 255.255.255.0 100.1.1.2 preference 10 ip route-static 10.0.23.0 255.255.255.0 100.1.1.2 preference 10
注意:AR1上g0/0/0 断开前后AR1路由表变化 AR2配置: [AR2]dis current-configuration [V200R003C00] # sysname AR2 # interface GigabitEthernet0/0/0 ip address 100.1.1.2 255.255.255.0 #
华为三层交换机配置方法(1) (2008-07-21 11:27:34) 转载 标签: 分类:工作汇报 杂谈 本文以河南平临高速所使用的华为华三通信的H3C S3600-28P-SI为例,配置前首先要确定型号后缀是SI还是EI,EI的支持所有协议,SI的不支持OSPS动态协议,因此SI配置路由时可以使用静态协议和RIP协议,具体配置如下:
description Uplink-to-Putian vlan 9 description link-to-pingxicentre //第二步:给VLAN 划网关 interface Vlan-interface2 description link to wenquan ip address 10.41.77.41 255.255.255.192 interface Vlan-interface3 description link to ruzhou ip address 10.41.77.105 255.255.255.192 interface Vlan-interface4 description link to xiaotun ip address 10.41.77.169 255.255.255.192 interface Vlan-interface5 description link to baofeng ip address 10.41.77.233 255.255.255.192 interface Vlan-interface6 description link to pingxi ip address 10.41.78.41 255.255.255.192 interface Vlan-interface7 description link to pingnan ip address 10.41.78.105 255.255.255.192 interface Vlan-interface8 description uplink to putian ip address 10.41.244.102 255.255.255.252 interface Vlan-interface9 description link to pingxicentre ip address 10.41.80.233 255.255.255.192
! 路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 " 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 % 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 . deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 @ 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。
目录 1、硬件系统 (3) 1.1、NE40E、NE80E、NE5000E的满配功率是多少? (3) 1.2、如何正确热插拔NE5000E/80E/40E产品主控板? (3) 1.3、拔出正常运行NE80E主控板与其它单板的差别? (3) 1.5、NE5000ENE80E由于系统结构复杂,导致单板的组成较为复杂,本FAQ详 细说明这两款产品单板的组合。 (3) 1.6、是否可以使用并联电流给NE设备供电? (4) 1.8、如何查看设备中的Netstream板? (4) 1.9、NE5000系统上电时是否电源功率等于或稍大于所有单板的功率和,整机即 可正常完成注册? (5) 2、系统管理 (5) 2.1、telnet用户的最大数是多少? (5) 2.2、NE40E、NE80E 是否支持ETH-Trunk? (5) 2.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少个Eth-trunk? (5) 2.4、NE40E、NE80E、NE5000E VRP 5.30一个trunk接口下最多可以有多少个成 员端口? (6) 3、系统管理:telnet、SNMP、日志采集、SSH等 (6) 3.1、如何修改设备的时区? (6) 3.2、如何转换命令行的语言模式? (6) 3.3、如何把telnet用户强制下线? (6) 3.4、如何取消分屏显示? (6) 3.5、如何能够使NE40E level0能够查看logbuffer? (7) 3.6、怎样配置NE40E的登录用户先radius认证再本地认证? (7) 3.7、华为有哪些产品支持TACACS? (7) 3.8、使用TELNET登录NE80E/40E/80/40是否支持TACACS方式认证? (8) 3.9、怎样修改NE40E的日志文件记录路径 (8) 3.10、如何正确的配置NE40ENE80ENE5000E的防病毒访问控制列表? (8) 4、网络协议 (9) 4.4、什么是NE80E的ping保护机制呢? (9) 5、路由协议 (10) 5.1、如何进行OSPF外部路由的聚合? (10) 5.2、反射器反射路由时对路由属性的处理原则是什么? (10) 5.3、如何修改邦定VPN实例OSPF进程的Router id (10) 5.5、为什么在OSPF路由中不建议引入直连路由? (10) 5.6、如何部署OSPF的内部路由聚合? (10) 5.8、在IGP是ISIS的网络中如何查找设备? (11) 5.9、如何设置NE80E只启用MBGP而不启用普通BGP? (11) 5.11、在8090产品中,通过命令display ip routing-table verbose能看到NextHop、 RelyNextHop,他们的区别是什么? (11) 5.12、BGP协议的故障诊断命令有哪些? (12) 6、VPN应用 (13) 6.1、华为路由器是否支持VPN下安全套接层? (13)
华为rip配置实例及使用filter-policy过滤路由 作者:救世主220 实验日期:2015.6.26 实验拓扑如下: AR1配置: [AR1]dis cur [V200R003C00] sysname AR1 # interface GigabitEthernet0/0/0 ip address 10.0.12.1 255.255.255.0 # interface LoopBack0 ip address 10.0.1.1 255.255.255.0 # rip 1 undo summary version 2 network 10.0.0.0 AR2配置 [AR2]dis current-configuration [V200R003C00] sysname AR2 # acl number 2000 rule 5 permit source 10.0.3.3 0 # interface GigabitEthernet0/0/0 ip address 10.0.12.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.0.23.2 255.255.255.0 # interface LoopBack0
