BGP安全问题

BGP安全问题

域间路由系统作为整个互联网的支柱，其安全性具有重要的战略意义。边界网关协议(border gateway protocol，BGP)用于在自治系统(autonomous system，AS)之间交换网络层可达性信息(network layer reachability information，NLRI)，是Internet路由基础设施的重要组成部分。BGP协议在设计当初并没有考虑到任何安全因素。近年来，很多的域间路由安全事件都是由BGP的安全脆弱性引起的。

大多数BGP安全问题来源于以下三个方面：

(1)IP前缀与管理某些AS的AS号码之间关系的不确定性。

(2)使用传输控制协议(Transmission Control Protocol, TCP)作为底层的传输协议。两个BGP路由器在会话过程中可能会受到针对报文机密性和完整性的攻击。攻击者可以窃听会话内容，并从中推导出其中的商业机密。攻击者还可通过修改、删除、重传等手段扰乱路由表、中止会话，甚至致使路由器崩溃。两个BGP路由器之间的连接也有可能受到拒绝服务的攻击。SYN Flooding是当前流行的拒绝服务攻击与分布式拒绝服务攻击的方式之一, 这是一种利用TCP 协议缺陷, 发送大量伪造的TCP

连接请求, 从而使得被攻击方资源耗尽( CPU 满负荷或内存不足) 的攻击方式。

(3)路由策略和BGP路由属性。服务级别协议(service level agreement, SLA)是指提供服务的服务提供者与客户之间就服务的品质、水准、性能等方面所达成的双方共同认可的协议或契约。路由策略决定着路由属性的设定，重要的BGP路由属性包括：本地优选级、预附加AS-path、修改路径的权重、MED(Multi-Exit Discriminator)属性。本地优先级属性是给予一个路由的优先程度并使其与同一目的地的其他路由比较较高的本

地优先度表示该路由是更为优选本地优先属性对于自治系统来说是本

地的并在IBGP相邻体之间交换不会传到EBGP对等体去。MED可以理解成一条路由的Metric。当某AS自治区域有多个入口点时此属性用来帮助

其他自治系统选择一个到本自治系统较好的入口点即选择MED较小的入口点。

路由安全方面的第一个重要研究成果是路由协议中的拜占庭行为(Byzantine Behavior) ，并提出了判定安全路由的条件，即著名的拜占庭健壮性( Byzantine Robustness)。拜占庭健壮性分为中止( Termination)、一致( Agreement)和验证( Validity)三个方面。此外文章提到了现有已经完善的BGP安全的加密技术、保护路由器之间的BGP会话配对、防御过滤可疑的BGP公告、路由登记表以及安全路由器管理。

BGP安全架构中提到了S-BGP(Secure BGP)、soBGP(Secure Origin BGP)和IRV(Inter Domain Route Validation)。

S-BGP的安全机制主要建立在三个安全实施模块之上：PKI、确认路径属性和IPsec。PKI模块：S-BGP使用的PKI基于X.09(v3)的扩展证书，以此来验证AS号码和IP地址前缀的持有者的身份和授权。“确认”(attestation)模块：“确认”是一种经数字化签名的授权，在S-BGP系统中的具体实现是指一种新增的路径属性，分为“地址确认”和“路由确认”，IP地址前缀的持有者(RIR或ISP)使用“地址确认”来授权它管辖范围内的AS可以发起到该地址前缀的路由。否则，没有经过“地址确认”进行授权的路由则认为是非法路由。而“路由确认”是创建该“确认”的AS 用来授权其邻居可以通告发布给它的路由。IPsec模块：确保路由器之间点到点传输的BGP流量的安全。

S-BGP基于IPSec, 其基本思想是使用公钥证书和数字签名来验证发布信息的有效性。S-BGP使用了两套PKI: 一套PKI 用于地址分配认证, 另一套PKI 用于每个ASN 认证。两套PKI 都采用基于根结点的层次化认证模式, 其认证的根结点在ICANN。S-BGP通过地址分配证书进行地址源认证。对于路径认证, 则新增了一个路径认证属性。路径中的每个AS 都要修改这个属性, 其数字签名采用“洋葱模式”, 即每个AS对其收到的路径进行签名, 并发布出去。

S-BGP对于地址源和路径具有很强的保护能力。但是, 它面临两个关键问题：(1)由于需要信息认证，其对于节点的处理能力具有很高的要求，尤其是互联网上流量的突发性会导致路由器处理负载的突发性；(2)由于S-BGP采用集中式的认证模式，因此可扩展性值得怀疑，而且集中式认证与互联网的分布式处理这一思想背道而驰。因此，S-BGP很难渐进式地部署。

soBGP与S-BGP相比，soBGP是轻量级方案，不需要建立专用PKI，相对易于部署。代价就是安全性相应的降低了，可以cover的安全威胁少。soBGP同S-BGP的信任模型不同，S-BGP是专用的PKI系统，采用单一的trust root。而soBGP采用web of trust模型, 顶级信任授权者可以可以是商用的公司例如Verisign，也可以是top-level backbone service provider。即soBGP可以有一组顶端的信任授权机构，这也是针对某些对于SBGP的开销质疑的一种改进或tradeoff。

