转:BGP在运营商网络中的配置建议-SP EBGP配置注意事项
BGP在运营商网络中的配置建议-SP EBGP配置注意事项
2009-05-14 13:26BGP peer Group
采用此命令可以有效的降低CPU的负载和内存的消耗。在配置上也做到了简化。
以下是一个配置模板的情况
router bgp XX
neighbor internal peer-group
neighbor internal remote-as 109
neighbor internal update-source loopback 0
neighbor m.m.m.m peer-group internal
neighbor l.l.l.l peer-group internal
建议在有大量的BGP peer 链接时,尤其时RR的配置时,推荐使用Peer Group 命令来简化配置,并方便管理。
2.2 限制从远端BGP邻居收到的路由数量
neighbor ip-address maximum-prefix maximum [threshold] [warning-only]
在BGP协议受到黑客的网络攻击、网络振荡和配置错误时会使得本机的BGP收到大量的路由信息,BGP需要占用大量的内存存储和处理这些路由。如果路由器存在内存不足或性能缺陷等问题,极易产生内存使用错误,从而导致路由器运行不稳定,严重的情况下会导致路由器重启,类似案例在互联网上屡见不鲜。因此几乎所有的ISP都会限制从远端BGP邻居收到的路由数量,从而保障网络设备的稳定运行。
当BGP收到超过maximum所配置的路由数量时,该命令有两种行为模式:
1.发出告警信息同时关闭和相关邻居的BGP连接并且需要人工手动启动BGP,才可以重新建立到相关邻居的BGP连接 (不配置 [warning-only])
2. 只发出告警信息而不关闭BGP连接(配置 [warning-only] )
第一种模式为系统缺省模式,最大程度上保证本机的稳定性;第二种模式由于只发送报警信息不作任何处理,在一些情况下还是会对路由器的稳定性造成较大的影响。
2.3 BGP互连的安全设置
当必须和上级BGP设备接收路由条目时,需要非常小心,按照以下规则进行路由接收:
1. 不接收 RFC1918等私有地址。
2. 不接收自己网络的前缀。
3. 不接收缺省路由(除非你需要它)
4. 不接收长度大于24的前缀列表。
配置的典型配置如下:
router bgp 100
network 221.10.0.0 mask 255.255.224.0 (自身宣告的网络)
neighbor 221.5.7.1 remote-as 101
neighbor 221.5.7.1 prefix-list in-filter in
!
ip prefix-list in-filter deny 0.0.0.0/0 ! Block default
ip prefix-list in-filter deny 0.0.0.0/8 le 32
ip prefix-list in-filter deny 10.0.0.0/8 le 32
ip prefix-list in-filter deny 127.0.0.0/8 le 32
ip prefix-list in-filter deny 169.254.0.0/16 le 32
ip prefix-list in-filter deny 172.16.0.0/12 le 32
ip prefix-list in-filter deny 192.0.2.0/24 le 32
ip prefix-list in-filter deny 192.168.0.0/16 le 32
ip prefix-list in-filter deny 221.10.0.0/19 le 32 ! Block local prefix
ip prefix-list in-filter deny 224.0.0.0/3 le 32
ip prefix-list in-filter deny 0.0.0.0/0 ge 25 ! Block prefixes >/24
ip prefix-list in-filter permit 0.0.0.0/0 le 32
• 这个prefix-list 模板必须加载在和外界EBGP 的peer 配置上,并需要在 in 和out两个方向配置
参考链接如下:http://www.ietf.org/internet-drafts/draft-manning-dsua-01.txt
ip prefix-list rfc1918-dsua deny 0.0.0.0/8 le 32
ip prefix-list rfc1918-dsua deny 10.0.0.0/8 le 32
ip prefix-list rfc1918-dsua deny 127.0.0.0/8 le 32
ip prefix-list rfc1918-dsua deny 169.254.0.0/16 le 32
ip prefix-list rfc1918-dsua deny 172.16.0.0/12 le 32
ip prefix-list rfc1918-dsua deny 192.0.2.0/24 le 32
ip prefix-list rfc1918-dsua deny 192.168.0.0/16 le 32
ip prefix-list rfc1918-dsua deny 224.0.0.0/3 le 32
ip prefix-list rfc1918-dsua deny 0.0.0.0/0 ge 25
ip prefix-list rfc1918-dsua permit 0.0.0.0/0 le 32
