BGP2

某公司网络如实验拓扑所示，R4、R5、R6、R7为公司总部路由器，R1与R3分别为公司两个不同分支机构路由器，R2为运营商的网络设备，在R1与R3上分别设有不同的业务网段，其中192.168.10.0/24与172.16.10.0/24为业务A所用网段，192.168.20.0/24与172.16.20.0/24为业务B所用网段。两个不同分支机构与总部间都设有专线，使得两分支机构上的业务网段既可以通过运营商的设备实现访问，也可以通过专线，经由总部设备实现访问。请根据如下需求对网络进行部署： 

1. 按照拓扑搭建网络，在所有AS间使用直连接口建立EBGP邻居关系

R1多加两个环回口

interface LoopBack2
ip address 192.168.10.1 255.255.255.0
#
interface LoopBack3
ip address 192.168.20.1 255.255.255.0

R3多加两个环回口

interface LoopBack1
ip address 172.16.10.3 255.255.255.0
#
interface LoopBack2
ip address 172.16.20.3 255.255.255.0

 

R1<=>R2 /R1<=>R4/R2<=>R3/R3<=>R6(都做)

以R1<=>R2为例：

R1：

#bgp 100

  #peer 10.0.12.2  as-number 200

R2:

#bgp 200

  #peer 10.0.12.1 as-number 100

2. 在公司总部AS400中，R4与R5，R5与R7，R7与R6，R6与R4间使

用环回接口建立IBGP邻居关系，IGP协议使用OSPF

注意使用环回接口建立邻居时需要额外配置命令。  

R4<=>R5/R5<=>R7/R7<=>R6/R6<=>R4(都做)

以R4<=>R5为例：

R4:

ospf 1 router-id 10.0.4.4

 area 0

  net 10.0.4.4 0.0.0.0

  net 10.0.45.4 0.0.0.0

  net 10.0.46.4 0.0.0.0

bgp 400

 peer  10.0.5.5 as-number 400

 peer 10.0.5.5 connect-interface loopback 0

 peer 10.0.6.6 as-number 400

 peer 10.0.6.6 connect-interface loopback 0

 peer 10.0.14.1 as-number 100

R5:

ospf 1 router-id 10.0.5.5
 area 0.0.0.0
  network 10.0.5.5 0.0.0.0
  network 10.0.45.5 0.0.0.0
  network 10.0.57.5 0.0.0.0

bgp 400
 peer 10.0.4.4 as-number 400
 peer 10.0.4.4 connect-interface LoopBack0
 peer 10.0.7.7 as-number 400
 peer 10.0.7.7 connect-interface LoopBack0

3. 所有业务网段，与所有设备上的Loopback 0所在网段都能通过BGP路由实现互相访问

R1与R4/R3与R6Z之间分别配置静态路由使EBGP与Ibgp互通

以R1与R4为例

R1：

ip route-static 10.0.4.4 255.255.255.255 10.0.14.4

R4:

ip route-static 10.0.1.1 255.255.255.255 10.0.14.1

只宣告自己的环回口网段：

R1:（R2/R3/）

bgp 100

   network 10.0.1.1 255.255.255.255 

  network 192.168.10.0 

  network 192.168.20.0

ospf注入bgp中

R4:

bgp 400

  import-route ospf 1

R6:

bgp 400

  import-route ospf 1

修改R4/R5/R6/R7上的下一跳地址

R4:

bgp 400

  peer 10.0.5.5 next-hop-local

  peer 10.0.6.6 next-hop-local

R5:

  bgp 400

  peer 10.0.4.4 next-hop-local

  peer 10.0.7.7 next-hop-local

 

4. 为了使网络资源能充分得到利用，要求业务网段A的流量通过运营商设备转发，业务网段B的流量通过专线转发

理解BGP AS-path属性原理，做适当修改。

MED用于BGP在连接到外部AS时控制流量进来的方向，默认只在同一AS内比较，但是可以通过命令来修改来实现在不同AS间比较MED值。其中MED越小越优先，BGP可以对邻居发送或接受的路由做适当修改。

理解BGP MED属性原理，熟练掌握相关配置方法，并作适当修改。

R2：

acl number 2002
   rule 5 permit source 172.16.20.0 0.0.0.255

route-policy as permit node 5
   if-match acl 2002
   apply as-path 300 additive   （修改as-path）
route-policy as permit node 20

bgp 200

  peer 10.0.12.1 route-policy as export
acl number 2004
   rule 5 permit source 192.168.20.0 0.0.0.255

route-policy med permit node 10
   if-match acl 2004
   apply cost 300  （修改med值）

bgp 200

   peer 10.0.23.3 route-policy med export

注：

在R2做，修改MED值。

在R3写入强制引入才可生效：(此ACL抑制192.168.20.0所以在R3强制若抑制172.16.20.0则在R1写)

