『壹』 華為路由器裡面的5種過濾器詳解 跪求啊!!!
這些都是不同命令行里的參數。
prefix-list:IP前綴列表。
# 定義if-match子句,設置匹配相關的IPv6路由信息。
<HUAWEI> system-view
[HUAWEI] route-policy policy permit node 10
[HUAWEI-route-policy] if-match ipv6 address prefix-list p1
[HUAWEI-route-policy] if-match ipv6 next-hop prefix-list p1
[HUAWEI-route-policy] if-match ipv6 route-source prefix-list p1
as-path-filter xxx:指定匹配的AS路徑過濾器號。
# 創建序號為2的AS路徑過濾器,允許AS路徑中包含20的路由通過。
<HUAWEI> system-view[HUAWEI] ip as-path-filter 2 permit [ 20 ]
# 查看AS路徑屬性中包含65420的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip as-path-filter 1 permit 65420*
[HUAWEI] display bgp vpnv6 all routing-table as-path-filter 1
community-filter:用來顯示匹配指定的BGP團體屬性過濾器的路由信息。
# 查看本端指定團體列表的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip community-filter 1 permit internet
[HUAWEI] display bgp vpnv6 all routing-table community-filter 1 whole-match
route-policy xxx:指定路由策略名稱
顯示名為policy1的Route-Policy信息。
<HUAWEI> display route-policy policy1
『貳』 BGP的filter-policy和route-policy處於什麼層次
Filter-policy屬於復路制由過濾,只能過濾;
router-policy屬於路由策略,可以在條件滿足的時候修改報文的屬性。
其實Route-policy要比Filter-policy靈活些,Filter-policy只能在BGP視圖、BGP-IPv4單播地址族視圖等視圖下配置,不能針對單個鄰居進行路由過濾。而Route-policy可以對network的路由,從對等體接收或者發送等的路由進行過濾,相對來說靈活些。都是過濾後再加入ip routing-table。
『叄』 帶寬的靜態BGP和全動態BGP有什麼區別
區別一:滿足條件不同
A 、動態BGP組成條件必須滿足五大條:自有AS號+自有IP地址段+自有路由設備+動態(BGP)帶寬+運管團隊。
例如:
全動態BGP廠商:ucache品牌
AS號:as1377XX
I P段:103.105.XX.XX
設 備:華為NE系列(運營商級別的路由設備,具備學習路由表功能)
帶 寬:運營商BGP路由接入
團 隊:5-10人
B 、靜態BGP滿足條件比較簡單,找多家運營商采購帶寬即可:As號:無,一般運營商代播,無BGP功能。
區別二:功能不同
A 、動態BGP有八大功能:
1、保持中立,消除南北訪問障礙,高速互聯互通
2、提升帶寬利用率近一倍
3、自動收錄路由表:80萬條,自優化
4、BGP提供豐富的路由策略,實現靈活過濾與選擇
5、BGP採用認證和GTSM的方式,保證了網路安全
6、BGP提供路由聚合和路由衰減功能防止路由震盪
7、運營商網路結構變化時, BGP可根據設定的尋路協議第一時間自動優化網路路由結構,杜絕網路盲點
8、BGP根據演算法自動選擇最優路由,降低路由跳數有時延
優點:自動最優網路路徑的選擇線路,冗餘網路可靠穩定實現多網接入,可以實現:多網接入、低延遲、效率高、高可用、穩定性好!
形象比喻:相當於汽車自動檔及配有導航功能。
B 、靜態BGP功能:
只能滿足多家運營商接入,一般又叫普通多線BGP帶寬,路由表有固定的幾條通向各運營商的鏈路,如果通向某個運營商方向的鏈路在某個路由節點出現故障時,會出現某個運營商方向的用戶無法通信,導致單點故障,影響部門用戶的正常訪問,故障一般需要人為干預處理,處理時間較長,不能自動恢復。
形象比喻:相當於汽車手動檔功能
區別三:通過通過Best Trace 工具測試結果不同
A、北京動態BGP測試結果:
UCache品牌動態BGP帶寬(有自己AS號 ,同時具備BGP組建的五大條件的廠商),
能清楚看到,三線接入,且收錄路由條目80萬條,且以UCache品牌自有AS號 1377XX 結尾,UCache廠商的動態BGP帶寬可提供多線接入,相對國內精品靜態多線BGP帶寬,時延和路由跳數要低30%-40%,效率更高,穩定性更強。
B、靜態BGP測試結果:
市場精品靜態多線BGP帶寬(普通IDC廠商,As號:無,一般運營商代播,無BGP功能)能清楚看到,最後一跳以電信、聯通、移動 的運營商AS號結尾,無自己的AS號,三線帶寬,且運營商電信、聯通、移動代播自有IP地址,屬於靜態多線代播帶寬。缺點:延時更高,路由跳數更多,任意運營商中斷則電信用戶訪問中斷,用戶體驗受損,中斷後網路不能自動修復,需等待運營商手動修復!
