BGP的路由过滤

1、通过路由策略过滤

R2入方向的过滤

1、抓流量

[r2]ip ip-prefix aa permit 192.168.1.0 24

2、做策略

[r2]route-policy aa deny node 10

[r2-route-policy]if-match ip-prefix aa

[r2-route-policy]q

[r2]route-policy aa permit node 20

3、在BGP中进行调用

[r2-bgp]peer 12.0.0.1 route-policy aa import

2、通过前缀列表进行过滤

1、配置前缀列表

[r2]ip ip-prefix bb deny 192.168.2.0 24

[r2]ip ip-prefix bb permit 0.0.0.0 0 less-equal 32 ---放通所有

2、在BGP中进行调用

[r2-bgp]peer 12.0.0.1 ip-prefix bb import

3、通过过滤列表进行过滤

1、使用ACL列表抓取流量(因为BGP中调用过滤列表时，只能调用ACL抓取的流量)

[r2]acl 2000

[r2-acl-basic-2000]rule deny source 192.168.3.00 ---选用的动作时拒绝，因为过滤列表本身没有拒绝功能。

[r2-acl-basic-2000]rule permit source any ---放通所有

2、在BGP进程中调用过滤列表

[r2-bgp]peer 12.0.0.1 filter-policy 2000 import

BGP的社团属性

社团属性本身可以理解为是一种路由标签，所以其本质是---32位的二进制。

社团属性存在两种表达方式，

1，直接由十进制来标识。

2，通过前16位二进制:后16位二进制的方式来表达。(前16位

一般是本地AS的AS号，后16位是自定值)

在一条路由条目中，我们可以给他标识多个社团属性。

1、BGP中定义了几个公认的社团属性，即给路由条目打上这样的社团属性，将必须按照BGP设定的动作来执行。

1、0X00000000 --- internet ---如果通过全0的社团属性来抓取流量，则将抓取到所有BGP的流量。即BGP的所有流量缺省情况下都属

于"internet"

2、OXFFFFFF02--- no-advertise ----如果给一条路由条目打上这个社团属性，则这条路由信息将无法发送给自己的IBGP对等体或EBGP对等体。

3、OXFFFFFF01.--- no - export ---如果给一条路由条目打上这个社团属性，则这条路由信息将可以发送给自己的IBGP对等体但是无法发送给自己的EBGP对等体。(不能离开这个AS)，但是可以发送给自己的联邦EBGP对等体关系。

4、OXFFFFFFO3 --- no - export - subconfed ----如果给一条路由条目打上这个社团属性，则这条路由信息将可以发送给自己的IBGP对等体但是无法发送给自己的EBGP对等体。包括自己的联邦EBGP对等体关系。

[r1]route-policy aa permit node 10

[r1-route-policy]apply community ?

[r1-route-policy]apply community no-advertise

[r1-bgp]peer 12.0.0.2 route-policy aa export --在peer中调用

注意:目前大部分厂商默认在传递BGP路由信息时是不传递社团属性的，所以，如果需要传递社团属性，需要通过命令开启。

[r1-bgp]peer 12.0.0.2 advertise-community

2、自定义社团属性使用的思路是先在发布路由时打入社团属性，之后根据社团属性抓取流量，再根据抓取的流量做策略。

1、做路由策略

[r1]route-policy com1 permit node 10

[r1-route-policy]apply community 1:11 ---通过路由策略修改属性

2、在发布路由时调用路由策略

[r1-bgp]network 172.16.1.0 24 route-policy com1 ---在发布路由时调用属性，给路由中打入社团属性

根据社团属性抓取流量需要使用---社团属性过滤器---community-filter

3、根据社团属性抓取流量

[r1]ip community-filter 1 permit 1:11

[r1]ip community-filter 2 permit 1:22

4、根据抓取到的流量做路由策略

[r1]route-policy com deny node 10

[r1-route-policy]if-match community-filter 1

[r1-route-policy]q

[r1]route-policy com permit node 20

[r1-route-policy]if-match community-filter 2

[r1-route-policy]apply community no-export ?

[r1-route-policy]apply community no-export additive ---添加多个社团属性需要添加这个参数

[r1-route-policy]q

[r1]route-policy com permit node 30 ---空表放通

5、调用

[r1-bgp]peer 12.0.0.2 route-policy com export ---调用

MPLS 

MPLS：多协议标签交换

包交换---数据组成数据包，之后，在各个网络节点中不断传递，最终到达目标。

包交换转发效率不高的问题所在：

1、在整个包交换的过程中，需要先查询路由表之后再查看ARP缓存表两张表来完成转发过程，导致效率较低；

2、路由表的匹配原则---最长匹配原则导致路由表的查询效率不会太高

3、路由表存在递归查找的过程

4、IP头部是可变长头部，导致我们对IP头部进行读取时需要使用软件进行处理，无法基于硬件进行快速的查找。

标签交换

       标签交换在二层和三层封装之间，添加一个路由条目存在映射关系的标签，之后维护一张记录对应关系及转发接口的表，携带标签的数据来到设备上，先看标签，之后基于维护的标签转发表进行转发，而不再需要查看三层的内容。因为标签本身短小且定长，所以，其转发效率将高于包交换。

       但是标签交换需要先要给数据包中打上标签，之后在到达目标之前还需要将标签弹出，因此，标签交换只是在转发过程中提高了效率，整体上相较包交换提升并不明显

包交换的变更

1，进程交换--- process switching ---最早期的包交换---每一个数据包都需要先查看路由表，之后再看ARP缓存表来确定二层封装内容。

2，快速包交换(fast Switching)---基于流的包交换----一次路由，多次交换---当一股数据流来到设备上，我们只针对第一个数据包执行路由过程，将路由的结果和数据包特征（五元组）记录在缓存当中。之后，数据流中的其他数据来到设备将直接对比缓存中的五元组，相同，则直接按照转发方式进行转发二不在进行路由过程。

