『壹』 华为路由器里面的5种过滤器详解 跪求啊!!!
这些都是不同命令行里的参数。
prefix-list:IP前缀列表。
# 定义if-match子句,设置匹配相关的IPv6路由信息。
<HUAWEI> system-view
[HUAWEI] route-policy policy permit node 10
[HUAWEI-route-policy] if-match ipv6 address prefix-list p1
[HUAWEI-route-policy] if-match ipv6 next-hop prefix-list p1
[HUAWEI-route-policy] if-match ipv6 route-source prefix-list p1
as-path-filter xxx:指定匹配的AS路径过滤器号。
# 创建序号为2的AS路径过滤器,允许AS路径中包含20的路由通过。
<HUAWEI> system-view[HUAWEI] ip as-path-filter 2 permit [ 20 ]
# 查看AS路径属性中包含65420的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip as-path-filter 1 permit 65420*
[HUAWEI] display bgp vpnv6 all routing-table as-path-filter 1
community-filter:用来显示匹配指定的BGP团体属性过滤器的路由信息。
# 查看本端指定团体列表的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip community-filter 1 permit internet
[HUAWEI] display bgp vpnv6 all routing-table community-filter 1 whole-match
route-policy xxx:指定路由策略名称
显示名为policy1的Route-Policy信息。
<HUAWEI> display route-policy policy1
『贰』 BGP的filter-policy和route-policy处于什么层次
Filter-policy属于复路制由过滤,只能过滤;
router-policy属于路由策略,可以在条件满足的时候修改报文的属性。
其实Route-policy要比Filter-policy灵活些,Filter-policy只能在BGP视图、BGP-IPv4单播地址族视图等视图下配置,不能针对单个邻居进行路由过滤。而Route-policy可以对network的路由,从对等体接收或者发送等的路由进行过滤,相对来说灵活些。都是过滤后再加入ip routing-table。
『叁』 带宽的静态BGP和全动态BGP有什么区别
区别一:满足条件不同
A 、动态BGP组成条件必须满足五大条:自有AS号+自有IP地址段+自有路由设备+动态(BGP)带宽+运管团队。
例如:
全动态BGP厂商:ucache品牌
AS号:as1377XX
I P段:103.105.XX.XX
设 备:华为NE系列(运营商级别的路由设备,具备学习路由表功能)
带 宽:运营商BGP路由接入
团 队:5-10人
B 、静态BGP满足条件比较简单,找多家运营商采购带宽即可:As号:无,一般运营商代播,无BGP功能。
区别二:功能不同
A 、动态BGP有八大功能:
1、保持中立,消除南北访问障碍,高速互联互通
2、提升带宽利用率近一倍
3、自动收录路由表:80万条,自优化
4、BGP提供丰富的路由策略,实现灵活过滤与选择
5、BGP采用认证和GTSM的方式,保证了网络安全
6、BGP提供路由聚合和路由衰减功能防止路由震荡
7、运营商网络结构变化时, BGP可根据设定的寻路协议第一时间自动优化网络路由结构,杜绝网络盲点
8、BGP根据算法自动选择最优路由,降低路由跳数有时延
优点:自动最优网络路径的选择线路,冗余网络可靠稳定实现多网接入,可以实现:多网接入、低延迟、效率高、高可用、稳定性好!
