案例精解：BGP路由黑洞.doc

案例精解：BGP路由黑洞什么是路由黑洞？ 简单的说，它会默默的将数据包丢弃，使所有数据包有去无回，下面来看一个案 如图所示：R1和R2建立EBGP邻居关系R2和R5建立IBGP邻居关系R5和R7建立EBGP邻居关系R2、R3、R5之间运行RIPv2首先看配置：sysname route-1#router id 1.1.1.1#interface Ethernet0/0 ip address 192.168.12.1 255.255.255.252#interface Ethernet0/1 ip address dhcp-alloc #interface LoopBack0 ip address 1.1.1.1 255.255.255.255#bgp 100 undo synchronization group 1 external peer 192.168.12.2 group 1 as-number 200#ip route-static 2.2.2.2 255.255.255.255 192.168.12.2 preference 60#sysname route-2#router id 2.2.2.2#interface Ethernet0/0 ip address 192.168.12.2 255.255.255.252#interface Ethernet0/1 ip address 192.168.23.1 255.255.255.252 #interface LoopBack0 ip address 2.2.2.2 255.255.255.255#bgp 200 undo synchronization group 1 external peer 192.168.12.1 group 1 as-number 100 group 2 internal peer 192.168.35.2 group 2#ospf 1 import-route direct import-route static area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 192.168.23.0 0.0.0.3 #ip route-static 1.1.1.1 255.255.255.255 192.168.12.1 preference 60#sysname route-3#router id 3.3.3.3#interface Ethernet0/0 ip address 192.168.35.1 255.255.255.252#interface Ethernet0/1 ip address 192.168.23.2 255.255.255.252 #interface LoopBack0 ip address 3.3.3.3 255.255.255.255#ospf 1 import-route direct import-route static area 0.0.0.0 network 3.3.3.3 0.0.0.0 network 192.168.23.0 0.0.0.3 network 192.168.35.0 0.0.0.3#sysname route-5#router id 5.5.5.5#interface Ethernet0/0 ip address 192.168.35.2 255.255.255.252#interface Ethernet0/1 ip address 192.168.57.1 255.255.255.252 #interface LoopBack0 ip address 5.5.5.5 255.255.255.255#bgp 200 undo synchronization group 2 internal peer 192.168.23.1 group 2 group 1 external peer 192.168.57.2 group 1 as-number 300#ospf 1 import-route direct import-route static area 0.0.0.0 network 5.5.5.5 0.0.0.0 network 192.168.35.0 0.0.0.3 #ip route-static 7.7.7.7 255.255.255.255 192.168.57.2 preference 60sysname route-7#router id 7.7.7.7#interface Ethernet0/0 ip address dhcp-alloc#interface Ethernet0/1 ip address 192.168.57.2 255.255.255.252 #interface LoopBack0 ip address 7.7.7.7 255.255.255.255#bgp 300 undo synchronization group 1 external peer 192.168.57.1 group 1 as-number 200#ip route-static 1.1.1.1 255.255.255.255 192.168.57.1 preference 60 ip route-static 5.5.5.5 255.255.255.255 192.168.57.1 preference 60现在查看R7的路由表disp ip rou Routing Table: public netDestination/Mask Protocol Pre Cost Nexthop Interface1.1.1.1/32 STATIC 60 0 192.168.57.1 Ethernet0/15.5.5.5/32 STATIC 60 0 192.168.57.1 Ethernet0/17.7.7.7/32 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0192.168.57.0/30 DIRECT 0 0 192.168.57.2 Ethernet0/1192.168.57.2/32 DIRECT 0 0 127.0.0.1 InLoopBack0可见R7学到了R1的路由，从表面上看这个实验很完美，达了目的， 然而这时问题出现了，作个测试，在R7上PING R1 ping 1.1.1.1 PING 1.1.1.1: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out - 1.1.1.1 ping statistics - 5 packet(s) transmitted 0 packet(s) received 100.00% packet loss.这究竟是怎么回事呢？原来，我们在R5上关闭了同步，这时它会将一条并没有优化的路由传送给R7，当R7要发向R1发包时，它看到R5是它的下一跳，于是将包发给R5，然后R5又查看它的路由表，发现到R1的下一跳是R2，并继续查找，发现在通过R3可以达到R2，于是它将数据送给R3，这时问题出现了，因为R3没有运行BGP，它不知道R1怎么走，于是它将数据包丢弃，从而造成路由黑洞。由此可见，BGP与IGP同步的重要性，什么是同步？在上一篇我已经提到了，不再多阐述。