——IDC崔琴婷
『肆』 BGP工作原理(5)
一、BGP路由信息決策過程
1、Adj-RIB-In 存放從對等體接收到的更新
當從對等體接收到Update報文時,路由器會把Update報文存儲到路由信息庫RIB,並指明是來自哪個對等體的;
Update報文經過BGP輸入策略引擎路由過濾或修改屬性;
路由器執行路徑選擇演算法,來為每一條前綴確定最佳路徑;
2、Loc-RIB 存放經過輸入策略引擎、路徑選擇處理過的路由
得出的最佳路徑被存儲到本地BGP RIB中,然後將loc-RIB的路由載入到IP-RIB中;
3、Adj-RIB-Out 存放經過輸出策略引擎處理過的路由
Loc-RIB中的路由在被通告給其他對等體之前,必須通過輸出策略引擎,只有那些成功通過輸出策略引擎的路由,才會被安裝到輸出RIB中;
二、BGP選路規則
1、忽略下一跳不可達的路由;
2、優選prefer-value數值大的路由; 預設值0
3、優選Local-preference數值大的路由; 預設值100
----------------------------------------------------4、5、6三條規則用於比較自身產生的路由
4、聚合路由優於非聚合路由;
5、手工聚合路由優於自動聚合路由;
6、network發布的路由優於import發布的路由;
7、優選as-path長度短的路由;
8、IGP起源的路由優於EGP起源的路由優於未知起源的路由;
9、優選MED數值小的路由; 預設值0,命令compare-different-as-med修改預設比較行為
10、EBGP路由優於IBGP路由;
11、優選下一跳IGP開銷小的路由;
============================滿足以上條件可選實現負載分擔;
12、優選cluster-list長度短的路由; 有的有,有的沒有,沒有的優先
13、優選Originator-ID或RouterID小的路由; 二選一,優先比較Originator-ID
14、優選對等體地址小的路由;
三、BGP的負載分擔
1、BGP路由的負載分擔
到達同一目的地通常會存在多條有效路由,但是BGP只將最優路由發布給對等體;
前11個屬性完全相同的情況下,可通過命令maximum load-balancing ebgp|ibgp配置BGP負載分擔的最大等價路由條數,實現下發多條不同下一跳的BGP路由到IP路由表中,預設值為1,不進行BGP路由負載分擔;
如果滿足負載分擔條件的BGP路由數大於定義的BGP負載分擔規格,繼續從第12條規則比較下去;
到達同一目的地的eBGP路由和iBGP路由不能形成負載分擔,如果最優路由是ibgp路由,則只是ibgp路由形成負載分擔;如果最優路由是ebgp路由,則只是ebgp路由形成負載分擔;
預設情況下,BGP只對AS-path屬性完全相同的路由進行負載分擔,也適用於聯盟內部的自治系統之間,可通過命令load-balancing as-path-ignore配置路由在形成負載分擔時不比較路由的as-path屬性,但是該方式可能會引起路由環路;
2、下一跳路由的負載分擔
BGP區別於IGP協議的一點是其下一跳地址可以是非直連路由的介面IP,非直連的下一跳在路由器上會執行迭代路由進行查找路由表,BGP依賴下一跳路由來轉發數據,所以如果下一跳地址所對應路由在IP路由表中是負載分擔的(IGP的ICMP),也就間接實現了BGP報文轉發的負載分擔;
BGP同步
在華為VRP平台中,BGP同步默認是關閉的,並且不能手動開啟;
BGP同步指BGP路由器必須與IGP同步,AS內的路由器不僅要通過BGP學習到此路由,並且要從IGP協議學習到該路由,才會將該路由通告給eBGP鄰居;
除了BGP同步外,避免路由黑洞問題的方法還有IBGP全互連、RR、聯盟、MPLS VPN;
四、BGP路由及默認路由
1、生成BGP路由,BGP協議自身是不能發現路由的
(1)通過network方式生成來自IGP的路由
將IP路由表中存在的路由注入進BGP,注入的路由要和IP路由表中路由的前綴和掩碼一致;