3、思科的特快交换技术---Cisco Express Forwading --- 简称CEF技术。主要是将路由表和ARP缓存表中的内容进行预读取（就是将该递归的进行递归运算，该查ARP缓存表的提前查好），之后将结果记录在CEF表中，而CEF表是支持硬件转发的，所以，可以极大的提升路由的转发效率。

虽然CEF技术是思科的专有技术，各大厂商也基于其思路设计出了属于自己特快交换技术。华为设备在进行路由转发时就基于FIB(转发信息表)，这个表是支持硬件转发的。

虽然标签交换无法替代包交换成为主流的转发技术，但是，依然和包交换在共同的发展，MPLS就是包交换和标签交换共同发展的产物，主要因为在一些领域下，标签交换可以做到更好:

1、用于解决BGP的路由黑洞

2、MPLS VPN

3、MPLS TE --- 流量工程 ---简单理解流量工程就是控制流量转发的路径

所有运行标签交换的路由器组成的转发网络，我们可以看做是一个MPLS网络，我们将他称为MPLS域。我们将这些运行了MPLS的设备称为LSR --- 标签交换路由器

基于标签交换前提首先得有标签，标签是每台LSR基于本地的路由表中的路由条目来生成的。我们将所有具有相同特征（所有匹配到同一条路由条目的数据包）的数据包称为FEC----等价转发类。同一个FEC需要配置同一个标签。

每台LSR将自己的标签和FEC的映射信息记录在本地的一张表中，这张表被称为 ---LIB(标签信息表）。之后，将和FIB表进行结合，生成LFIB---标签转发信息表。

在整个过程中，LSR设备除了需要自己分配标签以外还需要知道其他LsR设备针对同一个FEC分配的标签，所以，标签交换和包交换一样也分为两个层面---控制层面，数据层面

包交换：

控制层面---路由协议的数据流方向，目的是为了获取未知网段的路由信息，生成路由表。

数据层面---设备基于已经完善的路由表(FIB）来转发具体的数据信息，其方向正好和控制层流量相反。

标签交换：

控制层面---基于FEC分配标签，并获取其他LSR对同一个FEC分配的标签，之后，记录生成LIB表,之后结合FIB生成LFIB表。----这个过程可以基于静态来完成，也可以基于动态协议（LDB协议---标签分发协议）来完成

数据层面---设备基于LFIB表，根据标签进行转发。

入站LSR (ingress) --- MPLS域的边界，当没有标签的数据包来到入站LSR上，他需要在数据包中压入标签

中转LSR (transit） ---完成标签置换动作的LSR设备。

出站LSR（egress）---也是MPLS域的边界，完成标签的弹出动作。

整个过程中，数据层流量流动的路径为R1-R2-R3-R4，这条路径我们称为LSP---标签交换路径。需要注意的是。LSP是单向的，如果想要数据双向来回，则还需要构建一条R4-R3-R2-R1的路径

Label --- 20位---0 ——2的20次方----我们将标签号的取值范围称为标签空间，每台LSR的标签空间都是独立的。

其中：

0 - 15 ----特殊标签值 --- 我们分配的时候不能直接分配，因为每个特殊标签都拥有其特殊的含义

16 - 1023 ---一般用于静态LSP搭建

1024- 2的20次方----应用于LDP等动态标签交换协议来分配时使用

EXP --- 占3位 -- 做策略使用的 ---一般000，可以理解为优先级，优先级越高则可以优先转发。

S --- 占1位 --- 栈底位 --- 标签不止可以打一个，可以打多个，我们将多个标签的有序集合称为标签栈。如果存在多个标签，需要使用这个标记位进行标识。如果是最后一个标签，则该位置1，如果不是，则置0。

TTL---生存时间---和三层的TTL值一样，主要目的是为了防止数据包在环路中无限循环下去。数据来到入站LSR时，将把三层的TTL值复制到标签中，在MPLS域中没经过一次转发，TTL减1，之后，在出站LSR上弹出标签，再将标签中的TTL值复制到三层包头中。

MPLS---静态配置

构建静态LSP：

1、保证路由条件---静态只需要边界设备拥有来回路由信息即可

2、配置LSR

入站LSR

1、给LSR配置LSR-ID--- 32位二进制构成，都是按照IP地址格式来写，但是，只能手动配置r1]mpls lsr-id 1.1.1.1

2、激活MPLS

1、全局激活MPLS

[r1]mpls

2、接口激活MPLS----所有需要参与MPLS数据收发的接口都需要激活

[r1-GigabitEthernet0/0/0]mplsr

3、构建静态的LSP

1、配置入栈LSR:

[r1]static-lsp ingress 1to4 destination 4.4.4.0 24 nexthop 12.0.0.2 out-label 1000

1、下一跳---必须和路由表中的下一跳相同

2、out-label ---出站标签---下一跳设备接受后需要根据这个标签判断数据到达那个网段。

2、配置中转LSR:

[r2]static-lsp transit 1to4 incoming-interface GigabitEthernet 0/0/0 in-label 1000 nexthop 23.0.0.2 out-label1001

1、in-label --- 入站标签---入站标签必须和上一跳配置的出战标签相同

3、配置出栈LSR:

[r4]static-lsp egress 1to4 incoming-interface GigabitEthernet 0/o/o in-label 1002

[r1]display mpls static-Isp ---查看静态LSP