Category 系统

  BGP选路13条原则 以上1 – 9相同可以开启负载分担，BGP路由表不体现，IP路由表显示 两条负载分担的路由都会宣告给其他BGP邻居 dis bgp routing-table Preference_Value对选路影响 Preference_Value是华为私有属性，Preference_Value相当于选路规则中weight值，仅对本地路由器生效，Preference_Value越大越优先，默认0。 如图所示，AS 200内有一个200.0.0.0/24的用户网段，AS 100内的管理员希望通过高带宽链路访问AS 200内的200.0.0.0/24网段，并希望RTA上的策略只影响自己选路，不影响其他设备，如何实现？ 解决办法： 在RTA上设置ip-prefix匹配200.0.0.0/24的路由，再设置route-policy调用该ip-prefix，并设置Preference_Value为100，将策略应用在RTC发布路由的import方向。 验证：在RTA上使用Tracert命令，查看访问200.0.0.0/24网段经过的路由器。 　示例 R2 —> 10.1.4.4 R4： bgp 100 network 80.4.4.0 24 network 70.4.4.0 24 需求： R2 —> R5 —> 70.4.4.4 R2 —> R3…

  Local_Preference 本地优先级：默认值100，越大越优先，IBGP邻居之间有效只能在AS内传播 R2： bgp 200 network 70.2.2.0 24 R5： acl 2070 ru per sou 70.2.2.0 0.0.0.255 # route-policy Local_Pre per node 10 if-match acl 2070 app local-preference 122 route-policy Local_Pre per node 20 # bgp 100 peer 10.1.4.4 router-policy…

  MED（Multi-Exit-Discriminator）：默认值0，越小越优先，类似IGP的metric，该属性仅在相邻两个AS之间传递，用于判断流量进入AS时的最佳路由 Local_Pref，流量离开AS时的最佳路由，与MED对应 将igp引入到bgp时，igp路由的开销会自动移植到MED（手动指定：import-route ospf 1 med 0）。 Local_Pref为空的原因：公认任意属性，由于Local_Pref属性仅在IBGP邻居之间有效，因此从EBGP邻居收到Update报文不携带Local_Pref值，因此从EBGP邻居收到的路由的Local_Pref值是空。 MED值为空的原因：可选非过渡属性，在EBGP邻居发送update更新时，默认不携带MED属性，除非手动配置路由策略（route-policy）才会携带。 当属性为空时，可以看成该属性对应的默认值。 R3： ip ip-prefix 70 permit 70.4.4.0 24 gr 24 le 24 # route-policy MED per no 10 if-match ip-prefix 70 apply cost 8 # route-policy MED per no 20…

  路由聚合概述 BGP在AS之间传递路由信息，随着AS数量的增多，单个AS规模的扩大，BGP路由表变得十分庞大，因此带来了如下两类问题： 存储路由表将占用大量的内存资源，传输和处理路由信息需要消耗大量的带宽资源。 如果传输的路由条目出现频繁的更新和撤销，对网络的稳定性会造成影响。 路由聚合的必要性 解决方案： 在RTC上将AS100和AS200内的明细路由聚合成10.1.8.0/21的一条路由，并将此聚合路由发布给Client AS。 通过路由聚合来节省内存和带宽资源，减少路由震荡带来的影响。 BGP路由聚合方法 – 静态 使用静态路由配置路由聚合的思路： 使用静态路由将明细路由聚合成10.1.8.0/22，下一跳指向NULL 0，因为聚合路由并不是具体的地址，发送给AS200时只是明细路由的替代，为了防止路由环路，所以将下一跳指向NULL 0； 由于使用静态路由，路由表中产生了一条10.1.8.0/22的路由，下一跳为NULL 0 ，使用network命令将IP路由表中的10.1.8.0/22路由变成BGP路由，并通告给对端BGP邻居，达到聚合的目的 ip route-s 10.2.0.0 16 null 0 # bgp 200 network 10.2.0.0 16

  BGP路由聚合方法 – 自动聚合 自动聚合只对引入BGP的路由进行聚合，聚合到自然网段（主类网段）后，发送给邻居。 R2： bgp 200 summary automatic dis routing-table 10.0.0.0 # Aggregator:AS200 ,Aggregator ID:10.2.2.2 # 在AS200聚合的，聚合路由器ID 10.2.2.2 BGP路由聚合方法 – 手动聚合 如图所示，AS100内有4个用户网段，既有通过import方式引入BGP的路由，又有通过Network方式引入的BGP路由。AS200连接了一个Clinet AS，该AS内路由器处理能力较低，因此既希望能访问AS100与AS200内的网段，又不希望接收过多的路由，如何解决该问题？ 手动聚合对BGP本地路由表里存在的路由进行聚合，并且能指定聚合路由的掩码。 配置示例： R2： bgp 200 aggregate 10.2.0.0 16 # 默认放行BGP路由表里面存在的所有明细路由 # aggregate 10.2.0.0 16 detail-suppressed…

