bgp過濾鄰居路由

❶ 如何使用 Quagga BGP路由器來過濾 BGP 路由

1. 為路由器間的協議交換增加認證功能，提高網路安全性。路由器的一個重要功能是路由的管理和維護，目前具有一定規模的網路都採用動態的路由協議,常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。當一台設置了相同路由協議和相同區域標示符的路由器加入網路後，會學習網路上的路由信息表。但此種方法可能導致網路拓撲信息泄漏，也可能由於向網路發送自己的路由信息表，擾亂網路上正常工作的路由信息表，嚴重時可以使整個網路癱瘓。這個問題的解決辦法是對網路內的路由器之間相互交流的路由信息進行認證。當路由器配置了認證方式，就會鑒別路由信息的收發方。有兩種鑒別方式，其中「純文本方式」安全性低，建議使用「MD5方式」。
2. 路由器的物理安全防範。
路由器控制埠是具有特殊許可權的埠，如果攻擊者物理接觸路由器後，斷電重啟，實施「密碼修復流程」，進而登錄路由器，就可以完全控制路由器。
3. 保護路由器口令。
在備份的路由器配置文件中，密碼即使是用加密的形式存放，密碼明文仍存在被破解的可能。一旦密碼泄漏，網路也就毫無安全可言。

❷ MPLS VPN RD RT MP-BGP誰能把這些關系給順一下

BGP MPLS VPN基本原理，及跨域VPN，一分鍾了解下

原創華億網路2020-03-04 13:16:52

一、基本原理

1、私網標簽分配

在 BGP/MPLS IP VPN 中，PE 通過 MP-BGP 發布私網路由給骨幹網的其他相關的 PE 前，需

要為私網路由分配 MPLS 標簽（私網標簽）。當數據包在骨幹網傳輸時，攜帶私網標簽。

PE 上分配私網標簽的方法有如下兩種：

1)、基於路由的 MPLS 標簽分配：為 VPN 路由表的每一條路由分配一個標簽（one

label per route）。這種方式的缺點是：當路由數量比較多時，設備入標簽映射表

ILM（Incoming Label Map）需要維護的表項也會增多，從而提高了對設備容量的

要求。

2）、基於 VPN 實例的 MPLS 標簽分配：為整個 VPN 實例分配一個標簽，該 VPN 實例里

的所有路由都共享一個標簽。使用這種分配方法的好處是節約了標簽。

2、私網路由交叉

兩台 PE 之間通過 MP-BGP 傳播的路由是 VPNv4 路由。當接收到 VPNv4 路由，PE 先進行

如下處理：

1）、 檢查其下一跳是否可達。如果下一跳不可達，該路由被丟棄。

2）、 對於 RR 發送過來的 VPNv4 路由，如果收到的路由中 cluster_list 包含自己的

cluster_id，則丟棄這條路由。

3）、 進行 BGP 的路由策略過濾，如果不通過，則丟棄該路由。

之後，PE 把沒有丟棄的路由與本地的各個 VPN 實例的 Import Target 屬性匹配。VPNv4 路

由與本地 VPN 實例的 Import VPN-Target 進行匹配的過程稱為私網路由交叉。

(2)bgp過濾鄰居路由擴展閱讀：

公網隧道迭代

為了將私網流量通過公網傳遞到另一端，需要有一條公網隧道承載這個私網流量。因此私

網路由交叉完成後，需要根據目的 IPv4 前綴進行路由迭代，查找合適的隧道（本地交叉的

