第八节 BGP基础
一、BGP产生背景
BGPBorder Gateway Protocol,边界网关协议)是一种用于自治系统间的动态路出协议,是一种外部网关协议。
自治系统AS:一组同一个管理机构进行管理,对外呈现统一选路策略的路由器的集合。
自治系统编号:
2字节AS编号:取值范围0-65535,其中0和65535保留公有AS:1-64511
私有AS:64512-65535
4字节AS编号:2的32次方的编号数量
二、路由协议的分类
IGP:RIP(100)、OSPF(150)、IS-IS(15)
EGP:BGP---(255)(优先级)
三、BGP协议特性
1、BGP 只负责把路由从一个AS传到另一个AS;从其他AS传递过来的路由在本AS内部的扩散依靠IGP:
2、BGP是路径矢量协议,一跳是一个自治系统;
当一条路由传入某个AS,该路由的下一跳会变为上个AS的出接口的IP地址;当一条路由在某个AS内部的路由器之间传递时,下一跳不变。
3、AS防环机制:路径矢量路由协议,从设计上避免了环路的发生(AS PATH防环机制)
当一条路由每从一个AS传出,会把该AS的编号按照从右至左的顺序依次记录在AS_PATH属性中;
一个路由器从其他AS收到一条路由通告,会检查本路由器的AS标号是否出现在该路由条目的AS PATH属性中,如果出现了则该条目不学习;
4、BGP基于TCP协议传输,端口号179:必须手动配置邻居
5、BGP第一次发送完整的路由表,后续只发送增量更新;
6、BGP有多种属性可以控制路由选择。(难点)
7、支持CIDR和路由聚合;
8、路由过滤和路由策略
四、BGP基本术语
1、
2、BGP对等体:BGP邻居可以直连,也可以非直连
(1)EBGP对等体:跨AS之间的邻居,一般情况下EBGP对等体是物理上直连的。
五、BGP规划问题
(规划不当容易产生路由黑洞)
R2:peer 5.5.5.5 next-hop-local
目标IP:6.6.6.6/32 源IP:1.1.1.1/32+数据
路由黑洞产生原因:由于IBGP邻居之间没有运行BGP协议的路由器,无法获得BGP的路由;从而导致的数据包进入路由器被丢弃。
(3)IBGP全连接 -----IBGP防环机制:IBGP水平分割:从IBGP邻居学习到的路由不会传递给其他IBGP邻居
(4)BGP路由反射器(无视IBGP的防环机制,可以减少邻居关系的数量)
六、BGP环路问题(水平分割)
七、BGP消息种类
- 标记(Marker):该字段被保留下来用于解决协议兼容性问题,没有其他含义
- 长度(length):指示BGP报文的长度(字节数)
- 类型(Type):该字段指示了BGP报文的类型,就是前面提到的BGP5种数据包类
Hold time:保持时间,该字段表示路由器在收到Keepalive消息或者Update消息之前等待的最长时间,默认180s,如果邻居双方的保持时间不一致,将以较短的时间作为双方可接收的保持时间。
可选参数:Open包中包含多个可选参数,主要用于宣告及协商BGP对等体的某些能力特征。
- Keepalive:周期性的向BGP对等体发出Keepalive(周期保活)消息,用于保持连接的有效性,在默认情况下每60秒发送一条Keepalive消息,或者以已协商一致的保持时间的1/3为周期发送Keepalive消息。默认60s,超时180s。
- Update:携带的是路由更新(删减、增加)信息
- notfication:当BGP检测到错误状态时,就向对等体发出notfication消息,之后BGP连接会立即被关闭(邻居关系结束了)
- router-refresh:用于在改变路由策略后,要求对等体重新发送指定地址族的完整路由表信息;只有支持路由刷新能力的路由器才会响应router-refresh报文。
八、BGGP状态机
BGP(边界网关协议)是互联网中的核心路由协议,它用来在不同的自治系统(AS)之间交换路由信息。BGP 的状态机是其操作的关键部分,用于管理 BGP 会话的状态以及协议的不同阶段。BGP 的状态机包括以下几个主要状态:
1. Idle(空闲):
在这个状态下,BGP 实例不与任何邻居建立连接。如果需要建立连接,BGP 实例会转到 `Connect` 状态。(空闲状态,停留30秒,初始化开始准备TCP连接并监视远程对等体,启动BGP时,同时建立邻居关系,此状态持续30秒)2. Connect(连接):
在 `Connect` 状态,BGP 实例等待与对等体建立 TCP 连接。如果连接成功,BGP 实例会进入 `Active` 状态。如果连接超时或失败,BGP 实例会返回到 `Idle` 状态。(TCP连接中状态,本端为TCP被动连接方,若连接建立失败则进入Active状态,反复尝试连接;)3. Active(激活)(活跃状态):
