互联网标准应用方案BGP接入BGP技术介绍分析课件

1、BGP路由协议数据业务部方案支持部第1页，共38页。目录1、BGP概貌2、EBGP和IBGP3、BGP实践4、BGP属性信息和决策机制5、操纵BGP的决策6、自治域内的路由控制第2页，共38页。BGP概貌-什么是自治域（AS）自治域是使用单一技术组织的网络集合，是个管理概念。在自治域内部使用IGP进行路由交互。自治域之间使用BGP进行路由交互。BGP拥有完善的防环机制第3页，共38页。BGP概貌-BGP是一种路径矢量协议路由信息和数据流量的概念区别：路由信息指到达某网络的路径信息。路由器得到路径信息后，将数据流量沿着路径逐跳发送到目的网络。BGP协议传播的信息包括：能到达哪些网络、到达这些网络

2、的路径是什么，这些可达网络的属性是什么。属性是路由决策的依据BGP 允许网络管理员定义策略和规则，来根据路径属性决策出最优路由。数据流量会沿着最优路由穿越各个AS到达目的AS。第4页，共38页。BGP概貌-谁需要BGP？使用BGP互联的必要条件：有属于用户自己合法的IP地址段，满足必要条件，有下列需求之一的用户适合使用BGP:自身自治域将作为穿越自治域，允许其他自治域流量穿越自身自治域通信，比如网络提供商：移动、联通、电信通。自身自治域和多个网络供应商相连.进入自身自治域的流量需要得到控制和调度。满足必要条件，但有下列情况之一不适合使用BGP。没有对BGP协议深刻理解的网络管理员自身自治域只通

3、过一条专线连接网络提供商没有高性能路由器。第5页，共38页。BGP概貌-BGP的重要特点BGP适合管理管理大型网络的协议，主要它具有以下重要特点 距离矢量协议，协议简单，无为而治。 基于TCP (port 179)面向连接的应用，可靠性高。 路由信息增量、触发更新，减少更新流量。 周期性的连接保活机制，确保连接稳定 丰富的属性信息 能对属性进行灵活操作的工具 特点总结 路由协议简单；可靠性高；工具丰富，发挥人脑，适合因地制宜。第6页，共38页。EBGP和IBGP-BGP邻居（ BGP peer、 BGP neighbor ）为了可靠的交换路由信息，必须建立邻居关系 运行BGP协议的路由器叫做B

4、GP speaker。为了在BGP路由器之间传递路由信息必须建立邻居关系(BGP peer/BGP neighbor) 。和哪个BGP speaker建立邻居关系由管理员配置。两个邻居可以不直连 两个BGP speakers 通过TCP建立邻居关系，TCP不需要双方直连。BGP的路由信息传播方式有别于传统IGP的范洪（flooding）方式第7页，共38页。EBGP和IBGP-EBGPBGP邻居属于不同的自治域（AS）的BGP关系叫做EBGPEBGP邻居之间默认必须直连。通过TTL默认为1控制必须直连。对于没办法直连的EBGP邻居，配置EBGP多跳改变TTL。EBGP的防环机制：每过一个AS，

5、将AS加入路由属性中，终点收到AS号不重复.第8页，共38页。EBGP和IBGP- IBGPBGP邻居位于相同自治域（AS）内的BGP关系叫做IBGPIBGP不要求邻居间直连IBGP的防环机制：距离矢量路由协议的水平分割机制。第9页，共38页。EBGP和IBGP-为什么需要IBGP-路由黑洞问题穿越自治域（Transit AS）的路由黑洞问题 由于路由器C没有到10.0.0.0的路由，将丢弃到10.0.0.0网络的数据流量。为了防止路由黑洞的发生IBGP制定了同步规则 IBGP学到的路由可用（可用的含义）是在IGP中也学习到了这个路由穿越自治域（Transit AS）的路由黑洞问题的解决办法之

6、一将BGP学习到的路由注入IBP中，让路由器C学到10.0.0.0第10页，共38页。EBGP和IBGP-为什么需要IBGP-BGP 注入IGP在边界BGP路由器上将BGP学到的路由发布到IGP中。 不推荐这么做的原因是BGP学习到的路由的量是巨大的且频繁变动的。IGP内存和CPU负担不起替代方法是在穿越路由器上运行IBGPBGP同步原则：BGP路由在能使用前必须确保在IGP中也收到该路由第11页，共38页。EBGP和IBGP-为什么需要IBGP-IBGP的水平分割和全互联穿越自治域（Transit AS）的路由黑洞问题的解决办法之二： 在自治域内的所有穿越路径上路由器中运行IBGP，让路由器

