案例2――關(guān)于如何防止繞行建立ebgp鄰居

1、 關(guān)于如何防止繞行建立ebgp鄰居一、概述1（一）通常ebgp鄰居建立的方式1（二）ebgp-multihop為2時出現(xiàn)的ebgp鄰居繞行問題2二、如何避免繞行建立ebgp鄰居的解決方案分析7（一）ttl-security方案7（二）浮動靜態(tài)路由方案8一、 概述（一）通常ebgp鄰居建立的方式通常ebgp鄰居建立的方式有兩種，一種通過直連接口建立鄰居，另一種是通過loopback接口建立鄰居。在eBGP的默認配置中由于協(xié)議報文的TTL值為1，路由器在向外轉(zhuǎn)發(fā)報文時會將TTL減1，因此默認情況下必須使用互聯(lián)接口來建立ebgp鄰居。但在實際應用中，考慮到物理互聯(lián)接口的不穩(wěn)定性和不便于流量均衡，通常

2、不使用物理接口來建立ebgp鄰居。實際應用中多采用的方式是通過loopback接口來建立ebgp鄰居，該方式有如下優(yōu)點：1. 穩(wěn)定性高，因為loopback接口是一個邏輯虛擬接口，因此不受物理層狀態(tài)的影響，對bgp這樣一個著重于穩(wěn)定性的路由協(xié)議是很有好處的。2. 有利于做流量的負載均衡。通過loopback地址建立ebgp鄰居關(guān)系，當兩臺ebgp路由器間有多條鏈路互聯(lián)的時候，流量可以通過互聯(lián)鏈路IGP路由迭代，實現(xiàn)負載均衡。避免了bgp路由調(diào)整的復雜工作。推薦精選3. 在多鏈路互聯(lián)的ebgp peer環(huán)境中，使用loopback接口建鄰居，可以大大減少BGP通告的報文，減少CPU利用率通過lo

3、opback接口建立ebgp鄰居的配置，需要配置ebgp-multihop參數(shù)為2，即設置TTL值為2。參考配置如下。router bgp 100 no synchronization bgp log-neighbor-changesneighbor 2.2.2.2 remote-as 200 neighbor 2.2.2.2 ebgp-multihop 2 neighbor 2.2.2.2 update-source Loopback0（二）ebgp-multihop為2時出現(xiàn)的ebgp鄰居繞行問題然而ebgp-multihop的應用會在一些特殊的情況下存在問題。參考下圖所示拓撲：這是一個典

4、型的城域網(wǎng)CR和骨干網(wǎng)路由器的ebgp連接拓撲示例。R1與R2、R3分別建立通過loopback接口建立ebgp鄰居，ebgp-multihop設為2. 當R1到R2的鏈路中斷時，R1仍可以通過R3學到R2 loopback0的ebgp路由，同樣R2也可以通過R3學習到R1的loopback0的ebgp路由，也就是說R1的loopback0和R2的loopback0之間仍是路由可達的。推薦精選同時，由于設置的ebgp-multihop為2，當從R1發(fā)出的BGP報文經(jīng)路徑R1-R3-R2到達R2時，R2接受到的報文TTL值減為1，R2仍視該BGP報文是有效報文，因此R1與R2之間的ebgp鄰居關(guān)

5、系仍是可以建立的。具體驗證如下：R1配置：interface Loopback0 ip address 1.1.1.1 255.255.255.255!interface FastEthernet0/0 description to R2-f0/0 ip address 10.1.1.2 255.255.255.252 shutdown duplex auto speed auto!interface FastEthernet1/0 description to R3-f0/0 ip address 172.16.1.1 255.255.255.252 duplex auto speed au

6、to!router bgp 100 no synchronization bgp log-neighbor-changes network 1.1.1.1 mask 255.255.255.255 neighbor 2.2.2.2 remote-as 200 neighbor 2.2.2.2 ebgp-multihop 2 neighbor 2.2.2.2 update-source Loopback0 neighbor 3.3.3.3 remote-as 200 neighbor 3.3.3.3 ebgp-multihop 2推薦精選 neighbor 3.3.3.3 update-sour

7、ce Loopback0 no auto-summary!ip route 2.2.2.2 255.255.255.255 10.1.1.1ip route 3.3.3.3 255.255.255.255 172.16.1.2!R2配置：interface Loopback0 ip address 2.2.2.2 255.255.255.255!interface FastEthernet0/0 description to R1-f0/0 ip address 10.1.1.1 255.255.255.252 shutdown duplex auto speed auto!interface

8、 FastEthernet1/0 description to R3-f1/0 ip address 192.168.1.1 255.255.255.252 duplex auto speed auto!router ospf 100 log-adjacency-changes network 2.2.2.2 0.0.0.0 area 0 network 192.168.1.0 0.0.0.3 area 0! router bgp 200 no synchronization bgp log-neighbor-changes network 2.2.2.2 mask 255.255.255.2

9、55 neighbor 1.1.1.1 remote-as 100 neighbor 1.1.1.1 ebgp-multihop 2 neighbor 1.1.1.1 update-source Loopback0 neighbor 3.3.3.3 remote-as 200 neighbor 3.3.3.3 update-source Loopback0 neighbor 3.3.3.3 next-hop-self no auto-summary!ip route 1.1.1.1 255.255.255.255 10.1.1.2推薦精選!R3配置：interface Loopback0 ip

