MPLS-路由黑洞

上期问题：当我们把RIP的传输层协议改为TCP之后，发现和维护邻居的机制应该设计成怎样呢？这个问题可以从以下几个方面来考虑：一：TCP面向连接，基于TCP的协议必然有一个先建立连接的过程。

要先建立连接，两端的设备就必须先互相知道对方的IP地址，并且路由可达。

那么是采用静态配置的方式，还是动态建立连接的方式呢？BGP采用的是静态配置的方式，只要双方指定的地址路由可达，就可以建立连接。

这样做有以下好处：1：可以与对端设备用任何IP地址建立邻居，而不限于某个固定接口的IP。

这样，我们就可以采用环回地址而非直连接口地址建立BGP邻居，两台设备之间如果主链路中断了，只要有备份链路存在，就可以把流量切换到备份链路上，保持邻居不断，增加了BGP连接的稳定性。

2：可以跨越多台设备建立邻居。

由于是静态配置的方式，不一定只有直连设备才能建立BGP 邻居，只要双方指定的地址路由可达（通过IGP或者静态路由），就可以建立邻居，这在AS 内部建立IBGP连接时，就不用所有设备之间都建立IBGP连接。

IBGP会在本期后面内容中提及。

二：知道对方IP地址后，BGP会通过发送open报文来进行邻居的建立。

如果连接不能建立，说明对端设备状态不正常，于是会等待一段时间再进行连接的建立，这个过程一直重复，直到建立连接。

三：连接建立后，就可以进行路由表的同步了，BGP通过发送update报文进行路由表的同步。

四：路由表同步完成后，并不是马上拆除这个连接，因为随时有可能会有路由的更新或者删除，建立TCP连接是一个非常耗费资源的过程，所以BGP通过定期发送keepalive报文进行TCP 连接的维持，这样就可以不用重新建立连接，立刻就可以进行路由更新。

五：如果经过一段时间（一般是3个keepalive报文发送周期）还没有收到对方的keepalive 报文时，我们就认为对方出现了问题，于是可以拆除该TCP连接，并且把从对方收到的路由全部删除。