路由除外）；只有隧道迭代成功，該路由才被放入對應的 VPN 實例路由表。將路由迭代到

相應的隧道的過程叫做隧道迭代。

隧道迭代成功後，保留該隧道的標識符（Tunnel ID），供後續轉發報文時使用。Tunnel ID

用於唯一標識一條隧道。VPN 報文轉發時根據 Tunnel ID 查找對應的隧道，然後從隧道上

發送出去。

私網路由的選擇規則

經過路由交叉和隧道迭代的路由並不是全部被放入 VPN 實例路由表。從本地 CE 收到的路

由和本地交叉路由也不是全部被放入 VPN 實例路由表。

對於到同一目的地址的多條路由，如果不進行路由的負載分擔，按如下規則選擇其中的一

條：

1）、 同時存在直接從 CE 收到的路由和交叉成功後的同一目的地址路由，則優選從 CE

收到的路由。

2）、 同時存在本地交叉路由和從其他 PE 接收並交叉成功後的同一目的地址路由，則優

選本地交叉路由。

❸ 【網路工程師配置篇】——BGP路由基礎配置（eNSP）

   1、BGP（Border Gateway Protocol）是一種不同自治系統的路由設備之間進行通信的外部網關協議(Exterior Gateway Protocol，EGP)，其主要功能是在不同的自治系統(Autonomous Systems，AS)之間交換網路可達信息，並通過協議自身機制來消除路由環路。BGP 使用TCP協議作為傳輸協議，通過 TCP 協議的可靠傳輸機制保證 BGP 的傳輸可靠性。運行 BGP 協議的 Router稱為 BGP Speaker，建立了 BGP 會話連接(BGP Session)的 BGP Speakers 之間被稱作對等體(BGP Peers)。

   2、BGP Speaker之間建立對等體的模式有兩種：IBGP(Internal BGP)和EBGP(External BGP)。IBGP 是指在相同 AS內建立的 BGP 連接，EBGP是指在不同 AS 之間建立的 BGP連接。二者的作用簡而言之就是：EBGP 是完成不同 AS 之間路由信息的交換，IBGP是完成路由信息在本 AS內的傳遞。

組建BGP網路是為了實現網路中不同AS之間的通信。配置BGP的基本功能是組建BGP網路最基本的配置過程，主要包括三部分：

1、創建BGP進程：只有先創建BGP進程，才能開始配置BGP的所有特性。

2、建立BGP對等體關系：只有成功建立了BGP對等體關系，設備之間才能交換BGP消息。

3、引入路由：BGP協議本身不發現路由，只有引入其他協議的路由才能產生BGP路由。

  1.拓撲圖

   注意：預設情況下，BGP會自動選取系統視圖下的Router ID作為BGP協議的Router ID。如果選中的Router ID是物理介面的IP地址，當IP地址發生變化時，會引起路由的振盪。為了提高網路的穩定性，可以將Router ID手動配置為Loopback介面地址。

  2.實驗目的：

    要使AS100網路（R1：1.1.1.1）和AS200（R4：4.4.4.4）網路路由可達。需要在所有router間運行BGP協議，R1和R2、R3之間建立EBGP連接，R2、R3和R4之間建立IBGP全連接。在AS200內，使用IGP協議來計算路由（該例使用OSPF作為IGP協議）。

