BGP团体属性
COMMUNITY是一组共享相同属性的目的地集合,是可选过渡属性。
团体属性用来简化路由策略的应用和降低维护管理的难度,没有物理上的边界,与其所在的AS无关。
团体属性可以添加在每一个路由前缀中,由RFC1997定义,根据这些特征区分不同的路由,可以大大简化路由策略的配置工作,同时也增强路由策略的能力。
例如,一个ISP可以给自己所有的customer路由指定一个具体的团体属性,这样,学习到该路由的路由器要想给这些路由指定MED或者LOCAL_PREF等属性时,直接基于该团体属性进行操作,而不需要一条路由一条路由的去指定。
团体属性的Type code是8,32个bites长。可以解析为一个10进制的数,也可以解析为AA:NN的格式。RFC中规定,16个bites作为AS number,后16个bites由该AS自己使用。同时,这32个bites开头的部分0x00000000――0x0000FFFF和结尾的部分0xFFFF0000――0xFFFFFFFF被保留。
RFC1997还规定了几种公认的团体属性:
internet:默认的团体属性,所有路由都属于该团体。
NO_EXPORT(4294967041,or 0xFFFFFF01):含有该属性的路由不向任何联盟外的EBGP邻居发送,如果没有定义联盟,则认为该AS是一个独立的联盟。例如,大量的没有必要透传到internet的IP子网路由,可以标记该团体属性,以控制一些不需要的路由的规模。
NO_ADVERTISE(4294967042,or 0xFFFFFF02):含有该属性的路由不向任何BGP邻居发送,包括EBGP和IBGP。
Local-AS(4294967043,or 0xFFFFFF03):也称作NO-ADVERTISE-SUBCONFED:含有该属性的路由,不向任何EBGP邻居发送,包括联盟内的EBGP邻居。
设备收到带有这几个公认的团体属性的路由,是自动按照RFC规定来执行的,不需要再配置路由策略。
BGP对等体之间的交互原则
BGP 设备将最优路由加入 BGP 路由表,形成 BGP 路由。BGP 设备与对等体建立邻居关系后,采取以下交互原则:
1、从 IBGP 对等体获得的 BGP 路由, BGP 设备只发布给它的 EBGP 对等体。
2、从 EBGP 对等体获得的 BGP 路由, BGP 设备发布给它所有 EBGP 和 IBGP 对等体。
3、当存在多条到达同一目的地址的有效路由时, BGP 设备只将最优路由发布给对等体。
4、路由更新时, BGP 设备只发送更新的 BGP 路由。
5、所有对等体发送的路由, BGP 设备都会接收。
BGP路由聚合
聚合路由的方式:通过与静态路由组合对具体的路由条目进行路由聚合,自动聚合,手动聚合。
自动聚合
是按照自然网段进行聚合,而且只能对引入的IGP子网路由进行聚合,对从BGP邻居学习来的路由和通过netwrok命令生成的BGP路由不起作用。
BGP试图下命令为:summary automatic
手动聚合
命令Aggregate对路由进行聚合,只发布聚合路由:
bgp 100
aggregate 192.168.192.0 255.255.248.0 detail-suppressed
要宣告有Aggergate 命令确定的聚合路由,首先属于聚合路由的更具体的路由已经在BGP的路由表中,这些具体路由可以是从邻居学习来的路由,也可以是引入的IGP的路由;或者是通过network命令生成的BGP路由。
通过detail-suppressed选项,控制路由器,只发送聚合路由,不发送详细路由。
不使用detail-suppressed选项,聚合路由和具体路由都被传送。
BGP 安全性
BGP 使用认证和 GTSM(Generalized TTL Security Mechanism)两个方法保证 BGP 对等体间的交互安全。
BGP认证
BGP 认证分为 MD5 认证和 Keychain认证,对 BGP 对等体关系进行认证是提高安全性的有效手段。MD5 认证只能为 TCP 连接设置认证密码,而 Keychain 认证除了可以为 TCP 连接设置认证密码外,还可以对 BGP 协议报文进行认证。
BGP GR 和 NSR
BGP 的平滑重启 GR(Graceful Restart)和不间断路由 NSR(Non-Stop Routing)作为高可靠性的解决方案,其根本目的都是为了保证用户业务在设备故障的时候不受影响或者影响最小。
其还有路由策略和策略路由,就不一一叙述了,用到的地方我在叙述。
后面会出BGP 基础实验 及基于MPLS BGP ISIS VPN 综合应用实验。