HCIP-进阶实验04-多运营商BGP协议部署

1 实验拓扑

2 实验环境说明

2.1 IP地址规划表

设备	接口	IP地址
R1	G0/0/0	12.12.12.1/30
	Loopback0	1.1.1.1/32
	Loopback1	210.1.1.1/24
	Loopback2	210.1.2.1/24
R2	G0/0/0	12.12.12.2/30
	G0/0/1	213.34.1.1/30
	G0/0/2	213.34.1.5/30
	Loopback0	2.2.2.2/32
R3	G0/0/0	213.34..1.9/30
	G0/0/1	213.34.1.2/30
	G0/0/2	35.35.35.1/30
	Lookback0	3.3.3.3/32
R4	G0/0/0	213.34.1.10/30
	G0/0/1	46.46.46.1/30
	G0/0/2	213.34.1.6/30
	Lookback0	4.4.4.4/32
R5	G0/0/1	83.69.1.1/30
	G0/0/2	35.35.35.2/30
	Lookback0	5.5.5.5/32
R6	G0/0/0	83.69.1.5/30
	G0/0/1	46.46.46.2/30
	Loopback0	6.6..6.6/32
R7	G0/0/0	83.69.1.6/30
	G0/0/1	83.69.1.2/30
	Loopback0	7.7..7.7/32
	Loopback1	134.0.1.1/24
	Loopback2	134.1.1.1/24
	Loopback3	134.2.1.1/24
	Loopback4	134.3.1.1/24

预配说明:

IP地址已根据上述IP地址规划表进行配置;
AS 200、AS 300的IGP路由配置:
- AR2、AR3、AR4配置OSPF互连;
- AR5、AR6、AR7配置OSPF互连;

2.2 实验需求

某企业与运营商互联网络如上图所示，请根据拓扑环境搭建好实验环境，配置相对应的IP地址，测试直连PING通。服务器采用回环口进行模拟，大型企业A需要承担互联网的联网任务，用来透传互联网条目，ISPB上挂有很多的服务器，这些服务器在互联网上必须能够访问，ISPC上也有一些列的服务器，要求互联网能够访问。（BGP只通告R1/R7上的回环口条目）

3 实验操作

3.1 为每一台路由器都起一个/32 回环地址RX地址为X.X.X.X 用于建立BGP邻居关系

配置验证

已预配loopback0, 逐台检查设备接口情况和ospf邻居关系即可.

3.2 大型企业A（AS 200）内部起OSPF协议，ISP B（AS 300）内部也起OSPF协议（用于保障底层TCP可达）；请根据拓扑中对应的AS规划，配置运行BGP，以用来透传互联网上Web服务器的条目(R1/R7回环口条目)；其中大型企业A（AS 200）分别和ISP B和ISP C建立EBGP邻居关系。将R1/R7上的回环口条目通告进入BGP！

a.通过display bgp peer及抓包分析分析BGP邻居关系建立的几种状态及报文的作用

b.通过display bgp routing-table 查看BGP条目的学习情况及条目的属性

c.通过display ip routing-table protocol bgp 查看条目的加表情况

配置脚本

AR1:

sy

bgp 100

router-id 1.1.1.1

peer 12.12.12.2 as-number 200

peer 12.12.12.2 connect-interface g0/0/0

peer 12.12.12.2 next-hop-local

network 210.1.1.1 24

network 210.1.2.1 24

qu

AR2:

sy

bgp 200

router-id 2.2.2.2

peer 12.12.12.1 as-number 100

peer 12.12.12.1 connect-interface g0/0/0

peer 12.12.12.1 next-hop-local

peer 3.3.3.3 as-number 200

peer 3.3.3.3 connect-interface loop0

peer 3.3.3.3 next-hop-local

peer 4.4.4.4 as-number 200

peer 4.4.4.4 connect-interface loop0

peer 4.4.4.4 next-hop-local

qu

AR3:

sy

bgp 200

router-id 3.3.3.3

peer 35.35.35.2 as-number 300

peer 35.35.35.2 connect-interface g0/0/2

peer 35.35.35.2 next-hop-local

peer 2.2.2.2 as-number 200

peer 2.2.2.2 connect-interface loop 0

peer 2.2.2.2 next-hop-local

peer 4.4.4.4 as-number 200

peer 4.4.4.4 connect-interface loop0

peer 4.4.4.4 next-hop-local

qu

AR4:

sy

bgp 200

router-id 4.4.4.4

peer 46.46.46.2 as-number 300

peer 46.46.46.2 connect-interface g0/0/1

peer 46.46.46.2 next-hop-local

peer 2.2.2.2 as-number 200

peer 2.2.2.2 connect-interface loop0

peer 2.2.2.2 next-hop-local

peer 3.3.3.3 as-number 200

peer 3.3.3.3 connect-interface loop0

peer 3.3.3.3 next-hop-local

qu

AR5:

sy

bgp 300

router-id 5.5.5.5

peer 35.35.35.1 as-number 200

peer 35.35.35.1 connect-interface g0/0/2

peer 35.35.35.1 next-hop-local

peer 7.7.7.7 as-number 300

peer 7.7.7.7 connect-interface loop0

peer 7.7.7.7 next-hop-local

qu

AR6:

sy

bgp 300

router-id 6.6.6.6

peer 46.46.46.1 as-number 200

peer 46.46.46.1 connect-interface g0/0/1

peer 46.46.46.1 next-hop-local

peer 7.7.7.7 as-number 300

peer 7.7.7.7 connect-interface loop0

peer 7.7.7.7 next-hop-local

qu

AR7:

sy

bgp 300

router-id 7.7.7.7

peer 5.5.5.5 as-number 300

peer 5.5.5.5 connect-interface loop0

peer 5.5.5.5 next-hop-local

peer 6.6.6.6 as-number 300

peer 6.6.6.6 connect-interface loop0

peer 6.6.6.6 next-hop-local

network 134.0.1.1 24

network 134.1.1.1 24

network 134.2.1.1 24

network 134.3.1.1 24

qu

配置验证&分析

在AR2的g0/0/1开启抓包

open报文:

