路由交换网络专题 | 第七章 | BGP练习 | 次优路径 | Route-Policy | BGP认证

• 基本部分配置讲解：
  • 配置BGP相关部分：

// BGP区域配置: 用作环回口创建BGP对等体// “ipv4-family unicast”是指进入BGP的IPv4单播地址族视图。
// 配置完后仅仅只在IPV4地址簇下建立对等体。* 
[AR3]bgp 100
[AR3-bgp]peer 1.1.1.1 as-number 100
[AR3-bgp]ipv4-family unicast 
[AR3-bgp-af-ipv4]peer 1.1.1.1 enable 

（1）为了减少 ospf 报文泛洪影响，在 SW1 配置抑制接口功能。

• 分析：要配置在三层接口，因为OSPF属于三层接口，PC对于收到OSPF的报文是没有任何意义的，所以需要抑制发送，以免浪费性能和资源；所以需要抑制二层接口所属的三层VLAN接口。

[SW1]ospf 1
[SW1-ospf-1]silent-interface Vlanif 10

（2）在交换机 SW1 的 g0/0/2 接口配 ospf 抑制接口会有什么作用，为什么？

• G0/0/2属于二层接口，即使配置了抑制接口，还是会发送OSPF信息，没有作用。

（3）在交换机 SW1 的 vlanif 10 逻辑接口配 ospf 抑制接口会有什么作用，为什么？

• OSPF 邻居关系不会在这个接口上建立，也不会传输 OSPF 路由信息，只会接受信息(例如IP地址变化)。

（4）在 R2 和 R3 上配置下发默认路由，R2 作为主路由网关。

• 内部的网路要和外部通信，就要配置默认路由；只有一台设备下发了默认路由，后面的设备都会依次传递。
• 不同路由之间比优先级，相同路由之间比cost值。

// always如果本身没有默认路由，是需要加上的；如果本身有则不需要加；
// 比如AR3和AR2有到AR1的默认路由
[AR2]ospf 
[AR2-ospf-1]default-route-advertise always [AR2]ospf 
[AR3-ospf-1]default-route-advertise always // R2作为主网关可以下发的时候修改其cost值，cost越小越优，可以将R3cost值改高
[AR3-ospf-1]default-route-advertise always cost 3

• 不同路由协议之间比优先级，相同路由协议之间比cost值。

（5）如何防止因为 R2 或 R3 的路由引入造成的次优路由问题？

• 此时对于AR3关于学习到10.10.10.0的网段，会学习到哪一条路径？
  • 这里会从AR4走，这样就形成了一个次优路径，相当于绕一个圈。
• 同协议中路由传递优先级不变。
• 可以选择过滤掉次优路径学习过来的路由。

// 现在两个路由器中引入IBGP路由，相互引入；引入IBGP路由需要加 permit-ibgp 
[AR3-ospf-1]import-route bgp permit-ibgp 
[AR2-ospf-1]import-route bgp permit-ibgp [AR2-bgp]import-route ospf 1
[AR3-bgp]import-route ospf 1

• 配置完成会产生次有路径，比如AR3但如果访问10.10.10.10路径会是AR4-AR2-AR1，需要做路由过滤。

// 匹配ACL,动作拒绝
[AR2]acl 2000
[AR2-acl-basic-2000]rule deny source 10.10.10.0 0.0.0.255
[AR2-acl-basic-2000]rule deny source 10.10.20.0 0.0.0.255
[AR2-acl-basic-2000]rule permit
// 分别在OSPF中进行过滤，因为次优路径都是从OSPF区域传递过来的。
// 在接收的方向进行过滤，因为从过滤先从内部过来的次优路径的路由。
[AR2-ospf-1]filter-policy 2000 import [AR3-ospf-1]filter-policy 2000 import
// AR3同理

