如果您正在運(yùn)行大型IP網(wǎng)絡(luò),則將需要邊界網(wǎng)關(guān)協(xié)議(BGP),但不需要快速收斂的協(xié)議即可實(shí)現(xiàn)基于IP的現(xiàn)代服務(wù)。您需要知道在何處以及如何部署B(yǎng)GP,以及何時(shí)獲得幫助。
考慮到邊界網(wǎng)關(guān)協(xié)議(BGP)的相對復(fù)雜性,在急于直接在網(wǎng)絡(luò)中實(shí)現(xiàn)它之前考慮各種設(shè)計(jì)方面就不足為奇了。如果沒有其他問題,那么好的設(shè)計(jì)和周密的計(jì)劃可以為您節(jié)省一些緊張的故障排除會話。
在本文中,我將嘗試為您提供一些通用的指導(dǎo)原則,在設(shè)計(jì)BGP網(wǎng)絡(luò)時(shí)應(yīng)遵循這些指導(dǎo)原則。但是,請不要忘記,經(jīng)驗(yàn)僅來自實(shí)踐。設(shè)計(jì)最初的幾個BGP網(wǎng)絡(luò)時(shí),您應(yīng)該從供應(yīng)商或合格的專業(yè)服務(wù)組織內(nèi)部獲得專家?guī)椭?/p>
使用公共自治系統(tǒng)號
BGP使用自治系統(tǒng)(AS)編號來跟蹤流量必須經(jīng)過的網(wǎng)絡(luò)才能到達(dá)最終目的地。在公共Internet上可見的AS編號必須是全球唯一的,并由各個Internet注冊表進(jìn)行分配。如果要提供公共Internet服務(wù),則必須具有公共AS號。如果您急于需要BGP提供其他基于IP的服務(wù)(例如,基于MPLS VPN的第3層VPN服務(wù)),則可以使用RFC 1930(AS 64512至AS 65535)中指定的專用AS號。如果您想提供公共Internet服務(wù),那么您可能會面臨具有挑戰(zhàn)性的遷移方案。
將BGP與其他路由協(xié)議結(jié)合使用
BGP被設(shè)計(jì)為一種健壯的,保守的路由協(xié)議,能夠攜帶成千上萬的IP前綴。它絕不是實(shí)現(xiàn)現(xiàn)代基于IP的服務(wù)(例如,IP語音或三重播放服務(wù))所需的快速融合協(xié)議。您應(yīng)該始終在現(xiàn)代,快速收斂的內(nèi)部路由協(xié)議(IGP)之上使用BGP ,例如OSPF或IS-IS。在這樣的設(shè)計(jì)中,IGP提供了通過網(wǎng)絡(luò)核心的最佳路徑,而BGP在這些路徑上提供了邊緣到邊緣的路由。
在LOOPBACK接口之間運(yùn)行內(nèi)部BGP
BGP使用TCP作為可靠的傳輸方式,在手動配置的BGP對等體之間交換路由信息(在BGP中沒有發(fā)現(xiàn)鄰居)。TCP始終綁定到一對本地和遠(yuǎn)程IP地址。如果其中任何一個無法訪問,即使路由器仍在運(yùn)行,TCP會話以及因此的BGP路由也會中斷。
因此,內(nèi)部BGP會話(網(wǎng)絡(luò)中路由器之間的BGP會話)應(yīng)始終在回送接口之間運(yùn)行,以確保TCP會話只要在BGP鄰居之間至少存在一條路徑(即使通過達(dá)到鄰居可能會更改)。
外部BGP鄰居通常直接連接(您的BGP路由器直接連接到客戶或?qū)Φ然锇榈腂GP路由器)。因此,外部BGP會話通常在分配給物理接口的相鄰IP地址之間運(yùn)行。
在整個網(wǎng)絡(luò)中運(yùn)行BGP
從歷史上看,一些服務(wù)提供商試圖避免在整個網(wǎng)絡(luò)中運(yùn)行BGP,以減少路由器的內(nèi)存需求和CPU利用率,它們依賴于巧妙的設(shè)計(jì),一旦網(wǎng)絡(luò)開始發(fā)展,這些設(shè)計(jì)就不可避免地變得過于復(fù)雜。最好接受一個事實(shí),那就是在嚴(yán)肅的服務(wù)提供商網(wǎng)絡(luò)中BGP是不可避免的,并從一開始就為它設(shè)計(jì)整個網(wǎng)絡(luò)。
顯然,您不需要在網(wǎng)絡(luò)中的每個路由器上運(yùn)行BGP。例如,撥號服務(wù)器或DSL集中器可以依靠網(wǎng)絡(luò)核心提供的默認(rèn)路由,但是連接企業(yè)客戶的邊緣路由器可能已經(jīng)需要BGP來滿足多宿主客戶的需求。
靜態(tài)配置團(tuán)體屬性
如果要提供公共Internet服務(wù),則必須將通過各種Internet注冊表分配給您的公共IP地址空間發(fā)布到BGP中。有時(shí),工程師會嘗試通過從IGP到BGP 的路由重新分配以及在BGP中進(jìn)行后續(xù)路由聚合的復(fù)雜過程來實(shí)現(xiàn)此目標(biāo)。宣傳在幾個關(guān)鍵BGP路由器上分配的確切前綴要容易得多。
