分类: NetWork

Network BGP 属性 Local_Praf、Mulit_Exit_Disc

LOCAL_PRAF属性(以下简称LP)和MULTI_EXIT_DISC属性(以下简称MED)

查看BGP 路由表

LP属性被用于在去往同一目的地的多条路由中设置路由优先级,从名字就可以看出,LP属性只是应用于本地对等体之间,即,只能在IBGP对等体之间传递,不会应用于EBGP对等体之间。LP属性常用于AS出口出方向流量的路径控制,LP属性值越大,路由越优。

通常情况下,MED属性的作用是在去往邻居AS存在多条链路时,允许AS为入站流量传达其优先级。(一般来说,比较不同AS的MED属性没有太大意义,特殊场景除外。)从MED属性的作用可以看出,MED属性只是作用于EBGP对等体,而IBGP对等体互相通告路由时,会忽略MED属性。MED属性常用于AS出口入方向流量的路径控制,MED属性值越小,路由越优。

以下是华为专题的例子说明

这里要求R4去往1.1.1.0/24 走 R2、去往2.2.2.0/24 走R3

R2的配置

bgp 1

 peer 10.1.1.1 as-number 2

 peer 10.3.1.2 as-number 1

 #

 ipv4-family unicast

  undo synchronization

  peer 10.1.1.1 enable

  peer 10.3.1.2 enable

  peer 10.3.1.2 route-policy LP export  /对R4出方向使用路由策略LP

  peer 10.3.1.2 next-hop-local

#

route-policy LP permit node 5  /设置路由策略LP,如果匹配前缀LP,则LP置为200

 if-match ip-prefix LP

 apply local-preference 200

#

route-policy LP permit node 10

#

ip ip-prefix LP index 10 permit 1.1.1.0 24  /配置前缀列表LP,匹配1.1.1.0/24

#

R3的配置

bgp 1

 peer 10.2.1.1 as-number 2

 peer 10.4.1.2 as-number 1

 #

 ipv4-family unicast

  undo synchronization

  peer 10.2.1.1 enable

  peer 10.4.1.2 enable

  peer 10.4.1.2 route-policy LP export  /对R4出方向使用路由策略LP

  peer 10.4.1.2 next-hop-local

#

route-policy LP permit node 5  /设置路由策略LP,如果匹配前缀LP,则LP置为200

 if-match ip-prefix LP

 apply local-preference 200

#

route-policy LP permit node 10

#

ip ip-prefix LP index 10 permit 2.2.2.0 24  /配置前缀列表LP,匹配2.2.2.0/24

#

可以看到,在R4上,去到1.1.1.0/24网段有两条路由,但是下一跳为R2的路由的LP属性为200,而下一跳为R3的路由的LP属性为100,所以优选R2进行转发。去到2.2.2.0/24网段的路由同理。

我们对上面的例子稍作修改,在R4上也发布两条路由3.3.3.0/24和4.4.4.0/24。如图:

R2新增配置:

#

bgp 1

#

 ipv4-family unicast 

  peer 10.1.1.1 route-policy MED export  /对R1出方向使用路由策略MED

#

route-policy MED permit node 5 /设置路由策略MED,如匹配前缀MED,则MED置为10

 if-match ip-prefix MED

 apply cost 10

#

route-policy MED permit node 10

#

ip ip-prefix MED index 10 permit 4.4.4.0 24 /配置前缀列表MED,匹配4.4.4.0/24

#

R3新增配置:

bgp 1

 #

 ipv4-family unicast

  peer 10.2.1.1 route-policy MED export  /对R1出方向使用路由策略MED

#

route-policy MED permit node 5 /设置路由策略MED,如匹配前缀MED,则MED置为10

 if-match ip-prefix MED

 apply cost 10

#

route-policy MED permit node 10

#

ip ip-prefix MED index 10 permit 3.3.3.0 24 /配置前缀列表MED,匹配3.3.3.0/24

#

可以看到去往3.3.3.0/24目的地有两条路由,下一跳为R2的路由被优选,因为其MED值较小。4.4.4.0/24的路由同理。

Network 网络设备带外\带内网管

带外网管需要有一个专门的网络,把这个带外网管网和业务网做物理上的隔离。同时,在设备配置上,选作带外网管的接口要使用一个专门的子网,或者将带外网管的接口划入一个VRF中。总之就是,用了带外网管,用于网管的接口就一定要和业务接口独立出来。

一般网络设备上会有一个标记为MGMT的接口,此为默认的带外网管口。
带外网管口一般是RJ-45接口,俗称“电口”,接普通网线用的。MGMT接口通常都会挨着Console口。华为交换和路由器一般称为Eth口

带外网管虽然安全性较高,而且网管的流量不会占用正常的业务流量。但是使用带外网管需要增加额外的成本(购买带外网管网络交换机等设备),所以有一部分企业会使用防火墙的业务接口直接远程管理防火墙,这就是带内网管。

但是如果流量是通过Untrust接口对防火墙进行网关的话,那最好不要直接让它访问Outside接口。所以对于需要从Untrust反向去远程网关防火墙,那么最好给防火墙配置一个Loopback 接口,把Loopback 接口划入MGT或MGMT区域。

通过Loopback 接口管理防火墙,这个对于防火墙来说属于穿越流量,此时还需要设置一个安全策略,明确允许哪些网段允许管理这个防火墙。

华为防火墙ensp 默认的用户admin 密码 Admin@123

Network 骨干网与BGP

Table of Contents

ASBR

上图中所有网络设备在BGP 中都是ASBR (自治系统边界路由器)用于2个AS之间,建立 eBGP邻居,负责2个AS之间的路由传递;同时也负责路由选路与路由过滤

RR

RR 路由反射器通常用于iBGP内部减少iBGP全互联的场景,汇聚来自内部和外部的BGP路由,再分发至AS内部其他BGP路由器,一般不用于路由选路和过滤。

R1和R2 担任路由反射器 Router-Reflector

  • R1 配置如下
  • bgp 65001
  • router-id 10.1.1.1
  • group iBGP internal (对等体组iBGP)
  • peer 10.1.1.2 group iBGP
  • peer 10.1.1.3 group iBGP
  • peer 10.1.1.4 group iBGP
  • peer 10.1.1.5 group iBGP
  • peer 10.1.1.6 group iBGP
  • #
  • ipv4-family unicast
  • peer iBGP enable
  • peer iBGP reflect-client
  • peer 10.1.1.2 enable
  • peer 10.1.1.3 enable
  • peer 10.1.1.4 enable
  • peer 10.1.1.5 enable
  • peer 10.1.1.6 enable

Network USG6525E L2tpOverIpsec

问题描述

USG6300设备(包括其他USG6000设备型号)l2tp over ipsec隧道建立的先后顺序是什么?

解决方案

当采用L2TP over IPSec进行VPN通信时,首先进行IPSec协商,建立IKE SA和IPSec SA;然后再使用L2TP进行用户认证,认证通过后建立L2TP隧道。所以排查故障的时候,首先看ipsec的隧道建立情况,然后再查看l2tp的隧道建立情况。

配置Client-Initiated(客户端发起)场景下的L2TP VPN

配置流程图

Table of Contents

Index