網絡系統建設與運維之前介紹的所有路由協議均為IGP協議（內部網關路由協議），IGP協議的特點在于完全可以依據理論上最優的路徑來計算路由，管理員還可以實施精細的路由控制，但BGP（外部網關路由協議）協議完全不同，他經常受到政治的、安全的、人為的因素影響，并不能夠完全按照理論計算的最優路徑進行數據轉發，可以這么理解，BGP基本上是按照用戶的意愿被動的搬運路由表而已，本質上不產生、不發現、不計算路由，他只是路由的搬運工而已。本項目介紹BGP協議的基本概念和配置方法。深入篇項目5部署BGP路由一、學習目標1、了解BGP路由協議工作原理；2、掌握BGP路由協議的部署。二、網絡拓撲圖深入篇項目5部署BGP路由三、環境與設備要求1、按下列清單準備好網絡設備，并依圖示搭建網絡拓撲圖；深入篇項目5部署BGP路由設備型號數量路由器ROUTER52、為計算機和相關接口配置IP地址；3、全網能夠互通。深入篇項目5部署BGP路由設備連接端口IP地址R1E0/0/0R2E0/0/010.0.12.1/24R2E0/0/0R1E0/0/010.0.12.2/24R2E0/0/1R3E0/0/010.0.23.2/24R3E0/0/0R2E0/0/110.0.23.3/24R3E0/0/1R4E0/0/010.0.34.3/24R4E0/0/0R3E0/0/110.0.34.4/24R4E0/0/1R5E0/0/010.0.45.4/24R5E0/0/0R4E0/0/110.0.45.5/24R1LOOPBACK0--1.1.1.1/32R2LOOPBACK0--2.2.2.2/32R3LOOPBACK0--3.3.3.3/32R4LOOPBACK0--4.4.4.4/32R5LOOPBACK0--5.5.5.5/32四、認知與配置過程首先配置AS100和AS200的IGP路由，分別部署OSPF（全網宣告）和IS-IS（全網Level-2宣告）路由協議，確保各自的IGP路由正常。此時AS100和AS200之間仍然不能夠互通，BGP（BorderGatewayProtocol，邊界網關協議）專門用于解決不同AS之間的互聯互通問題。下面的配置將通過BGP協議，分別將AS100和AS200中的IGP路由搬運到對方的BGP路由表中去。深入篇項目5部署BGP路由1、配置BGP對等體1.1配置R1的BGP對等體1.2配置R2的BGP對等體深入篇項目5部署BGP路由[R1]bgp100[R1-bgp]peer2.2.2.2as-number100 //IBGP對等體[R1-bgp]peer2.2.2.2connect-interfaceLoopBack0[R2]bgp100[R2-bgp]peer1.1.1.1as-number100[R2-bgp]peer1.1.1.1connect-interfaceLoopBack0[R2-bgp]peer10.0.23.3as-number200 //EBGP對等體1.3配置R3的BGP對等體1.4配置R4的BGP對等體深入篇項目5部署BGP路由[R3]bgp200[R3-bgp]peer4.4.4.4as-number200[R3-bgp]peer4.4.4.4connect-interfaceLoopBack0[R3-bgp]peer10.0.23.2as-number100[R4]bgp200[R4-bgp]peer3.3.3.3as-number200[R4-bgp]peer3.3.3.3connect-interfaceLoopBack0[R4-bgp]peer5.5.5.5as-number200[R4-bgp]peer5.5.5.5connect-interfaceLoopBack1.5配置R5的BGP對等體1.6驗證BGP對等體可以看到R2的兩個BGP對等體狀態都為：Established，狀態正常，同理驗證一下其他路由器的BGP對等體，確保所有對等體都狀態正常。深入篇項目5部署BGP路由[R5]bgp200[R5-bgp]peer4.4.4.4as-number200[R5-bgp]peer4.4.4.4connect-interfaceLoopBack0[R2]disbgppeer2、將AS100中的IGP路由搬運至AS2002.1使用network命令宣告BGP路由2.2分別在R3、R4、R5上查看BGP路由表在R3和R4上都可以看到上述兩條BGP路由（最后的“i”表示當前的BGP路由的起源屬性為IGP，即他們都是通過network命令宣告的），他們都是合法的（標記為“*”），也是最優的（標記為“>”），因此是有效的的BGP路由。深入篇項目5部署BGP路由[R2-bgp]network1.1.1.132[R2-bgp]network2.2.2.232<R3>disbgprouting-table但是在R5上卻看不到任何BGP路由條目，說明R4并沒有將自己的BGP路由通告給R5，這是什么原因呢？根據BGP通告原則，IBGP的路由條目不會被通告給IBGP的鄰居（這兩條路由表項屬于IBGP，而R5又屬于R4的IBGP鄰居），這是為了防止BGP的路由環路，如何解決這個問題呢？可以在R4上配置BGP反射器，同時將R5配置為R4的反射器客戶機。稍等片刻后，即可在R5上看到上述兩條BGP路由條目。深入篇項目5部署BGP路由[R4-bgp]peer5.5.5.5reflect-client3、將AS200中的IGP路由搬運至AS1003.1使用import命令宣告BGP路由3.2分別在R1、R2上查看BGP路由表可以看到R1中已經有了AS200全網的明細路由。