   3.配置思路：

     1）搭建好拓撲圖環境，標出規劃好的IP地址

     2）修改網路設備默認名稱、配置好IP地址

     3）配置基本OSPF（在AR2、AR3、AR4內做IBGP）

     4）配置EBGP

  4.配置過程：

步驟一：修改網路設備默認名稱、配置好IP地址

 1）配置各PC信息 （略）

 2）配置路由器AR1默認名稱及介面IP

<Huawei>sys    //進入系統視圖模式

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR1    //修改設備名稱

[AR1]int g0/0/0     //進入介面

[AR1-GigabitEthernet0/0/0]ip add 192.168.12.1 24   //給介面配IP

[AR1-GigabitEthernet0/0/0]int g0/0/1

[AR1-GigabitEthernet0/0/1]ip add 192.168.13.1 24

[AR1-GigabitEthernet0/0/1]int loopback 0

[AR1-LoopBack0]ip add 192.168.1.1 32

2）配置路由器AR2默認名稱及介面IP

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR2

[AR2]int g0/0/0

[AR2-GigabitEthernet0/0/0]ip add 192.168.12.2 24

[AR2-GigabitEthernet0/0/0]int g0/0/1

[AR2-GigabitEthernet0/0/1]ip add 192.168.24.2 24

[AR2-GigabitEthernet0/0/1]int loopback 0

[AR2-LoopBack0]ip add 192.168.2.2 32

3）配置路由器AR3默認名稱及介面IP

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR3

[AR3]int g0/0/0

[AR3-GigabitEthernet0/0/0]ip add 192.168.13.3 24

[AR3-GigabitEthernet0/0/0]int g0/0/1

[AR3-GigabitEthernet0/0/1]ip add 192.168.34.3 24

[AR3-GigabitEthernet0/0/1]int loopback 0

[AR3-LoopBack0]ip add 192.168.3.3 32

4）配置路由器AR4默認名稱及介面IP

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR4

[AR4]int g0/0/0

[AR4-GigabitEthernet0/0/0]ip add 192.168.34.4 24

[AR4-GigabitEthernet0/0/0]int g0/0/1

[AR4-GigabitEthernet0/0/1]ip add 192.168.24.4 24

[AR4-GigabitEthernet0/0/1]int loopback 0

[AR4-LoopBack0]ip add 192.168.4.4 32

步驟二、配置基本OSPF（在AR2、AR3、AR4內做IBGP）：

[if !supportLists]1） [endif]R2

[AR2]ospf router-id 2.2.2.2    //使能OSPF，並配置router-id

[AR2-ospf-1]area 0     //配置area區域

[AR2-ospf-1-area-0.0.0.0]network 192.168.24.0 0.0.0.255    //發布AS內網段

[AR2-ospf-1-area-0.0.0.0]network 192.168.2.2 0.0.0.0

[if !supportLists]2） [endif]R3

[AR3]ospf router-id 3.3.3.3

[AR3-ospf-1]area 0

[AR3-ospf-1-area-0.0.0.0]network 192.168.34.0 0.0.0.255

[AR3-ospf-1-area-0.0.0.0]network 192.168.3.3 0.0.0.0

3）R4

[AR4]ospf router-id 4.4.4.4

[AR4-ospf-1]area 0

[AR4-ospf-1-area-0.0.0.0]network 192.168.24.0 0.0.0.255

[AR4-ospf-1-area-0.0.0.0]network 192.168.34.0 0.0.0.255

[AR4-ospf-1-area-0.0.0.0]network 192.168.4.4 0.0.0.0

 4）配置驗證，配置IBGP後，同一個AS內的網段可以互通，不同AS的網段不能互通

步驟三、配置EBGP

[if !supportLists]1） [endif]R1:

[AR1]bgp 100

[AR1-bgp]router-id 1.1.1.1

[AR1-bgp]peer 192.168.12.2 as-number 200

[AR1-bgp]peer 192.168.13.3 as-number 200

[AR1-bgp]network 192.168.1.1 32

[if !supportLists]2） [endif]R2：

[AR2]bgp 200     //創建bgp編號200 （AS200）

[AR2-bgp]router-id 2.2.2.2   //指定router-id

[AR2-bgp]peer 192.168.12.1 as-number 100   //和鄰居網路建立鄰接關系

[AR2-bgp]peer 192.168.24.4 as-number 200   //和鄰居網路建立鄰接關系

[AR2-bgp]peer 192.168.24.4 next-hop-local   //要將BGP路由發送給192.168.24.4這個鄰居時,將路由的下一跳設置成自己的地址,這個地址是與192.168.24.4建立鄰居所使用的源地址

