互聯(lián)網(wǎng)標準應用方案BGP接入BGP技術介紹分析課件

1、BGP路由協(xié)議數(shù)據(jù)業(yè)務部方案支持部第1頁，共38頁。目錄1、BGP概貌2、EBGP和IBGP3、BGP實踐4、BGP屬性信息和決策機制5、操縱BGP的決策6、自治域內(nèi)的路由控制第2頁，共38頁。BGP概貌-什么是自治域（AS）自治域是使用單一技術組織的網(wǎng)絡集合，是個管理概念。在自治域內(nèi)部使用IGP進行路由交互。自治域之間使用BGP進行路由交互。BGP擁有完善的防環(huán)機制第3頁，共38頁。BGP概貌-BGP是一種路徑矢量協(xié)議路由信息和數(shù)據(jù)流量的概念區(qū)別：路由信息指到達某網(wǎng)絡的路徑信息。路由器得到路徑信息后，將數(shù)據(jù)流量沿著路徑逐跳發(fā)送到目的網(wǎng)絡。BGP協(xié)議傳播的信息包括：能到達哪些網(wǎng)絡、到達這些網(wǎng)絡

2、的路徑是什么，這些可達網(wǎng)絡的屬性是什么。屬性是路由決策的依據(jù)BGP 允許網(wǎng)絡管理員定義策略和規(guī)則，來根據(jù)路徑屬性決策出最優(yōu)路由。數(shù)據(jù)流量會沿著最優(yōu)路由穿越各個AS到達目的AS。第4頁，共38頁。BGP概貌-誰需要BGP？使用BGP互聯(lián)的必要條件：有屬于用戶自己合法的IP地址段，滿足必要條件，有下列需求之一的用戶適合使用BGP:自身自治域?qū)⒆鳛榇┰阶灾斡?，允許其他自治域流量穿越自身自治域通信，比如網(wǎng)絡提供商：移動、聯(lián)通、電信通。自身自治域和多個網(wǎng)絡供應商相連.進入自身自治域的流量需要得到控制和調(diào)度。滿足必要條件，但有下列情況之一不適合使用BGP。沒有對BGP協(xié)議深刻理解的網(wǎng)絡管理員自身自治域只通

3、過一條專線連接網(wǎng)絡提供商沒有高性能路由器。第5頁，共38頁。BGP概貌-BGP的重要特點BGP適合管理管理大型網(wǎng)絡的協(xié)議，主要它具有以下重要特點 距離矢量協(xié)議，協(xié)議簡單，無為而治。 基于TCP (port 179)面向連接的應用，可靠性高。 路由信息增量、觸發(fā)更新，減少更新流量。 周期性的連接?；顧C制，確保連接穩(wěn)定 豐富的屬性信息 能對屬性進行靈活操作的工具 特點總結 路由協(xié)議簡單；可靠性高；工具豐富，發(fā)揮人腦，適合因地制宜。第6頁，共38頁。EBGP和IBGP-BGP鄰居（ BGP peer、 BGP neighbor ）為了可靠的交換路由信息，必須建立鄰居關系 運行BGP協(xié)議的路由器叫做B

4、GP speaker。為了在BGP路由器之間傳遞路由信息必須建立鄰居關系(BGP peer/BGP neighbor) 。和哪個BGP speaker建立鄰居關系由管理員配置。兩個鄰居可以不直連 兩個BGP speakers 通過TCP建立鄰居關系，TCP不需要雙方直連。BGP的路由信息傳播方式有別于傳統(tǒng)IGP的范洪（flooding）方式第7頁，共38頁。EBGP和IBGP-EBGPBGP鄰居屬于不同的自治域（AS）的BGP關系叫做EBGPEBGP鄰居之間默認必須直連。通過TTL默認為1控制必須直連。對于沒辦法直連的EBGP鄰居，配置EBGP多跳改變TTL。EBGP的防環(huán)機制：每過一個AS，

5、將AS加入路由屬性中，終點收到AS號不重復.第8頁，共38頁。EBGP和IBGP- IBGPBGP鄰居位于相同自治域（AS）內(nèi)的BGP關系叫做IBGPIBGP不要求鄰居間直連IBGP的防環(huán)機制：距離矢量路由協(xié)議的水平分割機制。第9頁，共38頁。EBGP和IBGP-為什么需要IBGP-路由黑洞問題穿越自治域（Transit AS）的路由黑洞問題 由于路由器C沒有到10.0.0.0的路由，將丟棄到10.0.0.0網(wǎng)絡的數(shù)據(jù)流量。為了防止路由黑洞的發(fā)生IBGP制定了同步規(guī)則 IBGP學到的路由可用（可用的含義）是在IGP中也學習到了這個路由穿越自治域（Transit AS）的路由黑洞問題的解決辦法之