2.4 根据AS路由过滤
过滤掉包含有私有AS号的路由;
过滤掉AS-Path中包含有本AS号的路由,防止路由循环;
过滤掉其他peering AS,防止transit;
下面以运营商A和运营商B互连的bgp策略作为参考:
配置示例如下:
!## The Following just example #############
ip as-path access-list 180 permit ^701$
ip as-path access-list 180 permit ^701_([0-9])+_$
ip as-path access-list 181 permit _6451[2-9]_
ip as-path access-list 181 permit _645[2-9][0-9]_
ip as-path access-list 181 permit _64[6-9][0-9][0-9]_
ip as-path access-list 181 permit _65[0-9][0-9][0-9]_
ip as-path access-list 181 permit _1239_
ip as-path access-list 181 permit _5511_
ip as-path access-list 182 permit _1239_
ip as-path access-list 183 permit ^701$
ip as-path access-list 183 permit ^701_([0-9])+_$
ip as-path access-list 183 permit ^701_([0-9])+_([0-9])+_$
ip as-path access-list 184 permit ^1239_701_
ip as-path access-list 185 permit ^1239_([0-9])+_$
ip as-path access-list 185 permit ^1239_([0-9])+_([0-9])+_$
ip as-path access-list 186 permit ^701_1239_
ip as-path access-list 187 permit ^5511_
ip as-path access-list 188 permit _1239_
ip as-path access-list 188 permit _701_
ip as-path access-list 188 permit _1668_
ip as-path access-list 190 permit _852_
ip as-path access-list 191 permit ^701_
ip as-path access-list 191 permit ^5511_
ip as-path access-list 192 deny ^5511_
ip as-path access-list 192 deny ^701_
ip as-path access-list 192 permit .*
ip as-path access-list 193 permit ^5511_702_
ip as-path access-list 199 permit ^7992_
2.5 BGP Router-id
BGP采用TCP协议作为传输层协议,利用IP地址建立TCP Session,建议明确指定路由器的BGP Router-id,提高稳定性,而且便于运维人员的管理和维护。
配置示例如下:
router bgp XX
bgp router-id m.m.m.m-----------------------/本机的loopback 0地址/
2.6 Log-neighbor-change
对于BGP邻接的UP/Down事件及其原因进行记录非常有利于工程和运维人员对BGP及网络故障的处理,建议在BGP的配置将该功能打开。
配置的示例如下:
router bgp XX
[no] log-neighbor-changes
记录示例如:
%BGP-6-ADJCHANGE: neighbor x.x.x.x Up
%BGP-6-RESET: neighbor x.x.x.x reset
2.7 BGP Neighbour Authentication
根据网络的具体情况,可以考虑在BGP对等之间采用MD5加密认证机制,对所有的BGP信息进行加密认证,要求两个Neighbor都要知道密码。MD5认证可以在Peer之间采用,也可以在Peer Group之间使用。
配置的示例如下:
router bgp XX
neighbor n.n.n.n password v61ne0qkel33&
2.8 Neighbour Shutdown
BGP的配置通常需要大量的路由策略配置,特别建议在这些路由策略生效之前不要激活BGP Neighbour。否则,在BGP生效但是BGP策略没有生效之前的时间段内,引起意外的情况发生,比如,对端的路由器可能突然收到大量的BGP路由,如果超过了其处理能力则有可能导致设备宕机或者重启。
配置的示例如下:
router bgp XX
neighbor n.n.n.n remote-as XX
neighbor n.n.n.n shutdown
当所有的路由策略配置完成以后激活BGP邻接:
no neighbor n.n.n.n shutdown
2.9 同步规则
在通常情况下AS域内的路由器都启动了BGP协议,因此建议将同步规则关闭,配置的示例如下:
router bgp XX---------------------------/BGP AS域/