(同理R1无法访问R7，但有R7的路由条目)（优化的条件：、下一跳可达，题中满足；、同步，题中不满足）既然问题出现了，那到底该怎么去解决呢？首先，如果在R5上开启同步，这样的情况就不会发生了，因为R5从R2收到关于R1的路由条目后，它会的查找它的IGP路由表，看是否有这样一条路由可以到达R1，如果没有，它就不会将这条路由传递给R7，此时可避免黑洞问题。但R7学到R1的路由才是我们真正的目的，那该怎么做呢？我们可以将BGP的路由重发布到RIP中，这样IGP和BGP就可以完成同步，但是这样做并不好，在实验环境中我们当然可以这样做，但试想现在INTERNET中有多达20几万条路由条目，如果重发布到我们的IGP路由器中，很显然大多数路由器是无法支撑的。解决方法一：Full Mesh分别在R2和R3，R3和R5上运行BGP ，这样R3就可以学到到达R1的路由，这时你需要在R1、R2、R3之间分别建立邻居关系，当路由器很多的时候，全互联要求建立n*(n-1)/2个邻居关系，这显然是很麻烦。（略）解决方法二：Foute-Reflector路由反射器，我们可以将R3做成一个路由反射器，使它能将从R1学的路由条目反射给R5，正常情况下为了防止环路，从IBGP学到的路由不会再传给其它IBGP邻居。 现在只需要在路由反射客户和路由反射器间建立邻居关系，邻居关系减少到n-1条。路由反射器（RR）的条件：1、如果路由是从非客户的IBGP学到的只反射给客户2、如果路由是从客户学到的，将它反射给发起该路由的客户以外的所有非客户及客户3、如果路由是从EBGP对等体学到的，将它反射给所有客户和非客户做法：清除R2与R5的邻居关系，只在R2与R3、R3与R5之间建立IBGP关系然后在R3的路由配置模式下：neighbor 2.2.2.2 route-reflector-clientneighbor 5.5.5.5 route-reflector-client /将R2和R5作为RR的客户此时R5上能收到关于R1的路由,它也会传给R7联邦是将整个大的AS区域再划分成多个小的AS区域,比如现在有AS200就相当于中国，而整个中国显然可以再分为若干个省分，现在AS65012和AS65003 就是划分出来的“小AS”，意思这里的AS号是私有的，在出AS200时它将自动被去掉（64512-65535可用），这样划分后，R3和R5就为联邦EBGP邻居了，这时它关于R 1的路由条目就可以传给R5了。R2：router bgp 65012 /指定的联邦AS号no synchronizationbgp log-neighbor-changesbgp confederation identifier 200 /R2对外宣称自己的AS号为200，它会告诉R1它的AS号为200，因为65012是私有的network 192.168.12.0network 192.168.23.0neighbor 1.1.1.1 remote-as 100neighbor 1.1.1.1 ebgp-multihop 255neighbor 1.1.1.1 update-source Loopback0neighbor 3.3.3.3 remote-as 65012neighbor 3.3.3.3 update-source Loopback0neighbor 3.3.3.3 next-hop-selfno auto-summaryR3：r3#sh run | b r brouter bgp 65012no synchronizationbgp log-neighbor-changesbgp confederation identifier 200 /对R5稳定自己的AS号为200，它不会对R1宣称，因为它们属于同一个联邦ASneighbor 2.2.2.2 remote-as 65012neighbor 2.2.2.2 update-source Loopback0neighbor 5.5.5.5 remote-as 65003neighbor 5.5.5.5 ebgp-multihop 255neighbor 5.5.5.5 update-source Loopback0no auto-summary!R5：router bgp 65003no synchronizationbgp log-neighbor-changesbgp confederation identifier 200 /对R3和R7宣称自己的AS号为200neighbor 3.3.3.3 remote-as 65012neighbor 3.3.3.3 ebgp-multihop 255neighbor 7.7.7.7 remote-as 300neighbor 7.7.7.7 ebgp-multihop 255neighbor 7.7.7.7 update-source Loopback0no auto-summary!这时查看R3和R5的邻居关系r3#sh ip bgp suNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd2.2.2.2 4 65012 10 9 1 0 0 00:06:26 25.5.5.5 4 65003 1 1 0 0 0 never Active发现在它们始终处于Active状态，不能完成邻居的建立，这又是为什么呢？分析一下：R5和R3都打了这条命令，bgp confederation identifier 200又因为他们处于不同的联邦AS，所以它们都会宣称自己的AS号为200，然而我们看到它们的Neighbor却不是这样通告的R3上：neighbor 5.5.5.5 remote-as 65003R5上：neighbor 3.3.3.3 remote-as 65012所以这时会报一个错误：AS号错误，如下r5#*Oct 19 12:20:10.311: %SYS-5-CONFIG_I: Configured from console by consoler5#*Oct 19 12:20:19.155: %BGP-3-NOTIFICATION: sent to neighbor 3.3.3.3 2/2 (peer in wrong AS) 2 bytes 00C8r5# FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 002D 0104 00C8 00B4 0303 0303 1002 0601 0400 0100 0102 0280 0002 0202 00解决方法：R3上：bgp confederation peer 65003 / / 不对65003宣称自己的AS为200R5上：bgp confederation peer 65012 / 不对65012宣称自己的AS为200验证r5#sh ip bgp BGP table version is 13, local router ID is 5.5.5.5Status codes: s suppressed, d damped, h history, * valid, best, i - internal, r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path* 1.1.1.0/24 2.2.2.2 0 100 0 (65012)