network方式注入的路由,origin屬性為igp;
(2)通過import-route方式引入外部路由
import-route方式引入外部路由,origin屬性為incomplete;
(3)通過aggregate進行聚合的路由
自動聚合
自動聚合只能對import引入的路由進行有類聚合,不能對network方式注入的路由進行自動聚合;
自動聚合通過命令summary automatic實現,只能在引入路由的設備上生效,預設未啟用;
手動聚合
手動聚合通過命令aggregate可以對BGP路由表中的路由進行聚合;
如果聚合路由中所包含的明細路由的origin屬性各不相同,那麼聚合路由的origin屬性按照優先順序incomplete>egp>igp;
聚合路由會繼承原明細路由中的所有團體屬性;
聚合時可以攜帶關鍵字:
detail-suppressed 預設手工聚合後通告所有明細路由,此參數抑制明細路由;
suppress-policy 用來實現部分抑制,部分不抑制,匹配route-policy的明細才抑制;
as-set 聚合路由as-path繼承成員明細路由的AS號,預設聚合路由會丟失明細的AS信息;
與普通as-path的segment類型as-sequence不同的是,as-set類型是一種AS號的無序集合;
對明細路由做聚合時,把所有明細路由AS-Path由前向後相同的部分放在()的前面,其餘部分去重後放入();
origin-policy 有條件的聚合,只有滿足route-policy匹配條件時,才生成聚合路由;
attribute-policy 用來修改聚合路由的屬性;
2、默認路由
如果一台設備在網路中有多個EBGP鄰居,或者存在多個路由反射器,那麼該設備將會從鄰居或者反射器接收全網的路由,該設備也會向本AS內的IBGP對等體發布路由,這樣會極大地增加路由表的容量,通過向對等體發布預設路由,減少對等體路由表的數量。
通過命令peer x.x.x.x default-route-advertise向對等體發布一條默認路由,可以通過route-policy來設置默認路由的屬性;
參數conditional-route-match-any/all用來設置匹配條件,如果滿足條件則發布默認路由;
(1)any指當匹配任一條件時,發布默認路由;
(2)all指當匹配所有條件時,發布默認路由;
『伍』 什麼是 BGP網路穿透技術
簡單點說也就是指的是多線路實現單IP技術,就叫做BGP技術。
『陸』 如何使用 Quagga BGP路由器來過濾 BGP 路由
1. 為路由器間的協議交換增加認證功能,提高網路安全性。路由器的一個重要功能是路由的管理和維護,目前具有一定規模的網路都採用動態的路由協議,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。當一台設置了相同路由協議和相同區域標示符的路由器加入網路後,會學習網路上的路由信息表。但此種方法可能導致網路拓撲信息泄漏,也可能由於向網路發送自己的路由信息表,擾亂網路上正常工作的路由信息表,嚴重時可以使整個網路癱瘓。這個問題的解決辦法是對網路內的路由器之間相互交流的路由信息進行認證。當路由器配置了認證方式,就會鑒別路由信息的收發方。有兩種鑒別方式,其中「純文本方式」安全性低,建議使用「MD5方式」。
2. 路由器的物理安全防範。
路由器控制埠是具有特殊許可權的埠,如果攻擊者物理接觸路由器後,斷電重啟,實施「密碼修復流程」,進而登錄路由器,就可以完全控制路由器。
3. 保護路由器口令。
在備份的路由器配置文件中,密碼即使是用加密的形式存放,密碼明文仍存在被破解的可能。一旦密碼泄漏,網路也就毫無安全可言。
『柒』 如下哪些過濾器可以實現對bgp路由的控制和過濾
寫好PBR,然後掛在你建立BGP的鄰居的配置底下就行了。
『捌』 如何在Quagga BGP路由器中過濾BGP路由
BGP常用埠 TCP/UDP 179埠,你可以在防火牆設置中禁用這兩個埠試試。可以登錄360官網進行查詢了解更多的相關知識,也可以做在線咨詢,會有專業的人員為你解答