本文講述了思科CCNP認證PBR策略路由與BGP協(xié)議。分享給大家供大家參考，具體如下：

PBR——策略路由

定義：通過流量策略來執(zhí)行選路的一種轉(zhuǎn)發(fā)手段。
控制層面——給路由的轉(zhuǎn)發(fā)做指導(dǎo)
數(shù)據(jù)層面——在路由表中找到路由的出接口或者下一跳

傳統(tǒng)的路由表轉(zhuǎn)發(fā)只能通過數(shù)據(jù)的目標地址做策略。
策略路由可以根據(jù)源地址、目的地址、源端口、目的端口、協(xié)議、TOS等流量特征來做決策提供路由——靈活性高，但速度慢，需要一個一個抓，操作相對麻煩。

路由表與策略路由的關(guān)系：

策略路由是先于路由表執(zhí)行的，策略路由沒有捕獲的流量依然會去執(zhí)行路由表。
兩種配置：
 

1：接口下配置

  access-list 100 permit ip host 1.1.1.1 any  //用ACL捕獲流量
   route-map pbr permit 10 //定義route-map 
   natch ip address 10 //調(diào)用被ACL捕獲的流量
   set ip next-hop 10.1.1.1 //設(shè)置下一跳
   int f0/1 
   ip policy route-map pbr //接口下調(diào)用

只能捕獲該接口的入接口流量做策略（不能處理本路由器產(chǎn)生的流量）。

2：全局配置

access-list 100 permit ip host 1.1.1.1 any //用ACL捕獲流量
route-map pbr permit 10 //定義route-map 
match ip address 10 //調(diào)用被ACL捕獲的流量
set ip next-hop 10.1.1.1 //設(shè)置下一跳
ip local policy route-map pbr

能夠捕獲所有接口入接口流量以及本路由器產(chǎn)生的流量（源地址是本路由器地址）

3：策略路由的冗余設(shè)置

route-map pbr permit 10
match ip address 1
ip next-hop verify-availability 10.1.24.2 1 track 1 //track 成功則本條生效，track失敗則執(zhí)行下一條set語句
track ip next-hop 10.1.34.3

track 1 ip sla 1 //定義一個track監(jiān)控sla的探測結(jié)果
ip sla 1 //定義一個sla
ip icmp-echo 10.1.12.1 source-ip 10.4.4.4 //設(shè)置其探針
ip sla schedule 1 life forever start-time now //設(shè)置sla 1的執(zhí)行時間

4：default 語句
在route-map的set ip default這個位置輸入，定義被捕獲的流量為先查路由表。如果能精確匹配（如果抓的10.5.5.5，路由表中有10.5.5.0/24這就不叫精確匹配。如果有10.5.5.5/32則叫精確匹配）就執(zhí)行路由表。如果不能則執(zhí)行策略路由。

access-list 100 permit ip host 1.1.1.1 any //用ACL捕獲流量
route-map pbr permit 10 //定義route-map 
match ip address 100 //調(diào)用被ACL捕獲的流量
set ip default next-hop 10.1.1.1 //設(shè)置下一跳
int f0/1
ip policy route-map pbr //接口下調(diào)用

策略路由在轉(zhuǎn)發(fā)層面不如路由表。原因是匹配的東西過多，底層芯片處理支持有限。使用原則是能不使用就不使用，如果出現(xiàn)非目的地址的轉(zhuǎn)發(fā)策略果斷用。
5：策略路由的其他功能——為流量打標記

route-map pbr permit 10
match ip address 1
set ip precedence priority //設(shè)置隊列優(yōu)先級（優(yōu)先出接口）

PS:前綴列表比ACL更方便抓精確流量，ACL匹配的范圍更大。
10.0.0.0/24
10.0.0.0/8
10.0.0.0/16
使用前綴列表能夠精確抓出上面三條中的其中一條。但抓匯總路由時使用ACL更方便。

BGP

1：概況

BGP：EBGP協(xié)議，管理AS之間路由傳遞。距離矢量型，采用分布式計算。用TCP來傳遞路由信息（端口179），保證了可靠性但會喪失鄰居自動發(fā)現(xiàn)，只能手動建鄰，并且可以非直連建鄰。

BGP設(shè)計用來處理AS之間的路由，所以該協(xié)議重點處理AS之間的路由，AS之內(nèi)的路由不作為重點。

BGP使用AS號作為識別不同AS路由的標識，該AS號需要具有唯一性。AS號范圍：1-65535，可以使用擴展32位 65535-4294967295（解決AS不夠用的情況）

BGP的最新使用單位是一個路由器所以每個路由器只能使用一個BGP的進程。

由于BGP管理的路由信息非常龐大，不能夠使用周期更新，只能觸發(fā)更新。并且BGP會認為一條路由時間越久越穩(wěn)定，在這種情況下BGP必然不會使用復(fù)雜的算法來處理BGP收到的路由信息，由于每個AS情況不一致，管理范圍也有限，它必然需要豐富的管理參數(shù)（不能只依賴metrci）。綜上所述BGP必然需要多種參數(shù)共同來決定路由的選擇，并且不能依賴某種特定的全局算法，只能單獨去計算某一條路由，不能全盤考慮，并且需要依賴所屬AS管理員手動設(shè)置。BGP更像一種路徑優(yōu)先協(xié)議，通過給每一個路由設(shè)置大量的屬性參數(shù)來進行靈活的管理或者選路，并且這些屬性參數(shù)大量的都需要人為操控。

