四.BGP路由汇总 协议默认路由 关键问题验证（附有拓展ACL匹配研究过程）

wuli

一 关键问题表述
（一）ACL怎样匹配子网相同，掩码不同的路由条目？如何匹配掩码相同，子网不同的条目？
（二）汇总路由为什么可能导致BGP邻居的翻滚？
（三）使用attribite-map时，acl为什么无法匹配路由条目？
（四）怎样使用advertise-map，suppress-map,unsuppress-map,attribute-map,以及route-map五中路由图？给出实例。
（五）路由过滤的两种方案分别是？
（六）BGP产生协议默认路由的两种方式。

问题一：使用“标准ACL”匹配 掩码相同，子网不同的条目；使用“拓展ACL”匹配子网相同，掩码不同的路由条目。

因为标准ACL仅比较网络地址部分，不会检查网络掩码长度;扩展ACL就不仅比较网络地址部分，而且还检查网络掩码长度。这里的扩展ACL是一种特殊的扩展ACL，其基本格式为：
access-list access-list-number {deny | permit} ip source source-wildcard source-mask source-mask-wildcard。

实例：如图

基本配置结束后，可以在R2上检查到一共六条ospf路由：

下面我们在R2上使用分发列表distribute-list来操控路由：（Tips:一个路由进程下面仅能配置一条分发列表，否则，后配置的会覆盖之前配置）

1）a.使用标准ACL能够匹配掩码相同，子网不同的条目的证据：
Distribute-list1 in
Access-list 1 deny 172.16.1.0 0.0.2.255 删除1.0,3.0路由
Access-list 1 permit any

结论：标准的ACL完全能够匹配掩码相同，子网不同的条目

b.使用标准ACL不能够匹配子网相同，掩码不同的路由条目：
Distribute-list 1 in
Access-list 1 deny 1.0.0.0
Access-list 1 permit any

结论：使用acl匹配1.0.0.0/8,但是实际效果却是拒绝了1.0.0.0/24,1.0.0.0/8两条路由，所以不适用！

2）a.使用拓展ACL能够匹配子网相同，掩码不同的路由条目：无法匹配
b.使用拓展ACL不能够匹配掩码相同，子网不同的条目的证据：无法匹配（这里先于笔者的技术水平，暂时不能够提供多种协议下的匹配方案，请大家见谅！！！）
注意！！！实验失败！！！此种拓展的ACL不能匹配多种路由协议，例如OSPF,EIGRP,RIP等！目前仅仅在BGP 的定向过滤中使用
所以，再次尝试实验！


更改网络的基本配置使用BGP，再次实验！如图：

在r2上
Router bgp 100
Neighbor192.168.12.1 remote-as 100
Neighbor192.168.12.1 distribute-list 100 in
Access-list100 permit ip 1.0.0.0 0.0.0.0 255.0.0.0 0.0.0.0

总结：(目前仅仅使用与BGP的高级配置中neighbor x.x.x.x distribute-list x in ，其他协议中不做探究)

如下面的这两条扩展ACL配置是允许192.108.0.0/16路由，而禁止其中的任一明细路由，包括192.108.0.0/24。

access-list 101permit ip 192.108.0.0 0.0.0.0 255.255.0.0 0.0.0.0 !---表示要精确比较源地址和源掩码的每一位，只有完全相同时才允许
access-list 101 denyip 192.108.0.0 0.0.255.255 255.255.0.00.0.255.255 !---表示仅同时精确比较源地址和源掩码的前16位（后16位不比较），只要前16位相同则禁止，是在上面那条规则后进行比较的
而下面这两条扩展ACL配置是允许131.108.0/24路由，但禁止131.108/16路由和131.108.0.0中的其他所有子网路由。

access-list 101permit ip 131.108.0.0 0.0.0.0 255.255.255.0 0.0.0.0 !---表示要精确比较源地址和源掩码的每一位，只有完全相同时才允许
access-list 101 denyip 131.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255!---表示仅同时精确比较源地址和源掩码的前16位（后16位不比较），只要前16位相同则禁止，是在上面那条规则后进行比较的


问题二：汇总路由为什么可能导致BGP邻居的翻滚？

BGP中的路由条目，如果是通过联邦方式传递的话，那么必定会在汇总路由的AS-PATH上添加括号，以示区分。
图示：


以172.16.0.0/24为例，在R2上使用aggregate-address 172.16.0.0 255.255.252.0 as-set汇聚后，那么汇总路由的PATH属性可能为
（（65530）（65531）），而在程序中是不支持此种命令的说！所以，我们需要在R2上，对于不同的联邦as，分别汇总！！！切记切记！

问题三：使用attribite-map时，acl为什么无法匹配路由条目？从而修改汇总之后的属性？

注意：当我们需要更改汇总路由的属性的时候，不需要再次匹配汇总路由，而是直接修改或者设置汇总路由的值即可。

例如：aggregate-address 172.16.0.0 255.255.254.0 as-set- attribute-mapattr1
route-map attr1 permit 10
match ipaddress 100(错误：attribute-map 只是针对汇总路由，不需要再做ACL的匹配)
setlocal-preference 99

问题四：
1）以上已经解释了attribute-map的使用，route-map的使用方法与attribute-map相同，但是这两个不能够共同存在的说
2）suppress-map需要在之后的路由图中匹配相应的子网，而不需要设置路由条目的属性值；unsuppress-map 与之类似，只是效果有所不一致！
3）advertise-map 需要在之后的route-map中，选定想要学习的路由条目（对象时路由条目，不是router-id）

问题五：
1）根据AS-PATH来过滤路由
Ip as-pathaccess-list 5 permit _200$//匹配起源于200的路由条目
Routerbgp 65532
Neighbor192.168.57.7 filter-list 5 in
2)根据目标路由条目来过滤distribute-list
a.全局过滤
Router bgp 100
Distribute-list1 in

b.针对某个邻居过滤
Routerbgp 100
Neighbor1.1.1.1 distribute-list 1 in

问题六：
1）ip route 0.0.0.0 0.0.0.0 null 0
router bgp 100
network 0.0.0.0
2)iproute 0.0.0.0 0.0.0.0 null 0
router bgp 100
redistribute static
default-information originate
金山快盘附件：BGP高级功能的实验联系（附答案）.zip（231.81KB）

archer05

佛曰，色即是空，空即是色!今晚，偶想空一下

xinxuaw231

你的丑和你的脸没有关系。。。。。。

5d6d网

看帖回帖是美德！:lol

dinggela

避孕的效果：不成功，便成“人”。

micromax

我承认我的任性，但你敢承认你的绝情么？

w1w

※ 执子之手 拖去喂狗丶