形象比喻:相当于汽车自动档及配有导航功能。
B 、静态BGP功能:
只能满足多家运营商接入,一般又叫普通多线BGP带宽,路由表有固定的几条通向各运营商的链路,如果通向某个运营商方向的链路在某个路由节点出现故障时,会出现某个运营商方向的用户无法通信,导致单点故障,影响部门用户的正常访问,故障一般需要人为干预处理,处理时间较长,不能自动恢复。
形象比喻:相当于汽车手动档功能
区别三:通过通过Best Trace 工具测试结果不同
A、北京动态BGP测试结果:
UCache品牌动态BGP带宽(有自己AS号 ,同时具备BGP组建的五大条件的厂商),
能清楚看到,三线接入,且收录路由条目80万条,且以UCache品牌自有AS号 1377XX 结尾,UCache厂商的动态BGP带宽可提供多线接入,相对国内精品静态多线BGP带宽,时延和路由跳数要低30%-40%,效率更高,稳定性更强。
B、静态BGP测试结果:
市场精品静态多线BGP带宽(普通IDC厂商,As号:无,一般运营商代播,无BGP功能)能清楚看到,最后一跳以电信、联通、移动 的运营商AS号结尾,无自己的AS号,三线带宽,且运营商电信、联通、移动代播自有IP地址,属于静态多线代播带宽。缺点:延时更高,路由跳数更多,任意运营商中断则电信用户访问中断,用户体验受损,中断后网络不能自动修复,需等待运营商手动修复!
——IDC崔琴婷
『肆』 BGP工作原理(5)
一、BGP路由信息决策过程
1、Adj-RIB-In 存放从对等体接收到的更新
当从对等体接收到Update报文时,路由器会把Update报文存储到路由信息库RIB,并指明是来自哪个对等体的;
Update报文经过BGP输入策略引擎路由过滤或修改属性;
路由器执行路径选择算法,来为每一条前缀确定最佳路径;
2、Loc-RIB 存放经过输入策略引擎、路径选择处理过的路由
得出的最佳路径被存储到本地BGP RIB中,然后将loc-RIB的路由加载到IP-RIB中;
3、Adj-RIB-Out 存放经过输出策略引擎处理过的路由
Loc-RIB中的路由在被通告给其他对等体之前,必须通过输出策略引擎,只有那些成功通过输出策略引擎的路由,才会被安装到输出RIB中;
二、BGP选路规则
1、忽略下一跳不可达的路由;
2、优选prefer-value数值大的路由; 缺省值0
3、优选Local-preference数值大的路由; 缺省值100
----------------------------------------------------4、5、6三条规则用于比较自身产生的路由
4、聚合路由优于非聚合路由;
5、手工聚合路由优于自动聚合路由;
6、network发布的路由优于import发布的路由;
7、优选as-path长度短的路由;
8、IGP起源的路由优于EGP起源的路由优于未知起源的路由;
9、优选MED数值小的路由; 缺省值0,命令compare-different-as-med修改缺省比较行为
10、EBGP路由优于IBGP路由;
11、优选下一跳IGP开销小的路由;
============================满足以上条件可选实现负载分担;
12、优选cluster-list长度短的路由; 有的有,有的没有,没有的优先
13、优选Originator-ID或RouterID小的路由; 二选一,优先比较Originator-ID
14、优选对等体地址小的路由;
三、BGP的负载分担
1、BGP路由的负载分担
到达同一目的地通常会存在多条有效路由,但是BGP只将最优路由发布给对等体;
前11个属性完全相同的情况下,可通过命令maximum load-balancing ebgp|ibgp配置BGP负载分担的最大等价路由条数,实现下发多条不同下一跳的BGP路由到IP路由表中,缺省值为1,不进行BGP路由负载分担;
如果满足负载分担条件的BGP路由数大于定义的BGP负载分担规格,继续从第12条规则比较下去;
到达同一目的地的eBGP路由和iBGP路由不能形成负载分担,如果最优路由是ibgp路由,则只是ibgp路由形成负载分担;如果最优路由是ebgp路由,则只是ebgp路由形成负载分担;
缺省情况下,BGP只对AS-path属性完全相同的路由进行负载分担,也适用于联盟内部的自治系统之间,可通过命令load-balancing as-path-ignore配置路由在形成负载分担时不比较路由的as-path属性,但是该方式可能会引起路由环路;
2、下一跳路由的负载分担