7、C学到10.0.0.0IBGP水平分割准则：从IBGP学习到的路由信息不向其他IBGP邻居传递。IBGP防环机制：严格执行水平分割准则，所以IBGP之间必须全互联即两两相连（full-mesh）。关闭BGP同步规则。第12页，共38页。EBGP和IBGP-为什么需要IBGP-关闭BGP同步所有穿越路径上的路由器都运行IBGP协议并且做到全互联如果不关闭同步： 路由器A、C、D不能发布和使用到172.16.0.0的路由且路由器E收不到给路由因为IGP没学习到该路由。如果关闭同步： 路由器A、C、D能发布和使用到172.16.0.0的路由且路由器E收到该路由且能正确的向路由器F发送流量。第13页，

8、共38页。BGP实践-基本实践注意事项一个设备只能属于一个自治域（AS）。自治域的边界是链路，不是设备。一个设备只能配置一个BGP进程。BGP依赖IGP建立连通性。邻居建立邻居关系的前提是邻居必须可达。BGP不具备发现邻居的能力，需要管理员配置，利用人的智慧确保通信安全。RIP/EIGRP/OSPF/ISIS与邻为友，BGP与友为邻。第14页，共38页。BGP实践-邻居源地址问题检查邻居来包源地址，确保通信安全，确保与友为邻。本端配置的邻居地址是本端访问邻居的目的地址，也是本端接受邻居BGP报文的源地址在本端接受到邻居的BGP报文后进行源地址验证。如报文中的源地址为本端配置的邻居地址，接受该报

9、文，否则丢弃。邻居源地址问题 实际上，邻居发包的源地址是邻居路由器的出口地址，并不一定是本端希望的源地址。（备注：路由器由多个出口，每个出口都有IP地址。从哪个出口出去就要用哪个出口的地址作为源。） 邻居要想办法把BGP报文出接口稳定在用来做BGP的接口上。第15页，共38页。BGP实践-邻居源地址问题-用一个实例说明源地址问题从10.1.1.1到10.2.2.4有两条等价路由，有一半BGP路由流量被BGP丢失。如10.1.1.1接口坏了。邻居关系无法建立，而实际上AD间是可以连通的。在路由器A/D之间有两条通路四个地址都能互通，在哪两个地址见建立IBGP连接呢？莫非要建四个？那建立IBGP数

10、量就和接口数量相关。第16页，共38页。BGP实践-邻居源地址问题-用Loopback接口解决解决办法：使用LOOPBACK接口建立BGP邻居关系，并通过命令更改本端发包接口始终为LOOPBACK接口。LOOKBACK接口是什么？环回接口，是个软件定义的虚接口，特点是稳定，路由器在它就在。一般用法：代表路由器本身，如ROUTERID。第17页，共38页。BGP实践-邻居源地址问题-Loopback接口解决方案的应用-EBGP多跳通过TTL限制EBGP报文不能向更广的地方传播，所以EBGP必须直连。用两条专线接入EBGP，增加备份功能提高稳定性。通过loopback接口建立。EBGP接口并不直连

11、怎么办？EBGP多跳命令。实质上是更改TTL。第18页，共38页。BGP实践-下一跳地址不可达问题BGP协议路由的是自治域，不是路由器，是指导数据包发到哪个自治域，不是发到哪个路由器该协议携带路由信息的下一跳地址为自治域的出口地址。是自治域出口路由器的出接口地址。在IBGP中传递是不改变该下一跳地址。造成IBGP下一跳不可达。第19页，共38页。BGP实践-下一跳地址不可达问题在IBGP中下一条不可达的路由不能被使用在自治域入口路由器更改下一跳地址为本路由器IBGP出口地址第20页，共38页。BGP实践-如何发布路由BGP的路由发布方法将IGP路由重发布到BGP中通过network命令手工发布

