Address
304 North Cardinal St.
Dorchester Center, MA 02124
Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM
Address
304 North Cardinal St.
Dorchester Center, MA 02124
Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM
BGP选路13条原则 以上1 – 9相同可以开启负载分担,BGP路由表不体现,IP路由表显示 两条负载分担的路由都会宣告给其他BGP邻居 dis bgp routing-table Preference_Value对选路影响 Preference_Value是华为私有属性,Preference_Value相当于选路规则中weight值,仅对本地路由器生效,Preference_Value越大越优先,默认0。 如图所示,AS 200内有一个200.0.0.0/24的用户网段,AS 100内的管理员希望通过高带宽链路访问AS 200内的200.0.0.0/24网段,并希望RTA上的策略只影响自己选路,不影响其他设备,如何实现? 解决办法: 在RTA上设置ip-prefix匹配200.0.0.0/24的路由,再设置route-policy调用该ip-prefix,并设置Preference_Value为100,将策略应用在RTC发布路由的import方向。 验证:在RTA上使用Tracert命令,查看访问200.0.0.0/24网段经过的路由器。 示例 R2 —> 10.1.4.4 R4: bgp 100 network 80.4.4.0 24 network 70.4.4.0 24 需求: R2 —> R5 —> 70.4.4.4 R2 —> R3…
Local_Preference 本地优先级:默认值100,越大越优先,IBGP邻居之间有效只能在AS内传播 R2: bgp 200 network 70.2.2.0 24 R5: acl 2070 ru per sou 70.2.2.0 0.0.0.255 # route-policy Local_Pre per node 10 if-match acl 2070 app local-preference 122 route-policy Local_Pre per node 20 # bgp 100 peer 10.1.4.4 router-policy…
MED(Multi-Exit-Discriminator):默认值0,越小越优先,类似IGP的metric,该属性仅在相邻两个AS之间传递,用于判断流量进入AS时的最佳路由 Local_Pref,流量离开AS时的最佳路由,与MED对应 将igp引入到bgp时,igp路由的开销会自动移植到MED(手动指定:import-route ospf 1 med 0)。 Local_Pref为空的原因:公认任意属性,由于Local_Pref属性仅在IBGP邻居之间有效,因此从EBGP邻居收到Update报文不携带Local_Pref值,因此从EBGP邻居收到的路由的Local_Pref值是空。 MED值为空的原因:可选非过渡属性,在EBGP邻居发送update更新时,默认不携带MED属性,除非手动配置路由策略(route-policy)才会携带。 当属性为空时,可以看成该属性对应的默认值。 R3: ip ip-prefix 70 permit 70.4.4.0 24 gr 24 le 24 # route-policy MED per no 10 if-match ip-prefix 70 apply cost 8 # route-policy MED per no 20…
路由聚合概述 BGP在AS之间传递路由信息,随着AS数量的增多,单个AS规模的扩大,BGP路由表变得十分庞大,因此带来了如下两类问题: 存储路由表将占用大量的内存资源,传输和处理路由信息需要消耗大量的带宽资源。 如果传输的路由条目出现频繁的更新和撤销,对网络的稳定性会造成影响。 路由聚合的必要性 解决方案: 在RTC上将AS100和AS200内的明细路由聚合成10.1.8.0/21的一条路由,并将此聚合路由发布给Client AS。 通过路由聚合来节省内存和带宽资源,减少路由震荡带来的影响。 BGP路由聚合方法 – 静态 使用静态路由配置路由聚合的思路: 使用静态路由将明细路由聚合成10.1.8.0/22,下一跳指向NULL 0,因为聚合路由并不是具体的地址,发送给AS200时只是明细路由的替代,为了防止路由环路,所以将下一跳指向NULL 0; 由于使用静态路由,路由表中产生了一条10.1.8.0/22的路由,下一跳为NULL 0 ,使用network命令将IP路由表中的10.1.8.0/22路由变成BGP路由,并通告给对端BGP邻居,达到聚合的目的 ip route-s 10.2.0.0 16 null 0 # bgp 200 network 10.2.0.0 16
BGP路由聚合方法 – 自动聚合 自动聚合只对引入BGP的路由进行聚合,聚合到自然网段(主类网段)后,发送给邻居。 R2: bgp 200 summary automatic dis routing-table 10.0.0.0 # Aggregator:AS200 ,Aggregator ID:10.2.2.2 # 在AS200聚合的,聚合路由器ID 10.2.2.2 BGP路由聚合方法 – 手动聚合 如图所示,AS100内有4个用户网段,既有通过import方式引入BGP的路由,又有通过Network方式引入的BGP路由。AS200连接了一个Clinet AS,该AS内路由器处理能力较低,因此既希望能访问AS100与AS200内的网段,又不希望接收过多的路由,如何解决该问题? 手动聚合对BGP本地路由表里存在的路由进行聚合,并且能指定聚合路由的掩码。 配置示例: R2: bgp 200 aggregate 10.2.0.0 16 # 默认放行BGP路由表里面存在的所有明细路由 # aggregate 10.2.0.0 16 detail-suppressed…