2：建鄰過程

1> down——初始狀態(tài)
 

2> idle state
配置了neighbor或者重置了鄰居，BGP初始化所有資源打開connectretry計時器，初始化鄰居的TCP連接，監(jiān)聽來自鄰居初始化消息并將它的狀態(tài)轉(zhuǎn)到connect狀態(tài)。
為了防止差錯的持續(xù)出現(xiàn)造成BGP鄰居的擺動，connectretry計時器會呈現(xiàn)級數(shù)級的增加，第一次60s；下一次為前一次的2倍120s，再下次240s…

3> connect state
BGP等到TCP連接完成以后再決定后續(xù)的動作
1：如果TCP同步成功，BGP將connectretry清零，完成初始化并發(fā)送一個open消息給鄰居并把狀態(tài)置為open
2：如果失敗，BGP繼續(xù)監(jiān)聽鄰居發(fā)出的連接，重置connectretry計時器并轉(zhuǎn)移到active狀態(tài)
3：如果connectretry時間超時，計時器重新開始，再試圖與鄰居建立TCP連接，BGP保持connect狀態(tài)，出現(xiàn)其他事件轉(zhuǎn)入idle狀態(tài)

4> active state
BGP試圖與鄰居建立一個TCP連接
1：如果TCP連接成功，BGP將connectretry計時器清零，完成初始化，給鄰居發(fā)送open消息并將狀態(tài)置為open，hold事件置為4mins
2：如果在active狀態(tài)，connectretry計時器超時回到connect狀態(tài)并重置connectretry計時器
3：如果試圖與一個未知ip建立TCP會話，同時connectretry計時器重置，連接拒絕并保持active狀態(tài)
4：任何一個事件都會導(dǎo)致重回idle

5> open send state
在此狀態(tài)，已經(jīng)發(fā)送了open消息，BGP等待鄰居發(fā)送的open消息
1：收到open消息，如果發(fā)現(xiàn)差錯，將給鄰居發(fā)送一個notification消息并置為idle
2：如果收到open消息沒錯，并發(fā)送keeplive給鄰居，并建立IBGP或者EBGP狀態(tài)置為open confire state
3：如果收到TCP斷開消息則斷開BGP連接重置connectretry計時器，狀態(tài)置為active

6> open confire state
在此狀態(tài)下BGP會等待一個keeplive消息或notification消息
1：如果后搜到一個keeplive消息狀態(tài)置為establish
2：如果收到notification消息狀態(tài)置為idle斷開TCP連接
3：如果hold計時器超時，檢測到一個差錯或者stop事件，BGP將給鄰居發(fā)送一個notification并斷開連接，狀態(tài)置為idle

7> establish state
此狀態(tài)BGP對等體間的連接已經(jīng)完全建立，可以交換update,keeplive和notification消息，收到notification狀態(tài)置為idle中斷連接

8> path-attribute
一共10種屬性（cisco11種）分為4類 well-known mandatory,well-known discretionary,optional transitive,optional nontransitive；11條屬性：weight,origin,as_path,next-hop,local_pref,atomic_aggregate,aggregator,community,MED,originator_id,cluster_list.

1：公認必尊：所有BGP路由器必須識別遵守的原則有origin,as_path,next-hop
2：公認可尊：所有路由器都能識別但是不一定要遵守有l(wèi)ocal_pref,atomic_aggregate
3：可選傳遞：不是所有BGP路由器都能識別，但是所有BGP都能傳遞有aggregator和community
4：可選非傳遞：不是所有路由器都能識別，不能識別的BGP路由器就丟棄它有MED,originator_id和cluster_id,weight

五種消息類型：

1：open消息：open消息是TCP連接建立后發(fā)送的第一個消息，用于建立BGP對等體之間的連接關(guān)系。
2：keeplive消息：BGP會周期性地向?qū)Φ润w發(fā)出keeplive消息，用來保持連接的有效性。
3：update消息：用于更新路由，既可以發(fā)布可達消息，也可以撤銷不可達路由信息。
4：notification消息：當(dāng)BGP檢測到錯誤狀態(tài)時，就向?qū)Φ润w發(fā)出notification消息，之后BGP連接會立即中斷。
5：reflush消息：刷新BGP路由。

BGP建鄰失敗的場景

參數(shù)與配置：
1：neighbor 10.1.1.1 //代表向該地址發(fā)送TCP端口為179的數(shù)據(jù)，并且自己也需要在發(fā)出地址上打開TCP 179的監(jiān)聽。該配置可以指定源地址也可以不指定源地址，不指定時默認為出接口地址。（意味著需要打開該出接口關(guān)于TCP 179的監(jiān)聽）
本端指的地址需要是對方的源地址，對方指的地址需要是本端的源地址。
2：neighbor 10.1.1.1 remote-as xx
對端建立鄰居的AS號必須和本端remote-as xx號一致。
3：建鄰雙方保證TCP 179能夠發(fā)送，不丟失，不被攔截。

