BGP高级特性

0.实验目标：
 实现基于 Peer-Group 的 BGP 对等体建立
 实现 BGP 路由策略配置
 实现 BGP 安全特性配置
1.实验要求
某企业存在两个分公司与一个总公司，公司共有两个业务OA: S1、S2、S5 的 Loopback0 接口网段是 OA 业务网段。分支之间，分支与总公司之间能够互相传递 OA 数据，对于 OA 业务相关路由需要标注始发 AS。财务: S1、S2、S5 的 Loopback1 接口网段是财务业务网段，由于财务业务较为机密，因此只允许分公司与总公司之间传递财务数据，分公司之间禁止传递财务数据。网络管理员需要搭建一个满足这些需求的同时又有一定安全性的网络

 

2.实验拓扑

 

3.关键技术
3.1 在骨干区域配置 OSPF，构建底层网络，举例R1，R2、R3、R4、R5一样的方法配置
#配置 R1
Rl]router id 10.10.10.1
R1]ospf 1
R1-ospf-1] area 0
R1-ospf-1-area-0.0.0.0] network 10.10.10.1 0.0.0.0
R1-ospf-1-area-0.0.0.0] network 10.0.12.1 0.0.0.0

3.2 在分公司与骨干网络之间部署 GTSM 与 BGP 认证，保证 BGP 网络安全
#在 S5 与R3 上部署 EBGP 对等体，并配置 BGP 认证与GTSM，GTSM 只需要在骨干网侧配
[R3]bgp 65100
[R3-bgp] peer 10.0.35.5 as-number 65003
[R3-bgp] peer 10.0.35.5 password cipher BGPAdv
[R3-bgp] peer 10.0.35.5 valid-ttl-hops 255
[S5]bgp 65003
[S5-bgp] peer 10.0.35.3 as-number 65100
[S5-bgp] peer 10.0.35.3 password cipher BGPAdv
#检查建立情况：dis bgp peer

3.3 R1、R3、R5 配置与R2、R4的IBGP 对等体关系，同时将 R1、R3、R5配置为 R2、R4 的反射器客户端
R2与R4 是二级 RR，R1、R3、R5是R2与R4的客户端，同级 RR 为了避免路由互相传递般需要修改 ClusterID，将 Cluster ID 设置为 24.24.24.24R3 是一级RR，R2、R4是R3 的客户端。按照拓扑规划部署IBGP 对等体，基于Loopback 接口地址建立IBGP 对等体，由于邻居较多，需使用 peer-group 方式配置。
#配置 R1
[R1] bgp 65100
[R1-bgp] group IBGP internal
[R1-bgp] peer IBGP connect-interface LoopBack0
[R1-bgp] peer IBGP next-hop-local
[R1-bgp] peer 10.10.10.2 group IBGP
[R1-bgp] peer 10.10.10.4 group IBGP
[R2] bgp 65100
[R2-bgp] group IBGP internal
[R2-bgp] peer IBGP connect-interface LoopBack0
[R2-bgpl peer 10.10.10.1 group IBGP
[R2-bgp] peer 10.10.10.3 group IBGP
[R2-bgp] peer 10.10.10.4 group IBGP
[R2-bgp] peer 10.10.10.5 group IBGP
#配置R3
[R3] bgp 65100
[R3-bgp] group IBGP internal
[R3-bgp] peer IBGP connect-interface LoopBack0
[R3-bgp] peer IBGP next-hop-local
[R3-bgp] peer 10.10.10.2 group IBGP
[R3-bgp] peer 10.10.10.4 group IBGP

 


3.4 R3 作为一级RR需要配置与 R2、R4的IBGP 对等体关系，同时将R2、R4配置为 R3的反射器客户端
#配置 R4，配置多级RR
[R4]bgp 65100
[R4-bgp] peer IBGP reflect-client
[R4-bgp] reflector cluster-id 24.24.24.24
#配置 R3
[R3]bgp 65100
[R3-bgp] peer IBGP reflect-client
#在任意路由器上检查对等体组
display bgp group IBGP

 


3.5 发布BGP路由
#配置 S1
[S1]bgp 65001
[S1-bgp] network 10.0.1.1 32
[S1-bgp] network 10.1.1.1 32

3.5 在 R1、R2、R3 上给 Loopback0 接口路由打上 Community 值，用于标注 OA 业务的始发AS
1.各个BGP开启advertise-community
#配置 R1、R2、R3、R4、R5，手工开启发送 Community 值的能力
[R1]bgp 65100
[R1-bgp] peer IBGP advertise-community
[R1-bgp] peer 10.0.11.1 advertise-community 【EBGP端】
[R2]bgp 65100
[R2-bgp] peer IBGP advertise-community
2.在 S1、S2、S5 上配置路由策略，为 Loopback0 接口路由打上相应 Community 值。
#配置S1，S2、S5差不多一样配置
[Sl] ip ip-prefix Com index 10 permit 10.0.1.1 32
[S1] route-policy Attr permit node 10
[S1-route-policy] if match ip-prefix Com
[S1-route-policy] apply community 65001:1
[S1-route-policy] quit
[S1]route-policy Attr permit node 100
[S1-route-policy] quit
[S1] bgp 65001
[S1-bgp] peer 10.0.11.2 route-policy Attr export
最后检查：

 


3.6 在 R1、R3、R5 上配置路由策略，使用 AS-Path Filter 工具过滤 Loopbackl 接口路由
配置 Route-Policy，控制财务业务
财务业务比较敏感，只允许在 S1、S5 以及 S2、S5 之间转发流量。在没有 VPN 的情况下，只能通过控制路由收发达到目的，其实就是S1、S2不互访
为了简化过滤配置，可以直接使用 AS-Path Filter 与 Route-Policy，在 R1与R2 上过滤路由条目。
控制路由时需要特别注意，不要将 Loopback0 接口路由过滤。可使用 Community Filter 将Loopback0 接口路由提前放通，然后再过滤 Loopback1 接口路由。
#配置 R1
[Rl] ip community-filter basic OA permit 65002:1 【放通loopback 0,避免被Finance的规则过滤掉】
[Rl] ip as-path-filter Finance permit 65002$ 【禁止65002的所有AS PATH】
[Rl] route-policy Finance permit node 10
[R1-route-policy] if-match community-filter OA
[R1-route-policy] quit
[Rl] route-policy Finance deny node 20
[R1-route-policy] if-match as-path-filter Finance
[R1-route-policy] quit
[R1] route-policy Finance permit node 100R1-route-policy] quit
[R1] bgp 65100
[R1-bgp] peer 10.0.11.1 route-policy Finance export