BGP路由黑洞一、实验目标：分析路由黑洞，并给出路由黑洞的解决方法二、网络拓扑图：三、配置：R1#router ospf 1log-adjacency-changesredistribute connected metric 1000 metric-type 1 subnets 重发布直连路由到OSPF network 10.0.1.4 0.0.0.3 area 0公布该网段，在该10.0.1.4/30网段接口运行OSPF，与R3建立OSPF邻居关系，注，只是重发布不会建立OSPF邻居，必须在接口运行OSPF，建立OSPF邻居ip route 10.0.0.0 255.255.0.0 Null0ip route 10.3.0.0 255.255.0.0 Null0 静态路由汇总router bgp 65000no synchronization 关闭同步bgp log-neighbor-changesnetwork 10.0.0.0 mask 255.255.0.0 汇总路由注入BGP network 10.3.0.0 mask 255.255.0.0neighbor 10.0.0.2 remote-as 65000 AS65000邻居10.0.0.2 neighbor 10.0.0.2 update-source Loopback0neighbor 10.0.0.2 next-hop-selfneighbor 10.0.15.2 remote-as 65001 AS65001邻居10.0.15.2 no auto-summaryR2# R2配置与R1相似router ospf 1log-adjacency-changesredistribute connected metric 1000 metric-type 1 subnets network 10.0.1.8 0.0.0.3 area 0ip route 10.0.0.0 255.255.0.0 Null0ip route 10.3.0.0 255.255.0.0 Null0router bgp 65000no synchronizationbgp log-neighbor-changesnetwork 10.0.0.0 mask 255.255.0.0network 10.3.0.0 mask 255.255.0.0neighbor 10.0.0.1 remote-as 65000neighbor 10.0.0.1 update-source Loopback0neighbor 10.0.0.1 next-hop-selfneighbor 10.0.26.2 remote-as 65002no auto-summaryR3# 公布业务网段，建立OSPF邻居，实现IGP路由可达router ospf 1log-adjacency-changesnetwork 10.0.0.3 0.0.0.0 area 0network 10.0.1.0 0.0.0.3 area 0network 10.0.1.4 0.0.0.3 area 0network 10.3.3.0 0.0.0.255 area 0R4# 公布业务网段，建立OSPF邻居，实现IGP路由可达router ospf 1log-adjacency-changesnetwork 10.0.0.4 0.0.0.0 area 0network 10.0.1.0 0.0.0.3 area 0network 10.0.1.8 0.0.0.3 area 0network 10.3.4.0 0.0.0.255 area 0R5#ip route 10.5.0.0 255.255.0.0 Null0router bgp 65001no synchronization 同步关闭bgp log-neighbor-changesnetwork 10.5.0.0 mask 255.255.0.0 汇总路由注入neighbor 10.0.15.1 remote-as 65000 与R1建立邻居no auto-summaryR6# 相似R5ip route 10.6.0.0 255.255.0.0 Null0router bgp 65002no synchronizationbgp log-neighbor-changesnetwork 10.6.0.0 mask 255.255.0.0neighbor 10.0.26.1 remote-as 65000no auto-summary路由黑洞分析RT6#ping 10.5.5.1 source 10.6.6.1 不能实现连通Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.5.5.1, timeout is 2 seconds: Packet sent with a source address of 10.6.6.1.....Success rate is 0 percent (0/5)查看各个路由器路由表因为关闭同步，所以R5，R6能够相互学到到达对方网段的路由RT5#show ip route10.0.0.0/8 is variably subnetted, 7 subnets, 4 masksC 10.0.15.0/30 is directly connected, Serial0/0B 10.3.0.0/16 [20/0] via 10.0.15.1, 00:14:47B 10.0.0.0/16 [20/0] via 10.0.15.1, 00:14:47B 10.6.0.0/16 [20/0] via 10.0.15.1, 00:11:44 R5学到到达R6的路由，来自R1 R5查看路由表，将数据交给R1R1经过路由递归查找，数据交给R3RT1#show ip routeC 10.0.4.0/30 is directly connected, Serial0/0O E1 10.0.0.2/32 [110/1300] via 10.0.1.5, 00:25:23, Serial0/0B 10.6.0.0/16 [200/0] via 10.0.0.2, 00:11:10B 10.5.0.0/16 [20/0] via 10.0.15.2, 00:14:13RT3# R3经过查找路由表，没有对应条目，丢弃数据包从R6到R5的过程与上类似RT6#show ip route10.0.0.0/8 is variably subnetted, 7 subnets, 4 masksB 10.3.0.0/16 [20/0] via 10.0.26.1, 00:11:52B 10.0.0.0/16 [20/0] via 10.0.26.1, 00:11:52B 10.5.0.0/16 [20/0] via 10.0.26.1, 00:11:52 R6学到到达R5的路由，来自R2C 10.0.26.0/30 is directly connected, Serial0/0RT2#show ip routeO E1 10.0.0.1/32 [110/1300] via 10.0.1.9, 00:25:30, Serial0/0B 10.6.0.0/16 [20/0] via 10.0.26.2, 00:11:16B 10.5.0.0/16 [200/0] via 10.0.0.1, 00:12:06C 10.0.26.0/30 is directly connected, Serial0/1RT4#解决方法1、关闭同步，内网BGP全连接使用peer-group命令简化BGP配置RT1(config)#router bgp 65000RT1(config-router)#neighbor 65000 peer-group 创建peer-groupRT1(config-router)#neighbor 65000 remote-as 65000RT1(config-router)#neighbor 65000 update-source loopback 0RT1(config-router)#neighbor 65000 next-hop-self peer-group的BGP邻居配置RT1(config-router)#neighbor 10.0.0.3 peer-group 65000RT1(config-router)#neighbor 10.0.0.4 peer-group 65000 加入peer-groupRT2(config)#router bgp 65000 参见R1RT2(config-router)#neighbor 65000 peer-groupRT2(config-router)#neighbor 65000 remote-as 65000RT2(config-router)#neighbor 65000 update-source loopback 0RT2(config-router)#neighbor 65000 next-hop-selfRT2(config-router)#neighbor 10.0.0.3 peer-group 65000RT2(config-router)#neighbor 10.0.0.4 peer-group 65000RT3(config)#router bgp 65000 R3运行BGP，与AS65000中所有路由器建立邻居RT3(config-router)#neighbor 65000 peer-groupRT3(config-router)#neighbor 65000 remote-as 65000RT3(config-router)#neighbor 65000 next-hop-selfRT3(config-router)#neighbor 65000 update-source lo0RT3(config-router)#neighbor 10.0.0.1 peer-group 65000RT3(config-router)#neighbor 10.0.0.2 peer-group 65000RT3(config-router)#neighbor 10.0.0.4 peer-group 65000RT4(config)#router bgp 65000 R4运行BGP，与AS65000中所有路由器建立邻居RT4(config-router)#neighbor 65000 peer-groupRT4(config-router)#neighbor 65000 remote-as 65000RT4(config-router)#neighbor 65000 next-hop-selfRT4(config-router)#neighbor 65000 update-source lo0RT4(config-router)#neighbor 10.0.0.1 peer-group 65000RT4(config-router)#neighbor 10.0.0.2 peer-group 65000RT4(config-router)#neighbor 10.0.0.3 peer-group 65000查看BGP邻居表，实现BGP全连接RT1#show ip bgp summaryNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.0.0.2 4 65000 45 44 5 0 0 00:38:55 310.0.0.3 4 65000 13 15 5 0 0 00:09:13 010.0.0.4 4 65000 10 12 5 0 0 00:06:30 010.0.15.2 4 65001 46 47 5 0 0 00:41:08 1RT2#show ip bgp summaryNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.0.0.1 4 65000 45 46 5 0 0 00:39:04 310.0.0.3 4 65000 13 15 5 0 0 00:09:21 010.0.0.4 4 65000 10 12 5 0 0 00:06:16 010.0.26.2 4 65002 43 44 5 0 0 00:38:14 1RT3#show ip bgp summaryNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd10.0.0.1 4 65000 15 13 5 0 0 00:09:28 310.0.0.2 4 65000 15 13 5 0 0 00:09:27 310.0.0.4 4 65000 10 10 5 0 0 00:06:34 0RT4#show ip bgp summaryNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.0.0.1 4 65000 12 10 7 0 0 00:06:49 310.0.0.2 4 65000 12 10 7 0 0 00:06:26 310.0.0.3 4 65000 10 10 7 0 0 00:06:38 0R3和R4学到全部的BGP路由RT3#show ip bgpNetwork Next Hop Metric LocPrf Weight Path* i10.0.0.0/16 10.0.0.2 0 100 0 i*>i 10.0.0.1 0 100 0 i* i10.3.0.0/16 10.0.0.2 0 100 0 i*>i 10.0.0.1 0 100 0 i*>i10.5.0.0/16 10.0.0.1 0 100 0 65001 i*>i10.6.0.0/16 10.0.0.2 0 100 0 65002 iRT4#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*>i10.0.0.0/16 10.0.0.2 0 100 0 i* i 10.0.0.1 0 100 0 i*>i10.3.0.0/16 10.0.0.2 0 100 0 i* i 10.0.0.1 0 100 0 i*>i10.5.0.0/16 10.0.0.1 0 100 0 65001 i*>i10.6.0.0/16 10.0.0.2 0 100 0 65002 iRT3#show ip route10.0.0.0/8 is variably subnetted, 16 subnets, 4 masksO 10.0.1.8/30 [110/200] via 10.0.1.2, 00:15:55, FastEthernet1/0O E1 10.0.15.0/30 [110/1100] via 10.0.1.6, 00:15:55, Serial0/0O E1 10.0.1.12/30 [110/1100] via 10.0.1.6, 00:15:55, Serial0/0O E1 10.0.0.2/32 [110/1200] via 10.0.1.2, 00:15:55, FastEthernet1/0B 10.3.0.0/16 [200/0] via 10.0.0.1, 00:13:49C 10.0.0.3/32 is directly connected, Loopback0C 10.3.3.0/24 is directly connected, Ethernet3/0B 10.0.0.0/16 [200/0] via 10.0.0.1, 00:13:49C 10.0.1.0/30 is directly connected, FastEthernet1/0O E1 10.0.0.1/32 [110/1100] via 10.0.1.6, 00:15:55, Serial0/0B 10.6.0.0/16 [200/0] via 10.0.0.2, 00:13:49O 10.3.4.0/24 [110/110] via 10.0.1.2, 00:15:55, FastEthernet1/0O 10.0.0.4/32 [110/101] via 10.0.1.2, 00:15:56, FastEthernet1/0B 10.5.0.0/16 [200/0] via 10.0.0.1, 00:13:49C 10.0.1.4/30 is directly connected, Serial0/0O E1 10.0.26.0/30 [110/1200] via 10.0.1.2, 00:15:56, FastEthernet1/0RT4#show ip route10.0.0.0/8 is variably subnetted, 16 subnets, 4 masksC 10.0.1.8/30 is directly connected, Serial0/0O E1 10.0.15.0/30 [110/1200] via 10.0.1.1, 00:58:11, FastEthernet1/0O E1 10.0.1.12/30 [110/1100] via 10.0.1.10, 00:58:11, Serial0/0O E1 10.0.0.2/32 [110/1100] via 10.0.1.10, 00:58:11, Serial0/0B 10.3.0.0/16 [200/0] via 10.0.0.2, 00:11:59O 10.0.0.3/32 [110/101] via 10.0.1.1, 00:58:11, FastEthernet1/0O 10.3.3.0/24 [110/110] via 10.0.1.1, 00:58:11, FastEthernet1/0B 10.0.0.0/16 [200/0] via 10.0.0.2, 00:11:59C 10.0.1.0/30 is directly connected, FastEthernet1/0O E1 10.0.0.1/32 [110/1200] via 10.0.1.1, 00:58:11, FastEthernet1/0B 10.6.0.0/16 [200/0] via 10.0.0.2, 00:11:59C 10.3.4.0/24 is directly connected, Ethernet3/0C 10.0.0.4/32 is directly connected, Loopback0B 10.5.0.0/16 [200/0] via 10.0.0.1, 00:12:22O 10.0.1.4/30 [110/200] via 10.0.1.1, 00:58:11, FastEthernet1/0O E1 10.0.26.0/30 [110/1100] via 10.0.1.10, 00:58:11, Serial0/0RT5#ping 10.6.6.1 source 10.5.5.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.6.6.1, timeout is 2 seconds:Packet sent with a source address of 10.5.5.1!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 128/190/280 msR3，R4之间不需要建立BGP邻居关系BGP全连接虽然能实现R5和R6相互访问，但是每个路由器都要与其他路由器建立BGP 邻居，加重了路由器负担2、开启同步，重发布BGP路由到IGP中RT4(config)#no router bgp 65000 还原R3，R4配置，关闭BGPRT3(config)#no router bgp 65000R1和R2上看，邻居R3，R4状态为Active，TCP建立不成功RT1#show ip bgp summaryNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.0.0.2 4 65000 54 53 5 0 0 00:47:23 310.0.0.3 4 65000 20 22 0 0 0 00:01:09 Active10.0.0.4 4 65000 18 20 0 0 0 00:00:48 Active10.0.15.2 4 65001 54 55 5 0 0 00:49:37 1RT2#show ip bgp summaryNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.0.0.1 4 65000 54 55 5 0 0 00:48:06 310.0.0.3 4 65000 20 22 0 0 0 00:01:52 Active10.0.0.4 4 65000 17 19 0 0 0 00:01:30 Active10.0.26.2 4 65002 52 53 5 0 0 00:47:16 1在R1，R2上开启同步RT1(config)#router bgp 65000RT1(config-router)#synchronizationRT2(config)#router bgp 65000RT2(config-router)#synchronizationRT1(config)#do show ip bgpNetwork Next Hop Metric LocPrf Weight Path* i10.0.0.0/16 10.0.0.2 0 100 0 i 未同步，丢弃*> 0.0.0.0 0 32768 i* i10.3.0.0/16 10.0.0.2 0 100 0 i 未同步，丢弃*> 0.0.0.0 0 32768 i*> 10.5.0.0/16 10.0.15.2 0 0 65001 i* i10.6.0.0/16 10.0.0.2 0 100 0 65002 i 丢弃未同步路由丢弃来自IBGP宣告的未达到同步的路由所以，R1不会把该路由通告给R5RT2(config)#do show ip bgpNetwork Next Hop Metric LocPrf Weight Path* i10.0.0.0/16 10.0.0.1 0 100 0 i*> 0.0.0.0 0 32768 i* i10.3.0.0/16 10.0.0.1 0 100 0 i*> 0.0.0.0 0 32768 i* i10.5.0.0/16 10.0.0.1 0 100 0 65001 i 丢弃未同步路由*> 10.6.0.0/16 10.0.26.2 0 0 65002 iR5和R6不学到相互的路由RT5#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*> 10.0.0.0/16 10.0.15.1 0 0 65000 i*> 10.3.0.0/16 10.0.15.1 0 0 65000 i*> 10.5.0.0/16 0.0.0.0 0 32768 iRT6#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*> 10.0.0.0/16 10.0.26.1 0 0 65000 i*> 10.3.0.0/16 10.0.26.1 0 0 65000 i*> 10.6.0.0/16 0.0.0.0 0 32768 i把BGP路由重发布到OSPF中，实现IGP路由同步RT1(config)#router ospf 1RT1(config-router)#redistribute bgp 65000 subnetsRT2(config)#router ospf 1RT2(config-router)#redistribute bgp 65000 subnetsR1与R2通过IGP路由，实现同步RT1#show ip routeO E2 10.6.0.0/16 [110/1] via 10.0.1.5, 00:05:03, Serial0/0RT2#show ip routeO E2 10.5.0.0/16 [110/1] via 10.0.1.9, 00:10:17, Serial0/0RT1#show ip bgpNetwork Next Hop Metric LocPrf Weight Path* i10.0.0.0/16 10.0.0.2 0 100 0 i*> 0.0.0.0 0 32768 i* i10.3.0.0/16 10.0.0.2 0 100 0 i*> 0.0.0.0 0 32768 i*> 10.5.0.0/16 10.0.15.2 0 0 65001 ir>i10.6.0.0/16 10.0.0.2 0 100 0 65002 iR表示该路由已经通过BGP路由学到，但是不能进入全局路由表RT2#show ip bgpNetwork Next Hop Metric LocPrf Weight Path* i10.0.0.0/16 10.0.0.1 0 100 0 i*> 0.0.0.0 0 32768 i* i10.3.0.0/16 10.0.0.1 0 100 0 i*> 0.0.0.0 0 32768 ir>i10.5.0.0/16 10.0.0.1 0 100 0 65001 i*> 10.6.0.0/16 10.0.26.2 0 0 65002 iR5,R6各自通过EBGP学到相互的路由RT5#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*> 10.0.0.0/16 10.0.15.1 0 0 65000 i*> 10.3.0.0/16 10.0.15.1 0 0 65000 i*> 10.5.0.0/16 0.0.0.0 0 32768 i*> 10.6.0.0/16 10.0.15.1 0 65000 65002 iRT6#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*> 10.0.0.0/16 10.0.26.1 0 0 65000 i*> 10.3.0.0/16 10.0.26.1 0 0 65000 i*> 10.5.0.0/16 10.0.26.1 0 65000 65001 i *> 10.6.0.0/16 0.0.0.0 0 32768 iRT3#show ip route10.0.0.0/8 is variably subnetted, 16 subnets, 4 masksO 10.0.1.8/30 [110/200] via 10.0.1.2, 00:19:10, FastEthernet1/0O E1 10.0.15.0/30 [110/1100] via 10.0.1.6, 00:19:10, Serial0/0O E1 10.0.1.12/30 [110/1100] via 10.0.1.6, 00:19:10, Serial0/0O E1 10.0.0.2/32 [110/1200] via 10.0.1.2, 00:19:10, FastEthernet1/0O E2 10.3.0.0/16 [110/1] via 10.0.1.6, 00:09:52, Serial0/0C 10.0.0.3/32 is directly connected, Loopback0C 10.3.3.0/24 is directly connected, Ethernet3/0O E2 10.0.0.0/16 [110/1] via 10.0.1.6, 00:09:52, Serial0/0C 10.0.1.0/30 is directly connected, FastEthernet1/0O E1 10.0.0.1/32 [110/1100] via 10.0.1.6, 00:19:10, Serial0/0O E2 10.6.0.0/16 [110/1] via 10.0.1.2, 00:09:52, FastEthernet1/0O 10.3.4.0/24 [110/110] via 10.0.1.2, 00:19:10, FastEthernet1/0O 10.0.0.4/32 [110/101] via 10.0.1.2, 00:19:10, FastEthernet1/0O E2 10.5.0.0/16 [110/1] via 10.0.1.6, 00:12:01, Serial0/0C 10.0.1.4/30 is directly connected, Serial0/0O E1 10.0.26.0/30 [110/1200] via 10.0.1.2, 00:19:10, FastEthernet1/0RT4#show ip route10.0.0.0/8 is variably subnetted, 16 subnets, 4 masksC 10.0.1.8/30 is directly connected, Serial0/0O E1 10.0.15.0/30 [110/1200] via 10.0.1.1, 00:18:53, FastEthernet1/0O E1 10.0.1.12/30 [110/1100] via 10.0.1.10, 00:18:53, Serial0/0O E1 10.0.0.2/32 [110/1100] via 10.0.1.10, 00:18:53, Serial0/0O E2 10.3.0.0/16 [110/1] via 10.0.1.10, 00:09:57, Serial0/0O 10.0.0.3/32 [110/101] via 10.0.1.1, 00:18:53, FastEthernet1/0O 10.3.3.0/24 [110/110] via 10.0.1.1, 00:18:53, FastEthernet1/0O E2 10.0.0.0/16 [110/1] via 10.0.1.10, 00:09:57, Serial0/0C 10.0.1.0/30 is directly connected, FastEthernet1/0O E1 10.0.0.1/32 [110/1200] via 10.0.1.1, 00:18:53, FastEthernet1/0O E2 10.6.0.0/16 [110/1] via 10.0.1.10, 00:09:57, Serial0/0C 10.3.4.0/24 is directly connected, Ethernet3/0C 10.0.0.4/32 is directly connected, Loopback0O E2 10.5.0.0/16 [110/1] via 10.0.1.1, 00:12:06, FastEthernet1/0O 10.0.1.4/30 [110/200] via 10.0.1.1, 00:18:53, FastEthernet1/0O E1 10.0.26.0/30 [110/1100] via 10.0.1.10, 00:18:53, Serial0/0RT6#ping 10.5.5.1 source 10.6.6.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.5.5.1, timeout is 2 seconds:Packet sent with a source address of 10.6.6.1!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 140/184/236 ms重发布BGP路由进入IGP路由虽然能解决路由同步问题，但是因特网上路由有十几万条，该方法不可行3、路由反射器使用路由反射技术，代替BGP互连接RT1(config-router)#no synchronization 关闭同步RT2(config-router)#no synchronizationR1作路由反射器，其他路由器都是客户端RT1(config)#router bgp 65000RT1(config-router)#neighbor 10.0.0.2 route-reflector-clientRT1(config-router)#neighbor rr peer-groupRT1(config-router)#neighbor rr update-source lo0RT1(config-router)#neighbor rr remote-as 65000RT1(config-router)#neighbor rr next-hop-selfRT1(config-router)#neighbor rr route-reflector-clientRT1(config-router)#neighbor 10.0.0.3 peer-group rrRT1(config-router)#neighbor 10.0.0.4 peer-group rrRT1(config-router)#RT3(config)#router bgp 65000RT3(config-router)#neighbor 10.0.0.1 remote-as 65000RT3(config-router)#neighbor 10.0.0.1 update-source lo0RT3(config-router)#neighbor 10.0.0.1 next-hop-selfRT4(config)#router bgp 65000RT4(config-router)#neighbor 10.0.0.1 remote-as 65000RT4(config-router)#neighbor 10.0.0.1 update-source lo0RT4(config-router)#neighbor 10.0.0.1 next-hop-selfRT1#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*> 10.0.0.0/16 0.0.0.0 0 32768 i* i 10.0.0.2 0 100 0 i*> 10.3.0.0/16 0.0.0.0 0 32768 i* i 10.0.0.2 0 100 0 i*> 10.5.0.0/16 10.0.15.2 0 0 65001 i*>i10.6.0.0/16 10.0.0.2 0 100 0 65002 iRT2#show ip bgpNetwork Next Hop Metric LocPrf Weight Path* i10.0.0.0/16 10.0.0.1 0 100 0 i*> 0.0.0.0 0 32768 i* i10.3.0.0/16 10.0.0.1 0 100 0 i*> 0.0.0.0 0 32768 i*>i10.5.0.0/16 10.0.0.1 0 100 0 65001 i*> 10.6.0.0/16 10.0.26.2 0 0 65002 iR1,R2关于10.6.0.0/16的下一跳指向10.0.0.2 ，因为该路由是通过路由反射得到RT3#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*>i10.0.0.0/16 10.0.0.1 0 100 0 i*>i10.3.0.0/16 10.0.0.1 0 100 0 i*>i10.5.0.0/16 10.0.0.1 0 100 0 65001 i*>i10.6.0.0/16 10.0.0.2 0 100 0 65002 iRT4#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*>i10.0.0.0/16 10.0.0.1 0 100 0 i*>i10.3.0.0/16 10.0.0.1 0 100 0 i*>i10.5.0.0/16 10.0.0.1 0 100 0 65001 i*>i10.6.0.0/16 10.0.0.2 0 100 0 65002 iRT5#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*> 10.0.0.0/16 10.0.15.1 0 0 65000 i*> 10.3.0.0/16 10.0.15.1 0 0 65000 i*> 10.5.0.0/16 0.0.0.0 0 32768 i*> 10.6.0.0/16 10.0.15.1 0 65000 65002 iRT6#show ip bgpNetwork Next Hop Metric LocPrf Weight Path*> 10.0.0.0/16 10.0.26.1 0 0 65000 i*> 10.3.0.0/16 10.0.26.1 0 0 65000 i*> 10.5.0.0/16 10.0.26.1 0 65000 65001 i*> 10.6.0.0/16 0.0.0.0 0 32768 i四、总结：路由同步的概念，来自IBGP的BGP路由条目不会无效，并且不会发给EBGP邻居，除非该路由能通过IGP路由学到。