[R3]compare-different-as-med

R3上修改med值

R1上查看as-path

追踪：

5. 网络管理员进行定期线路检查，现通过适当调整IGP的链路开销值，使得所有经过总部AS的流量都沿着R4-R5-R7-R6路径转发

基于IBGP的水平分割原则，R5将无法学习到172.16.20.0这个业务网段，R7将无法学习到192.168.20.0这个业务网段，此时可以选择将BGP路由引入到OSPF，通过IGP协议让R5和R7学习业务网段。

OSPF在引入BGP做为外部路由时，其它OSPF路由器默认选择距离ASBR最近的链路，此时可以通过修改接口Cost来修改路径，默认接口Cost为1。

注意：注入时，不要把bgp注入到ospf中，在第6步有影响

让192.168.20.0/24和172.16.20.0/24沿着R4-R5-R7-R6路径转发

原本都是走R4 R6

修改R4和R6的cost值，不用acl列表，进端口配置就可以

在R4:

interface GigabitEthernet0/0/1

 ospf cost 100

在R6:

interface GigabitEthernet0/0/1

 ospf cost 100

在R1:

 

6. 网络管理员在检查中发现业务网段B的流量非常大，决定将业务网段B的流量单独沿着R4-R6路径转发（要求BGP路由选路与实际转发路径一致）

BGP由于IBGP的水平分割，所以IBGP邻居无法正常传递路由，这里可以使用全互联或者路由反射器等技术来实现，常用的为路由反射器。

由于BGP的默认路由优先级为255，而OSPF为150，此时必须强制降低BGP的路由优先级以便选路。

深入理解BGP选路规则与路由反射器的特性，分析路由表现象，结合路由策略进行配置.

反射器：

R5:

bgp 400

  reflector cluster-id 1

  peer 10.0.4.4 reflect-client
  peer 10.0.7.7 reflect-client

R7:

bgp 400

  reflector cluster-id 2

  peer 10.0.5.5 reflect-client

  peer 10.0.6.6 reflect-client

方法一：  

R4:

acl number 2000
   rule 5 permit source 192.168.20.0 0.0.0.255

route-policy local permit node 10
   if-match acl 2000
   apply ip-address next-hop 10.0.46.4
#
route-policy local permit node 20

bgp 400

peer 10.0.6.6 route-policy local export

R6:

acl number 2000
   rule 5 permit source 172.16.20.0 0.0.0.255

route-policy local permit node 10
   if-match acl 2000
   apply ip-address next-hop 10.0.46.6
route-policy local permit node 20

bgp 400

   peer 10.0.4.4 route-policy local export

方法二（此方法可能不太可行）：

R4和R6都做

bgp 400

preference 100 100 100

7. 公司总部网络将进行改造，在不改变原有配置的基础上，通过增加少量配置实现，R5与R7不参与BGP路径选择

BGP在需要短暂中断邻居会话且该邻居配置量较大时，通过执行命令peer ignore可以避免重新配置的工作量。例如，在一段时间内，对端升级或调整链路导致邻居频繁建立连接时，为了避免路由或邻居关系频繁震荡，需要暂时中断BGP邻居，则可以在较稳定的一端使用该命令。

BGP是基于TCP的三次握手机制建立邻居的路由协议，在建立过程中会由一方主动发起TCP连接，如果双方都不主动发起请求，则TCP建立失败，邻居无法建立。

使用peer listen-only命令配置对等体的连接方式为对等体仅检测连接请求，而不主动发送连接请求，必须两端同时开启才生效。

R4:（R6）

bgp 400

  peer 10.0.5.5（10.0.7.7） ignore

   

 

8. 通过配置团体属性使得AS 200中不接收192.168.20.0/24该业务网段的路由

这里可以通过设置BGP的公认属性来限制路由的传递，包括Internet、No-advertise、No-export、No-export-subconfed等。

9. 假设172.16.10.0/24该业务网段状态不稳定，时而出现网络中断现象，通过适当配置以减小其对整网的影响

BGP的Dampening 属性可以用来设置减少路由的震荡。

分析需求，增加合理配置，可通过实际测试来验证配置效果。

R3：

bgp 300

  dampening route-policy damp

 

10. 为了提高BGP网络安全性，在EBGP邻居间配置认证

在两个EBGP邻居间分别配置认证，密钥可采用huawei。

注：

simple是明文认证

cipher是MD5认证

RI<=>R2/RI<=>R4/R2<=>R3/R3<=>R6

以RI<=>R2为例（md5认证）

R1:

bgp 100

  peer 10.0.12.2 password cipher huawei

  peer 10.0.14.4 password cipher huawei

R2:

bgp 200

  peer 10.0.12.1 password cipher huawei

  peer 10.0.23.3 password cipher huawei

11. 修改R2上BGP的存活时间为30s，同时适当调整保持时间

理解BGP计时器的工作原理，掌握修改方法。

BGP的保持激活时间Keepalive默认是60s一次，而保持时间Ｈoldtime则是3倍的激活时间。

R2:

bgp 200
  timer keepalive 30 hold 90