no synchronization
2009-05-14 13:26BGP peer Group
采用此命令可以有效的降低CPU的负载和内存的消耗。在配置上也做到了简化。
以下是一个配置模板的情况
router bgp XX
neighbor internal peer-group
neighbor internal remote-as 109
neighbor internal update-source loopback 0
neighbor m.m.m.m peer-group internal
neighbor l.l.l.l peer-group internal
建议在有大量的BGP peer 链接时,尤其时RR的配置时,推荐使用Peer Group 命令来简化配置,并方便管理。
2.2 限制从远端BGP邻居收到的路由数量
neighbor ip-address maximum-prefix maximum [threshold] [warning-only]
在BGP协议受到黑客的网络攻击、网络振荡和配置错误时会使得本机的BGP收到大量的路由信息,BGP需要占用大量的内存存储和处理这些路由。如果路由器存在内存不足或性能缺陷等问题,极易产生内存使用错误,从而导致路由器运行不稳定,严重的情况下会导致路由器重启,类似案例在互联网上屡见不鲜。因此几乎所有的ISP都会限制从远端BGP邻居收到的路由数量,从而保障网络设备的稳定运行。
当BGP收到超过maximum所配置的路由数量时,该命令有两种行为模式:
1.发出告警信息同时关闭和相关邻居的BGP连接并且需要人工手动启动BGP,才可以重新建立到相关邻居的BGP连接 (不配置 [warning-only])
2. 只发出告警信息而不关闭BGP连接(配置 [warning-only] )
第一种模式为系统缺省模式,最大程度上保证本机的稳定性;第二种模式由于只发送报警信息不作任何处理,在一些情况下还是会对路由器的稳定性造成较大的影响。
2.3 BGP互连的安全设置
当必须和上级BGP设备接收路由条目时,需要非常小心,按照以下规则进行路由接收:
1. 不接收 RFC1918等私有地址。
2. 不接收自己网络的前缀。
3. 不接收缺省路由(除非你需要它)
4. 不接收长度大于24的前缀列表。
配置的典型配置如下:
router bgp 100
network 221.10.0.0 mask 255.255.224.0 (自身宣告的网络)
neighbor 221.5.7.1 remote-as 101
neighbor 221.5.7.1 prefix-list in-filter in
!
ip prefix-list in-filter deny 0.0.0.0/0 ! Block default
ip prefix-list in-filter deny 0.0.0.0/8 le 32
ip prefix-list in-filter deny 10.0.0.0/8 le 32
ip prefix-list in-filter deny 127.0.0.0/8 le 32
ip prefix-list in-filter deny 169.254.0.0/16 le 32
ip prefix-list in-filter deny 172.16.0.0/12 le 32
ip prefix-list in-filter deny 192.0.2.0/24 le 32
ip prefix-list in-filter deny 192.168.0.0/16 le 32
ip prefix-list in-filter deny 221.10.0.0/19 le 32 ! Block local prefix
ip prefix-list in-filter deny 224.0.0.0/3 le 32
ip prefix-list in-filter deny 0.0.0.0/0 ge 25 ! Block prefixes >/24
ip prefix-list in-filter permit 0.0.0.0/0 le 32
• 这个prefix-list 模板必须加载在和外界EBGP 的peer 配置上,并需要在 in 和out两个方向配置
参考链接如下:http://www.ietf.org/internet-drafts/draft-manning-dsua-01.txt
ip prefix-list rfc1918-dsua deny 0.0.0.0/8 le 32
ip prefix-list rfc1918-dsua deny 10.0.0.0/8 le 32
ip prefix-list rfc1918-dsua deny 127.0.0.0/8 le 32
ip prefix-list rfc1918-dsua deny 169.254.0.0/16 le 32
ip prefix-list rfc1918-dsua deny 172.16.0.0/12 le 32
ip prefix-list rfc1918-dsua deny 192.0.2.0/24 le 32
ip prefix-list rfc1918-dsua deny 192.168.0.0/16 le 32
ip prefix-list rfc1918-dsua deny 224.0.0.0/3 le 32
ip prefix-list rfc1918-dsua deny 0.0.0.0/0 ge 25
ip prefix-list rfc1918-dsua permit 0.0.0.0/0 le 32
2.4 根据AS路由过滤