該提示信息說明BGP鄰居建立成功

[if !supportLists]3） [endif]R3：

[AR3]bgp 200

[AR3-bgp]router-id 3.3.3.3

[AR3-bgp]peer 192.168.13.1 as-number 100

[AR3-bgp]peer 192.168.34.4 as-number 200

[AR3-bgp]peer 192.168.34.4 next-hop-local

4）R4：

[AR4]bgp 200

[AR4-bgp]router-id 4.4.4.4

[AR4-bgp]peer 192.168.24.2 as-number 200

[AR4-bgp]peer 192.168.34.3 as-number 200

[AR4-bgp]network 192.168.4.4 32

配置EBGP後，我們發現由BGP控制選路後，從AR4到AR1的報文走的是AR2這條路徑

1）查看不同AS之間的連通性：

通過Ping命令結果，我們發現在配置EBGP後，相同AS與不同AS之間都可以互相通信

2）在AR1查看路由表：

在路由表可以發現，EBGP目標地址是192.168.4.4，下一跳是192.168.12.2，說明192.168.1.1與192.168.4.4之間的通信是經過的路由器AR2。

3）查看抓包信息：

在AR1與AR2相連的介面開啟抓包，可以抓到AR4與AR1通信的TCMP報文，同時我們發現BGP的傳輸協議是TCP，埠號為179

   在AR1與AR3相連的介面上開啟抓包，發現，在這里沒有AR4與AR1通信的信息，說明，通過BGP選路之後，AR4要到AR1的數據會通過AR2發送。

     至此，BGP實驗完成，我們在實驗中講到，BGP自動完成了選路，那麼要怎麼手動控制選路呢？加入交流群696283186獲取更多實驗詳細配置

總結：BGP具有以下幾個特性：

1） 傳輸協議：TCP，埠號179；

2） BGP是外部路由協議，用來在AS之間傳遞路由信息；

3） 是一種增強的路徑矢量路由協議；

4） 擁有可靠的路由更新機制；

5） 具備豐富的Metric度量方法；

6） 無環路協議設計；

7） 為路由條目附帶多種屬性信息；

8） 支持CIDR（無類別域間選路）；

9） 豐富的路由過濾和路由策略；

10） 無須周期性更新；

11） 路由更新時只發送增量路由；

12） 周期性發送KeepAlive報文，以保持TCP連通性；

❹ 【網路工程師路由篇】BGP 入門實驗

R1、R2、R3屬於AS 123；R4屬於AS 400；

R1、R2、R3運行OSPF，運行OSPF的目的是為了打通AS 123內的路由；

R3-R4之間建立EBGP鄰居關系，R2不運行BGP；

R1-R3之間建立IBGP鄰居關系；

在R4上，將路由4.4.4.0/24發布到BGP。

R1的配置如下（省略介面IP地址的配置）：

R2的配置比較簡單，就是運行OSPF而已，這部分配置不再贅述。

R3的配置如下：

R4的配置如下：

完成上述配置後，在R3上查看BGP路由表：

我們看到R3已經學習到了R4通告過來的BGP路由4.4.4.0/24。並且該條BGP路由的NextHop屬性值為10.1.34.4，這個下一跳地址是路由可達的。該條路由在R3的BGP路由表裡有「* >」 標記，其中「*」表示這條路由是可用的（valid），只有當BGP路由的NextHop為路由可達時，該BGP路由才會被視為可用；而「>」則表示這條路由是被優選的路由，或者說是到達該目的網路的最優路由。

BGP路由的NextHop屬性是一個非常重要的屬性，它是所有BGP路由都會攜帶的路徑屬性，它指示了到達目的網路的下一跳地址。

在R3上查看路由表：

R3已經將到達4.4.4.0/24的BGP路由載入到了全局路由表中。

對於R3而言，到達4.4.4.0/24的路由已經被優選，接下來，它會將該路由通告給IBGP鄰居R1。

在R1上查看BGP路由表：

我們看到，R1的BGP路由表中已經出現了4.4.4.0/24路由，而這條路由的NextHop屬性值是10.1.34.4，但是R1在本地路由表中沒有到達10.1.34.4的路由，因此10.1.34.4不可達，如此一來，該BGP路由也就不可用了（在BGP路由表中沒有*號標記），既然不可用，自然就不能裝載進路由表中使用。