在 `Active` 状态,BGP 实例尝试重新建立与对等体的 TCP 连接。如果成功,BGP 实例会转到 `OpenSent` 状态;如果失败,BGP 实例会回到 `Idle` 状态。(活跃状态,本端为TCP主动连接方,TCP连接没建立成功,反复尝试连接;)4. OpenSent(开放发送)(开始发送状态):
在 `OpenSent` 状态,BGP 实例已发送 OPEN 消息并等待对等体的 OPEN 消息。如果收到有效的 OPEN 消息,BGP 实例会转到 `OpenConfirm` 状态;如果 OPEN 消息无效或超时,BGP 实例会返回到 `Idle` 状态。(开始发送状态,成功建立TCP连接,发出open报文,open报文中携带参数协商对等体的建立,正在等待接受对方open报文;)5. OpenConfirm(开放确认)(开始确认状态):
在 `OpenConfirm` 状态,BGP 实例已经接收到对等体的 OPEN 消息,并发送了 KEEPALIVE 消息。如果在规定时间内收到对等体的 KEEPALIVE 消息,BGP 实例会进入 `Established` 状态;如果没有收到 KEEPALIVE 消息,BGP 实例会返回到 `Idle` 状态。(开始确认状态,收到open报文,发出Keepalive报文,等待第一个)6. Established(建立)(已连接状态):
在 `Established` 状态,BGP 实例已经成功建立了会话,并且可以开始交换路由信息。在这个状态下,BGP 实例交换 UPDATE、KEEPALIVE 和 NOTIFICATION 消息。如果会话中出现问题,BGP 实例可能会回到 `Idle` 状态,重新开始会话建立过程。(已连接状态,收到Keepalive报文,最终成功建立邻居;)这些状态和状态转换确保了 BGP 会话的建立、维护和恢复,使得路由信息在自治系统之间能够稳定地传递。
九、BGP邻居建立条件
TCP可达(需要具有到达对方IP地址的路由),
建议使用环回口地址来指定IBGP邻居;
需要修改更新源为环回;
[R1-bgp]peer 2.2.2.2 connect-interface LoopBack 0
注意: 默认IBGP邻居间数据包的TTL值为255,EBGP邻居间TTL为1;故一旦使用环回建立ebgp邻居关系,必须修改TTL值,否则无法建立TCP三次连接
[r4-bgp]peer 5.5.5.5 ebgp-max-hop 2 //修改TTL值(最大跳数值)
十、BGP基本配置
[huawei-bgp]router-id 'router-id' 配置router-id;(可选配置)
[huawei-bgp]peer 'ip-address' as-number 'as-unmber' 指定BGP对等体及AS号;
[huawei-bgp] address-family ipv4 unicast 创建BGP地址族,并进入相应地址族视图。----华三
[huawei-bgp-ipv4] peer ip-address enable 使能本地路由器与指定对等体交换路由信息的能力
[huawei-bgp]peer 'ip-address' connect-interface ‘interface’ 指定建立TCP连接使用的源接口;
[huawei-bgp]peer 'ip-address ebgp-max-hop 'hop-count' 指定EBGP对等体最大跳数;默认跳数是1,配置允许同非直接相连网络上的邻居建立EBGP连接
[Router-bgp] network ip-address [ mask | mask-length ] [route-policy route-policy-name ]
[Router-bgp] import-route protocol [ { process-id | all-processes } [ allow-direct | med med-value | route-policy route-policy-name ] ]
十一、BGP基础实验
实验结果查看博客“BGP基础实验”
第九节 BGP选路及属性
一、BGP路由选路原则(13条)
1、首先丢弃下一跳(NEXT HOP)不可达的路由,
2、优选Preferred-value值最大的路由;默认为0;
Preferred-value:定义:首选项
属性值:默认为0,取值范围是 0~65535,取值越大,优先级越高
注意:H3C和华为的私有属性