BGP区别于IGP协议的一点是其下一跳地址可以是非直连路由的接口IP,非直连的下一跳在路由器上会执行迭代路由进行查找路由表,BGP依赖下一跳路由来转发数据,所以如果下一跳地址所对应路由在IP路由表中是负载分担的(IGP的ICMP),也就间接实现了BGP报文转发的负载分担;
BGP同步
在华为VRP平台中,BGP同步默认是关闭的,并且不能手动开启;
BGP同步指BGP路由器必须与IGP同步,AS内的路由器不仅要通过BGP学习到此路由,并且要从IGP协议学习到该路由,才会将该路由通告给eBGP邻居;
除了BGP同步外,避免路由黑洞问题的方法还有IBGP全互连、RR、联盟、MPLS VPN;
四、BGP路由及默认路由
1、生成BGP路由,BGP协议自身是不能发现路由的
(1)通过network方式生成来自IGP的路由
将IP路由表中存在的路由注入进BGP,注入的路由要和IP路由表中路由的前缀和掩码一致;
network方式注入的路由,origin属性为igp;
(2)通过import-route方式引入外部路由
import-route方式引入外部路由,origin属性为incomplete;
(3)通过aggregate进行聚合的路由
自动聚合
自动聚合只能对import引入的路由进行有类聚合,不能对network方式注入的路由进行自动聚合;
自动聚合通过命令summary automatic实现,只能在引入路由的设备上生效,缺省未启用;
手动聚合
手动聚合通过命令aggregate可以对BGP路由表中的路由进行聚合;
如果聚合路由中所包含的明细路由的origin属性各不相同,那么聚合路由的origin属性按照优先级incomplete>egp>igp;
聚合路由会继承原明细路由中的所有团体属性;
聚合时可以携带关键字:
detail-suppressed 缺省手工聚合后通告所有明细路由,此参数抑制明细路由;
suppress-policy 用来实现部分抑制,部分不抑制,匹配route-policy的明细才抑制;
as-set 聚合路由as-path继承成员明细路由的AS号,缺省聚合路由会丢失明细的AS信息;
与普通as-path的segment类型as-sequence不同的是,as-set类型是一种AS号的无序集合;
对明细路由做聚合时,把所有明细路由AS-Path由前向后相同的部分放在()的前面,其余部分去重后放入();
origin-policy 有条件的聚合,只有满足route-policy匹配条件时,才生成聚合路由;
attribute-policy 用来修改聚合路由的属性;
2、默认路由
如果一台设备在网络中有多个EBGP邻居,或者存在多个路由反射器,那么该设备将会从邻居或者反射器接收全网的路由,该设备也会向本AS内的IBGP对等体发布路由,这样会极大地增加路由表的容量,通过向对等体发布缺省路由,减少对等体路由表的数量。
通过命令peer x.x.x.x default-route-advertise向对等体发布一条默认路由,可以通过route-policy来设置默认路由的属性;
参数conditional-route-match-any/all用来设置匹配条件,如果满足条件则发布默认路由;
(1)any指当匹配任一条件时,发布默认路由;
(2)all指当匹配所有条件时,发布默认路由;
『伍』 什么是 BGP网络穿透技术
简单点说也就是指的是多线路实现单IP技术,就叫做BGP技术。
『陆』 如何使用 Quagga BGP路由器来过滤 BGP 路由
1. 为路由器间的协议交换增加认证功能,提高网络安全性。路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式,就会鉴别路由信息的收发方。有两种鉴别方式,其中“纯文本方式”安全性低,建议使用“MD5方式”。
2. 路由器的物理安全防范。
路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。
3. 保护路由器口令。
在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。一旦密码泄漏,网络也就毫无安全可言。
『柒』 如下哪些过滤器可以实现对bgp路由的控制和过滤
写好PBR,然后挂在你建立BGP的邻居的配置底下就行了。
『捌』 如何在Quagga BGP路由器中过滤BGP路由
BGP常用端口 TCP/UDP 179端口,你可以在防火墙设置中禁用这两个端口试试。可以登录360官网进行查询了解更多的相关知识,也可以做在线咨询,会有专业的人员为你解答