鄰居之間路由傳遞規(guī)則

BGP兩種鄰居關(guān)系：
IBGP鄰居關(guān)系 // 相同AS路由器建立的鄰居關(guān)系
EBGP鄰居關(guān)系 //不同AS路由器建立的鄰居關(guān)系

1：BGP不管什么鄰居關(guān)系只傳遞最優(yōu)路由（不優(yōu)不傳，優(yōu)的標志是 > ，也就是不帶 > 的路由不會被BGP傳遞）
2：EBGP鄰居關(guān)系路由傳遞
只要不違背環(huán)路原則或者人工策略，EBGP鄰居傳遞無限制（前提必須優(yōu)），EBGP之間傳遞路由會更新next-hop為自己的更新源地址。
3：IBGP鄰居關(guān)系路由傳遞
IBGP鄰居之間不會中轉(zhuǎn)路由。IBGP自己產(chǎn)生的路由（自己宣告的，自己重發(fā)布進行來的、和EBGP鄰居傳遞的）都可以傳遞給他的IBGP鄰居，但不可以在IBGP之間中轉(zhuǎn)（也就是不能傳遞到鄰居的鄰居）IBGP之間傳遞路由不會更新next-hop（只有next-hop為0.0.0.0 的 情況才會更新，后者建立鄰居的時候輸入neighbor x.x.x.x next-hop-self更新為自己的更新源地址）

此設(shè)定的好處：IBGP之間擁有了水平分割從而避免了IBGP環(huán)路的產(chǎn)生，BGP也不必設(shè)置防環(huán)算法。

此設(shè)定的壞處：IBGP之間路由傳遞必須直接建立鄰居，導(dǎo)致IBGP鄰居關(guān)系是一種全互聯(lián)狀態(tài)。

weight:
cisco私有屬性，對于離開AS的路由在路由器上選擇哪一條最優(yōu)，本臺路由器產(chǎn)生為32768，學(xué)習(xí)的為0，不能傳遞，適用于一臺路由去往別的AS有多個出口。

origin:
起源，0表示宣告（i），1表示EGP學(xué)到（E），3表示其他手段得到（重發(fā)布?），越低越好

as_path:
一條路由在傳輸過程中經(jīng)歷了哪些AS（不算自己），可用來防環(huán)，越短越好。
neighbor x.x.x.x allows-in 允許和具有自己相同的AS的路由進入本AS
neighbor x.x.x.x as-override 把具有和其他AS相同AS號的路由放入這個AS

next-hop ：
到達路由的下一跳路由器ip地址
通告路由器和接收路由器不在一個as，next-hop為通告路由器的更新地址
通告路由器和接收路由器在一個as內(nèi)，next-hop為通告鄰居的更新地址
通告路由器和接收路由器在一個as內(nèi)且為鄰居關(guān)系更新地址為不同as，則為外部更新地址

local_pref：
不能傳輸?shù)狡渌鸻s，值越高越優(yōu)，用于本as選擇離開as的出口，路由器默認為100

MED：
用于選擇流入as的入口路由器，可以在兩個as之間傳遞，越低越好，默認為0

atomic_aggregate:
用來警告下游路由器路由聚合后產(chǎn)生的路由路徑丟失。
BGP支持向BGP鄰居傳遞重疊路由，可以選擇多種方式
1> 明細和粗略的都公布 //aggregate-address 10.0.0.0 255.0.0.0
2> 只公布明細 //aggregate-address 10.0.0.0 255.0.0.0 suppress-map
3> 只公布沒有重疊的as-path //aggregate-address 10.0.0.0 255.0.0.0 summary-only as-set
4> 聚合后公布聚合后的路由 //aggregate-address 10.0.0.0 255.0.0.0 summary-only
5> 明細和粗略都不公布

aggregator:
用來通告匯總路由的匯聚路由器 BGP_ID（cisco）
1> internet 默認屬性，可以給任何BGP發(fā)送
2> no_export 只能在一個AS內(nèi)傳遞，可以在聯(lián)盟內(nèi)傳遞
3> no_advertise 不在IBGP鄰居間傳遞
4> local-as 不向任何EBGP鄰居發(fā)送包括聯(lián)盟的EBGP鄰居

ip community-list //匹配列表
標準和擴展community:
標準是普通路由可以設(shè)置的團體公有和私有
擴展是mpls中vrf路由傳遞定義的

originator_id:
路由反射使用，是路由發(fā)起者產(chǎn)生的一個32比特的值，該值是本地路由發(fā)起者的RID，如果路由發(fā)起者從屬性上看到自己的RID，說明有環(huán)路，忽略

cluster_list:
路由反射器使用，是路由經(jīng)過反射器簇ID的一個序號，如果反射器在屬性里看到自己的簇ID就說明有環(huán)路，忽略

最新評論