最后文章指出了BGP安全性未来研究的方向，包括路由框架和政策、攻击检测、数据平面保护和部分部署等方面。

总而言之，域问路由安全对于互联网的安全具有十分重要的意义，BGP协议的安全性是域问路由安全的关键技术。BGP 在提供相对稳定的域间路由和健壮性方面已非常成功。协议的改进以及采取相应的保护措施, 如TCP、MD5 签名、ISP- BCP 的应用等已为其提供了一定的安全性。同时, 由于各种原因, BGP 已成为IDRP 等不可取代的惟一域间路由协议, 而且也正被用于IPv6。所以, 今后很长一段时期内, BGP 将仍在Internet 路由中扮演一个关键的角色, 解决BGP 的安全问题意义十分重大。

BGP-community应用配置实例

BGP community属性 网友：怒咆的野狼发布于：2007.05.18 13:11(共有条评论) 查看评论| 我要评论 R1R2R3R4R5顺次互联 community属性。这是不同于选路属性的一个属性。该属性具有以下几个特点； 1 community是一个任选可透明传送属性，它可以简化策略的执行。 2 它是cisco的一个专有属性，现在在RFC1997中已被标准化。 3 commnity属性标明一个目的地作为一些目的地团体中的一个成员，这些目的地共享一个或多个共同的特性。 4 community值可以自己定义，另外有几个已经定义好的团体属性： NO_ADVERTISE：表示携带该值的路由不能公布给EBGP和IBGP邻居 NO_EXPORT：表示携带该值的路由不能公布给EBGP邻居 LOCAL_AS：（NO_EXPORT_SUBCONFED）携带该值的路由可以公布给联盟内的其它子自治系统但不能在构成联盟的AS以外进行公布。 试验步骤如下： 配置BGP，在本实验中要建立联邦我们顺便学习一下联邦 配置团体属性，让2.2.2.0网络只被R2学习到 配置团体属性，让22.22.22.0网络只被R2,R3学习到 配置团体属性，让222.222.222.0网络只被R2,R3,R4学习到 配置团体属性，让R1不传递2.2.2.0 这条路由 二试验配置 配置BGP r1#sh run | b r b

router bgp 100 no synchronization network 2.2.2.0 mask 255.255.255.0 network 22.22.22.0 mask 255.255.255.0 network 222.222.222.0 neighbor 12.0.0.2 remote-as 234 no auto-summary r2#sh run | b r b router bgp 64512 no synchronization bgp confederation identifier 234 /指明联邦号是234 neighbor 12.0.0.1 remote-as 100 neighbor 23.0.0.3 remote-as 64512 /R3跟它处于联邦内同一个子AS中neighbor 23.0.0.3 next-hop-self /指定下一跳是它自己 no auto-summary r3#sh run | b r b router bgp 64512 no synchronization bgp confederation identifier 234 bgp confederation peers 64513 /指明该联邦内的另一个子AS neighbor 23.0.0.2 remote-as 64512 neighbor 34.0.0.4 remote-as 64513 /R4跟它处于联邦内不同子AS之间no auto-summary

BGP路由协议的配置与应用实验

BGP路由协议的配置与应用 一、实验目的 1．理解BGP路由协议的基本工作原理； 2. 掌握BGP路由协议的基本配置方法； 3. 掌握IGP路由和EGP路由相互之间的重新分发。 二、实验内容 1. 根据网络拓扑图，组建网络； 2. 配置设备互联地址及AS内部路由； 3. 两个BGP发言人上分别配置BGP路由协议； 4. 两个BGP发言人上分别配置IGP和EGP之间重新分发； 5. 查看BGP路由表，及测试网络的连通性。 三、实验环境 1. 三层交换机1台； 2. 路由器 3台； 3．连接电缆 若干。 四、实验步骤 1、根据网络拓扑图，组建网络。 如图所示，AS100内部使用RIP互联，AS200内部使用OSPF互联，路由器R2和R3之间使用V.35 DTE/DCE线缆进行连接模拟广域网，R2和R3之间配置BGP，4台路由器上均设置一个loopback接口用于模拟连接网络的终端主机。 2. 自治系统AS100内部互联。 1）．三层交换机R1的配置 #直接登陆进入用户视图，清除原有配置，并且要重新启动设备。 undo startup saved-configuration …….yes reboot …….yes