juniper路由器配置一．路由器网络服务安全配置：默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务1． SNMP服务使用如下命令来停止SNMP服务：setsystemprocessessnmpdisable使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only使用如下命令来在接口上设备SNMP通讯字符串：setsnmpinterfacefxp0communitymysnmp使用如下命令来在接口上禁止SNMP服务trap：setinterfacesfxp0unit0trapsdisable使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务2．停止接口广播转发：广播转发容易造成smurf攻击，因此应该使用如下命令停止：setsystemno-redirects接口级别停止广播转发使用如下命令：setinterfacesfxp0unit0familyinetno-redirects3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止：setsystemdhcp-relaydisable4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolspimdisable6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolssapdisable7．禁止IPSourceRouting源路由setchassisno-source-route二．路由器登录控制：1．设置系统登录Banner:setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW!2．设置登录超时时间：默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟：setcliidle-timeout153．建议采取用户权限分级管理策略setsystemloginclasstier1idle-timeout15setsystemloginclasstier1permissions[configureinterfacenetworkroutings nmpsystemtraceviewfirewall]setsystemloginclasstier2idle-timeout15setsystemloginclasstier2permissionsallsetsystemloginuseradminfull-nameAdministrator setsystemloginuseradminuid2000setsystemloginuseradminclasstier2 setsystemloginuseradminauthenticationencrypted-password setsystemloginusertier1uid2001setsystemloginusertier1classtier1setsystemloginusertier2uid2002setsystemloginusertier2classtier24. 限制系统ssh、telnet服务连接数量：以下配置将ssh,telnet连接最大数量限制为10个，并且每分钟最多有5个可以连接：setsystemservicessshconnection-limit10rate-limit5 setsystemservicestelnetconnection-limit10rate-limit5以下特性JUNOS5.0以上支持：setsystemservicesroot-logindeny（禁止root远程登陆）setsystemservicesprotocol-versionv2（使用sshv2）三．配置系统日志服务：1．设置系统kernel级警告发到console上setsystemsyslogconsolekernelwarning2．配置登录系统日志到单独的auth.log文件中setsystemsyslogfileauth.logauthorizationinfo3．配置系统配置更改日志到单独的change.log文件中setsystemsyslogfilechange.logchange-loginfo4．配置系统所有日志到日志服务器setsystemsysloghostx.x.x.x.anyinfo四．路由策略安全1．配置以下保留地址的黑洞路由setrouting-optionsoptionsno-resolvesetrouting-optionsoptionssyslogleveldebugsetrouting-optionsstaticroute0.0.0.0/8discardsetrouting-optionsstaticroute10.0.0.0/8discardsetrouting-optionsstaticroute20.20.20.0/24discardsetrouting-optionsstaticroute127.0.0.0/8discardsetrouting-optionsstaticroute169.254.0.0/16discardsetrouting-optionsstaticroute172.16.0.0/12discardsetrouting-optionsstaticroute192.0.2.0/24discardsetrouting-optionsstaticroute192.168.0.0/16discardsetrouting-optionsstaticroute204.152.64.0/23discardsetrouting-optionsstaticroute224.0.0.0/4discard2．设置strict模式的unicastRPFsetinterfacesso-0/0/0unit0familyinetrpf-check3．设置相应prefix-list，禁止保留地址访问setpolicy-optionsprefix-listreserved0.0.0.0/8setpolicy-optionsprefix-listreserved10.0.0.0/8setpolicy-optionsprefix-listreserved20.20.20.0/24setpolicy-optionsprefix-listreserved127.0.0.0/8setpolicy-optionsprefix-listreserved169.254.0.0/16setpolicy-optionsprefix-listreserved172.16.0.0/12setpolicy-optionsprefix-listreserved192.0.2.0/24setpolicy-optionsprefix-listreserved204.152.64.0/23setpolicy-optionsprefix-listreserved224.0.0.0/4 setfirewallfilterinbound-filterterm1fromprefix-listreserved setfirewallfilterinbound-filterterm1thencountspoof-inbound-reserved setfirewallfilterinbound-filterterm1thendiscardsetinterfacesge-0/0/0unit0familyinetfilterinputinbound-filter五． Firewall-Policy设置Firewall-Policy可以限制进入及流量主机数据包的来源、目标地址、协议、端口号、流量等，应用Firewall-Policy可以实现类似于防火墙的性能，但一般不建议在骨干路由器上使用，以下是Firewall-Policy的使用方法：1．创建Firewall-Policy：setfirewallfilterlocal-sectermsec-in1fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in1fromdestination-address172.16.0.1/32setfirewallfilterlocal-sectermsec-in1fromsource-address192.168.0.0/24 setfirewallfilterlocal-sectermsec-in1thenacceptsetfirewallfilterlocal-sectermsec-in2fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in2fromdestination-address172.16.0.1/32setfirewallfilterlocal-sectermsec-in2thendiscardsetfirewallfilterlocal-sectermsec-in3fromsetfirewallfilterlocal-sectermsec-in1thenaccept2．应用到路由器的端口上：setinterfacesfxp0unit0familyinetfilterinputlocal-sec以上例子不允许除192.168.0.0/24网段外所有地址telnet访问172.16.0.1，但允许其它任何包通过。