团体属性：Community（辅助选路、过滤路由） 作用：标识具有相同特征的BGP路由，类似Tag功能 自定义团体属性（私有），例如 100:1 公共团体属性（公有） No_advertise：不传递给任何邻居 No_export：不传递给EBGP邻居（不发布到其他AS） BGP团体属性 Community 团体属性 – 公认属性 团体属性是一组具有相同特征的目的地址的集合，团体属性用一组以4字节为单位的列表来表示，设备中团体属性的格式是aa:nn或团体号 aa:nn ：aa和nn的取值范围都是0-65535，管理员可根据实际情况设置具体数值。通常aa表示自治系统AS编号，nn是管理员自定义的团体属性标识。例如，来自AS100的一条路由，管理员定义的团体属性标识是1，则该路由的团体属性格式是100:1 。 团体号：团体号是0-4294967295的整数。RFC1997中定义，0（0x00000000）- 65535（0x0000FFFF）和4294901760（0xFFFF0000）- 4294967295（0xFFFFFFFF）是预留的。 团体属性用来简化路由策略的应用和降低维护管理的难度，利用团体可以使多个AS中的一组BGP设备共享相同的策略，团体是一个路由属性，在BGP对等体之间传播，且不受AS限制。BGP设备在将带有团体属性的路由发布给其他对等体之前，可以先改变此路由原有的团体属性。 公认团体属性 Internet：缺省情况下，所有的路由都属于Internet团体，具有此属性的路由可以被通告给所有的BGP对等体。 No_Advertise：具有此属性的路由在收到后，不能被通告给其他的任何的BGP对等体。 No_Export：具有此属性的路由在收到后，不能被发布到本地AS之外，如果使用了联盟，则不能被发布到联盟之外，但可以发布给联盟中的其他子AS。 No_Export_Subconfed：具有此属性的路由再收到后，不能被发布到本地AS之外，也不能发布到联盟中的其他子AS。 配置示例 对地市1的路由用团体属性进行标识和区分然后再发向省级，互联网200:1、业务A 200:2、办公A：200:3 对于AS100内往200:3的路由优选2号专线 只将地市1办公A的路由传递到地市2 配置命令： R2： ip ip-prefix HuLian per 10.2.0.0 16 gr 25…

特性1：聚合路由团体属性丢失，可以在聚合时追加团体属性 dis bgp routing-table community R5: bgp 100 peer 200.1.57.7 advertise-communi R7： R5： bgp 100 aggregate 10.2.0.0 16 detail-suppressed as-set R7： R5： acl 2010 rule 5 permit source 10.2.0.0 0.0.255.255 # route-policy CO per no 10 if-ma acl 2010 app…

  实验拓扑 配置命令： BGP邻居建立 R1： bgp 200 peer 10.2.2.2 as 200 pee 10.2.2.2 con loo 0 pee 10.2.2.2 next-hop-local # 解决EBGP互联接口在IGP没有宣告问题 peer 200.1.13.3 as 100 R2： bgp 200 peer 10.2.1.1 as 200 peer 10.2.1.1 con loo 0 peer 10.2.1.1 next-hop-local…

  VPN：Virtual Private Network 虚拟专用网络 专线：DDN、PTN、SDH、MSTP 成本高，通信质量好。 VPN：IPSec、MPLS-VPN、L2TP、PPTP、GRE、DSVPN、DMVPN等，只需要有固定的公网IP地址即可，价格便宜，通信质量较差。 用途： 总部和分支之间对联 site-to-site。 目前常用vpn:IPsec vpn、SSL vpn、MPLS vpn。

  IPSec VPN应用场景 IPSec两边算法不一致，会导致VPN无法建立 IPSec特性 IPSec架构 防火墙：用户名admin 密码Admin@123 int g0/0/0 service-manage all permit IPSec VPN： AH协议 ESP协议 IKE协议 IPSec不是一个单独的协议，它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。 IKE协议提供密钥协商，建立和维护安全联盟SA等服务。 IPSec VPN体系结构主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）和IKE（Internet Key Exchange）协议套件组成 AH协议：主要提供的功能有数据源验证，数据完整性校验，防报文重放，然而AH并不加密所保护的数据包。 ESP协议：提供AH协议的所有功能外（其数据完整性校验不包括IP头），还可提供对IP报文的加密功能。 IKE协议：用于自动协商AH和ESP所使用的密码算法。 安全联盟SA （1）安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。 （2）安全联盟是单向的，两个对等体之间的双向通信，至少需要两个SA。 SA（security Association，安全联盟）定义了IPSec通信对等体之间将使用的数据封装模式、认证和加密算法、密钥等参数。SA是单向的，两个对等体之间的双向通信至少需要2个SA。如果两个对等体希望同时使用AH和ESP安全协议来进行通信，则对等体针对每一种安全协议都要协商一对SA。 SA由一个三元组来唯一标识，这个三元组包括： 安全参数索引SPI（Security Parameter Index） 目的IP地址…