#从登陆的用户视图进入系统视图 system-view #修改三层交换机名称 [H3C]sysname R1 #设置设备环回接口loopback 1的IP地址 [R1]interface loopback 1 [R1-Loopback1]ip address 10.1.1.1 32 #创建VLAN 10，并添加以太网接口Ethernet1/0/24 [R1]vlan 10 [R1-vlan10]port Ethernet 1/0/24 #设置VLAN 10接口的IP地址 [R1]interface vlan-interface 10 [R1-Vlan-interface10]ip address 10.1.2.2 255.255.255.252 #配置路由器Router-ID [R1]router id 1.1.1.1 #创建RIP进程1并进入RIP视图 [R1]rip 1 #设置RIP进程的版本号2 [R1-rip-1]version 2 #禁止RIP进程1的路由汇总 [R1-rip-1]undo summary #指定与路由器相连的网段加入RIP协议计算 [R1-rip-1]network 10.0.0.0 2）．路由器R2的配置 #从登陆的用户视图进入系统视图 system-view #修改路由器名称 [H3C]sysname R2 #设置设备环回接口loopback 2的IP地址 [R2]interface loopback 2 [R2-Loopback2]ip address 10.3.1.1 32 #设置以太网接口Ethernet 0/0的IP地址 [R2]interface ethernet 0/0 [R2-Ethernet0/0]ip address 10.1.2.1 255.255.255.252 #设置广域网的串口端Serial 1/0的IP地址 [R2]interface serial 1/0 [R2-serial1/0]ip address 202.1.1.1 255.255.255.252 #配置路由器Router-ID [R2]router id 2.2.2.2 #创建RIP进程1并进入RIP视图 [R2]rip 1 #设置RIP进程的版本号2

HCDP实验：BFD检测动态路由协议(OSPF BGP)

一、实验拓扑 和上个实验《使用BFD备份静态路由》的拓扑一样，编址一样。 二、基础配置 R1的基础配置 # sysname AR1 # interface Vlanif1 ip address 192.168.10.1 255.255.255.0 # interface GigabitEthernet0/0/0 ip address 12.1.1.1 255.255.255.0 ospf cost 5 # interface GigabitEthernet0/0/1 ip address 102.1.1.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.255 # bgp 100

network 12.1.1.2 0.0.0.0 network 102.1.1.2 0.0.0.0 # 三、观查现况（未使能BFD） 在PC上发50个ping包，并同时中断HUB2 和HUB3之间的链路，观察OSPF和BGP的收敛，及PC的丢包 PC>ping 192.168.20.20 -c 50 Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break From 192.168.20.20: bytes=32 seq=1 ttl=126 time=16 ms From 192.168.20.20: bytes=32 seq=2 ttl=126 time=16 ms From 192.168.20.20: bytes=32 seq=3 ttl=126 time=16 ms From 192.168.20.20: bytes=32 seq=4 ttl=126 time=31 ms From 192.168.20.20: bytes=32 seq=5 ttl=126 time=16 ms Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! From 192.168.20.20: bytes=32 seq=25 ttl=126 time=15 ms From 192.168.20.20: bytes=32 seq=26 ttl=126 time=15 ms From 192.168.20.20: bytes=32 seq=27 ttl=126 time=31 ms From 192.168.20.20: bytes=32 seq=28 ttl=126 time=16 ms --- 192.168.20.20 ping statistics --- 28 packet(s) transmitted 9 packet(s) received 67.86% packet loss round-trip min/avg/max = 15/19/31 ms

BGP MPLS VPN配置实例

BGP MPLS VPN配置实例 图为bgp mpls vpn实例，下面分别为P设备，PE设备，CE设备配置及网络拓扑结构。sysname RT2 mpls lsr-id 2.2.2.2 mpls mpls ldp

isis 1 is-level level-2 cost-style wide network-entity 49.0020.0200.2002.00 interface GigabitEthernet0/0/0 ip address 10.1.12.2 255.255.255.0 isis enable 1 mpls mpls ldp # interface GigabitEthernet0/0/1 ip address 10.1.23.2 255.255.255.0 isis enable 1 mpls mpls ldp # interface LoopBack0 ip address 2.2.2.2 255.255.255.255 isis enable 1 PE 1 sysname RT1 ip vpn-instance VPNA ipv4-family route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity # ip vpn-instance VPNB ipv4-family route-distinguisher 200:1 vpn-target 200:1 export-extcommunity vpn-target 200:1 import-extcommunity # mpls lsr-id 1.1.1.1