那麼怎麼解決這個問題呢？一個最簡單的方法是，為R1配置一條靜態路由：ip route-static 10.1.34.0 24 10.1.23.3，這樣一來R1的路由表裡就有了到達10.1.34.4的路由，那麼BGP路由4.4.4.0/24的下一跳地址就可達了，對應的BGP路由自然也就可用了。但是這種方法太「笨拙」。另一種方法是，在R3的OSPF進程中將10.1.34.0/24網段也注入進去，使得R1能夠通過OSPF學習到10.1.34.0/24路由，這種方法也是可行的。但是由於R3-R4之間的互聯鏈路被視為AS外部鏈路，因此10.1.34.0/24作為外部網段往往不會被宣告進AS內的IGP。那麼還有什麼其他辦法能解決這個問題么？

BGP路由器在向EBGP對等體發布某條路由時，會把該路由信息的下一跳屬性設置為本地與對端建立BGP鄰居關系的介面地址。如下圖所示，R4將4.4.4.0/24通告給R3時，下一跳為10.1.34.4，也就是R4的GE0/0/0介面地址。

BGP路由器將本地始發路由發布給IBGP對等體時，會把該路由信息的下一跳屬性設置為本地與對端建立BGP鄰居關系的介面地址。

BGP路由器在向IBGP對等體發布從EBGP對等體學來的路由時，並不改變該路由信息的下一跳屬性。

例如下圖所示，R3收到R4通告的EBGP路由，該路由的下一跳屬性值為10.1.34.4，它將該條路由通告給IBGP對等體R1的時候，路由的下一跳屬性值不會發生改變，仍然為10.1.34.4。

這就造成了我們上面所述的問題，由於R1沒有到達10.1.34.0/24的路由，因此下一跳地址10.1.34.4不可達，從而導致BGP路由4.4.4.0/24不可用。

還有一個方法可以解決這個問題：在R3上使用next-hop-local命令，可修改BGP路由的下一跳屬性值為自身。在下圖中，我們在R3上增加了peer 10.1.12.1 next-hop-local命令，那麼這樣一來，當R3再將EBGP路由通告給R1的時候，會將這些路由的下一跳屬性值修改為自己的更新源地址（10.1.23.3），而R1已經通過OSPF獲知到達10.1.23.0/24的路由，因此10.1.23.3是可達的。

完成配置後，我們在R1上查看BGP路由表：

可以手工指定用於建立BGP連接的源介面及源IP地址。命令如下：[Router-bgp] peer x.x.x.x connect-interface intf [ ipv4-src-address ]預設情況下，BGP使用報文的出介面作為BGP報文的源介面。當用戶完成peer命令的配置後，設備會在自己的路由表中查詢到達該對等體地址的路由，並從該路由得到出介面信息。如果peer命令中沒有指定介面（connect-interface）和IP地址（ipv4-src-address），那麼設備將會使用前述出介面和該介面的IP地址作為BGP報文的源介面和源地址。

為了使物理介面在出現問題時，設備仍能發送BGP報文，可將發送BGP報文的源介面配置成Loopback介面。在使用Loopback介面作為BGP報文的源介面時，必須確認BGP對等體的Loopback介面的地址是可達的。由於一個AS內往往會運行IGP協議，因此AS內的設備能夠通過該IGP協議獲知到達其他設備的Loopback介面的路由。在AS內部，IBGP鄰居關系通常基於Loopback介面建立。

EBGP鄰居之間通常使用直連介面的IP地址作為BGP報文源地址，如若使用環回介面建立EBGP鄰居關系，要配置peer ebgp-max-hop命令，允許EBGP通過非直連方式建立鄰居關系。

同樣是上面的環境，我們稍作變更，在R1及R3上創建loopback0，地址分別為1.1.1.1/32及3.3.3.3/32，然後設備各自將loopback0宣告進OSPF，使得彼此都能通過OSPF學習到對方的Loopback0路由。

我們修改BGP的配置，使得R1-R3之間的IBGP鄰居關系基於Loopback0來建立。

R1的關鍵配置如下：

R3的關鍵性配置如下：

注意，務必要將R1及R3的Loopback0介面激活OSPF。

經過前面的講解，我們的環境現在是這樣的：R1-R3之間建立了基於Loopback介面的IBGP鄰居關系；R3對R1配置了next-hop-local；R3與R4之間仍然維持基於直連介面的EBGP鄰居關系；R4在BGP中發布路由4.4.4.0/24。

現在R1是能夠學習到BGP路由4.4.4.0/24的，並且該路由也是被優選的，此時這條路由會被R1裝載進全局路由表使用，但是，這是不是意味著R1就能夠ping通4.4.4.4了呢？經過測試你可能會發現：無法ping通？因為數據包在R2這里就被丟棄了，R2並沒有運行BGP，因此它無法學習到BGP路由4.4.4.0/24。

怎麼才能讓R1 ping通4.4.4.4呢？方法之一是在R3上將BGP路由重發布進OSPF，使得R2能夠通過OSPF學習到BGP路由4.4.4.0/24，但是這種方法存在一定的風險，因為我們知道BGP承載的前綴數量往往是非常龐大的；另一種方法是，讓R2也運行BGP，並與R1、R3建立IBGP鄰居關系，這樣一來問題就解決了。那麼BGP鄰居關系就變成了如下圖所示。具體配置此處不再贅述。

通常情況下，EBGP鄰居之間必須具有直連的物理鏈路，EBGP鄰居關系也將基於直連介面來建立，如果不滿足這一要求，則必須使用peer ebgp-max-hop命令允許它們之間經過多跳建立TCP連接。

peer ebgp-max-hop命令用來配置允許BGP同非直連網路上的對等體建立EBGP連接，並同時可以指定允許的最大跳數。命令格式如下：[Router-bgp] peer ipv4-address ebgp-max-hop [ hop-count ]

如上圖所示，R1及R2要基於Loopback口建立EBGP鄰居關系。這種情況也屬於EBGP鄰居之間不基於直連介面建立鄰居關系的場景，必須配置peer ebgp-max-hop命令。圖中R1與R2之間的兩條物理鏈路是為了冗餘性考慮。R1的關鍵配置如下：

R2的關鍵配置如下：

BGP鄰居表

BGP表

查看BGP條目的詳細信息：

路由表，display ip routing-table

❺ 如何在Quagga BGP路由器中過濾BGP路由

BGP常用埠 TCP/UDP 179埠，你可以在防火牆設置中禁用這兩個埠試試。可以登錄360官網進行查詢了解更多的相關知識，也可以做在線咨詢，會有專業的人員為你解答

❻ BGP的filter-policy和route-policy處於什麼層次

Filter-policy屬於復路制由過濾，只能過濾；
router-policy屬於路由策略，可以在條件滿足的時候修改報文的屬性。
其實Route-policy要比Filter-policy靈活些，Filter-policy只能在BGP視圖、BGP-IPv4單播地址族視圖等視圖下配置，不能針對單個鄰居進行路由過濾。而Route-policy可以對network的路由，從對等體接收或者發送等的路由進行過濾，相對來說靈活些。都是過濾後再加入ip routing-table。

❼ 如下哪些過濾器可以實現對bgp路由的控制和過濾

寫好PBR，然後掛在你建立BGP的鄰居的配置底下就行了。

❽ 關於BGP的路由策略問題，如何限制接收、本地宣告、轉發的路由掩碼

1.寫預設路由
2.重分布進bgp
3.用route-map和perfix幹掉用戶不要的流量

你用route-map試試，把你想過濾的路由直接在出方向幹掉
用前綴列表匹配，然後deny
deny小段可以，你前綴列表一定要deny的精確，其實最好是寫很多條，這樣邏輯上好寫，也精確