3、优选本地优先级(LOCAL PREF)最高的路由;
4、依次选择network命令生成的路由、import-route命令引入的路由、聚合路由;5、优选AS路径(AS_PATH)最短的路由;
6、依次选择ORIGIN属性为IGP、EGP、Incomplete的路由;
7、优选MED值最低的路由;
8、依次选择从EBGP、联盟EBGP、联盟IBGP、IBGP学来的路由;
9、优选下一跳度量值最低的路由,
度量值:一般指通过IGP协议到达下一跳地址的度量值
10、优选CLUSTER LIST长度最短的路由;
11、优选ORIGINATOR_ID最小的路由;
12、优选RouterID最小的路由器发布的路由。
13、优选IP地址最小的对等体发布的路由
二、BGP负载分担时的选路
1、背景:BGP协议本身一定能选出唯- 一条到达目的网段的最优路由,通过手动配置路由策略可以允许BGP实现负载分担的功能.
2、BGP的负载分担与IGP的负载分担有所不同:
IGP是通过协议白身定义的路由算法,对到达同一目的地址的不同路由,将度量值(metric)相等的路由进行负载分担BGP本身并没有路由计算的算法,但BGP有丰富的选路规则,可以在对路由进行一定的选择后,有条件地进行负载分担
三、BGP路由的发布策略
只将最优路由发布给对等体。如果配置了active-route-advertise命令,则BGP发布IP路由表中的最优路由;否则,发布BGP路由表中的最优路由;
举例:
一个路由既通过BGP学到10.1.1.0/24:
10.1.1.0/24 1.1.1.1优 BGP路由表优先
10.1.1.0/24 2.2.2.2又通过OSPF也学到了10.1.1.0/24:
10.1.1.0/24 3.3.3.3 IP路由表优先
最终在我的IP路由表中,应选择哪一条?
比较优先级:OSPF 优先级:10和150 ,BGP优先级255。在整个IP路由表中,选择通过OSPF学到的路由
BGP学到的网段路由优先级为255
OSPF学到的网段路由优先级为150
因此学到的为OSPF发布的
只把自己使用的路由发布给对等体(自己选的最优路由);
从EBGP获得的路由会向它所有BGP对等体发布;
从IBGP获得的路由不向它的IBGP对等体发布:;(IBGP水平分割)
从IBGP获得的路由发布给它的EBGP对等体;
BGP连接一旦建立,BGP发言者将把满足上述条件的所有BGP路由发布给新对等体,之后,BGP发言者只在路由变化时,向对等体发布更新的路由。
四、BGP属性
(属性越多,控制BGP路由选路的方法越多)…--实验演示
属性:描述一个对象的特征的一些信息
1、公认属性:所有路由器都必须识别的属性
公认必遵属性:BGP发布的路由必须携带,所有路由器必须识别的属性;AS_path、next-hop、origin
(1)AS_path
定义:AS路径属性,记录路由传递过程中经过的AS编号作用:AS防环;
路由优选:AS path短 (AS编号的数量)的优先;注:AS_path属性增加AS编号是在路由从一个AS传出的时候;增加AS_path长度来控制选路时,建议增加真实经过的AS编号,防止AS防环机制导致路由无法学习;
实验演示:bgp选路属性(AS_path)
(1)R1到达192.168.1.0的路径:R1-R3-R4
做法1:在R2上修改路由的AS_path(在R2到R1的出方向修改)
rule 5 permit source 192.168.1.0 0.0.0.255
route-policy 1.0 permit node 10
apply as-path 300 400 additive
route-policy 1.0 permit node 20
peer 100.1.1.1 route-policy 1.0 export
做法2:在R1上修改路由的AS_path(在R2到R1的进方向修改)
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1]route-policy 1.0 permit node 10
[R1-route-policy]if-match acl 2000
[R1-route-policy]apply as-path 500 600 additive
[R1]route-policy 1.0 permit node 20
peer 100.1.1.2 route-policy 1.0 import
additive:在原来的AS编号基础上,加入新增加的AS编号
思考:假设一条路由的AS_path=(1,2,3),另外一条路由AS_path=(10000,20000),请问谁的路由更优?