12、路由。通过network命令发布的路由比IGP重发布到BGP中的路由优先级高。通过network命令发布路由的前提是：该路由在本地路由表中生效。第21页，共38页。BGP路由属性和决策机制BGP所传递的每条路由信息都会携带该路由的属性信息。属性信息是BGP协议进行路由决策的依据，也是管理员使用工具改变路由决策的依据。BGP 常用路由属性AS path Next-hop Origin Local preferenceMED COMMUNITY第22页，共38页。BGP路由属性和决策机制-AS Path 属性到达目的网络所要经过的自治域号列表；在BGP路由传递时，路由每经过一个自治域，将该自治域号

13、加入AS PATH属性列表中。第23页，共38页。BGP路由属性和决策机制-Next-Hop 属性该协议携带路由信息的下是自治域出口路由器的出接口地址。一跳地址为自治域的出口地址。第24页，共38页。BGP路由属性和决策机制- Origin属性路由信息是如何进入BGP的IGP (i)network 命令手动敲入，最常用Incomplete (?)由IGP重发布进BGP。不常用，因为不好控制。第25页，共38页。BGP路由属性和决策机制-Local Preference 属性本地优先属性，越大越优先仅仅在自治域内传播，决定数据流量如何离开自治域。影响自治域的出方向流量。管理员用它在不同的出口间分

14、配出向流量。第26页，共38页。BGP路由属性和决策机制- MED 属性域间度量属性，值越小越优先。本端在发送的路由信息中加入该属性，用来影响对等自治域流量从哪条链路进入本端自治域。管理员用它来影响进入自治域的流量第27页，共38页。BGP路由属性和决策机制-Community属性Community属性表明一个目的网络作为一些团体中的一个成员，这些目的网络共享一个或者多个共同的特性。常用Community值NO_EXPORT,接受到该值的路由本能公布给EBGP对等，联盟可以NO_ADVERTISE，不能公布该路由管理员可以为某个网络在离开该自治域时定义一个团体属性。以便在其他自治域能根据这个属

15、性值为该网络定义特殊策略。第28页，共38页。BGP路由属性和决策机制Prefer highest local preference (global within AS).Prefer route originated by the local router (next hop = 0.0.0.0).Prefer shortest AS path.Prefer lowest origin code (IGP EGP incomplete).Prefer lowest MED (exchanged between autonomous systems).Prefer EBGP path over

16、 IBGP path.Prefer the path through the closest IGP neighbor.Prefer oldest route for EBGP paths.Prefer the path with the lowest neighbor BGP router ID.Prefer the path with the lowest neighbor IP address.第29页，共38页。操纵BGP的决策-三部曲利用BGP策略过滤器抽取相关路由信息。对路由信息携带的BGP路由属性进行修改。进而影响BGP路由决策，影响流量的走向。第30页，共38页。操纵BGP的决

17、策-BGP策略过滤器策略过滤器访问控制列表 (ACL) 用于匹配路由信息的目的地址网段。地址前缀列表 (Prefix-List) 用于匹配路由信息的目的地址网段；可以指定gateway选项，指明只接收某些路由器发布的路由信息。AS路径访问列表 (as path) 使用正则表达式匹配自治域号。团体属性列表 (community) 匹配路由信息中的community属性。第31页，共38页。Filter-Policy过滤路由 Distribute-list、Filter-list。与ACL、 Prefix-List、as path结合定义自己的匹配规则，只有通过过滤的路由才能被加入或被发送。Rou

18、te-Policy有滤有改 Route-map。Route-policy不仅可以匹配给指定路由信息的某些属性，还可以在条件满足时改变路由信息的属性。可以使用前面几种过滤器定义自己的匹配规则。操纵BGP的决策-BGP操纵工具第32页，共38页。不设置LP属性，路由器C则按照AS-PATH长短选择路由。在路由器B/A上设置LP属性，任意人为操纵路由器C的出站流量LP仅在本自治域内生效，不向外传递 操纵BGP的决策-利用Local Preference属性操纵出站流量第33页，共38页。改变在路由器A/B上改变发布路由的MED属性，影响对端自治域65004的路由决策。MED仅仅影响直连对端自治域，对端自治域不向外传递。操纵BGP的决策-利用MED属性操纵入站流量第34页，共38页。路由器C改变AS-PATH长度，将自身自治域AS号填充，让路由器Z发送的入站流量从路由器A进自治域。影响全互联网的对自身的入站流量