团体属性:Community(辅助选路、过滤路由) 作用:标识具有相同特征的BGP路由,类似Tag功能 自定义团体属性(私有),例如 100:1 公共团体属性(公有) No_advertise:不传递给任何邻居 No_export:不传递给EBGP邻居(不发布到其他AS) BGP团体属性 Community 团体属性 – 公认属性 团体属性是一组具有相同特征的目的地址的集合,团体属性用一组以4字节为单位的列表来表示,设备中团体属性的格式是aa:nn或团体号 aa:nn :aa和nn的取值范围都是0-65535,管理员可根据实际情况设置具体数值。通常aa表示自治系统AS编号,nn是管理员自定义的团体属性标识。例如,来自AS100的一条路由,管理员定义的团体属性标识是1,则该路由的团体属性格式是100:1 。 团体号:团体号是0-4294967295的整数。RFC1997中定义,0(0x00000000)- 65535(0x0000FFFF)和4294901760(0xFFFF0000)- 4294967295(0xFFFFFFFF)是预留的。 团体属性用来简化路由策略的应用和降低维护管理的难度,利用团体可以使多个AS中的一组BGP设备共享相同的策略,团体是一个路由属性,在BGP对等体之间传播,且不受AS限制。BGP设备在将带有团体属性的路由发布给其他对等体之前,可以先改变此路由原有的团体属性。 公认团体属性 Internet:缺省情况下,所有的路由都属于Internet团体,具有此属性的路由可以被通告给所有的BGP对等体。 No_Advertise:具有此属性的路由在收到后,不能被通告给其他的任何的BGP对等体。 No_Export:具有此属性的路由在收到后,不能被发布到本地AS之外,如果使用了联盟,则不能被发布到联盟之外,但可以发布给联盟中的其他子AS。 No_Export_Subconfed:具有此属性的路由再收到后,不能被发布到本地AS之外,也不能发布到联盟中的其他子AS。 配置示例 对地市1的路由用团体属性进行标识和区分然后再发向省级,互联网200:1、业务A 200:2、办公A:200:3 对于AS100内往200:3的路由优选2号专线 只将地市1办公A的路由传递到地市2 配置命令: R2: ip ip-prefix HuLian per 10.2.0.0 16 gr 25…
特性1:聚合路由团体属性丢失,可以在聚合时追加团体属性 dis bgp routing-table community R5: bgp 100 peer 200.1.57.7 advertise-communi R7: R5: bgp 100 aggregate 10.2.0.0 16 detail-suppressed as-set R7: R5: acl 2010 rule 5 permit source 10.2.0.0 0.0.255.255 # route-policy CO per no 10 if-ma acl 2010 app…
实验拓扑 配置命令: BGP邻居建立 R1: bgp 200 peer 10.2.2.2 as 200 pee 10.2.2.2 con loo 0 pee 10.2.2.2 next-hop-local # 解决EBGP互联接口在IGP没有宣告问题 peer 200.1.13.3 as 100 R2: bgp 200 peer 10.2.1.1 as 200 peer 10.2.1.1 con loo 0 peer 10.2.1.1 next-hop-local…
VPN:Virtual Private Network 虚拟专用网络 专线:DDN、PTN、SDH、MSTP 成本高,通信质量好。 VPN:IPSec、MPLS-VPN、L2TP、PPTP、GRE、DSVPN、DMVPN等,只需要有固定的公网IP地址即可,价格便宜,通信质量较差。 用途: 总部和分支之间对联 site-to-site。 目前常用vpn:IPsec vpn、SSL vpn、MPLS vpn。
IPSec VPN应用场景 IPSec两边算法不一致,会导致VPN无法建立 IPSec特性 IPSec架构 防火墙:用户名admin 密码Admin@123 int g0/0/0 service-manage all permit IPSec VPN: AH协议 ESP协议 IKE协议 IPSec不是一个单独的协议,它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。 IKE协议提供密钥协商,建立和维护安全联盟SA等服务。 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)协议套件组成 AH协议:主要提供的功能有数据源验证,数据完整性校验,防报文重放,然而AH并不加密所保护的数据包。 ESP协议:提供AH协议的所有功能外(其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。 IKE协议:用于自动协商AH和ESP所使用的密码算法。 安全联盟SA (1)安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。 (2)安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA。 SA(security Association,安全联盟)定义了IPSec通信对等体之间将使用的数据封装模式、认证和加密算法、密钥等参数。SA是单向的,两个对等体之间的双向通信至少需要2个SA。如果两个对等体希望同时使用AH和ESP安全协议来进行通信,则对等体针对每一种安全协议都要协商一对SA。 SA由一个三元组来唯一标识,这个三元组包括: 安全参数索引SPI(Security Parameter Index) 目的IP地址…