个人总结的BGP心得包含大量实验环境和配置案例

＜BGP（Border Gateway Protocol）理论部分＞ ·BGP属于EGP，是高级DV协议，也被称为路径矢量协议，基于TCP 179端口。 ·现在使用版本BGP4。 第一次做完整更新，以后就只增量更新 ·Autonomous Systems：运行同一种选路策略，由统一管理者管理。 1－64511 （公有） 64512－65535 （私有） 电信AS号：4134 网通AS号：9929 https://www.sodocs.net/doc/7415402365.html, 一个好的网站，可以了解到关于AS号的一些信息 Telnet https://www.sodocs.net/doc/7415402365.html,这一地址可以看到公网上的路由条目数 ·IGP支持的路由条目有限 运行IGP不利于管理， 做路由聚合、选路。 ·BGP路由器只能将其使用的路由通告给他的邻居。 BGP用Open报文建邻居，用KL报文做日常联系 ·Neighbor table ： List of BGP neighbors ·BGP forwarding table/database List of all networks learned from each neighbor Can contain multiple pathways to destination networks Database contains BGP attributes for each pathway ·IP routing table List of best paths to destination networks BGP表和路由表是独立的，同样遵循AD小的进入路由表。 BGP默认不做负载均衡 ·Router-ID选举和OSPF一致。 四种报文： Open ---includes holdtime and BGP router ID （用于建立TCP连接后，发起BGP会话，每个邻居都用该消息来标识自己，并且规定自己的BGP运行参数） Keepalive — （用于保持BGP会话，每隔60秒发送一次，hold time为180S） Update ---information for one path only (could be to multiple networks) ---Includes path attributes and networks ·一个UPDATE 消息一次只能通告一条路由，但它可以携带多个属性。 一个UPDATE 消息一次也可通告多条路由，但它的属性必须相同。 一个UPDATE 消息可以同时撤消多条路由。

实验5：BGP路由协议分析

实验5：BGP路由协议分析 1实验题目 采用Opnet仿真并分析BGP协议 2实验目的和要求 1) 掌握BGP协议的工作原理 2) 掌握Opnet仿真BGP协议的方法 3实验设备及材料 操作系统：Windows 2003/XP主机 网络模拟器：OPNET 4实验内容 4.1 BGP路由模拟与性能测试 本实验的环境如下：Intel(R) Core(TM)2 Duo CPU T7100 @1.80GHz，0.98GB内存；Windows XP Professional v.2002 SP2；网络仿真平台为0Pnet Modeler 14.0。 导入BGP-simple_configuration场景。 Scenarios->Scenarios Component->Import

图1 导入BGP-simple_configuration场景

图2 BGP-simple_configuration网络仿真模型 针对协议的性能仿真主要是从路由协议网络收敛性，协议开销，网络延时三个方面进行仿真分析。 路由协议网络收敛性是指路由域中所有路由器对当前的网络结构和路由转发达成一致的状态。收敛时间是指从网络的拓扑结构发生变化到网络上所有的相关路由器都得知这一变化，并且相应的做出改变所需要的时间。 协议开销是指网络节点为了获得路由信息所引入更新网络状态信息的通信开销，它随网络规模的扩大而增加，触发状态信息更新发布策略与QOS路由性能密切相关。此外，网络拓扑和流量分布对协议开销也有

一定的影响。 时延定义了一个IP包穿越一个或多个网段所经历的时间。时延由固定时延和可变时延两部分组成。固定时延基本不变，由传播时延和传输时延构成；可变时延由中间路由器处理时延和排队等待时延两部分构成。 添加统计信息量： 1) 添加路由协议收敛性和协议开销 场景空间空白处右键单击，在弹出菜单中选择”Choose Individual DES Statistics” 图3 添加路由器协议的统计信息量 在弹出窗口中选择BGP协议统计量，如图4所示：

OSPF+MPLS+BGP配置实例

CISCO 路由器OSPF+MPLS+BGP配置实例 二OO八年九月四日

目录 一、网络环境 (3) 二、网络描述 (3) 三、网络拓扑图 (4) 四、P路由器配置 (4) 五、PE1路由器配置 (6) 六、PE2路由器配置 (9) 七、CE1路由器配置 (11) 八、CE2路由器配置 (13) 九、业务测试 (14)

一、网络环境 由5台CISCO7204组成的网络,一台为P路由器,两台PE路由器,两台CE 路由器; 二、网络描述 在P和两台PE路由器这间通过OSPF动态路由协议完成MPLS网络的建立，两台PE路由器这间启用BGP路由协议，在PE路由器上向所属的CE路由器指VPN 路由，在CE路由器中向PE路由器配置静态路由。 配置思路： 1、在P和两台PE路由器这间通过OSPF动态路由协议，在P和PE路由器两两互连的端口上启用MPLS，两台PE之间的路为备份路由，这属公网路由。 2、两台PE路由器这间启用BGP路由协议，这使得属于VPN的IP地址能在两个网络（两台CE所属的网络）互相发布，这属私网（VPN）路由。 3、在PE路由器上向所属的CE路由器指VPN路由，这打通了两个网络（两台CE所属的网络）之间的路由。

三、网络拓扑图 P 路由器(r1)(r4)CE1路由器(r5) PE1LOOP0:202.98.4.3/32 LOOP0:192.168.3.1/24LOOP0:192.168.4.1/24 四、P 路由器配置 p#SHOW RUN Building configuration... Current configuration : 1172 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname p ! boot-start-marker boot-end-marker ! ! no aaa new-model

简单解析BGP协议.

