重发布:import(路由导入)
将不同方式(直连、静态、缺省、其他协议)的路由重发布进入RIP 、OSPF
注意: 1.华为中不能将缺省路由重发布进入RIP协议(思科是可以的)
2.不能将缺省路由重发布进入OSPF协议(思科华为一致)
Seed-metric :种子度量值;
RIP—0
OSPF—默认类型2 ,seed-metric 1
重发布进行RIP 协议:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FOXNCZ8s-1669643688148)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128133938893.png)]
方法 1.修改RIP协议seed-metric值:在华为中针对所有方式重发布生效(思科中不针对重发布的直连生效)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EjY3RBLr-1669643688150)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128134020159.png)]
查看:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tv6dQkq7-1669643688150)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128134040979.png)]
方法2:在重发布过程中指定度量值(针对某一种方式)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kpisUdtT-1669643688151)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128134100903.png)]
查看:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8kGNX5a1-1669643688152)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128134116254.png)]
若同时部署:方法二优先不方法一生效(一般来说,若针对某项参数进行修改时,出现了歧义,命令匹配精确的优先生效)
重发布进入OSPF 协议:默认不能将缺省进行重发布,重发布引入的默认为类型 2 ,seed-metric为1
方法一:修改seed-metric,也可以修改 LSA 类型
修改默认类型和种子度量值
[r2-ospf-100]default type 1
[r2-ospf-100]default cost 20
方法二:重发布过程中,可以修改seed-metric 也可以修改 LSA 类型
[r2-ospf-100]import-route rip 100 cost 20 type 2
重发布定义: 将A协议重发布进入B协议时,进入B协议实施,将本路由器上通过A协议学习并加表的路由以及通告进入A协议接口对应的路由****重发布进行B协议。(除ODR ISIS)
分类
重发布点:单点 双点 多点
重发布向:单向 双向 多向
在进行多点 多向重发布时,会出现严重的网络问题:
1.次优路径
(原因是不同的路由协议AD值丌同,以及计算metric值的方式不同)
2.路由环路
(原因:路由回馈)
需要使用网络工具来解决次优路经以及路由环路。
解决思路:
1.先解决路由回馈 (保证所有进行重发布的路由器上路由是正确的),就解决了路由环路
2.根据不同的路由协议选路规则
进行次优路径的调整
路由策略:控制层面的路由控制,
策略路由:数据层面针对数据层面,使用一些列表控制数据的収送
路由抓取工具:
1.ACL
抓取路由时不能匹配网络掩码
2.前缀列表 prefix-list
特点: 1.仅仅抓取路由信息 2.能严格匹配网络掩码(以及可以范围性匹配掩码) 3.存在序列号,从小到大匹配,一经匹配立即执行 4.末尾隐含了拒绝所有
定义前缀列表 bh,序列号20 ,过滤 1.1.1.0 前24位固定,网络掩码范围大于等于28 小于等于30
iP ip-prefix bh index 20 deny 1.1.1.0 24 greater-equal 28 less-equal 30
匹配 所有的主机路由 :
[r1]iP ip-prefix bh premit 0.0.0.0 0 greater-equal 32
匹配 所有:
[r1]iP ip-prefix bh premit 0.0.0.0 0 less-equal 32
匹配 默认路由:
[r1]iP ip-prefix bh premit 0.0.0.0 0
匹配 所有的主A类路由:
[r1]iP ip-prefix bh premit 0.0.0.0 1 greater-equal 8 less-equal 8
匹配 所有的C类主网以及子网路由:
[r1]iP ip-prefix bh premit 192.0.0.0 1 greater-equal 24
实施策略工具列表:
fitter-policy (过滤策略列表)、route-policy
fitter-policy
过滤策略列表,进行路由信息的过滤。
特点:
1.自身不具备过滤功能
2.可以在同种路由之间使用或不同路由协议之间使用(重发布)过程中使用
3.同种路由协议之间分为距离矢量型(可以在出和入两个方向实施)和链路状态型(仅仅在路由学习的入方向使用,并且时是过滤LSA,只是阻止LSA的加表 备注: 华为设备中可以在出方向上针对5类和7类LSA进行过滤 )
4.在不同协议之间使用时,必须为export + A协议(需要被重发布的协议)
距离矢量型路由协议: 可以在in out 方向实施
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-baQ6MSez-1669643688153)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128155028375.png)]
RIP协议调用:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mEvODZW2-1669643688153)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128155053920.png)]
查看:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PT5iX7cq-1669643688154)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128155122043.png)]
export(out):
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-z8w8QcWY-1669643688154)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128155145317.png)]
调用:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tgDaeE3V-1669643688155)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128155203419.png)]
查看(同上)
查看没有实施fitter-policy 时 完整路由表:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xear6Kkc-1669643688155)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128155235463.png)]
链路状态型协议使用: 注意只能在import 方向是实施,幵且仅仅阻止路由条目加表,不能过滤LSA ; (export 不能使用)
调用:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qm26wgfe-1669643688156)(C:\Users\37419\Desktop\HCIP脱产\image-20221128155330153.png)]
route-policy
策略列表—route-map
使用环境: 1.重发布 2.BGP 3.PBR(QOS,是数据层面的控制 )
特点:
1.自身具有过滤功能
2.序列号由小及大匹配
3.可以过滤路由或者改变路由的属性
4.末尾隐含拒绝所有
5.每一个条目中包含逻辑语句(
if-match apply 注意:横向if-match match 任意 ,竖向if-match match 所有 )没有match 匹配all 没有apply apply nothing
1.使用ACL或前缀列表定义感兴趣路由
iP ip-prefix bh premit 1.0.0.0 24
2.创建route-policy 列表
route-policy bh premit node 10
if-match ip-prefix bh 条件
apply cost 2 应用
BGP: 边界网关协议
使用范围: BGP范围,在AS之间使用的协议
协议的特点(算法):路径矢量型,没有算法
协议是否传递网络掩码 :传递网络掩码,支持VLSM CIDR
协议消息数据包封装:基于TCP封装,端口号:179
AS: 自治系统
自治系统范围:1-65535 , 公有AS (1-64511)
私有AS(64512-65535)
一.BGP协议特点
1.BGP是一种路径矢量型路由协议
2.BGP协议版本,当前版本V4(V4+)V1 V2 V3(有类别) V4(无类别 仅仅支持IPV4单
播路由传递) V4+(支持IPV4单播路由、IPV6单播 IPV4 组播 、IPV6组
播、VPNV4 、VPNV6 等,除了IPV4单播路由之外的其他的都称为 MP-BGP—多协议
BGP; 注意:默认仅仅支持传递IPV4单播路由,传递其他方式路由时需要开启(激活))
3.更新地址:单播更新
4.更新方式:触发更新、增量更新
5.BGP协议中存在大量的属性(是一种基于规则的路由协议)
6.BGP协议支持路由认证
7.支持BGP路由聚合(汇总)
8.BGP是一种非常消耗资源的路由协议
二.适合使用BGP的网络环境
1.传输AS
2.多宿主
3.需要对进入和离开的流量进行强大的策略控制时
三.BGP邻居关系
IBGP :内部BGP邻居
EBGP:外部BGP邻居
BGP邻居关系建立条件:
1.router-id 必须不同
2.BGP认证一致
3.指定正确的AS号
4.建立TCP三次握手的两端路由可达
BGP防环机制
IBGP邻居的防环机制:IBGP 水平分割机制(IBGP只传一跳规则,通过一个IBGP邻居学习的
路由不能传递给其他的IBGP邻居);next-hop、起源者属性、簇ID列表.
EBGP邻居的防环机制:AS-Path AS路径防环,不接收AS-Path中包含自身AS号的路由信息
四.BGP 邻居状态机制
Idle : 初始化
Connect :连接 Active : 活动
Opensent:发送open报文 Openconfirm :open报文确认
Established :邻居状态
五.BGP消息数据包
Open keepalive updata notification
1.open :建立BGP邻居关系,只发送一次。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nNRzAviJ-1669643688156)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128125420539.png)]
2.keepalive :保活,维持BGP邻居关系。周期性发送周期时间keepalive 时间默认为60s
Hold 时间,保持时间默认为180s
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3Et6qQJ1-1669643688157)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128125536394.png)]
3.update :更新
通告路由:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lOWN8u96-1669643688157)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128125558043.png)]
撤销路由:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8kAa0sg-1669643688158)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128125615901.png)]
4.notification :报告(错误报告)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hwkB1GK5-1669643688158)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128125634916.png)]
六.BGP配置
IBGP:直连物理接口建立,非直连接口建立(环回接口)
EBGP:直连物理接口建立,非直连接口建立(环回接口)
启用BGP协议:
[r1]bgp 200
[r1-bgp]
手工指定router-id
[r1-bgp]router-id 1.1.1.1
手工指定邻居:
[r1-bgp]peer 2.2.2.2 as-number 200
修改更新源:默认更新源为到达peer的本地出接口地址
[r1-bgp]peer 2.2.2.2 connect-interface loopBack 0
修改EBGP之间多跳(EBGP之间数据包TTL默认为1 )
作用:1.关闭EBGP之间直连检测 2.修改EBGP数据包的TTL值
[r1-bgp]peer 2.2.2.2 ebgp-max-hop 20
查看BGP 邻居表:
[r1]display bgp peer
BGP协议三张表:
1.BGP邻居表
[r1]display bgp peer verbose
[r1]display bgp peer 查看BGP邻居表的摘要信息
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uP7L6WU4-1669643688159)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128155941034.png)]
2.BGP路由表
[r1]display bgp routing-table
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TT9Mygqd-1669643688159)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128160102968.png)]
3.IP路由表
BGP 路由优先级:
EBGP:255
IBGP:255
Local BGP : 255
[r1]display ip routing-table protocol bgp
注意: EBGP邻居之间传递路由最小间隔为30s
IBGP邻居之间传递路由最小间隔为15s
1.路由不优问题;
1.下一跳不可达
下一跳属性规则:
1.network 引入 默认next-hop 属性为0.0.0.0
2.network通告路由传递给IBGP邻居或EBGP邻居时,下一跳默认为更新源地址(即建立TCP三次握手的对
方IP地址)
3.IBGP学习路由传递给EBGP邻居时,下一跳为EBGP邻居建立的更新源地址(EBGP邻居路由传递给EBGP
邻居时也一样)
4.EBGP学习路由传递给IBGP邻居时,下一跳不发生改变
特点:在思科中, 若IBGP和EBGP邻居都使用MA网络进行连接,同时EBGP邻居使用MA物理接口建立邻
居,此时将IBGP邻居路由传递给EBGP邻居时,下一跳属性为到达IBGP邻居的MA物理接口地址
针对传递EBGP路由给IBGP时,下一跳不发生改变,会导致IBGP邻居学习路由由于下一跳不可达导致路由
不优,所以在IBGP邻居之间修改next-hop属性为自身
2.IBGP同步
数据层面的路由黑洞:
1.在边界设备上将BGP重发布引入IGP协议(仅仅引入EBGP邻居学习幵加表的路由)
2.在AS内建立全互联的IBGP邻居关系
3.减少IBGP邻居关系的数量,打破IBGP水平分割
a.路由反射器
b.EBGP 联邦
4.MPLS
对等体组 peer group
将多个peer 划入一个group中,针对group实施BGP邻居关系建立的配置
优点:1.减少BGP配置 2.将多个peer划入一个group仅仅针对一个group一次性消耗CPU 内存等资源,
所有可以节约资源
配置
创建group :
group bh internal
针对group定义配置
peer bh connect-interface loopback0
peer bh next-hop-local
将peer划入对等体组:
peer 3.3.3.3 group bh
路由反射器
反射规则: 非非不传(非客户端收到的路由不能传递给其他的非客户端)
在路由反射器中,由于破坏了IBGP水平分割机制,可能导致路由环路,所以引入了起源者属性和簇ID属性进行防环
设置路由反射器: 设置对等体组中用户为路由反射器的客户端,同时宣告自身为路由反射器的服务器端
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pZEobz5O-1669643688160)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128161450152.png)]
设置RR的cluster-id
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n0G3u3WM-1669643688160)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128161516012.png)]
EBGP联邦
先部署小AS,再声明大AS
注意: 联邦EBGP邻居既有IBGP邻居特性又有EBGP邻居特性
IBGP特性:1.下一跳问题 2.学习到的路由标记为IBGP
EBGP特性:邻居建立过程中存在EBGP邻居的非直连检测和TTL问题
联邦EBGP防环:引入联邦AS序列号进行防环(不AS-path 区别 1.丌计入选路 2.当传递出大的AS时消失)
声明大的AS号:
[r2-bgp]confegeration id 200
在需要建立联盟EBGP之间指定peer-as
[r2-bgp]confegeration peer-as 4
团体属性: 可选可传递属性
标准团体属性:定义BGP路由的传播范围
扩展团体属性:针对传递的路由信息进行标记
Internet—可以传递给所有邻居
no-advertise—不能传递给任何邻居
no-export—不能传递出大的AS
no-export-subconfed—不能传递出小的AS
默认情况下,所有路由器识别幵支持所有的属性,但是不传递
开启传递BGP团体属性的能力:
开启支持传递标准团体属性
peer 12.1.1.2 advertise-community
开启支持传递扩展团体属性
peer 12.1.1.2 advertise-ext-community
BGP特性
路由导入和导出
路由导入: 1.network 自身通告(可以通告所有路由表的路由条目)
2.import 重发布引入
1.network 引入next-hop属性永远为0.0.0.0 ,将原本IGP中的metric值以MED属性的方式引入
注意: 在思科中,若引入的路由是存在下一跳地址的(IGP或下一跳做法的静态),则引入的路由下一跳属性为原始路由的下一跳地址目的是为了IBGP协议防环,BGP不接收下一跳为自己的BGP路由;在华为中,network引入的路由下一跳属性为0.0.0.0 ,失去了下一跳防环机制,可能会导致临时的路由环路。
2.默认import引入属性与network通告属性相同(区别: 起源码属性为?)
3.BGP协议默认关闭自动汇总,若开启自动,仅仅针对重发布进入的路由生效,将引入的明细路由进行抑制,进行自动汇总(汇总成主类),同时MED属性丢失
开启或关闭自动汇总:
[r1-bgp]undo summary automatic
路由的导出: import
华为中,BGP协议import进入IGP协议时,默认只能将EBGP邻居学习并加表的路由导出进入IGP协议;可以通过参数 permit,ibgp ,将IBGP邻居学习路由也引入进IGP协议.(默认network直接通告的不能引入,Cisco中是可以的)
[r1-ospf-1]import-route bgp permit-ibgp
增加BGP协议的安全性
1.BGP路由认证:BGP的路由认证信息存在于TCP数据结构中,密码信息使用MD5 方式
peer 12.1.1.2 passwd simple 123456
2.限制BGP邻居的TTL值
启用BGP协议路由认证:
peer 12.1.1.2 passwd simple 123456
启用BGP TTL限制:
[r1-bgp]peer 12.1.1.2 valid-ttl-hops
BGP邻居关系重置
1.重启BGP邻居
2.开启BGP路由刷新能力(默认该属性已开启)
重置BGP邻居(断开三次握手,重新建立)
<r1>reset bgp 12.1.1.2
手工进行BGP路由刷新:
<r1>refresh bgp 12.1.1.2
路由过滤:
方法一: 1.使用route-policy 进行路由过滤(可以在import export方向上实施)
方法二: 2.使用filter-policy , 可以在BGP协议中直接使用(filter-policy可以正常调用ACL或前缀列表)或在针对某个BGP peer 使用(filter-policy可以调用ACL ,不能调用前缀列表)
使用ACL 或前缀列表定义策略:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3QGDUUu3-1669643688161)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128162749420.png)]
在fitter-policy中调用:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GuDc7II4-1669643688161)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128162920716.png)]
在BGP邻居关系建立过程中进行路由过滤(使用fitter-policy只能调用ACL )
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tgQ1viTW-1669643688162)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128162942203.png)]
调用:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-o4WEMvKg-1669643688162)(C:\Users\37419\AppData\Roaming\Typora\typora-user-images\image-20221128163008993.png)]
BGP 路由聚合
(就是IGP中的汇总)
1.利用BGP 可以network 所有加表的路由信息
[r1]ip route-static 1.1.1.0 255.255.255.0 NULL
通告:
[r1-bgp]network 1.1.1.0 255.255.255.0
2.使用聚合者属性进行路由聚合
[r1-bgp]aggregate 1.1.1.0 255.255.255.0
注释:
1.默认情况,发送聚合路由也发送所有的明细路由
2.detail-suppressed ,仅仅发送聚合路由,抑制所有的明细路由发送
3.suppress-policy , 使用抑制列表进行控制,抑制列表调用route-policy,此时route-policy 仅仅抓取感兴趣路由(只有permit),抑制列表自身有过滤功能
4.origin-policy,就是条件策略,针对origin-policy中匹配的路由存在时,聚合才会生效
5.attribute-policy ,仅仅针对聚合路由进行策略控制
6.as-set,可以还原聚合路由中丢失的某些属性(例如AS-path)
注意: 在进行路由聚合时,会丢弃某些属性,例如AS-path,导致网络故障(严重的会出现路由环路),还有一些属性会自动生成一些默认值。
存在问题的属性: 1.AS-Path(丢失) 2.origin(默认使用所有明细中最差的 )3.LP(丢失) 4.团体属性(丢失)使用AS-SET属性之后:
AS-PATH:会将经过的所有AS恢复,若存在重复的多个AS路径中,将所有经过的AS 写入到一个叫做AS序列 属性中, 在计算AS-path长度时仅仅算一个
Origin:默认使用所有明细中最差的 (思科中默认使用i,使用了AS-SET之后才会选择最差的)
LP:丢失(思科中,使用最小的LP)
255.255.255.0
2.使用聚合者属性进行路由聚合
[r1-bgp]aggregate 1.1.1.0 255.255.255.0
注释:
1.默认情况,发送聚合路由也发送所有的明细路由
2.detail-suppressed ,仅仅发送聚合路由,抑制所有的明细路由发送
3.suppress-policy , 使用抑制列表进行控制,抑制列表调用route-policy,此时route-policy 仅仅抓取感兴趣路由(只有permit),抑制列表自身有过滤功能
4.origin-policy,就是条件策略,针对origin-policy中匹配的路由存在时,聚合才会生效
5.attribute-policy ,仅仅针对聚合路由进行策略控制
6.as-set,可以还原聚合路由中丢失的某些属性(例如AS-path)
注意: 在进行路由聚合时,会丢弃某些属性,例如AS-path,导致网络故障(严重的会出现路由环路),还有一些属性会自动生成一些默认值。
存在问题的属性: 1.AS-Path(丢失) 2.origin(默认使用所有明细中最差的 )3.LP(丢失) 4.团体属性(丢失)使用AS-SET属性之后:
AS-PATH:会将经过的所有AS恢复,若存在重复的多个AS路径中,将所有经过的AS 写入到一个叫做AS序列 属性中, 在计算AS-path长度时仅仅算一个
Origin:默认使用所有明细中最差的 (思科中默认使用i,使用了AS-SET之后才会选择最差的)
LP:丢失(思科中,使用最小的LP)
COM:丢失(在思科中会恢复所有团体属性,同时使用)