當(dāng)您決定將Internet客戶的路由與核心路由分開(強(qiáng)烈建議)并在BGP中攜帶客戶IP前綴時(shí),可以從IGP(或從邊緣路由器上的靜態(tài)路由)重新分配它們,但可以使用以下標(biāo)記:已知的NO_EXPORT社區(qū)可防止其傳播到相鄰的自治系統(tǒng)中。
注意:在MPLS VPN環(huán)境中運(yùn)行BGP時(shí),將應(yīng)用不同的規(guī)則,其中BGP與客戶的IGP之間的雙向重新分配非常普遍。
不要在網(wǎng)絡(luò)中更改BGP屬性
如果網(wǎng)絡(luò)中的所有路由器都具有一致的網(wǎng)絡(luò)視圖,則任何路由協(xié)議(包括BGP)都可以達(dá)到最佳效果。為了確保網(wǎng)絡(luò)中路由的一致性,請不要在發(fā)送給IBGP鄰居的更新上更改任何BGP屬性(大多數(shù)路由器供應(yīng)商都允許您這樣做)。另一方面,可以在以下位置更改BGP屬性:
- 從外部BGP鄰居收到的路由。最常見的是,將本地首選項(xiàng)屬性設(shè)置為指示首選/備份出口點(diǎn)。
- 從其他來源重新分配到BGP中的路由。某些BGP屬性(例如Multi-Exit Discriminator)是自動設(shè)置的,而其他屬性可以在重新分發(fā)路由器上設(shè)置。
將外部子網(wǎng)重新分配到您的IGP中
BGP攜帶的每個IP前綴都有一個下一跳屬性,用于指定下一跳BGP路由器的IP地址。IGP的工作是找出通往下一跳的最佳路徑。
缺省情況下,BGP會發(fā)布從外部鄰居(例如,從對等伙伴)收到的IP前綴,其下一跳屬性指向外部對等方的IP地址。此屬性使您可以實(shí)現(xiàn)針對已出于冗余目的而部署了多個路由器的Internet交換點(diǎn)(IXP)的完美負(fù)載共享。但是,BGP 通告為下一跳的外部IP地址必須可訪問;您應(yīng)該將它們重新分配到您的IGP中。否則可能會導(dǎo)致有趣的故障排除練習(xí)。
注意:如果尚未部署與同一IXP連接的多個路由器,則還可以使用另一種設(shè)計(jì),即邊緣BGP路由器將下一跳屬性重置為指向其自己的環(huán)回地址。
使用BGP路由反射器
根據(jù)BGP循環(huán)避免規(guī)則,從內(nèi)部BGP對等體收到的IP前綴不應(yīng)發(fā)布給另一個內(nèi)部對等體。因此,自治系統(tǒng)中的每個使用BGP的路由器都應(yīng)與網(wǎng)絡(luò)中的所有其他使用BGP的路由器建立BGP會話。顯然,這種方案在大型服務(wù)提供商網(wǎng)絡(luò)中的開銷是巨大的,并且?guī)啄昵耙呀?jīng)開發(fā)了使內(nèi)部BGP可擴(kuò)展的工具。
有兩種可擴(kuò)展內(nèi)部BGP的方法:BGP路由反射器和BGP聯(lián)盟。邦聯(lián)很少使用。大多數(shù)設(shè)計(jì)使用BGP路由反射器。
BGP路由反射器(RR)是一種BGP路由器,允許在內(nèi)部BGP鄰居之間傳播IP前綴(其他BGP屬性用于檢測環(huán)路)。路徑反射器可以按層次連接。例如,區(qū)域路由反射器可能是核心路由反射器的客戶。層次結(jié)構(gòu)不應(yīng)包含太多級別,因?yàn)槊總€級別都會在BGP收斂過程中引入額外的延遲。
您可以將常規(guī)路由器用作客戶端數(shù)量少的BGP路由反射器。在大型網(wǎng)絡(luò)中,核心路由反射器應(yīng)為不會轉(zhuǎn)發(fā)大量流量的專用設(shè)備。
例如,將您的存在點(diǎn)連接到網(wǎng)絡(luò)核心的分布層路由器可以充當(dāng)POP中BGP路由器的BGP RR。然后,核心路由反射器將是專用框,用于將BGP路由分配給所有核心層和分布層路由器。
使用對等模板
大多數(shù)路由器供應(yīng)商都允許您配置大量選項(xiàng),以控制針對單個BGP鄰居或每個鄰居的入站/出站過濾策略的BGP行為。在具有大量BGP鄰居的環(huán)境中保持這些設(shè)置一致是管理的噩夢。如果使用配置可伸縮性工具(通常稱為對等組和對等模板),則可以輕松避免這種情況。
摘要
盡管BGP是一個復(fù)雜的路由協(xié)議,但是您可以基于眾所周知的最佳實(shí)踐和設(shè)計(jì)準(zhǔn)則來設(shè)計(jì)可靠的大規(guī)模BGP網(wǎng)絡(luò),其中包括:
- 盡可能獲取一個公共AS編號并使用它。
- 至少在所有核心路由器上的整個網(wǎng)絡(luò)中都運(yùn)行BGP(除非已經(jīng)部署了MPLS,在這種情況下,這不再是必需的)。
- 使用BGP路由反射器和對等模板擴(kuò)展網(wǎng)絡(luò)。
- 始終將BGP與快速IGP結(jié)合使用。在路由器的環(huán)回接口之間建立IBGP會話。
- 不要將路由重新分配/聚集到公共Internet中。使用靜態(tài)IP前綴來源