• 做过滤后路由正常：

（6）R2 与 R3 仅引入服务器路由到 OSPF 域。

• 引入路由的时候也做过滤，把其他的路由也过滤掉。（这里AR1上配置环回口1模拟网段：100.100.100.100，并且宣告在bgp中）。

 [AR1]int lo 1[AR1-LoopBack1]ip ad 100.100.100.100 32[AR1]bgp 100[AR1-bgp]network 100.100.100.100 32

• 这里也会因为有次优路径问题，导致AR4只会有一个路径。（所以同样需要过滤来自OSPF的路由）。

// 过滤掉100.100.100.100路由的，因为比如：AR3先接受从AR4-AR3传递过来的路由，那就不可能将同样的路由从接收接口在发出去。
// 在AR2和AR3上添加一条过滤规则，这样就会显示两条路由到100.100.100.100
// 注意：需要加载permit any的前面
[AR2-acl-basic-2000]rule 11 deny source 100.100.100.100 0[AR3-acl-basic-2000]rule 11 deny source 100.100.100.100 0

• 此时AR4同时收到来自AR2、AR3的路由了，再进行过滤，路由引入中过滤使用route-policy。

// 匹配网段，只允许引入这两个网段
[AR2]acl 2001
[AR2-acl-basic-2001]rule permit source 10.10.10.0 0.0.0.255
[AR2-acl-basic-2001]rule permit source 10.10.20.0 0.0.0.255
// 使用route-policy执行
[AR2]route-policy 1 permit node 1
[AR2-route-policy]if-match acl 2000
[AR2]route-policy 1 deny node 2
// 在OSPF引入中调用
[AR2-ospf-1]import-route bgp permit-ibgp route-policy 1// AR3同理操作

• 此时再发现100.100.100.100的网段就没有了。

（7）在 R1 上聚合服务器路由并抑制明细路由后，发现 R4 收不到聚合后的路由，要如何做配置修改？

[AR1-bgp]aggregate 10.0.0.0 16 detail-suppressed 

• 如果不加detai-suppressed任然有明细路由，在AR3和AR2上查看

  

• 发现 R4 收不到聚合后的路由，是因为在做上一步的时候，将路由过滤掉了。

// 在AR2和AR3 ACL中添加聚合后的路由,用于绑定route-policy引入过滤的时候
[AR3-acl-basic-2001]rule permit source 10.10.0.0 0.0.255.255[AR2-acl-basic-2001]rule permit source 10.10.0.0 0.0.255.255

• 但是AR4中只有一条：

• 同样也需要添加到过滤次优路径的ACL2000中解决次优路径问题。

//在AR2和AR3ACL中添加聚合后的路由，用于过滤掉次优路径，从而显示两条路由路径
[AR3]acl 2000
[AR2-acl-basic-2000]rule deny source 10.0.0.0 0.0.255.255[AR3]acl 2000
[AR2-acl-basic-2000]rule deny source 10.0.0.0 0.0.255.255

（8）在 R1 上做什么配置可以使 PC1 访问服务器的下行数据经过 R1 后可以等价负载？

• 就是返回PC1的数据，得让AR1知道PC1的网段。AR1查看只有一条路径，涉及BGP 选路。

• 因为BGP默认是不等价的，如果需要BGP等价，需要配置如下命令：
• 例如，如果你希望BGP最多考虑两条路径进行负载均衡，可以使用如下命令：

[AR1-bgp]maximum load-balancing 2

• 这个命令配置的是等价路径的最大数量，即在进行负载均衡时，BGP可以选择的最大路径数目。==这对于提高网络的负载均衡性能是有帮助的，尤其是在有多条等价路径的情况下。==配置后AR1路由如下：

（9）配置 R1 与 R2 的 BGP 认证。

[AR1-bgp]peer 2.2.2.2 password cipher 123456

（10）配置 R4 与 R5 基于接口的 OSPF 认证。

[AR1-ospf-1-area-0.0.0.0]authentication-mode md5 

• 同时配置基于接口和基于区域的认证，优先选择基于接口的认证。