一，IBGP邻居建立：注意： 1，使用环回接口建立，提前确保环回接口可达性 2，只要使用环回接口建立BGP邻居，必须手工指定更新源接口，就是这个update-source 命令 router bgp 100 bgp router-id 1.1.1.1 //手工指定BGP的router-id neighbor 2.2.2.2 remote-as 100 //想和谁建立BGP邻居，这个2.2.2.2在那个AS neighbor 2.2.2.2 update-source Loopback1 //以我的那个接口和2.2.2.2建立BGP邻居neighbor 6.6.6.6 next-hop-self //给6.6.6.6这个IGBP邻居更新BGP路由的时候修改下一跳为我自己的更新源接口二，使用直连接口建立EBGP邻居 r2(config#router bgp 100 r2(config-router#neighbor 23.1.1.3 remote-as 200 r2(config-router#exit 三，查看BGP邻居关系 r2#show ip bgp summary BGP router identifier 2.2.2.2, local AS number 100 BGP table version is 1, main routing table version 1 Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 1.1.1.1 4 100 4 4 1 0 0 00:00:33 0 五，BGP网络通告路由注意： 1，通告的这个路由实现必须在你的IGP 路由表中有 2. 通告的路由掩码必须和你路由表中的精确匹配 r1(config#router bgp 100 r1(config-router#network 192.168.1.0 mask 255.255.255.0 r1(config-router#exit 六，查看BGP数据库 show ip bgp 重要理论： 1，BGP路由下一跳必须在我这里是可达的，如果BGP路由下一跳不可达，这个BGP路由不是最优的，我不会把不是最优的BGP条目放进自己路由表以及通告给其他BGP邻居 2，下一跳改变原则1）当我把BGP路由传给自己的EBGP邻居的时候下一跳修改为自己的更新源接口，如果采用直连接口建立EBGP邻居，更新源接口默认是自己的直连物理接口2）从自己的EBGP邻居收到的路由在传给自己的IGBP邻居时候，下一跳不会发生改变

【CCNP】BGP联盟配置案例

【CCNP】BGP联盟配置案例 版本V1.0 密级?开放?内部?机密 类型?讨论版?测试版?正式版 1案例配置拓扑 2案例配置需求 1、如上图所示，IP地址规划方面，R2上有一环回接口loopback 200，地址为200.1.1.1/32，R5上 有一环回接口loopback 100，地址为100.1.1.1/32，路由器互连的接口为172.8.AB.X/24（其中AB为路由器编号叠加，X为路由器编号，如R1连接R2的接口S0/0的地址为172.8.12.1/24） 2、如图所示，联盟AS 100中有两个子AS，它们分别为AS 65501、AS 65502，配置R1与R2行成 联盟iBGP邻居关系，R2与R3之间行成联盟eBGP邻居关系，R3与R4行成联盟iBGP邻居关系，R3与R5形成eBGP邻居关系，采用物理接口配置邻居建立； SPOTO 全球培训●项目●人才 1

SPOTO 全球 培训 ● 项目 ● 人才 2 3、 将R2的loopback 200、R5的loopback 100接口宣告到相应的BGP 中，观察联盟内部的特征； 3 案例配置思路 1、 R1上的关键配置： router bgp 65501 /联盟子AS/ no synchronization bgp log-neighbor-changes bgp confederation identifier 100 /指定对联盟外呈现的AS/ 雏鹰论坛CCNP neighbor 172.8.12.2 remote-as 65501 no auto-summary 2、 R2上的关键配置： router bgp 65501 no synchronization bgp log-neighbor-changes bgp confederation identifier 100 bgp confederation peers 65502 /指定联盟内部eBGP 邻居关系的邻居AS/ network 200.1.1.1 mask 255.255.255.255 neighbor 172.8.12.1 remote-as 65501 neighbor 172.8.23.3 remote-as 65502 no auto-summary 3、 R3上的关键配置： router bgp 65502 no synchronization bgp log-neighbor-changes bgp confederation identifier 100 bgp confederation peers 65501 neighbor 172.8.23.2 remote-as 65501 neighbor 172.8.34.4 remote-as 65502 neighbor 172.8.35.5 remote-as 200 no auto-summary 4、 R4上的关键配置： router bgp 65502

BGP路由协议详解(完整篇)