Marker: 检验完整性字段, 这里没有启用验证, 所以全置位1;
length: bgp报文总长度为45(16+2+1+1+2+2+4+1+16);
type: 标注了该报文为open message (type=1);
version: BGP版本为4;
my as: 始发设备AR2(2.2.2.2)位于AS 200
hold time: 报文老化时间为180s(默认);
BGP Identifier: 始发设备为2.2.2.2;
Optional Parameters Length: 下面Optional Parameters具体内容的长度为16.

keepalive报文:

真可怜, 只有报头

Marker: 检验完整性字段, 这里没有启用验证, 所以全置位1;
length: bgp报文总长度为19(16+2+1);
type: 标注了该报文为keepalive message (type=4);

Update报文:

Marker: 检验完整性字段, 这里没有启用验证, 所以全置位1;
length: bgp报文总长度为65;
type: 标注了该报文为Update message (type=2);
withdrawn routes length: 表示需要撤销路由的长度, 这里为0表示不需要进行路由撤销.
total path attribute length: 下面所有BGP路径属性的长度为34字节;
path attribute: 路径属性, 可以看见这里是存在origin、AS_Path、Next_Hop、Multi_Exit_Disc、Local_Pref几个属性, 这些属性的具体含义可以回顾这篇博客: HCIP-ICT实战进阶06-BGP基础.
Network Layer Reachability Information(NLRI): 地址前缀信息, 由于这是AR2向AR3传递的Update报文, 携带的是AR2的BGP路由表信息, 包括了AR1通过network通告的两个环回口地址.

查看AR4设备的BGP路由表:

查看AR3设备的BGP路由加表情况:

可以看到AR1和AR7通告的BGP路由都成功加入了全局路由表.

3.3 要求ISPC学到的来自ISP B的服务器条目尽可能少，只有汇聚条目且携带as-path属性

配置命令

考虑在AR7上配置方向的路由聚合

AR7:

bgp 300

aggregate 134.0.0.0 8 detail-suppressed

qu

记得抑制明晰路由

配置验证&分析

此时抓包可以看到AR3向AR2发送了两个Update报文:

先是撤销了四条环回口路由, 然后更新了一条聚合路由.

AR1的BGP路由表:

AR1环回口pingAR7环回口:

3.4 要求ISP C前往ISP B那些服务器是通过R3和R5之间的高带宽链路的，为了充份利用链路带宽，现要求ISP B访问ISP C上的服务器是走的R4和R6之间的底带宽链路，前者在AS200上使用修改协议首选值的方式，后者在R5上使用修改开销的方式

配置命令

在AS 200里配置协议首选值, 使AS 100设备访问AR7环回口走R2->R3->R5.

AR2:

route-policy test permit node 10

apply preferred-value 100

qu

bgp 200

peer 3.3.3.3 route-policy test import

qu

AR3:

route-policy test permit node 10

apply preferred-value 100

qu

bgp 200

peer 35.35.35.2 route-policy test export

qu

在R5上修改路径开销值MED, 使AS 300设备访问AR1环回口走R6->R4:

R5:

route-policy test permit node 10

apply cost 10

qu

bgp 300

peer 7.7.7.7 route-policy test export

qu

配置验证&分析

R2通往R7环回口的下一跳被修改为R3:

R7上通往R1环回口的下一跳已经被修改为R6:

3.5 要求ISP和企业之间的BGP邻居建立是安全的且用户查看配置的时候密码显示是密文的

配置命令

R1:

bgp 100

peer 12.12.12.2 password cipher goktech

qu

R2:

bgp 200

peer 12.12.12.1 password cipher goktech

qu

R3:

bgp 200

peer 35.35.35.2 password cipher goktech

qu

R4:

bgp 200

peer 46.46.46.2 password cipher goktech

qu

R5:

bgp 300

peer 35.35.35.1 password cipher goktech

qu

R6:

bgp 300

peer 46.46.46.1 password cipher goktech

qu

配置验证

3.6 完成以上所有配置后，确信网络中的每一台设备都学到了服务器对应的BGP条目

配置验证

除了R7多四条自己的环回口明细路由之外, 其他设备的bgp路由表都应当如下图的路由条目所示:

3.7 测试R1与R7之间回环口互通

配置验证

4 实验小结

在初次配置完BGP, 检查AR1的bgp路由表时并未看见AR7的环回口.

于是逐台设备检查, 观察到AR3和AR4的bgp路由表只有AR1的环回口, AR5和AR6的bgp路由表只有AR7的环回口.

原因:

预配置的ip地址为46.46.46.1, 我在配置bgp邻居时想当然配置为了46.46.46.6.

重新配置正确后对等体都已经正常建立关系, 注意的是bgp路由表需要等待一段时间更新.