BGP多AS网络互通设计与路由过滤实践-代码聚汇网

BGP多AS网络互通设计与路由过滤实践

高盛仁

1. 项目概述：基于BGP的多AS网络互通设计与实现

在大型企业网络或运营商环境中，自治系统（AS）间的路由交互是网络架构设计的核心课题。本次实验通过模拟三个自治系统（AS1、AS2、AS4）之间的BGP路由交换，重点解决跨AS环回地址互通与特定路由过滤的典型需求。核心目标是在允许大多数环回地址互通的前提下，精确过滤AS4中R5设备的5.5.5.5/32环回路由，这种场景在实际网络中对应着分支机构隔离或敏感业务单元保护的需求。

实验环境包含5台路由器，分别属于三个AS域：AS1（R1）、AS2（R2-R4）、AS4（R5）。其中AS2作为核心中转AS，内部运行OSPF协议保证域内路由可达，同时通过BGP与AS1和AS4建立邻居关系。这种"内部IGP+外部EGP"的架构是运营商网络的典型设计模式，既保证了AS内部的高效收敛，又实现了跨域路由的灵活控制。

2. 网络拓扑与地址规划详解

2.1 AS域划分与协议部署

AS1：由R1单独组成，通过12.1.1.0/24链路与AS2的R2建立EBGP邻居关系。作为边缘AS，主要验证接收路由过滤效果。
AS2：核心中转AS，包含R2、R3、R4三台设备。内部运行OSPF Area 0（所有接口均属于骨干区域），与外部AS通过以下BGP连接：
- R2与AS1的R1建立EBGP（12.1.1.0/24）
- R4与AS4的R5建立多链路EBGP（45.1.1.0/24和54.1.1.0/24）
AS4：由R5组成，包含两个环回地址：
- 5.5.5.5/32（需被过滤）
- 99.1.1.1/32（允许互通）

2.2 接口地址分配方案

各设备关键接口配置如下表示（完整配置见附录）：

设备	接口类型	IP地址	对端设备
R1	GE0/0/0	12.1.1.1/24	R2
	Loopback0	1.1.1.1/32	-
R2	GE0/0/0	12.1.1.2/24	R1
	GE0/0/1	23.1.1.1/24	R3
	Loopback0	2.2.2.2/32	-
R5	Loopback0	5.5.5.5/32	-
	Loopback1	99.1.1.1/32	-

关键设计要点：所有环回地址使用/32掩码，模拟实际环境中精确主机路由的发布。物理链路均采用/24掩码保证地址利用率与可扩展性。

3. 核心配置实现步骤

3.1 AS2内部OSPF基础配置

在R2、R3、R4上配置OSPF进程，确保AS2内部路由可达：

cisco复制! R2配置示例
router ospf 1
 area 0.0.0.0
  network 2.2.2.2 0.0.0.0
  network 12.1.1.0 0.0.0.255
  network 23.1.1.0 0.0.0.255

验证命令：

bash复制show ip ospf neighbor  # 查看邻居状态
show ip route ospf     # 查看OSPF路由表

3.2 BGP邻居建立关键配置

3.2.1 EBGP邻居（R1-R2）

cisco复制! R1配置
router bgp 1
 neighbor 12.1.1.2 remote-as 2
 network 1.1.1.1 mask 255.255.255.255

! R2配置 
router bgp 2
 neighbor 12.1.1.1 remote-as 1
 neighbor 3.3.3.3 remote-as 2   # IBGP with R3
 neighbor 3.3.3.3 update-source Loopback0

3.2.2 IBGP全互联（R2-R3-R4）

由于BGP的防环机制要求IBGP邻居间全互联或使用路由反射器：

cisco复制! R3配置
router bgp 2
 neighbor 2.2.2.2 remote-as 2
 neighbor 2.2.2.2 update-source Loopback0
 neighbor 4.4.4.4 remote-as 2  
 neighbor 4.4.4.4 update-source Loopback0