鼓越通信机务员专业笔试题库题库数据逋信一、填空题 传输层协议包括TCP 和UDP , TFTP 采用 UDP 进行传输。

PPP 中可以选择的两种认证方式是：PAP 和CHAP 。

10.254.255.19/255.255.255.248的广播地址是 10.254.255.23 。

根据国际标准，051模型分为层，TCP/讦模型分为 4 层。

PC 的IPv4地址获取方式有手动设置 和通过DHCP 获取两种方式。

对IPv4地址来说，D 类地址是组播地址。

一ARP _ 协议用于发现设备的硬件地址。

IP 报文中一部分字段专门用来描述报文的生命周期，艮PTTL 值，它的最大值是 255 。

PAP 是_2_次握手的验证协议，CHAP 是次握手的验证协议。

PPP 协商过程中AUTHENTICATE 阶段是在 ESTABLISH 阶段之后。

ADSL 产品使用—频分复用—技术使上、下行信道，POTS 信道分隔。

为充分利用频谱， ADSL 一般采用 DMT （离散多音频）―调制技术，以实现高速数据传输。

光纤传输的三个基本特性： 损耗,色散 以及非线性 。

光纤按光的传输模式可分为：单模光纤和多模光纤光纤损耗一般是随波长加长而减小。

在以太网中ARP 报文分为ARP Request 和ARP Response,其中ARP Request 在网络是以广播方式传送，ARP Response 是以 单播 方式传送。