6、一將BGP學習到的路由注入IBP中，讓路由器C學到10.0.0.0第10頁，共38頁。EBGP和IBGP-為什么需要IBGP-BGP 注入IGP在邊界BGP路由器上將BGP學到的路由發(fā)布到IGP中。 不推薦這么做的原因是BGP學習到的路由的量是巨大的且頻繁變動的。IGP內(nèi)存和CPU負擔不起替代方法是在穿越路由器上運行IBGPBGP同步原則：BGP路由在能使用前必須確保在IGP中也收到該路由第11頁，共38頁。EBGP和IBGP-為什么需要IBGP-IBGP的水平分割和全互聯(lián)穿越自治域（Transit AS）的路由黑洞問題的解決辦法之二： 在自治域內(nèi)的所有穿越路徑上路由器中運行IBGP，讓路由器

7、C學到10.0.0.0IBGP水平分割準則：從IBGP學習到的路由信息不向其他IBGP鄰居傳遞。IBGP防環(huán)機制：嚴格執(zhí)行水平分割準則，所以IBGP之間必須全互聯(lián)即兩兩相連（full-mesh）。關閉BGP同步規(guī)則。第12頁，共38頁。EBGP和IBGP-為什么需要IBGP-關閉BGP同步所有穿越路徑上的路由器都運行IBGP協(xié)議并且做到全互聯(lián)如果不關閉同步： 路由器A、C、D不能發(fā)布和使用到172.16.0.0的路由且路由器E收不到給路由因為IGP沒學習到該路由。如果關閉同步： 路由器A、C、D能發(fā)布和使用到172.16.0.0的路由且路由器E收到該路由且能正確的向路由器F發(fā)送流量。第13頁，

8、共38頁。BGP實踐-基本實踐注意事項一個設備只能屬于一個自治域（AS）。自治域的邊界是鏈路，不是設備。一個設備只能配置一個BGP進程。BGP依賴IGP建立連通性。鄰居建立鄰居關系的前提是鄰居必須可達。BGP不具備發(fā)現(xiàn)鄰居的能力，需要管理員配置，利用人的智慧確保通信安全。RIP/EIGRP/OSPF/ISIS與鄰為友，BGP與友為鄰。第14頁，共38頁。BGP實踐-鄰居源地址問題檢查鄰居來包源地址，確保通信安全，確保與友為鄰。本端配置的鄰居地址是本端訪問鄰居的目的地址，也是本端接受鄰居BGP報文的源地址在本端接受到鄰居的BGP報文后進行源地址驗證。如報文中的源地址為本端配置的鄰居地址，接受該報

9、文，否則丟棄。鄰居源地址問題 實際上，鄰居發(fā)包的源地址是鄰居路由器的出口地址，并不一定是本端希望的源地址。（備注：路由器由多個出口，每個出口都有IP地址。從哪個出口出去就要用哪個出口的地址作為源。） 鄰居要想辦法把BGP報文出接口穩(wěn)定在用來做BGP的接口上。第15頁，共38頁。BGP實踐-鄰居源地址問題-用一個實例說明源地址問題從10.1.1.1到10.2.2.4有兩條等價路由，有一半BGP路由流量被BGP丟失。如10.1.1.1接口壞了。鄰居關系無法建立，而實際上AD間是可以連通的。在路由器A/D之間有兩條通路四個地址都能互通，在哪兩個地址見建立IBGP連接呢？莫非要建四個？那建立IBGP數(shù)

10、量就和接口數(shù)量相關。第16頁，共38頁。BGP實踐-鄰居源地址問題-用Loopback接口解決解決辦法：使用LOOPBACK接口建立BGP鄰居關系，并通過命令更改本端發(fā)包接口始終為LOOPBACK接口。LOOKBACK接口是什么？環(huán)回接口，是個軟件定義的虛接口，特點是穩(wěn)定，路由器在它就在。一般用法：代表路由器本身，如ROUTERID。第17頁，共38頁。BGP實踐-鄰居源地址問題-Loopback接口解決方案的應用-EBGP多跳通過TTL限制EBGP報文不能向更廣的地方傳播，所以EBGP必須直連。用兩條專線接入EBGP，增加備份功能提高穩(wěn)定性。通過loopback接口建立。EBGP接口并不直連

11、怎么辦？EBGP多跳命令。實質(zhì)上是更改TTL。第18頁，共38頁。BGP實踐-下一跳地址不可達問題BGP協(xié)議路由的是自治域，不是路由器，是指導數(shù)據(jù)包發(fā)到哪個自治域，不是發(fā)到哪個路由器該協(xié)議攜帶路由信息的下一跳地址為自治域的出口地址。是自治域出口路由器的出接口地址。在IBGP中傳遞是不改變該下一跳地址。造成IBGP下一跳不可達。第19頁，共38頁。BGP實踐-下一跳地址不可達問題在IBGP中下一條不可達的路由不能被使用在自治域入口路由器更改下一跳地址為本路由器IBGP出口地址第20頁，共38頁。BGP實踐-如何發(fā)布路由BGP的路由發(fā)布方法將IGP路由重發(fā)布到BGP中通過network命令手工發(fā)布