ip address 10.0.2.2 255.255.255.0 # rip 1 undo summary version 2 network 10.0.0.0 filter-policy 2000 import GigabitEthernet0/0/1 AR3配置: [AR3]dis current-configuration [V200R003C00] # sysname AR3 # interface GigabitEthernet0/0/0 ip address 10.0.23.3 255.255.255.0 # interface LoopBack0 ip address 10.0.3.3 255.255.255.0 # rip 1 undo summary version 2 network 10.0.0.0 测试结果: 注意:在AR2上做了过滤策略filter-policy前后AR1的路由表中路由条目的变化以及AR1与AR3的loopback 0的连通性。
华为交换机策略路由配置 1、本地策略路由具体配置 1、创建策略路由和策略点 [Huawei]policy-based-route 1 deny node 1 2、设置本地策略匹配规则 [Huawei-policy-based-route-1-1]if-match ? acl Access control list #根据IP报文中的acl匹配 packet-length Match packet length #根据IP报文长度匹配 ----------- [Huawei-policy-based-route-1-1]if-match packet-length ? INTEGER<0-65535> Minimum packet length #最短报文长度 [Huawei-policy-based-route-1-1]if-match packet-length 100 ? INTEGER<1-65535> Maximum packet length#最长报文长度 3、设置本地路由策略动作 3.1、设置报文的出接口 [Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口 Serial Serial interface -------- [Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口 Serial Serial interface #报文的出接口,匹配成功后将从指定接口发出去。接口不是能以太网等广播类型接口(改为P2P即可),因为多个下一跳可能导致报文转发不成功。 3.2、设置报文的下一跳 [Huawei-policy-based-route-1-1]apply ip-address ? default Set default information #缺省下一跳,仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳 3.3、设置VPN转发实例 [Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ? STRING<1-31> VPN instance name 3.4设置IP报文优先级 [Huawei-policy-based-route-1-1]apply ip-precedence ? INTEGER<0-7> IP precedence value critical Set packet precedence to critical(5)(关键) flash Set packet precedence to flash(3)(闪速) flash-override Set packet precedence to flash override(4)(疾速) immediate Set packet precedence to immediate(2)(快速) internet Set packet precedence to Internet control(6)(网间) network Set packet precedence to network control(7)(网内) priority Set packet precedence to priority(1)(优先)
华为路由器配置实例1 华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。实现防火墙策略,和访问控制(ACL),我们这里用的是四台电脑。 方案说明: 四台PC的IP地址、掩码如下列表: P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5 P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5 P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6 P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6 路由器上Ethernet0的IP 为192.168.1.5 Ethernet1的IP 为192.168.1.6 firewall 设置默认为deny 实施命令列表: 交换机上设置,划分VLAN: sys //切换到系统视图 [Quidway]vlan enable [Quidway]vlan 2 [Quidway-vlan2]port e0/1 to e0/8 [Quidway-vlan2]quit //默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2 [Quidway]vlan 3 [Quidway-vlan3]port e0/9 to e0/16 [Quidway-vlan3]quit //指定交换机的e0/9 到e0/16八个端口属于VLAN3 [Quidway]dis vlan all [Quidway]dis cu 路由器上设置,实现访问控制: [Router]interface ethernet 0 [Router-Ethernet0]ip address 192.168.1.5 255.255.255.0 [Router-Ethernet0]quit //指定ethernet 0的ip [Router]interface ethernet 1 [Router-Ethernet1]ip address 192.168.1.6 255.255.255.0 [Router-Ethernet1]quit //开启firewall,并将默认设置为deny [Router]fire enable
华为路由器配置举例 通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 192.168.1.1 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 192.168.1.0 24 [MSR20-20-dhcp-pool-1]dns-list 202.96.134.133 [MSR20-20-dhcp-pool-1] gateway-list 192.168.1.1 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0.0 0.0.0.0 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok!