HCNP Routing&Switching之BGP路由過濾和AS-Path-Filter

　　前文我們聊了下通過修改BGP路由屬性來影響路由，從而達到控制BGP路由的目的；回顧請參考https://www.cnblogs.com/qiuhom-1874/p/15495585.html；今天我們來聊一聊BGP路由過濾和AS-Path-filter過濾器的使用；

　　BGP路由過濾

　　BGP路由過濾是指對特定的路由通過策略或者過濾器在出方向或入方向做允許或拒絕，從而來達到控制路由的收發；

　　示例：通過ip 前綴串列匹配要拒絕的路由，然后使用過濾工具過濾掉滿足條件的路由

[R5-bgp]dis bg r

 BGP Local router ID is 5.5.5.5 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete


 Total Number of Routes: 3
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn

 *>   1.1.1.1/32         45.0.0.4                              0      234 11i
 *>   7.7.7.7/32         45.0.0.4                              0      234 11i
 *>   8.8.8.8/32         45.0.0.4                              0      234 11i
[R5-bgp]dis ip ip-prefix
Prefix-list 1.1.1.1
Permitted 2
Denied 4
        index: 10               deny    1.1.1.1/32              
        index: 20               permit  0.0.0.0/0               le  32
[R5-bgp]filter-policy ip-prefix 1.1.1.1 import
[R5-bgp]d th
[V200R003C00]
#
bgp 55
 router-id 5.5.5.5
 peer 45.0.0.4 as-number 234 
 #
 ipv4-family unicast
  undo synchronization
  filter-policy ip-prefix 1.1.1.1 import
  peer 45.0.0.4 enable
#
return
[R5-bgp]dis bg r

 BGP Local router ID is 5.5.5.5 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete


 Total Number of Routes: 2
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn

 *>   7.7.7.7/32         45.0.0.4                              0      234 11i
 *>   8.8.8.8/32         45.0.0.4                              0      234 11i
[R5-bgp]

　　提示：ip前綴串列、filter-policy工具使用請參考https://www.cnblogs.com/qiuhom-1874/p/15316188.html；這里我們需要注意一點就是ip前綴串列的默認規則是拒絕，所以對于沒有被ip前綴串列匹配的路由，我們應該放行；所以前綴串列里最后要添加放行其他所有路由；所以我們在BGP路由表中能夠看到7.7.7.7和8.8.8.8的路由；

　　示例：使用filter-policy 對某個鄰居的出方向拒絕1.1.1.1的路由

　　在R2上未使用filter-policy對發送給R4的路由做過濾，對應R4上bgp路由表情況

　　提示：可以看到對應在R4上能夠學習到1.1.1.1 /32的路由，對應下一跳分別有兩個；

　　在R2的出方向對發送給R4的路由中，過濾掉1.1.1.1/32的路由，對應其他路由做放行操作

　　驗證：在R4上查看BGP路由表，看看R2發送給R4的路由，對應1.1.1.1/32的路由是否被過濾掉了？

　　提示：可以看到R4上對于1.1.1.1/32的路由只有R3為下一跳，R2發送給R4的其他路由R4上正常可以學習到；

　　示例：使用前綴串列直接對某個鄰居發送的路由進行過濾

　　在R4上使用前綴串列對R3發送到8.8.8.8/32的路由進行入方向過濾，其他路由不做過濾

[R4]dis ip ip-prefix
Prefix-list 8.8.8.8
Permitted 0
Denied 0
        index: 10               deny    8.8.8.8/32              
        index: 20               permit  0.0.0.0/0               le  32
[R4]bgp 234
[R4-bgp]peer 3.3.3.3 ip-prefix 8.8.8.8 imp
[R4-bgp]peer 3.3.3.3 ip-prefix 8.8.8.8 import 
[R4-bgp]d th
[V200R003C00]
#
bgp 234
 router-id 4.4.4.4
 peer 2.2.2.2 as-number 234 
 peer 2.2.2.2 connect-interface LoopBack4
 peer 3.3.3.3 as-number 234 
 peer 3.3.3.3 connect-interface LoopBack4
 peer 45.0.0.5 as-number 55 
 #
 ipv4-family unicast
  undo synchronization
  peer 2.2.2.2 enable
  peer 3.3.3.3 enable
  peer 3.3.3.3 ip-prefix 8.8.8.8 import
  peer 45.0.0.5 enable
#
return
[R4-bgp]dis bg r

 BGP Local router ID is 4.4.4.4 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete


 Total Number of Routes: 4
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn

 *>i  1.1.1.1/32         13.0.0.1        0          100        0      11i
 *>i  7.7.7.7/32         12.0.0.1        0          100        0      11i
 * i                     13.0.0.1        0          100        0      11i
 *>i  8.8.8.8/32         12.0.0.1        0          100        0      11i
[R4-bgp]

　　提示：可以看到此時R4上對于8.8.8.8/32的路由只有R2發送的可以正常學習到；因為R3發送的8.8.8.8/32的路由在入方向就被過濾掉了；

　　示例：在R1上使用路由策略對7.7.7.7/32的路由在出方向過濾

　　提示：路由策略中如果條件中是允許操作，則路由的去留取決route-policy的模式，deny就是拒絕，permit就是允許；如果條件中是拒絕操作，則路由的去留取決route-policy的默認規則；如上所示，在條件中允許7.7.7.7/32，在模式中拒絕，最終7.7.7.7/32的路由去留看模式；對于條件中沒有明確允許或拒絕其他路由，最終條件的默認規則是拒絕，所以對于其他沒有被條件匹配的路由，最終的去留取決于route-policy默認模式；所以我們在route-policy后面添加一條允許所有路由，則放行其他未被前綴串列匹配到的路由；所以我們配置沒有問題的話，在R2上就學習不到7.7.7.7/32的路由，其他路由可以正常學習到；

　　驗證：在R2上查看BGP路由表，看看對應的7.7.7.7的路由它是否能夠學習到？

　　提示：可以看到此時R2的bgp路由表中就沒有7.7.7.7/32的路由，原因是R1并沒有把7.7.7.7/32的路由發送給R2；

　　總結：通過上述實驗可以看到BGP路由過濾主要是通過過濾器，前綴串列，路由策略等工具來進行的；都是在本地的出或入方向做過濾，最終是影響路由的收發；如果上述工具都在bgp里都使用了，則首先全域filter-policy進行過濾，然后再單個鄰居使用filter-policy過濾，然后再單個鄰居前綴串列，然后在路由策略的順序進行過濾；

　　BGP AS-Path過濾器

　　AS-Path-Filter：從名字上就能知道該過濾器主要用于通過匹配AS-Path屬性來進行路由過濾；對于滿足過濾器的條件我們就做某種操作即可；對于as-path過濾器來說，它是通過正則運算式來匹配對應as-path；作業原理就是把對應路由的as-path當作字串處理，滿足正則運算式的路由進行拒絕或允許操作；

　　常用正則運算式符號作用

　　特殊正則運算式含義

　　提示：對于本地始發地路由，對應as-path屬性是空，即匹配條件就是空，正則運算式就為^$; .*表示匹配所有路由，.*是表示匹配任意字符0次或多次，即任意字符可有可無，即任意as-path都能匹配，即所有路由的as-path都能滿足該正則運算式；_10_表示匹配通過as10的路由，因為as-path只要通過一個as就會記錄對應as號，所以只要as-path里包含10，則該路由一定是通過as 10的路由；如果是以10結尾的as-path，則一定是始發as10的路由；如果以10開頭的，則一定是相鄰鄰居的as一定是10，即接受相鄰as10的路由；

　　示例：匹配以12開頭中間任意字符最后以74結尾的as-path的路由

　　提示：即滿足上述as-path的路由都會被允許放行；

　　示例：匹配有23或43的as號的路由

　　提示：并不是3或4，而是23或43；

　　示例：匹配具有具有14，17，24，27，34，37的as號

　　提示：【1-3】表示連續的數字，即1、2、3；【47】表示4或7，即數字4或者數字7；組合其他就是14、17、24、27、34、37；

　　示例：匹配始發as170，且as34512和as170相鄰且通過as34512的路由；

　　示例：匹配始發as170，并通過as621的路由

　　示例：使用as-path過濾器過濾掉本地始發as55路由

　　新建as-path過濾器

[R1]ip as
[R1]ip as-path-filter 1 d
[R1]ip as-path-filter 1 deny 55$
[R1]dis ip as 
As path filter number: 1
        deny          55$
[R1]

　　提示：as-path-filter 后面的1我們可以理解為是as-path過濾器的匹配次序；多條as path是與的關系，即都要滿足才能被匹配；

　　在BGP里呼叫as-path過濾器

　　提示：as-path過濾器也是有默認規則的，默認規則是拒絕操作，即沒有被正則匹配到的路由，統統都是拒絕操作；所以我們看到的BGP路由表中，對應始發234的路由也一并被過濾掉；

　　在as-path里允許其他所有路由通過

　　再次查看BGP路由表，看看對應始發234的路由是否恢復？

　　提示：可以看到始發as55的路由被過濾掉了，始發234的路由恢復正常；這是因為我們只拒絕了始發as55的路由，允許了其他沒有被始發as55的路由；

標籤：其他

上一篇：容器云原生DevOps學習筆記——第三期：從零搭建CI/CD系統標準化交付流程

下一篇：k8s之mutating webhook + gin（附加除錯技巧）