12、路由。通過network命令發(fā)布的路由比IGP重發(fā)布到BGP中的路由優(yōu)先級高。通過network命令發(fā)布路由的前提是：該路由在本地路由表中生效。第21頁，共38頁。BGP路由屬性和決策機制BGP所傳遞的每條路由信息都會攜帶該路由的屬性信息。屬性信息是BGP協(xié)議進行路由決策的依據(jù)，也是管理員使用工具改變路由決策的依據(jù)。BGP 常用路由屬性AS path Next-hop Origin Local preferenceMED COMMUNITY第22頁，共38頁。BGP路由屬性和決策機制-AS Path 屬性到達目的網(wǎng)絡所要經(jīng)過的自治域號列表；在BGP路由傳遞時，路由每經(jīng)過一個自治域，將該自治域號

13、加入AS PATH屬性列表中。第23頁，共38頁。BGP路由屬性和決策機制-Next-Hop 屬性該協(xié)議攜帶路由信息的下是自治域出口路由器的出接口地址。一跳地址為自治域的出口地址。第24頁，共38頁。BGP路由屬性和決策機制- Origin屬性路由信息是如何進入BGP的IGP (i)network 命令手動敲入，最常用Incomplete (?)由IGP重發(fā)布進BGP。不常用，因為不好控制。第25頁，共38頁。BGP路由屬性和決策機制-Local Preference 屬性本地優(yōu)先屬性，越大越優(yōu)先僅僅在自治域內(nèi)傳播，決定數(shù)據(jù)流量如何離開自治域。影響自治域的出方向流量。管理員用它在不同的出口間分

14、配出向流量。第26頁，共38頁。BGP路由屬性和決策機制- MED 屬性域間度量屬性，值越小越優(yōu)先。本端在發(fā)送的路由信息中加入該屬性，用來影響對等自治域流量從哪條鏈路進入本端自治域。管理員用它來影響進入自治域的流量第27頁，共38頁。BGP路由屬性和決策機制-Community屬性Community屬性表明一個目的網(wǎng)絡作為一些團體中的一個成員，這些目的網(wǎng)絡共享一個或者多個共同的特性。常用Community值NO_EXPORT,接受到該值的路由本能公布給EBGP對等，聯(lián)盟可以NO_ADVERTISE，不能公布該路由管理員可以為某個網(wǎng)絡在離開該自治域時定義一個團體屬性。以便在其他自治域能根據(jù)這個屬

15、性值為該網(wǎng)絡定義特殊策略。第28頁，共38頁。BGP路由屬性和決策機制Prefer highest local preference (global within AS).Prefer route originated by the local router (next hop = 0.0.0.0).Prefer shortest AS path.Prefer lowest origin code (IGP EGP incomplete).Prefer lowest MED (exchanged between autonomous systems).Prefer EBGP path over

16、 IBGP path.Prefer the path through the closest IGP neighbor.Prefer oldest route for EBGP paths.Prefer the path with the lowest neighbor BGP router ID.Prefer the path with the lowest neighbor IP address.第29頁，共38頁。操縱BGP的決策-三部曲利用BGP策略過濾器抽取相關路由信息。對路由信息攜帶的BGP路由屬性進行修改。進而影響B(tài)GP路由決策，影響流量的走向。第30頁，共38頁。操縱BGP的決

17、策-BGP策略過濾器策略過濾器訪問控制列表 (ACL) 用于匹配路由信息的目的地址網(wǎng)段。地址前綴列表 (Prefix-List) 用于匹配路由信息的目的地址網(wǎng)段；可以指定gateway選項，指明只接收某些路由器發(fā)布的路由信息。AS路徑訪問列表 (as path) 使用正則表達式匹配自治域號。團體屬性列表 (community) 匹配路由信息中的community屬性。第31頁，共38頁。Filter-Policy過濾路由 Distribute-list、Filter-list。與ACL、 Prefix-List、as path結合定義自己的匹配規(guī)則，只有通過過濾的路由才能被加入或被發(fā)送。Rou

18、te-Policy有濾有改 Route-map。Route-policy不僅可以匹配給指定路由信息的某些屬性，還可以在條件滿足時改變路由信息的屬性?？梢允褂们懊鎺追N過濾器定義自己的匹配規(guī)則。操縱BGP的決策-BGP操縱工具第32頁，共38頁。不設置LP屬性，路由器C則按照AS-PATH長短選擇路由。在路由器B/A上設置LP屬性，任意人為操縱路由器C的出站流量LP僅在本自治域內(nèi)生效，不向外傳遞 操縱BGP的決策-利用Local Preference屬性操縱出站流量第33頁，共38頁。改變在路由器A/B上改變發(fā)布路由的MED屬性，影響對端自治域65004的路由決策。MED僅僅影響直連對端自治域，對端自治域不向外傳遞。操縱BGP的決策-利用MED屬性操縱入站流量第34頁，共38頁。路由器C改變AS-PATH長度，將自身自治域AS號填充，讓路由器Z發(fā)送的入站流量從路由器A進自治域。影響全互聯(lián)網(wǎng)的對自身的入站流量