BGP路由协议详解 制作人：张选波 二〇〇九年六月二十二日

一、BGP的概况 BGP最新的版本是BGP第4版本（BGP4）,它是在RFC4271中定义的；一个路由器只能属于一个AS。AS的范围从1-65535（64512-65535是私有AS号），RFC1930提供了AS 号使用指南。 BGP的主旨是提供一种域间路由选择系统，确保自主系统只能够无环地交换路由选择信息，BGP路由器交换有关前往目标网络的路径信息。 BGP是一种基于策略的路由选择协议，BGP在确定最佳路径时考虑的不是速度，而是让AS能够根据多种BGP属性来控制数据流的传输。 1、BGP的特性 BGP将传输控制协议（TCP）用作其传输协议。是可靠传输，运行在TCP的179端口上（目的端口） 由于传输是可靠的，所以BGP0使用增量更新，在可靠的链路上不需要使用定期更新，所以BGP使用触发更新。 类似于OSPF和ISIS路由协议的Hello报文，BGP使用keepalive周期性地发送存活消息（60s）（维持邻居关系）。 BGP在接收更新分组的时候，TCP使用滑动窗口，接收方在发送方窗口达到一半的时候进行确定，不同于OSPF等路由协议使用1-to-1窗口。 丰富的属性值 可以组建可扩展的巨大的网络 2、BGP的三张表 邻居关系表 ?所有BGP邻居 转发数据库 ?记录每个邻居的网络 ?包含多条路径去往同一目的地，通过不同属性判断最好路径 ?数据库包括BGP属性 路由表 ?最佳路径放入路由表中 ?EBGP路由（从外部AS获悉的BGP路由）的管理距离为20 ?IBGP路由（从AS系统获悉的路由）管理距离为200 如下图所示。

H3C IPV6之EBGP典型组网配置案例

组网说明： 本案例采用H3C HCL模拟器来模拟IPV6 IBGP典型组网配置案例。R1属于AS 100，R2属于AS 200。要求R1与R2建立EBGP邻居关系后，R1和R2的loopback 0地址能够互通。 配置思路： 1、按照网络拓扑图正确配置IPV6地址 2、R1与R2建立EBGP邻居关系 配置过程： R1： sys System View: return to User View with Ctrl+Z. [H3C]sysname R1 [R1]int LoopBack 1 [R1-LoopBack1]ip address 1.1.1.1 32 [R1-LoopBack1]quit [R1]int loopback 0 [R1-LoopBack0]ipv6 address 2::1 64 [R1-LoopBack0]quit [R1]int gi 0/0 [R1-GigabitEthernet0/0]des [R1-GigabitEthernet0/0]ipv6 address 1::1 64 [R1-GigabitEthernet0/0]quit [R1]bgp 100 [R1-bgp-default]router-id 1.1.1.1 [R1-bgp-default]peer 1::2 as-number 200 [R1-bgp-default]address-family ipv6 unicast

[R1-bgp-default-ipv6]peer 1::2 enable [R1-bgp-default-ipv6]network 2:: 64 [R1-bgp-default-ipv6]quit [R1-bgp-default]quit R2： sys System View: return to User View with Ctrl+Z. [H3C]sysname R2 [R2]int loopback 1 [R2-LoopBack1]ip address 2.2.2.2 32 [R2-LoopBack1]quit [R2]int loopback 0 [R2-LoopBack0]ipv6 address 3::1 64 [R2-LoopBack0]quit [R2]int gi 0/0 [R2-GigabitEthernet0/0]des [R2-GigabitEthernet0/0]ipv6 address 1::2 64 [R2-GigabitEthernet0/0]quit [R2]bgp 200 [R2-bgp-default]router-id 2.2.2.2 [R2-bgp-default]peer 1::1 as-number 100 [R2-bgp-default]address-family ipv6 unicast [R2-bgp-default-ipv6]peer 1::1 enable [R2-bgp-default-ipv6]network 3:: 64 [R2-bgp-default-ipv6]quit [R2-bgp-default]quit 查看R1和R2的路由表：

bgp协议基础实验

南昌航空大学实验报告 课程名称：路由与交换技术实验名称：bgp协议基础实验 班级：110462 姓名：xxx 学号：110462xx 指导老师评定：签名: 实验5 bgp协议基础实验 一、实验目的 1.了解bgp协议的基本配置； 二、实验要求 1.详细阅读操作过程，认真完成必做实验,掌握实验要求掌握的内容。 2.课后认真完成实验报告 三、实验环境 3.1 资源准备 1.硬件：网络环境、 2.操作系统：windows平台 3.相关软件：gns3、telnet等 四、实验步骤与内容 4.1网络配置实验 4.1.1 创建BGP工程 安装并配置GNS3-0.8.6-all-in-one.exe，idle值可以使用0x60aa7e58或0x6103f1e0或自己获取。 创建一个名为“BGP”的工程完成本次实验，将创建的过程截图并写入实验报告。

4.1.2 实验拓扑构造

192.168.1.1/24 e0/0 e0/1 192.168.10.1/24 192.168.1.2/24 e0/0 e0/1 10.1.1.2/24 RIPv2 e0/0 10.1.1.1/24 s1/0 10.2.1.1/24 10.2.1.2/24 s1/1 s1/0 e0/1 20.0.0.2/8 172.16.1.1/24 172.16.1.2/24 s1/0 e0/0 30.0.0.1/16 Area 0 Area 1 Area 2 OSPF EBGP r1 r2 r3 r4 r5 e0/2 40.0.0.1/8 AS100 AS200 r1:lo0 1.1.1.1/32 r2:lo0 2.2.2.2/32 r3:lo0 3.3.3.3/32 图1 实验拓扑 4.1.3 IP 地址设置 请根据拓扑图自行完成IP 地址设置。将你的设置写入实验报告。 R1: en conf t host R1 int e0/0 ip address 30.0.0.1 255.255.0.0 no shut int s1/0 ip address 172.16.1.2 255.255.255.0 clock rate 560000 no shut end