LAN Switch 工作在ISO/OSI 参考模型的____数据链路层_。

局域网按拓扑结构分类，可以把局域网分为总线型局域网、环型局域网、星型局域网和混和型局域网等类型。

18 .三层交换机相对于二层交换机和路由器的两个最主要的功能是既能实现桥接功能： 也能实现路由功能。

19 .多个VLAN 需要穿过多个交换机，互连交换机端口需lagged （打标签）；从这个角度来区 分交换机的端口类型分为Access 和 Trunk :20 . VLAN TAG 占用的字节数是4个 字节:21 .若连接在同一二层交换机上、处于不同VLAN 中的用户若需要进行信息交互，则信息必须经过一三层交换机或路由器设备进行转发。

黑洞路由的原理黑洞路由是网络中一种特殊的路由方式，其原理是通过将特定的网络流量传送到一种虚拟的“黑洞”地址或丢弃该流量，从而实现网络治理和防御策略。

当网络中出现异常流量或攻击时，黑洞路由可以将这些流量有效地隔离和丢弃，以保护网络的正常运行。

黑洞路由的实现依赖于路由器和流量过滤技术。

当网络中某个节点或目的地出现异常流量或攻击时，网络管理员可以通过配置路由器，将这些流量导向一个虚拟的黑洞地址。

而这个黑洞地址实际上并不存在于网络中，故而该流量将被丢弃或屏蔽。

具体而言，黑洞路由的实现过程如下：1. 网络管理员检测到网络中流量异常的节点或目的地，或者发现网络遭受攻击。

2. 网络管理员在路由器上配置黑洞路由规则。

3. 配置黑洞路由规则时，可以指定需要丢弃的IP地址、子网或者具体的端口号等。

4. 当网络中有流量匹配到黑洞路由规则时，该流量将会被路由到黑洞地址。

5. 黑洞地址实际上并不存在于网络中，故而该流量将被丢弃或屏蔽。

通过上述过程，黑洞路由实现了对异常流量或攻击流量的隔离和丢弃。

它可以有效地防止网络中的攻击，降低攻击对网络的影响，并保护网络的正常运行。

黑洞路由的应用场景主要包括以下几个方面：1. 防御分布式拒绝服务攻击（DDoS）：DDoS攻击常常通过大量流量淹没目标服务器，导致服务不可用。

黑洞路由可以将攻击流量导向虚拟地址，从而减轻对目标服务器的冲击。

2. 防御蠕虫病毒传播：蠕虫病毒常常通过网络扩散，黑洞路由可以将感染蠕虫的主机流量导向黑洞，从而减缓病毒传播速度。

3. 限制对特定IP或端口的攻击：当网络中某个特定的IP地址或端口受到攻击时，可以利用黑洞路由将攻击流量导向黑洞，以保护正常的网络通信。

尽管黑洞路由在保护网络安全方面有一定的作用，但也存在一些局限性：1. 误报风险：黑洞路由通过丢弃特定流量来实现防御，但若误判某些正常流量，则会导致正常通信的中断。

2. 丢包风险：对于黑洞路由过程中的流量，由于直接丢弃，可能会导致一部分合法流量的丢失，从而影响网络正常运行。

bgp中null0路由防环机制
BGP中的null0路由（也称为黑洞路由）是一种用于防止数据
包环路的机制。

当网络中出现问题时，例如当某个目的地不可达或链路故障时，BGP可以将流量引导到null0接口（一个虚
拟接口），从而丢弃所有传入的数据包。

使用null0路由的主要目的是防止路由环路。

当BGP路由器接收到来自其他路由器的可达性信息时，它将比较该路由的最长匹配前缀，并将该路由添加到其路由表中。

然后，该路由表将被用来决定流量的下一跳。

如果网络出现问题，某些路由可能会失效或是不可达。

在这种情况下，使用null0路由可以确保
将传入的流量直接丢弃，而不是进一步尝试转发到其他可能的路径。

使用null0路由的另一个好处是可以防止网络攻击，例如IP地
址欺骗或DDoS攻击。

通过将流量引导到null0接口，攻击者
无法使用假IP地址或过载网络的方式来攻击目标主机。

总结来说，BGP中的null0路由是一种用于防止数据包环路的
机制，它将流量引导到一个虚拟接口，以便丢弃不可达的流量。

它还可以用于防止网络攻击和保护目标主机的安全。

交换机黑洞路由配置命令随着互联网的发展和广泛应用，网络安全问题也日益凸显。

黑洞路由是一种常见的网络安全攻击手段之一，指的是将某个目标IP地址的流量引入到一个虚无的黑洞中，使该流量无法到达目标，从而实现拒绝服务攻击。

为了应对黑洞路由攻击，我们需要在交换机上进行相应的路由配置命令，以防止黑洞路由的发生。

一、黑洞路由的原理黑洞路由的原理是通过在网络中设定一条特殊路由，将特定目标IP 地址的流量引向一个不存在的下一跳，从而达到丢弃该流量的目的。

黑洞路由的设定通常是在网络边界的路由器上进行，将攻击目标的IP地址配置为黑洞路由，使得所有发向该IP地址的流量都被丢弃。

二、交换机黑洞路由配置命令在交换机上，我们可以通过配置一些路由命令来实现黑洞路由的防护。

下面是一些常用的交换机黑洞路由配置命令：1.设置黑洞路由ip route ip_address mask null0这条命令将目标IP地址配置为null0，表示该IP地址的流量将被丢弃。

2.设置ACL（访问控制列表）access-list1deny ip any host ip_address这条命令将ACL1配置为拒绝任何与目标IP地址相匹配的流量。

3.应用ACLinterface interface_nameip access-group1in这条命令将ACL1应用于指定的接口，使得符合ACL条件的流量被丢弃。

4.设置路由策略ip prefix-list prefix-list_name seq seq_number deny ip_prefix这条命令将指定的IP前缀配置为拒绝匹配的流量。

5.应用路由策略route-map route-map_name permit seq_numbermatch ip address prefix-list prefix-list_nameset null0这条命令将指定的路由策略应用于流量，使得匹配该策略的流量被丢弃。

一。

黑洞就是做路由汇总时候引入的一个概念比如你有好多个c类地址：192.168.1.0/24 - 192.168.200.0/24那么对外公告路由的时候你可以选择进行路由汇总。

汇总为192.168.0.0/16的路由但是路由汇总会产生“路由黑洞”问题因为192.168.201.0/24 - 192.168.254.0/24这段路由存在但却没有对应的主机。

因此可能造成目的地址为192.168.201.0/24 - 192.168.254.0/24往你的路由器上转发但地址却不可达的情况（理论上要发送回icmp unreachable的）一个可行的办法是在汇总路由时就写好一条黑洞路由丢弃这些垃圾流量ip route 192.168.0.0 255.255.0.0 null 0二。

一般是在路由汇总的时候，有可能把一些本来没有的路由条目汇总了进来路由器处理这些本来不存在的路由条目的数据包的时候会占用路由器本身的资源这个时候如果大量的数据包涌向路由器，有可能变成DOS攻击所以就自动写出一条通往NULL0接口的路由，然后把那些垃圾数据包直接丢往NULL0，不要进行其他处理。

黑洞路由与路由黑洞这两个概念容易混淆，为了方便区别，在此做了一下比较。

黑洞路由，便是将所有无关路由吸入其中，使它们有来无回的路由。

黑洞路由最大的好处是充分利用了路由器的包转发能力，对系统负载影响非常小。

如果同样的功能用ACL（地址访问控制列表）实现，则流量增大时CPU利用率会明显增加。

所以，一直是解决固定DOS 攻击的最好办法。

相当于洪水来临时，在洪水途经的路上附近挖一个不见底的巨大深坑，然后将洪水引入其中。

当然，这只是个比喻，真要是洪水来的时候，正确的方法是―――跑！在路由器中配置路由黑洞完全是出于安全因素，设有黑洞的路器会默默地抛弃掉数据包而不指明原因。

一个黑洞路由器是指一个不支持PMTU且被配置为不发送“Destination Unreachable--目的不可达”回应消息的路由器。

MPLS协议原理与配置详解多协议标签交换MPLS(Multiprotocol Label Switching )，MPLS在⽆连接的IP⽹络上引⼊⾯向连接的标签交换概念，将第三层路由技术和第⼆层交换技术相结合，充分发挥了IP路由的灵活性和⼆层交换的便捷性MPLS并不是⼀种业务或者应⽤，它实际上是⼀种隧道技术。

这种技术不仅⽀持多种⾼层协议与业务，⽽且在⼀定程度上可以保证信息传输的安全性MPLSMP：多协议LS：标签交换(label switch)应⽤场景⽤于早期提⾼转发效率⽤于MPLS VPN(⼆层或三层标签)⽤于MPLS TE流量⼯程⽤于解决路由⿊洞：route recursive-lookup tunnelMPLS是⼯作在“2.5”层的协议在⼆层头部和IP头部之间插⼊MPLS头部(短⽽定长的4字节)MPLS头部可以插⼊多层，普通的MPLS插⼊⼀层头部，MPLS VPN插⼊2层MPLS头部⼀、MPLS基本结构1.MPLS域能够进⾏标签转发的区域2.MPLS 设备⾓⾊LER(label edge router)：处于MPLS⽹络的边界设备，负责标签的压⼊push和弹出popLSR(label switch router)：处于MPLS⽹络的中间区域，负责标签的交换swap3.LSP标签转发路径到达同⼀⽬的地址的报⽂在mpls⽹络中经过的路径数据转发过程中的LSP是单向的LSP需要构建成功后才能进⾏标签转发构建⽅式：静态、动态LSP的建⽴过程时间就是将FEC和标签进⾏绑定4.FEC转发等价类具有相同转发处理⽅式的报⽂，在MPLS⽹络中，到达同⼀⽬的地址的所有报⽂就是⼀个FECMPLS中，⼀条FEC对应着⼀条路由FEC的划分⽅式以源地址、⽬的地址、源端⼝、⽬的端⼝、协议类型或VPN等为划分依据设备为FEC进⾏标签分配；设备对⼀条FEC完成标签分配后(FEC和标签绑定)，建⽴⼀条LSP设备为FEC分发的标签作为⼊标签设备收到FEC对应的标签作为出标签标签值只具有本地意义（不同设备的标签分发是可以⼀致的）5.数据流向上游：数据源⽅向下游：数据⽬的⽅向ingress⼊节点：负责压⼊标签transit中间节点：负责标签交换egress出节点：负责弹出标签标签分发是从下游往上游⽅向分发标签动作动作解释push压⼊swap交换pop弹出null剥离标签，出空标签⼆、MPLS体系结构控制层⾯负责⽣成和维护路由信息和标签信息1.IP路由协议产⽣路由信息2.RIB路由信息表存放路由信息3.LDP标签分发协议Label Distribution Protocol为FEC分发标签4.LIB标签信息表Label Information Base由LDP⽣成，存放FEC和标签的映射关系，管理标签信息数据层⾯负责IP报⽂的转发和带MPLS标签报⽂的转发从控制层⾯下发得到，形成最优表项，直接指导数据转发1.FIB转发信息表Forwarding Information Base基于RIB⽣成，指导IP报⽂转发判断数据是否需要标签转发tunnel ID为0x0：进⾏IP转发tunnel ID为⾮0x0：查看LFIB表，进⾏标签转发2.LFIB标签转发信息表Label Forwarding Information Base基于LIB表和IP路由表⽣成，指导标签报⽂转发由ILM表(⼊标签映射表)和NHLFE(下⼀跳标签转发表)构成NHLFE表(下⼀跳转发表项)内容出接⼝下⼀跳出标签查看⽅式display tunnel-info tunnel-id xxxdisplay mpls lsp include x.x.x.x 32 verboseILM表(⼊标签映射表)内容⼊标签⼊接⼝tunnel ID(token)标签操作类型查看display mpls lsp in-label xxxx verbosedisplay mpls lspFIB表通过tunnel ID关联到LFIB表，ILM表通过tunnel ID关联到NHLFE表3.转发⽅式接收到IP数据包，查看⽬的地址对应的tunnel IDtunnel ID为0x0：进⾏IP转发tunnel ID为⾮0x0：查看LFIB表，进⾏标签转发接收到带MPLS标签的数据包，直接查看LFIB表LFIB出标签为普通标签进⾏标签交换LFIB出标签为空标签查看FIB进⾏IP转发三、MPLS的数据转发流程当数据进⼊MPLS域时：根据FIB表查找相对应的转发条⽬，转发条⽬中包含tunnel ID字段**查看tunnel ID字段tunnel ID为0x0，进⾏IP转发tunnelID为⾮0x0，进⾏MPLS转发查看⼆层头部信息中的TYPE字段type=0x0800表⽰上层为IPtype=0x8847表⽰上层为MPLS1.ingress的处理查询FIB表和NHLFE表指导报⽂转发查看FIB表，根据⽬的IP地址找到对应tunnel IDdisplay fib ##可以找到相关⽬的地的tunnel ID根据tunnel ID找到对应的NHLFE表项，将FIB表项和NHLFE表项相关联起来(FTN) ##查看详细信息（出接⼝、下⼀跳、出标签）display tunnel-info tunnel-id 0x3##查看详细信息（出接⼝、下⼀跳、出标签，标签操作类型）display mpls lsp include 4.4.4.4 32 verbose查看NHLFE表项得出接⼝、下⼀跳、出标签和标签操作类型在IP报⽂中压⼊出标签、同时处理TTL，然后将封装好的MPLS报⽂从相应出接⼝发给下⼀跳2.transit的处理通过查询ILM和NHLFE表指导MPLS报⽂转发根据MPLS的标签值查看对应的ILM表，可以得到tunnel ID。

BGP路由黑洞理论以及演示1、BGP路由黑洞概念、产生的原因针对传统IP路由查找，它是逐跳查找，通俗一点就是当数据包到达路由设备的时候，每一台设备都要查找路由表，并且在路由设备有路由的前提下才能转发报文对BGP来说由于存在iBGP水平分割规则-只把路由传递一跳（如本例拓扑所以，如果AS200内的三台设备都运行BGP，现在的邻居关系是R2和R3有BGP论据，R3和R4有BGP邻居，如果有路由从R2传递给R3，但是R3不会再传递路由给R4，这是一种防环机制）。

所以在BGP的设计上有些设备就不会运行BGP，如本例，为了演示BGP路由黑洞，除了R3都运行了BGP。

BGP是一种TCP的连接或者说是一种host-to-host的连接（可以跨越设备进行连接），所以路由传递是没有问题的，但是数据包的路由却是有问题的2、拓扑描述拓扑如下图所示。