(2)next-hop:下一跳
注意:如果一个路由器同时拥有EBGP和IBGP邻居:
1)路由发布给EBGP邻居,下一跳变更为指定的EBGP邻居地址2)路由发布给IBGP邻居,下一跳不变,仍然保持为指定的上个AS的EBGP邻居地址;
3)对IBGP邻居发布的路由通告命令更改下一跳为本机。
(3)origin:路由来源属性(描述一条BGP路由的来源)
属性值:
1)IGP:来源于network宣告,聚合的路由,显示为1;
2)EGP:来源于引入的EGP协议路由,显示为e(一般见不到了)
3)incomplete :未完成,来源于引入IGP协议或静态路由,显示为?
4)优选顺序:IGP>EGP>incomplete
在R1增加一个环回口:192.168.2.1,宣告进BGP,查看R4路由表,发现去往192.168.1.0网段的下一跳是R2。
现在我们可以通过更改OGN属性,让去往192.168.2.0网段的下一跳是R3。
[R4-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R4]route-policy 2.0 permit node 10
[R4-route-policy]if-match acl 2000
[R4-route-policy]apply origin incomplete
[R4]route-policy 2.0 permit node 20
[R4-bgp]peer 2.2.2.2 route-policy 2.0 import
公认可选:所有路由都识别,但不是必须携带的属性;local-perference、Atomic-aggregate
(1)local-perference:
定义:本地优先级,同一个AS内也可以看到这个属性值,表明了BGP路由器的优先级
注意:默认值100,值大的优先;
在R4上通过更改local-perference,让R4重新选择走R2的2.2.2.2
方法2:把到3.3.3.3的路由local-perference值改小于100
[R3-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R3]route-policy lp permit node 10
[R3-route-policy]if-match acl 2000
[R3-route-policy]apply local-preference 80
[R3]route-policy lp permit node 20
[R3-bgp-af-ipv4]peer 4.4.4.4 route-policy lp export
(2)Atomic-aggregate:自动聚合
2、可选属性
- clustor_list:集群列表
- originator_id:起源ID
- MED:多出口鉴别器:当一个AS有多个入口点时,用于判断流量进入AS时的最优路径。
实验演示:
演示1:在R4上通过路由策略对2.0网段路由改MED值,这样R4能将192.168.2.0的MED传给R5。
[R4-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R4]route-policy med permit node 10
[R4-route-policy]if-match acl 2000
[R4-route-policy]apply cost 133
[R4]route-policy med permit node 20
[R4-bgp-af-ipv4]peer 100.5.5.5 route-policy med export
3、preferred-value
属性值:默认为0,取值范围是 0~65535,取值越大,优先级越高。
通过修改preferred-value,使R1去往192.168.1.0/24走R2
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1]route-policy pv permit node 10
[R1-route-policy]if-match acl 2000
[R1-route-policy]apply preferred-value 30
[R1]route-policy pv permit node 20
五、属性控制的选择建议
1.如果希望影响下游所有路由器的路由选择,建议使用AS-PATH
2.如果只希望影响本AS内部的路由器选择,建议使用Local-preference
六、属性控制方法
七、BGP路由控制实验
第十节 BGP对等体组等