过滤掉包含有私有AS号的路由;
过滤掉AS-Path中包含有本AS号的路由,防止路由循环;
过滤掉其他peering AS,防止transit;
下面以运营商A和运营商B互连的bgp策略作为参考:
配置示例如下:
!## The Following just example #############
ip as-path access-list 180 permit ^701$
ip as-path access-list 180 permit ^701_([0-9])+_$
ip as-path access-list 181 permit _6451[2-9]_
ip as-path access-list 181 permit _645[2-9][0-9]_
ip as-path access-list 181 permit _64[6-9][0-9][0-9]_
ip as-path access-list 181 permit _65[0-9][0-9][0-9]_
ip as-path access-list 181 permit _1239_
ip as-path access-list 181 permit _5511_
ip as-path access-list 182 permit _1239_
ip as-path access-list 183 permit ^701$
ip as-path access-list 183 permit ^701_([0-9])+_$
ip as-path access-list 183 permit ^701_([0-9])+_([0-9])+_$
ip as-path access-list 184 permit ^1239_701_
ip as-path access-list 185 permit ^1239_([0-9])+_$
ip as-path access-list 185 permit ^1239_([0-9])+_([0-9])+_$
ip as-path access-list 186 permit ^701_1239_
ip as-path access-list 187 permit ^5511_
ip as-path access-list 188 permit _1239_
ip as-path access-list 188 permit _701_
ip as-path access-list 188 permit _1668_
ip as-path access-list 190 permit _852_
ip as-path access-list 191 permit ^701_
ip as-path access-list 191 permit ^5511_
ip as-path access-list 192 deny ^5511_
ip as-path access-list 192 deny ^701_
ip as-path access-list 192 permit .*
ip as-path access-list 193 permit ^5511_702_
ip as-path access-list 199 permit ^7992_
2.5 BGP Router-id
BGP采用TCP协议作为传输层协议,利用IP地址建立TCP Session,建议明确指定路由器的BGP Router-id,提高稳定性,而且便于运维人员的管理和维护。
配置示例如下:
router bgp XX
bgp router-id m.m.m.m-----------------------/本机的loopback 0地址/
2.6 Log-neighbor-change
对于BGP邻接的UP/Down事件及其原因进行记录非常有利于工程和运维人员对BGP及网络故障的处理,建议在BGP的配置将该功能打开。
配置的示例如下:
router bgp XX
[no] log-neighbor-changes
记录示例如:
%BGP-6-ADJCHANGE: neighbor x.x.x.x Up
%BGP-6-RESET: neighbor x.x.x.x reset
2.7 BGP Neighbour Authentication
根据网络的具体情况,可以考虑在BGP对等之间采用MD5加密认证机制,对所有的BGP信息进行加密认证,要求两个Neighbor都要知道密码。MD5认证可以在Peer之间采用,也可以在Peer Group之间使用。
配置的示例如下:
router bgp XX
neighbor n.n.n.n password v61ne0qkel33&
2.8 Neighbour Shutdown
BGP的配置通常需要大量的路由策略配置,特别建议在这些路由策略生效之前不要激活BGP Neighbour。否则,在BGP生效但是BGP策略没有生效之前的时间段内,引起意外的情况发生,比如,对端的路由器可能突然收到大量的BGP路由,如果超过了其处理能力则有可能导致设备宕机或者重启。
配置的示例如下:
router bgp XX
neighbor n.n.n.n remote-as XX
neighbor n.n.n.n shutdown
当所有的路由策略配置完成以后激活BGP邻接:
no neighbor n.n.n.n shutdown
2.9 同步规则
在通常情况下AS域内的路由器都启动了BGP协议,因此建议将同步规则关闭,配置的示例如下:
router bgp XX---------------------------/BGP AS域/
no synchronization