10、 address 3.3.3.3 255.255.255.255!interface FastEthernet0/0 description to R1-f1/0 ip address 172.16.1.2 255.255.255.252 duplex auto speed auto!interface FastEthernet1/0 description to R2-f1/0 ip address 192.168.1.2 255.255.255.252 duplex auto speed auto!router ospf 100 log-adjacency-changes network

11、3.3.3.3 0.0.0.0 area 0 network 192.168.1.0 0.0.0.3 area 0!router bgp 200 no synchronization bgp log-neighbor-changes network 3.3.3.3 mask 255.255.255.255 neighbor 1.1.1.1 remote-as 100 neighbor 1.1.1.1 ebgp-multihop 2 neighbor 1.1.1.1 update-source Loopback0 neighbor 2.2.2.2 remote-as 200 neighbor 2

12、.2.2.2 update-source Loopback0 neighbor 2.2.2.2 next-hop-self no auto-summary!ip route 1.1.1.1 255.255.255.255 172.16.1.1當R1與R2連接的鏈路中斷時，R1可以通過R3學習到R2 loopback接口的BGP路由，查看路由表如下：R1# sh ip route 2.2.2.2Routing entry for 2.2.2.2/32 Known via "bgp 100", distance 20, metric 0推薦精選 Tag 200, type ex

13、ternal Last update from 3.3.3.3 00:52:30 ago Routing Descriptor Blocks: * 3.3.3.3, from 3.3.3.3, 00:52:30 ago Route metric is 0, traffic share count is 1 AS Hops 1 Route tag 200在R2上也可以看到同樣結(jié)果：R2#sh ip route 1.1.1.1Routing entry for 1.1.1.1/32 Known via "bgp 200", distance 200, metric 0 Tag

14、100, type internal Last update from 3.3.3.3 00:00:03 ago Routing Descriptor Blocks: * 3.3.3.3, from 3.3.3.3, 00:00:03 ago Route metric is 0, traffic share count is 1 AS Hops 1 Route tag 100R1、R2的loopback接口可以互相ping通，結(jié)果是導致R1、R2的ebgp鄰居關(guān)系仍然是可以建立的：R1#sh ip bgp summary BGP router identifier 1.1.1.1, local

15、 AS number 100Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd2.2.2.2 4 200 94 92 7 0 0 00:55:42 23.3.3.3 4 200 78 79 7 0 0 01:13:35 2這樣的結(jié)果顯然不是我們期望看到的。R1、R2通過ebgp路由建立ebgp鄰居，可能造成的后果是路由環(huán)路、bgp 鄰居狀態(tài)的不穩(wěn)定、消耗系統(tǒng)資源等。這是一種不穩(wěn)定的、容易造成混亂的狀態(tài)，因此需要盡量避免這種狀態(tài)的出現(xiàn)。二、 如何避免繞行建立ebgp鄰居的解決方案分析推薦精選（一）ttl-secur

16、ity方案 對于以上問題，有文檔建議可以采取eBGP的GSTM機制（該機制原本是用于防止用戶偽造BGP peer 對bgp路由器發(fā)動攻擊的，具體機制暫不詳述 ），即使用ttl-security hop來替代ebgp-multihop。該命令格式為neighbor 2.2.2.2 ttl-security hops N ，此時bgp進程發(fā)出報文的TTL值為255，期待從鄰居接收到的TTL值大于或等于255-N，從而限制ebgp鄰居建立的跳數(shù)半徑。文檔建議對loopback建立ebgp鄰居的2臺直連路由器（例如上例中的R1-R2）使用如下配置來限制ebgp的跳數(shù)范圍：neighbor 2.2.2.

17、2 ttl-security hops 1但如果只有這條命令ttl-security hops設置為1時，R1-R2的loopback接口 ebgp鄰居卻建立不起來。此時需要配置：neighbor 2.2.2.2 disable-connected-check忽略掉直連鏈路跳數(shù)檢查，這樣就可以在路由器直連的情況下，設置TTL=1，來限制BGP報文跨越多跳轉(zhuǎn)發(fā)。達到限制繞行建立ebgp鄰居的目的。但該方式不是所有廠家設備都支持，目前來說通用性有待考證。注：經(jīng)測試，事實上采用neighbor 2.2.2.2 update-source Loopback0neighbor 2.2.2.2 ebgp-

18、multihop 1neighbor 2.2.2.2 disable-connected-check推薦精選兩者配合使用也可以達到防止繞行建立ebgp鄰居的目的，但ebgp-multihop無法防止偽造bgp peer攻擊。（二）浮動靜態(tài)路由方案除了以上思科的ttl-security的方案，我們還可以采取其他非TTL方式的思路來避免路由器通過迂回的路由建立ebgp 鄰居的問題。還是用前面的案例進行說明，實際上我們的需求是當R1-R2的鏈路down時，R1至R2通過loopback接口建立的ebgp鄰居也down掉。 因此，只要能使鏈路中斷情況下，R1 、R2間loopback接口的路由不可達，就可以達到ebgp鄰居建立不起來目的。我們可以在R1、R2上對對方的loopback地址各配置一條優(yōu)先級介于普通靜態(tài)路由和ebgp路由之間的指向NULL0的靜態(tài)路由。以R1為例（R2類似）：ip route 2.2.2.2 255.255.255.255 10.1.1.1 / 正常情況到R2 loopback的路由，優(yōu)先級為1ip route 2.2.2.2 255.255.255.255 null 0 15 / 路由優(yōu)先級為15的浮動路由推薦