老规矩老习惯，R1上s1/0地址为12.1.1.1（符合XY.1.1.X的规则，XY代表设备号），R2上s1/0=12.1.1.2。

同时每个设备上有一个环回口=XX.1.1.1，如R1的环回口=11.1.1.1/243、实验步骤A、完成AS200内的IGP（本例采用eigrp）需要注意的是不要把R2的s1/0和R4的s1/0宣告到IGP内去，这是一种通常的网络设计，不要把边界的直连网络宣告到IGPR2(config-router)#router eigrp 90R2(config-router)#network 22.1.1.1 0.0.0.0R2(config-router)# network 23.1.1.2 0.0.0.0R2(config-router)# no auto-summary!R3(config)#router eigrp 90R3(config-router)# network 0.0.0.0-----------------R3上可以把所有接口都宣告到IGPR3(config-router)# no auto-summary！R4(config)#router eigrp 90R4(config-router)#network 34.1.1.4 0.0.0.0R4(config-router)# network 44.1.1.1 0.0.0.0R4(config-router)# no auto-summary养成验证的好习惯：R3#sh ip eigrp neighborsIP-EIGRP neighbors for process 90H Address Interface Hold Uptime SRTT RTO Q Seq(sec) (ms) Cnt Num1 34.1.1.4 Et0/1 11 03:18:02 62 372 0 90 23.1.1.2 Et0/0 11 03:18:17 469 2814 0 9----R3上已经有两个邻居R2上的路由情况，也是正常的：R2#sh ip route eigrp34.0.0.0/24 is subnetted, 1 subnetsD 34.1.1.0 [90/307200] via 23.1.1.3, 03:18:56, Ethernet0/033.0.0.0/24 is subnetted, 1 subnetsD 33.1.1.0 [90/409600] via 23.1.1.3, 03:18:56, Ethernet0/044.0.0.0/24 is subnetted, 1 subnetsD 44.1.1.0 [90/435200] via 23.1.1.3, 03:18:37, Ethernet0/0B、完成AS200内的iBGP（注意R2和R4有BGP邻居，R3不运行BGP），通过环回口完成iBGP邻居TCP是一种点到点的连接，两个设备一定要相互路由可达，为此检验一下路由是非常有必要的：R2#ping 44.1.1.1 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 44.1.1.1, timeout is 2 seconds:Packet sent with a source address of 22.1.1.1!!!!!R2：R2(config)#router bgp 200R2(config-router)# no synchronizationR2(config-router)# bgp router-id 2.2.2.2R2(config-router)# neighbor 44.1.1.1 remote-as 200R2(config-router)# neighbor 44.1.1.1 update-source Loopback0R2(config-router)# no auto-summaryR4：R4(config)#router bgp 200R4(config-router)# no synchronizationR4(config-router)# neighbor 22.1.1.1 remote-as 200R4(config-router)# neighbor 22.1.1.1 update-source Loopback0R4(config-router)# no auto-summary验证邻居状态：R4#sh ip bgp summaryBGP router identifier 44.1.1.1, local AS number 200BGP table version is 8, main routing table version 82 network entries using 234 bytes of memory2 path entries using 104 bytes of memory3/2 BGP path/bestpath attribute entries using 372 bytes of memory2 BGP AS-PATH entries using 48 bytes of memory0 BGP route-map cache entries using 0 bytes of memory0 BGP filter-list cache entries using 0 bytes of memoryBGP using 758 total bytes of memoryBGP activity 2/0 prefixes, 2/0 paths, scan interval 60 secsNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 22.1.1.1 4 200 199 200 8 0 0 02:16:57 0C、完成R2和R1的eBGP以及R4和R5的eBGP，同时生成路由R1(config)#router bgp 100R1(config-router)# no synchronizationR1(config-router)# network 11.1.1.0 mask 255.255.255.0-------------通告路由R1(config-router)# neighbor 12.1.1.2 remote-as 200R1(config-router)# no auto-summary！R2(config)#router bgp 200R2(config-router)# neighbor 12.1.1.1 remote-as 100！R2(config)#router bgp 200R4(config-router)# neighbor 45.1.1.5 remote-as 300！router bgp 300no synchronizationnetwork 55.1.1.0 mask 255.255.255.0------------------通告路由neighbor 45.1.1.4 remote-as 200no auto-summary验证邻居情况：R2#sh ip bgp summaryBGP router identifier 2.2.2.2, local AS number 200BGP table version is 8, main routing table version 82 network entries using 234 bytes of memory2 path entries using 104 bytes of memory3/2 BGP path/bestpath attribute entries using 372 bytes of memory2 BGP AS-PATH entries using 48 bytes of memory0 BGP route-map cache entries using 0 bytes of memory0 BGP filter-list cache entries using 0 bytes of memoryBGP using 758 total bytes of memoryBGP activity 2/0 prefixes, 2/0 paths, scan interval 60 secsNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 12.1.1.1 4 100 125 127 8 0 0 01:49:54 144.1.1.1 4 200 212 211 8 0 0 02:20:41 1-----R2上同R1和R4已经建立了BGP的邻居关系，同时从两个设备收到了一条前缀（路由）注意此时路由情况并不是完整的，以R4为例R4#sh ip bgpBGP table version is 8, local router ID is 44.1.1.1Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incompleteNetwork Next Hop Metric LocPrf Weight Path* i11.1.1.0/24 12.1.1.1 0 100 0 100 i------关于这条路由，我们注意下一跳为12.1.1.1，但是此时去往下一跳的路由在R4的路由表中不存在，所以该条路由不优化，即没有>标识，而BGP只对邻居传递最优的路由*> 55.1.1.0/24 45.1.1.5 0 0 300 i我们来解决下一跳不可达的问题，用最简单的方法，我们在R2和R4上分别针对R4和R2做下一跳自我（把路由的下一跳变成路由可达）：R2(config)#router bgp 200R2(config-router)#neighbor 44.1.1.1 next-hop-self！R4(config)#router bgp 200R4(config-router)#neighbor 22.1.1.1 next-hop-self查看路由情况：R4#sh ip bgpBGP table version is 10, local router ID is 44.1.1.1Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incompleteNetwork Next Hop Metric LocPrf Weight Pathr>i11.1.1.0/24 22.1.1.1 0 100 0 100 i *> 55.1.1.0/24 45.1.1.5 0 0 300 i 11.1.1.0/24的路由已经优化，会传递给R5R4#show ip bgp neighbors 45.1.1.5 advertised-routesBGP table version is 10, local router ID is 44.1.1.1Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incompleteNetwork Next Hop Metric LocPrf Weight Pathr>i11.1.1.0/24 22.1.1.1 0 100 0 100 iTotal number of prefixes 1验证R5和R1的路由R5#sh ip bgpBGP table version is 6, local router ID is 55.1.1.1Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incompleteNetwork Next Hop Metric LocPrf Weight Path *> 55.1.1.0/24 0.0.0.0 0 32768 iR5#sh ip route bgp11.0.0.0/24 is subnetted, 1 subnetsB 11.1.1.0 [20/0] via 45.1.1.4, 00:01:50！R1：R1#sh ip bgpBGP table version is 5, local router ID is 11.1.1.1Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incompleteNetwork Next Hop Metric LocPrf Weight Path *> 11.1.1.0/24 0.0.0.0 0 32768 i*> 55.1.1.0/24 12.1.1.2 0 200 300 i R1#sh ip route bgp55.0.0.0/24 is subnetted, 1 subnetsB 55.1.1.0 [20/0] via 12.1.1.2, 01:42:16分析：此时R1和R5上都已经存在了BGP的路由条目，那么数据包是可以路由出去的，R2和R4上同样有路由表，可以进行路由。

MPLSMPLS的基本理解：MPLS（Multi-Protocol Label Switch）主要被用在大网中，如ISP等网络，可以将它视作2.5层的协议，它的主要特点大体来说三点：1、通过标签交换实现转发（数据层面）；2、可以支持非IP协议，比如IPX，IPv6、Apple Talk等；3、Label通常是根据IP前缀分发的，但也可以根据诸如L3 VPN destination、L2 Circuit、路由器的出接口、QoS和Source address来分发。

MPLS架构：控制层面：1、路由交换2、标签交换数据层面：1、基于标签Label转发数据包2、简单的转发机制3、LFIB（Label Forwarding Information Base）基本术语的理解：CEF（Cisco Express Forwarding）：Cisco快速转发，在MPLS中主要利用其FIB表。

FEC（Forwarding Equivalence Class）转发等价类：将具有相同转发处理方式的数据归为一类。

LSR（Label Switch Routers）：标签交换路由器，运行MPLS的RoutersEdge LSR（Edge Label Switch Routers）：边界LSR，这类LSR位于IP域和MPLS域的交界。

LDP（Label Distribution Protocol）& TDP（Tag Distribution Protocol）：标签分发协议，LDP 是业界公有标准，TDP是Cisco私有的，可以说LDP是在TDP的基础上发展来的。

FIB&LIB&LFIB：在MPLS中的作用分别是路由的转发、存储分发的和学习到Labels以及将入和出的Labels相关联。

PHP（Penultimate Hop Popping）：倒数第二条弹出（注意：Label=3）CEF的作用：1、可以被ASIC调用2、基于Topology驱动3、CEF将路由和下一跳关联，解决递归的问题4、CEF是唯一一种提供MPLS标签插入的转发机制5、CEF形成FIB表，而TDP&LDP根据FIB来分发标签标签介绍：标签分发协议：LDP&TDP模式：帧模式（TCP/IP）、信元模式（ATM）Label：32bits（4B），在Ethernet和IP之前插入标签解释Label：20bits：标签号（其中0-15是保留的）3bits：实验位（QoS）1bit：标识是否为栈底（1是，0不是）注意：Frame Header标识为0x0800说明上层是IP，那么加入标签后标识上层协议类型如下：Unlabeled IP Unicast：0x0800Labeled IP Unicast：0x8847Labeled IP Multicast：0x8848另：MPLS不会为BGP路由分发标签。

