HCIE之BGP路由策略(三)

一、路由控制工具

在对BGP进行路由控制之前，我们先复习复习路由控制的几种选路工具

ACL

• ACL访问控制列表，即用于流量的匹配与控制，但也能够用于匹配路由条目。
• 基于接口的ACL(1000-1999)
• 基本ACL(2000-2999) 仅能匹配源
• 高级ACL(3000-3999) 能匹配五元组
• 二层ACL(4000-4999)

acl 2000   //创建ACL编号2000
rule 0 permit source 1.1.0.0  0.0.255.255 	//匹配规则permit(通过)/deny（拒绝）,通过1.1.0.0/16

IP-PREFIX

• 地址前缀列表即IP-PrefixList。可以通过地址前缀列表，将与所定义的前缀过滤列表相匹配的路由，根据定义的匹配模式进行过滤，以满足使用者的需要。
• 当用于过滤IP前缀，能同时匹配前缀号和掩码长度
• 不能用于过滤数据包
• 缺省情况下，存在最后一条默认匹配模式为deny
• 当引用的前缀过滤列表不存在时，默认匹配模式为permit

ip ip-prefix name permit 192.168.1.0 24 greater-equal 25 less-equal 32 

Route-Policy

• Route-Policy是一种功能非常强大的路由策略工具，它可以灵活地与ACL、IP-Prefix、As-Path-Filter等其它工具配合使用。
• 主要用于路由过滤和路由属性设置等，从而影响流量经过的路径

二、BGP路由控制

通过全互联将AR1上的11.1.1.1和11.1.1.2宣告，使得AR3上的路由如下图所示：

通过更改MED属性调节选路

通过将AR1上11.1.1.1到AR3上的路由修改MED值为1000，观察AR3上路由和上图会发生何种差异
[AR1]ip ip-prefix 11.1 permit 11.1.1.1 32
[AR1]route-policy MED permit node 10
[AR1-route-policy]if-match ip-prefix 11.1
[AR1-route-policy]apply cost 1000
[AR1-bgp]peer 13.1.1.3 route-policy MED export
先通过前缀列表抓住11.1.1.1，然后通过路由策略调用该前缀列表，最后在bgp中调用该路由策略，并指明路由的方向为出方向。

PS:通过查看BGP路由表可知，MED属性越小越优，那么11.1.1.1的路由最优则为下一跳为2.1.1.1的，表中现象正常，但是11.1.1.2的下一跳13.1.1.1为何没有了呢

ACL、IP-Prefix、Route-Policy末尾都是拒绝所有，所以在抓取某些特定前缀时，末尾加上允许其他即可
正确写法：
[AR1]ip ip-prefix 11.1 permit 11.1.1.1 32
[AR1]route-policy MED permit node 10
[AR1-route-policy]if-match ip-prefix 11.1
[AR1-route-policy]apply cost 1000
[AR1]route-policy MED permit node 1000
[AR1-bgp]peer 13.1.1.3 route-policy MED export

查看11.1.1.1的详细描述，查看路由不优的原因为MED

通过更改Local_Pref属性调节选路

AR3上未修改LP时的路由信息

我们通过更改AR3上的LP值来查看AR2上的路由情况
[AR3-bgp]default local-preference 200

理解ACL、IP-PREFIX和Route-Policy中permit、deny的含义

AR1上创建环回口 2 3 5 6 地址分别为1.1.2.1 1.1.3.2 5.5.5.5 6.6.6.6并宣告
AR1和AR2建立邻居

[AR2]route-policy rp permit node 20
[AR2-route-policy]if-match ip-prefix pref2
[AR2]ip ip-prefix pref2 deny 6.6.6.6 32
查看AR2上的BGP路由表，未将6.6.6.6干掉
PS：原因在于，ACL和IP前缀列表的permit和deny仅为匹配和为【匹配，并非允许和通过，这样，在当前环境中IP-prefix未匹配6.6.6.6，也就不会将6.6.6.6路由干掉，如下图：

我们在AR2上将策略路由import
[AR2-bgp]peer 12.1.1.1 route-policy rp import
末尾隐含拒绝所有，BGP路由表为空

我们在末尾加上permit
[AR2]route-policy rp permit node 50

三、BGP属性特点-团体属性

• 团体属性是BGP私有属性，在BGP对等体之间传递，不受AS限制
• 团体属性是在BGP中一种给路由条目打上标记，用于确保路由过滤和选路的连续性，从而使得BGP路由器可以过滤进出路由更新或优选某些路由
• 可选传递属性，必须针对peer x.x.x.x advertise-community
  • no-advertise
    • 表示不向任何对等体发送匹配的路由，收到此属性路由后，不发布给任何其他BGP对等体
  • no-export
    • 不向AS外发送匹配的路由，但发送给其他子自知系统，收到此属性路由后，不发布到本地AS之外
  • no-export-subconfed
    • 不向AS外发送匹配的路由，也不发送给其他子自治系统，收到此属性路由后，不发送给任何其他子自治系统

练习

AR1上抓起6.6.6.6并打上community100:1标记
[AR1]route-policy comm permit node 10
[AR1-route-policy]if-match ip-prefix 6.6
[AR1-route-policy]apply community 100:1
[AR1]route-policy comm permit node 1000

[AR1]ip ip-prefix 6.6 permit 6.6.6.6 32
[AR1-bgp]peer 12.1.1.2 route-policy comm export
AR2上查看并没有打上100:1的标记，原因在于COMM默认是不传递的，可选传递属性，必须针对peer x.x.x.x advertise-community

[AR1-bgp]peer 12.1.1.2 advertise-community

AR2上有这个标记后，就可以通过community-filter 将这条带有标记的路由匹配
[AR2]ip community-filter 1 permit 100:1

[AR2]route-policy pre-val permit node 10
[AR2-route-policy]if-match community-filter 1
[AR2-route-policy]apply preferred-value 100
[AR2-route-policy]route-policy pre-val permit node 100
[AR2-bgp]peer 12.1.1.1 route-policy pre-val import

将拓扑变更成上图

no-advertise属性

[AR1]ip ip-prefix 5.5 permit 5.5.5.5 32
[AR1]route-policy no-adv permit node 10
[AR1-route-policy]if-match ip-prefix 5.5
[AR1-route-policy]apply community no-advertise
[AR1-route-policy]route-policy no-adv permit node 100
[AR1-bgp]peer 12.1.1.2 route-policy no-adv export
[AR1-bgp]peer 12.1.1.2 advertise-community

no-advertise属性，AR3和AR4上应该没有5.5.5.5的路由

ORF

• AR1向AR2发送大量的路由条目，但是对于AR2来说，可能只需要接收一部分路由条目，这种情况下，可以通过使能ORF来实现

AR2发送ORF报文到AR1,告诉AR1，我只需要10.1.1.1，其余都不需要
[AR2]ip ip-prefix 1.1 permit 10.1.1.1 32
[AR2-bgp]peer 12.1.1.1 ip-prefix 1.1 import
[AR2-bgp]peer 12.1.1.1 capability-advertise orf ip-prefix send
[AR1-bgp]peer 12.1.1.2 capability-advertise orf ip-prefix receive
宣告10.1.1.1 2.1 3.1路由

路由刷新：
发送route-refesh报文