华为AR2240 bgp配置实例

华为AR2240 bgp配置实例 作者：救世主220 实验日期：2015.7.1 实验拓扑如下： AR1配置： [AR1]dis current-configuration [V200R003C00] # sysname AR1 # # interface GigabitEthernet0/0/0 ip address 10.0.12.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.0 # interface LoopBack1 ip address 8.1.1.1 255.255.255.0 # bgp 1 peer 10.0.12.2 as-number 2 # ipv4-family unicast undo synchronization network 1.1.1.0 255.255.255.0 import-route direct peer 10.0.12.2 enable

AR2配置： [AR2]dis current-configuration [V200R003C00] # sysname AR2 # interface GigabitEthernet0/0/0 ip address 10.0.12.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.0.23.2 255.255.255.0 # interface LoopBack0 ip address 2.2.2.2 255.255.255.0 ospf network-type broadcast # bgp 2 peer 3.3.3.3 as-number 2 peer 3.3.3.3 connect-interface LoopBack0 peer 10.0.12.1 as-number 1 # ipv4-family unicast undo synchronization network 2.2.2.0 255.255.255.0 import-route ospf 1 peer 3.3.3.3 enable peer 3.3.3.3 next-hop-local peer 10.0.12.1 enable # ospf 1 router-id 2.2.2.2 area 0.0.0.0

IS-IS协议上机实验

IS-IS 协议上机实验 1. 学习目标 1. 掌握IS-IS 协议的配置 2. 掌握IS-IS 协议的基本调试 3. 掌握IS-IS 协议的基本故障排除 2. 实验步骤： 2.1 IS-IS 协议的基本配置 实验环境： A r e a : 86.0001Area 86.0002 1.1.1.0/30.1 .2 2.2.2.0/30.1.2 L0: 20.1.1.1/24 L0: 30.1.1.1/24 L0: 40.1.1.1/24 RTA RTB RTC 图1 IS-IS 协议上机组网图 本实验中NET 的配置采用扩展Loopback 0的IP 地址获得，RTA 为L1路由器；RTB 为L12路由器，与RTA 连接的接口为L1接口，与RTC 连接的接口为L2接口；RTC 为L2路由器。 RTA 的配置命令： [rta]isis [rta-isis]network-entity 86.0001.0200.0100.1001.00 [rta-isis]is-level Level-1 [rta-LoopBack0] ip address 20.1.1.1 255.255.255.255 [rta-LoopBack0] isis enable [rta-Ethernet1/0] ip address 1.1.1.1 255.255.255.252 [rta-Ethernet1/0] isis enable [rta-Ethernet1/0]isis circuit-level level-1 RTB 的配置：

[rtb]isis [rtb-isis] network-entity 86.0001.0300.0100.1001.00 [rtb-Ethernet4/1/0] ip address 1.1.1.2 255.255.255.252 [rtb-Ethernet4/1/0] isis enable [rtb-Ethernet4/1/0] isis circuit-level level-1 [rtb-Ethernet5/0/0] ip address 2.2.2.1 255.255.255.252 [rtb-Ethernet5/0/0] isis enable [rtb-Ethernet5/0/0]is circuit-level level-2 RTC的配置： [rtc]isis [rtc-isis] network-entity 86.0002.0400.0100.1001.00 [rtb-isis]is-level level-2 [rtc-Ethernet5/0/0] ip address 2.2.2.2 255.255.255.252 [rtc-Ethernet5/0/0] isis enable [rtc-Ethernet5/0/0]is circuit-level level-2 [rtc-LoopBack0] ip address 40.1.1.1 255.255.255.255 [rtc-LoopBack0] isis enable 查看RTA的路由表： [rta]display ip routing-table Routing Table: public net Destination/Mask Proto Pre Cost Nexthop Interface 0.0.0.0/0 IS-IS 15 10 1.1.1.2 Ethernet1/0 1.1.1.0/30 DIRECT 0 0 1.1.1.1 Ethernet1/0 1.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 2.2.2.0/30 IS-IS 15 20 1.1.1.2 Ethernet1/0 20.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 30.1.1.1/32 IS-IS 15 20 1.1.1.2 Ethernet1/0 127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 由于RTA 是Level-1 的路由器，所以RTA产生一条默认的IS-IS 路由 指向与它最近的L1-L2路由器RTB。由于RTB是L1-L2的路由器，所以 RTB的路由信息能够被RTA学习到；RTC是L2的路由器，产生Level-2 的路由，RTC的路由信息RTB不会发送给RTA。 查看RTC的路由表 [rtc-isis]display ip routing-table Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface

BGP协议实验报告

课程名称网络设计与系统集成实验名称 BGP协议 5.1 实验目的 1．掌握BGP 的基本配置命令。 2．掌握邻居关系的建立。 3．掌握路由的引入方法和路由通告原则。 5.2 实验设备 路由器4 台，网线若干。 5.3 实验内容与操作步骤 1．组网图 2．操作步骤 （1）合理分配路由器端口进行联网，为主机和路由器端口分配合理的IP 地址并进行配置。 （2）配置自治系统AS100 和环回地址。 （3）配置自治系统AS200 和ospf 协议，使3 台路由器可互通。 （4）配置建立RTA、RTB 和RTC 邻居关系，并查看邻居建立情况。（5）显示各路由器的BGP 路由表，分析路由信息，测试4 台路由器的互通性。 （6）引入路由，显示各路由器的BGP 路由表，分析路由信息，测试4 台路由器的互通性。 （7）设计路由同步，显示各路由器的BGP 路由表，分析路由信息，测试 4 台路由器的互通性。 5.4 实验要求 1．按要求连接网络设备及主机。 2．查阅相关配置命令，配置路由器和主机，测试网络的连通性。 3．记录并分析操作过程，提交实验报告。

配置各路由的端口及IP R1: R2:

R3: R4: 配置AS100 配置ospf协议

R4的邻居关系 配置AS200 配置建立RTA、RTB 和RTC 邻居关系，并查看邻居建立情况。

R1上的邻居关系 显示各路由器的BGP 路由表，分析路由信息，测试4 台路由器的互通性。

引入路由，显示各路由器的BGP 路由表，分析路由信息,测试4台路由器的互通性。 设计路由同步，显示各路由器的BGP 路由表，分析路由信息，测试4 台路由器的互通性。

H3C-BGP属性实例

BGP路由属性实例 AS_path属性 * AS_PATH属性按一定次序记录了某条路由从本地到目的地址所要经过的所有AS号。当BGP将一条路由通告到其他AS时，便会把本地AS号添加在AS_PATH列表的最前面。收到此路由的BGP路由器根据AS_PATH属性就可以知道去目的地址所要经过的AS。离本地AS最近的相邻AS号排在前面，其他AS号按顺序依次排列。例如： * 通常BGP不会接受AS_PATH中已包含本地AS号的路由，从而避免形成环路的可能. Next_hop属性 BGP的下一跳属性和IGP的有所不同，不一定就是邻居路由器

的IP地址。主要分以下三种情况： ●BGP发言者把自己产生的路由发给所有邻居时，将把该路由信息 的下一跳属性设置为自己与对端连接的接口地址； 如图： ●BGP发言者把接收到的路由发送给EBGP对等体时，将把该路由 信息的下一跳属性设置为本地与对端连接的接口地址； 如图： ●BGP发言者把从EBGP邻居得到的路由发给IBGP邻居时，并不 改变路由信息的下一跳属性。

Local_pref属性 Local_pref属性仅在IBGP对等体之间交换，不通告给其他AS。它表明BGP路由器的优先级。Local_pref属性用于判断流量离开本AS时的最佳路由。当BGP的路由器通过不同的IBGP对等体得到目的地址相同但下一跳不同的多条路由时，将优先选择Local_pref属性值较高的路由。如图： Med属性 MED属性仅在相邻两个AS之间交换，收到此属性的AS一方不会再将其通告给任何其他第三方AS。 MED属性相当于IGP使用的度量值，它用于判断流量进入AS 时的最佳路由。当一个运行BGP的路由器通过不同的EBGP对等体得到目的地址相同但下一跳不同的多条路由时，在其它条件相同的情

BGP路由属性实例配置

H3C-BGP路由属性实例配置 配置要求：首先实现R1与R4可以互相访问环回地址。再分别完成以下几种属性配置。 拓扑图： 基础配置： R1: interface LoopBack0 ip address 1.1.1.1 255.255.255.255 # interface GigabitEthernet0/0 ip address 12.1.1.1 255.255.255.0 # interface GigabitEthernet0/1 ip address 13.1.1.1 255.255.255.0 # R2: interface LoopBack0

# interface GigabitEthernet0/0 ip address 12.1.1.2 255.255.255.0 # interface GigabitEthernet0/1 ip address 24.1.1.2 255.255.255.0 # OSPF: Ospf 100 Area 0 Network 0.0.0.0 255.255.255.255 R3: interface LoopBack0 ip address 3.3.3.3 255.255.255.255 # interface GigabitEthernet0/0 ip address 13.1.1.3 255.255.255.0 # interface GigabitEthernet0/1 ip address 34.1.1.3 255.255.255.0 # OSPF: Ospf 100 Area 0 Network 0.0.0.0 255.255.255.255 R4: interface LoopBack0