一、大规模BGP网络所遇到的问题
BGP 对等体众多,配置繁琐,维护管理难度大
BGP 路由表庞大,对设备性能提出挑战
IBGP 全连接,应用和管理 BGP难度增加,邻居数量过多
路由变化频繁,导致路由更新频繁
二、解决大规模BGP网络所遇到的问题
对等体组(Peer Group)
BGP 团体(Community)
2、BGP 路由表庞大
BGP 路由聚合
3、IBGP 全连接(邻居数量太多)BGP路由反射(Route Reflection)
BGP联盟(Confederation)
4、路由变化频繁
BGP 路由衰减(Route Dampening)
三、对等体组
定义:BGP 对等体组(Peer Group)是一些具有某些相同属性的对等体的集合。通过对等体组可以简化配置
特点:根据对等体所在的AS,对等体组可分为IBGP对等体组和EBGP对等体组。
EBGP :R1-R2
IBGP:R2 分别于 R3/R4/R5
注意:配置EBGP对等体组--------一般不常用,因为只有同一个AS中的EBGP邻居才能加入一个对等体组,如果EBGP邻居分布在多个AS,则需要给每个AS的EBGP邻居,配置一个对等体组。比较麻烦
[R2-bgp]peer in connect-interface l0
[R2-bgp]peer in next-hop-local
四、BGP路由聚合
只能对引入的iGP 的路由进行聚合,
只能将明细路由汇总到主类,这会造成路由黑洞,
华为设备默认关闭自动聚合功能;
实验演示1:只针对重发布的路由条目生效,不对自身宣告的路由生效
在R3上加几个环回口172.16.0.1 24和172.16.1.1 24,并做BGP宣告
可实现精确汇总:[R1-bgp]aggregate 172.16.0.0 16
可以在任何路由器上对 BGP 路由进行聚合;
解决方法:[R1-bgp]aggregate 172.16.0.0 16 detail-suppressed //抑制明细路由
[R3-bgp]aggregate 172.16.0.0 23
[R1-bgp]aggregate 172.16.0.0 16 detail-suppressed as-set 汇总的路由可继承明细路由的路径属性,其中AS_PATH属性最关键。
[R1-bgp]aggregate 172.16.0.0 16 suppress-policy ‘路由策略名字’通告汇总路由,并有选择性的抑制明细路由
五、路由反射器
BGP反射器能把从IBGP邻居学习的路由反射给其他IBGP邻居
用于替代IBGP全连接,减少IBGP邻居数量;解决BGP路由黑洞问题;
client:RR 客户机
非客户机
注:将一台BGP路由器指定为RR的同时,还需要指定其Client。至于Client本身,无需做任何配置,它并不知晓网络中存在RR
4、反射规则
由反射器和客户端组成的网络范围;
使得IBGP水平分割原则失效,会导致环路的产生
类似 AS PATH,每个 RR 都有一个 clusterid,默认为路由器的routerid,可手工修改;
同一个 AS 内的 clusterid 必须相同,才能有防环作里。
路由传递过程中,把经过的反射器的clusterid依次记录在 glustsrlisk中;
clustsrlisk用于反射器防环,当反射器收到 BGP 路由时,如果本机的 clustsrid出现在clusterlist中,则丢弃该路由;
特殊情况:不受Cluster-list防环机制的约束,依然形成环路
Cluster-list用于路由优选,短的优先
(2)originator_ID:起源ID
由路由反射器反射一条路由时产生,会在反射出去的路由中增加 griginator.w,它就是此路由始发者的 router-id;
即使这条反射路由经过多个 RR,当 BGP路由器收到一条携带 Qrgioatgr!Q~属性的IBGP 路由,并且 &rginatgr!p,属性值与自身的 Router ID 相同,则它会忽略关于该条路由的更新。
originator_ID用于路由优选,短的优先
(2)IBGP的水平分割:解决一个AS内部IBGP邻居之间环路问题
[R2-acl-basic-2000]rule permit source 172.16.0.0 0.0.1.255
[R2]route-policy aa permit node 10
[R2-route-policy]if-match acl 2000
[R2-route-policy]apply local-preference 90
第十一节 VLAN技术
一、VLAN技术产生背景
二、VLAN作用及特点