3.3 路由过滤实现方案

禁止5.5.5.5/32传播的三种实现方式：

方案1：出方向路由过滤（AS4侧）

cisco复制! R5配置
router bgp 4
 neighbor 45.1.1.1 distribute-list BLOCK_LOOPBACK0 out
!
ip access-list standard BLOCK_LOOPBACK0
 deny   5.5.5.5
 permit any

方案2：入方向路由过滤（AS2侧）

cisco复制! R4配置
router bgp 2
 neighbor 45.1.1.2 route-map FILTER_R5 in
!
route-map FILTER_R5 deny 10
 match ip address 1
route-map FILTER_R5 permit 20
!
access-list 1 permit 5.5.5.5

方案3：BGP团体属性标记

cisco复制! R5配置
router bgp 4
 neighbor 45.1.1.1 send-community
 neighbor 45.1.1.1 route-mark NO_EXPORT
!
route-map NO_EXPORT permit 10
 match ip address 1
 set community no-export
route-map NO_EXPORT permit 20
!
access-list 1 permit 5.5.5.5

4. 验证与故障排查指南

4.1 基础连通性验证

bash复制# 检查AS2内部OSPF邻居
R3# ping 2.2.2.2 source 3.3.3.3
R3# ping 4.4.4.4 source 3.3.3.3

# 检查EBGP邻居状态
R2# show bgp ipv4 unicast summary | include 12.1.1.1

4.2 BGP路由传播验证

bash复制# 查看R1是否学习到99.1.1.1但无5.5.5.5
R1# show bgp ipv4 unicast 
   Network          Next Hop            Metric LocPrf Weight Path
*> 1.1.1.1/32      0.0.0.0                  0         32768 i
*> 99.1.1.1/32     12.1.1.2                               0 2 4 i

# 检查路由过滤效果
R4# show route-map FILTER_R5

4.3 典型故障处理

问题1：IBGP邻居无法建立

检查update-source是否指定环回口
确认AS号配置一致
验证OSPF域内环回地址可达性

问题2：路由未按预期过滤

检查ACL/prefix-list是否准确匹配目标路由
验证route-map的匹配顺序和动作
使用debug bgp updates查看实时更新

5. 高级优化与扩展建议

5.1 路由策略优化

MED值调整：通过设置MED影响入站流量

cisco复制route-map SET_MED permit 10
 set metric 50

AS_PATH预挂：防止路由回传

cisco复制route-map PREPEND permit 10
 set as-path prepend 4 4 4

5.2 多宿主连接优化

对于AS4的双链路连接（45.1.1.0/24和54.1.1.0/24）：

配置BGP多路径负载均衡：

cisco复制router bgp 2
 maximum-paths ibgp 2

使用BFD加速故障检测：

cisco复制interface GigabitEthernet0/0/1
 bfd interval 50 min_rx 50 multiplier 3

5.3 安全增强措施

启用MD5认证：

cisco复制neighbor 12.1.1.2 password BGP_SECURE_KEY

限制对等体范围：

cisco复制neighbor 12.1.1.1 prefix-list ALLOWED_PEERS in
ip prefix-list ALLOWED_PEERS permit 12.1.1.1/32

附录：完整配置示例

R4关键配置：

cisco复制router ospf 1
 router-id 4.4.4.4
 network 4.4.4.4 0.0.0.0 area 0
 network 34.1.1.0 0.0.0.255 area 0
 
router bgp 2
 neighbor 3.3.3.3 remote-as 2
 neighbor 3.3.3.3 update-source Loopback0
 neighbor 45.1.1.2 remote-as 4
 neighbor 45.1.1.2 route-map FILTER_R5 in
 neighbor 54.1.1.2 remote-as 4
 !
 address-family ipv4
  neighbor 3.3.3.3 activate
  neighbor 45.1.1.2 activate
  neighbor 54.1.1.2 activate

路由过滤验证结果：

bash复制R1# show ip route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       B    99.1.1.1/32 [20/0] via 12.1.1.2, 00:05:23  # 仅可见允许的环回