深入篇項目5部署BGP路由[R3-bgp]import-routeisis1<R1>disbgprouting-table五、測試并驗證結果測試R1和R5之間的連通性可以看到R1和R5之間可以正常通信。請注意如果R1直接pingR5，結果是不通的，如下：這是因為默認情況下，路由器會以出接口的IP地址作為ping包的源地址，然而10.0.12.0網段我們并沒有通過BGP搬運至AS200，這會導致回程的ping包目的地不可達。深入篇項目5部署BGP路由<R1>ping5.5.5.5<R1>ping-a1.1.1.15.5.5.5六、項目小結與知識拓展1、BGP協議被設計運行在AS之間傳遞路由，AS之間是廣域網鏈路，數據包在廣域網上傳遞是可能出現不可預測的鏈路擁塞或丟失等情況，因此BGP使用TCP作為其承載協議來保證可靠性。BGP使用TCP封裝建立鄰居關系，端口號為179，TCP采用單播建立連接，因此BGP協議并不像RIP和OSPF一樣使用組播發現鄰居，單播建立連接也使BGP只能手動指定鄰居。深入篇項目5部署BGP路由2、BGP鄰居關系的類型主要靠配置的AS號區別，peer關鍵字后面是對端鄰居的接口IP地址，as-number后面是鄰居路由器所在的AS號，AS號相同則為IBGP鄰居關系；AS號不同，則為EBGP鄰居關系。peer關鍵字后面的地址可以是對端鄰居直連接口的IP地址，也可以是非直連LoopBack接口的IP地址（但必須保證該IP地址路由可達），甚至也可以不是直連的路由器。建立IBGP鄰居關系時，一般使用LoopBack接口的IP地址，因為LoopBack接口開啟后一直處于UP狀態，只要保證路由可達，鄰居關系一直處于穩定狀態；而建立EBGP鄰居關系時，一般使用直連接口的IP地址，因為EBGP是跨AS建立鄰居關系，鄰居關系建立之前非直連接口之間的路由不可達。深入篇項目5部署BGP路由3、宣告BGP路由的方式有兩種：第一種是使用配置命令network，第二種是使用配置命令import。其中network命令用于將IP路由表中已經存在的路由逐條引入BGP路由表中；import命令是根據運行的IGP路由協議（如RIP、OSPF等），將路由引入到BGP路由表中去，同時也可以引入直連和靜態路由。大多數情況下，通過import引入的路由需要配合路由策略來使用，以防止引入不必要的路由。通過network宣告的BGP路由可以利用aggregate命令進行聚合（手工聚合），比如：參數detail-suppressed表示抑制明細路由的發布（即聚合后，在BGP路由表中將只包含聚合后的路由，不再包含明細路由）深入篇項目5部署BGP路由[R1-bgp]aggregate1.1.1.024detail-suppressed通過import宣告的BGP路由可以利用summaryautomatic命令進行聚合（自動聚合），比如：注意該命令只能進行大類聚合（即嚴格按A、B、C類IP地址進行聚合）各種BGP路由的優先級如下：aggregate>summaryautomatic>network(i)>import(?)深入篇項目5部署BGP路由[R1-bgp]summaryautomatic4、BGP向鄰居通告路由時，遵循以下四條原則BGP路由器只將自己最優的路由發布給鄰居通過EBGP獲得的路由會發布給所有的BGP鄰居（包括EBGP鄰居和IBGP鄰居）通過IBGP鄰居獲得的路由不會發布給其他的IBGP鄰居從IBGP鄰居學來的路由在發布給一個BGP鄰居之前，通過IGP必須知道該路由，即BGP與IGP同步。在華為路由器上，默認是將BGP與IGP的同步檢查關閉的，原因是為了實現IBGP路由的正常通告。但關閉了BGP與IGP的同步檢查后會出現“路由黑洞”的問題，必須通過其他手段解決（比如IBGP全互聯）。深入篇項目5部署BGP路由5、在本例中，BGP反射器只有一個客戶機，如果有多個客戶機，也可以成組配置，比如：該命令表示反射器R5有兩個客戶機：R6、R7。BGP反射器相關概念及工作原理如下：（1）路由反射器RR（RouteReflector）：允許把從IBGP對等體學到的路由反射到其他IBGP對等體的BGP設備。（2）客戶機（Client）：與RR形成反射鄰居關系的IBGP設備。在AS內部客戶機需要與RR直連。深入篇項目5部署BGP路由[R5-bgp]grouprr1interna1[R5-bgp]peer6.6.6.6grouprr1[R5-bgp]peer7.7.7.7grouprr1[R5-bgp]peerrr1reflect-client（3）非客戶機（Non-Client）：既不是RR也不是客戶機的IBGP設備。在AS內部非客戶機與RR之間，以及所有的非客戶機之間仍然必須建立全連接關系。（4）始發者（Originator）：在AS內部始發路由的設備。Originator_ID屬性用于防止集群內產生路由環路。（5）集群（Cluster）：路由反射器及其客戶機的集合。Cluster_List屬性用于防止集群間產生路由環路。（6）同一集群內的客戶機只需要與該集群的RR直接交換路由信息，因此客戶機只需要與RR之間建立IBGP連接，不需要與其他客戶機建立IBGP連接，從而減少了IBGP連接數量。（7）RR突破了“從IBGP對等體獲得的BGP路由，BGP設備只發布給它的EBGP對等體。”的限制，并采用獨有的Cluster_List屬性和Originator_ID屬性防止路由環路。深入篇項目5部署BGP路由（8）RR向IBGP鄰居發布路由規則如下：從非客戶機學到的路由，發布給所有客戶機。從客戶機學到的路由，發布給所有非客戶機和客戶機（發起此路由的客戶機除外）。從EBGP對等體學到的路由，發布給所有的非客戶機和客戶機。6、BGP可以很容易地在IPv6環境下部署（一般稱為BGP4+），只需在BGP進程視圖下使