VLAN作用:将规模较大的广播域在逻辑上划分成若干个不同的、规模小的广播域
三、VLAN实现过程
- pc发送数据帧进入交换机,会被打上VLAN tag;VLAN tag中的VLAN id就是收到数据帧的接口的所属VLAN;一旦数据帧被打上VLAN tag,就变成了802.1Q格式的帧;
- 交换机检查数据帧的目的MAC地址,进行判断;
若目的Mac地址对应的接口允许tag中的VLAN id通过,则数据帧可以转发;否则,丢弃该帧
- 数据帧从主机出来后会进入到交换机,交换机收到后会给此数据帧打上一个vlan tag(tag中的vlan ID就是交换机收到数据帧接口的vlan ID),此时数据帧变成了一个802.1q格式的帧。
- 在发送端802.1Q格式的数据帧离开交换机时,检查该接口的vlan允许列表,若允许,则带标签发送,反之则丢弃。
- 接收端的交换机收到后,交换机检查目标MAC地址的主机接口所属的vlan ID,如果此vlan ID与802.1q帧格式中的vlan ID一致,则转发该数据帧,否则丢弃。
四、VLAN划分方式
五、交换机接口类型
1、access:
(1)定义:一般连接PC、服务器等终端设备,一个接口只能加入一个VLAN。
(2)特点:
接收帧:
收到untagged(不带标签)的数据帧,打上该接口PVID的标签,并接收;收到tagged(带标签)数据帧,与该接口PVID比较,相同则接受,不同则丢弃;
发送帧:
剥离标签发送
2.trunk :
(1)定义:一般用于交换机间互连、路由器、防火墙等设备的子接口;
可以允许多个VLAN的数据帧通过;(2)特点:
接收帧:
untagged数据帧,打上该接口的PVID的标签,同时看下该接口的PVID和802.1Q2格式帧中的VLAN TAG是否在接口允许列表中,如果在就并接收,否则丢弃tagged数据帧,查看VID是否在该接口允许列表中,如果在则接收,反之则丢弃:
发送帧:VID在允许列表中,且VID与PVID一致,则剥离标签发送;
VID在允许列表中,但VID与PVID不一致,则直接带标签发送:不在允许列表中,则直接丢弃;
[SW1-GigabitEthernet0/0/1]port trunk pvid vlan 10 修改TRUNK接囗PVID
[SW1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
3、hybird:
(1)定义:
既可连接pc或者路由器,能来连接交换机,可以允许多个VLAN的数据通过;
可以手动配置hybrid端口发出的数据帧,哪个VLAN保留标签,哪个VLAN撕掉标签;
hybrid收到未打tag的帧,会重新打上缺省VLAN的tag;
(2)特点:
接收帧:
untagged数据帧,打上PVID的标签,并接收;
tagged数据帧,查看VID是否在允许列表中,如果在则接收,反之则丢弃,
发送帧:
Tag中的VLANID与pvid一致,则剥离tag并发送;Tag中的VLANID与pvid不一致:
Tag中的VLAN ID出现在tagged表中,则保留tag发送;Tag中的VLANID出现在untagged表中,则剥离tag发送,反之,丢弃;:(3)hybird应用(每个PC都能和服务器通信,但PC之间不互通)
[SW2-GigabitEthernet0/0/2]port hybrid untagged vlan 10 100 配置untag的vlan列表
六、VLAN间通信
VLAN间通信背景
同一VLAN内通信,可以通过二层交换机实现
VLAN间的通信,只能依靠三层设备(路由器、三层交换机)
(1)使用路由器物理接口
特点:在路由器上配接口IP,作为主机网关。但这需要路由器与每个VLAN建立一条物理连接,路由器接口很少,浪费路由器接口。
(2)使用路由器子接口(单臂路由)
特点:一旦出故障,网络就瘫痪了。
配置命令
[r1]int g0/0/0.1 创建子接口
[r1-GigabitEthernet0/0/0.1]dot1g termination vid 2 封装802.1q格式
[r1-GigabitEthernet0/0/0.1]arp broadcast enable 开启arp广播播
(3)使用三层交换机的VLANIF接口
VLANIF转发流程(1)
目标MAC:MAC2:源MAC:MAC1+vlan 10+ 目标IP:192.168.20.2 源IP:192.168.10.2/24+传输层+应用层+数据
目标MAC:MAC3:源MAC:MAC2+vlan 20 +目标IP:192.168.20.2 源IP:192.168.10.2/24+传输层+应用层+数据