MPLS网络MPLS（多协议标签交换）是一种在网络中提供网络层服务的技术。

它利用标签将数据流从其来处发送到其目的地，而无需在每个路由器上进行IP地址查找。

这种技术在现代网络中得到了广泛的应用，成为了网络架构中不可或缺的部分。

MPLS的发展MPLS最早是为了解决ATM（异步传输模式）网络的问题而产生的。

ATM网络中，数据被分割成小的固定大小的单元，称为ATM单元。

每一个ATM单元都有一个虚电路标识符（VCI）和一个虚路径标识符（VPI）。

这种技术可以优化网络中的带宽利用率，但是也增加了路由器的负担，并且在网络中引入了复杂性。

为了解决这些问题，MPLS的发展开始了。

MPLS将ATM中的标识符用标签（label）来代替，称为标签交换技术。

这种技术可以有效地降低路由器的负荷，并且加速数据的转发过程。

随着MPLS技术的不断发展，其应用范围已经扩展到了诸如IP VPN、VPLS、TE（Traffic Engineering）等多种应用场景。

MPLS的特点MPLS最重要的特点是标签交换。

MPLS网络通过标签来标记数据包，路由器只需根据标签转发数据包，不需要进行IP地址查找。

这种技术可以大大减少路由器的负荷，加速数据的转发过程。

此外，MPLS还具有以下特点：可靠性高：MPLS网络使用标签交换技术，而不是端到端隧道技术。

因此，MPLS比VPN更可靠，可以提供更好的服务质量（QoS）。

可扩展性好：MPLS网络是一个多层次的结构，可以轻松扩展到数千个站点。

QoS保证：MPLS可以为不同类型的流量配置不同的服务质量（QoS），这样可以确保网络的高效运行。

MPLS的工作原理MPLS网络是一个用标签来交换数据的网络。

一个标签是一个短的二进制字符串，用于识别数据包，它被添加到数据包头部。

在MPLS网络中，每个数据包都有一个标签。

标签不是直接加在数据包的IP头上，而是加在IP头和数据包负载之间。

这个过程称为标记。

发送数据包时，路由器根据数据包的目标地址确定下一跳路由器。

1、EP端口，它会有什么问题？如果解决？根据近期面试情况，关于EP端口带来的问题，请学员在回答时不要再讲临时环路，考官认为，2秒的临时环路是正常的，不应该是问题。

大家可以从以下两个方面来讲：（1）由于EP收到BPDU报文会失去其边缘端口属性，如果有攻击者向边缘端口发送仿造BPDU 报文会导致边缘端口属性变成非边缘端口，参与STP运算，造成原网络振荡。

这时场景如下：如果收到伪造的报文中根桥的ID比本网络的根桥ID小，会使本网络根桥发生变化。

解决方法：系统视图下使用stp bpdu-protection命令使能设备的BPDU保护功能。

如果边缘端口收到BPDU报文，EP将会被shutdown，边缘端口属性不变。

（2）EP端口仍然会发送BPDU报文，这可能导致BPDU报文发送到其他网络，引起其他网络产生震荡。

场景：如果发出的报文中根桥的ID比另网络的根桥ID小，会使另一个网络的根桥发生变化，造成STP重新收敛。

解决方法：通过在EP端口上配置命令stp bpdu-filter enable便可解决此问题。

在网络边缘设备上配置该命令，使边缘端口不处理、不发送BPDU报文，该端口即为BPDU filter端口。

注意：如果端口上配置命令stp bpdu-filter enable，端口将不处理、不发送BPDU报文。

该端口将无法成功与对端设备直连端口协商STP协议状态，请用户慎用，建议只在边缘端口上配置该命令。

追问：BPDU保护和根保护的区别？stp bpdu-protection保护用于EP端口，stp root-protection用于DP端口。

回答时，要详细解释它们的主要作用及应该场合。

具体内容请参考宝典或文档。

以下内容从另一个角度分析它们的区别：它们的功能相似，但二者的影响不同。

交换设备上启动了BPDU保护功能后，如果边缘端口收到RST BPDU，边缘端口将被error-down，但是边缘端口属性不变。

它有效地阻止了从端口接入的设备参与STP 运算,除非undo shutdown 或配置自动恢复。

黑洞路由原理
黑洞路由是一种网络安全技术，旨在防止拒绝服务攻击（DDoS）。

它通过将攻击流量重定向到一个“黑洞”地址，避免其到达目标服务器。

这个“黑洞”地址实际上就是一个不存在的地址，因此攻击流量
会在被重定向后消失。

黑洞路由的实现是通过修改网络路由器的路由表来完成的。

当网
络流量到达路由器时，它会根据路由表中的信息将数据包转发到下一
个路由器或目标服务器。

为了使用黑洞路由技术，管理员可以在路由
表中添加一个虚假的IP地址来作为黑洞地址。

当接收到攻击流量后，
路由器会将其重定向到黑洞地址，从而避免攻击流量到达目标服务器。

黑洞路由技术的主要优点是方便快捷，且能够快速缓解DDoS攻
击带来的影响。

然而，它并不能完全解决DDoS攻击，因为攻击者仍然
可以通过持续增加攻击量来克服黑洞路由的限制。

此外，如果管理员
不小心将合法流量路由到黑洞地址，那么它也会对正常的网络流量造
成影响。

对于这种情况，管理员需要非常小心谨慎。

2024SPN网络技术培训测评1. 在SPN网络中，集中控制能力主要是通过哪些协议体现出来的？ [单选题] * PCEP、BGP-LS(正确答案)SNMP、telemetryISIS、OSPFNetconf、Qx2. Flex Shim层基于（）分发机制 [单选题] *统计复用时分复用(正确答案)空分复用单线复用3. 下面关于5G SPN组网隧道建立的说法，下面描述错误的是（） [单选题] * SPN 5G组网模式下，东西向隧道需要用MPLS-TP隧道建立(正确答案)SPN 5G组网模式下，东西向隧道需要用SR-BE隧道建立SPN 5G组网模式下，南北向隧道需要用SR-TP隧道建立SPN 5G组网模式下，SR隧道建立后，上层可以转发L3 VPN报文4. SPN 网络关于防环功能描述准确的是（） [单选题] *UPE 配置黑洞路由，主要用于防止基站直连接口 down情况下，下行流量在UPE---SPE之间来回绕行的情况(正确答案)SPE 配置黑洞路由，主要用于防止直连接口 down情况下，下行流量在SPE---UPE 之间来回绕行的情况NPE 配置黑洞路由，主要用于防止直连接口 down情况下，下行流量在NPE---SPE 之间来回绕行的情况5. SR-TP隧道因为其端到端的OAM以及电信级的保护倒换时间，在配置业务时一般绑定于（） [单选题] *UPE与SPE（SPN接入节点与骨干汇聚点）之间的路由通道(正确答案)UPE与UPE之间（SPN接入节点之间）的路由通道UPE与NPE（SPN接入节点与核心落地节点）的路由通道SPE与SPE之间（骨干汇聚节点之间）的路由通道6. 在SPN网络中，集中控制能力主要通过（）协议体现出来 [单选题] * SNMP、TELEMETRYPCEP、BGP-LS(正确答案)ISIS、OSPFNetconf、Qx7. SPN网络中和网管控制器建立BGP邻居的节点是（） [单选题] *普通汇聚节点UPE节点SPE节点(正确答案)NPE节点8. SPN网络isis区域分域点在哪个层次 [单选题] *普通汇聚接入层骨干汇聚(正确答案)核心NPE9. 查看ISIS协议邻居状态的命令是？ [单选题] *show isis circuitsshow isis topologyshow isis adjacency(正确答案)show isis database10. ZXCTN 61H系列产品中，主控与交换分离的设备是 [单选题] *6180H6170H6190H(正确答案)6170H&6190H11. 5G基站网关位于（）设备上 [单选题] *UPE(正确答案)SPENPE12. 5G新建方案中，南北向业务通过（）承载，东西向业务通过（）承载。

⼴域⽹技术——SR传统IP/MPLS⽹络出现问题LDP：标签分发协议优点：为了解决IP⽹络依靠路由转发时每⼀条都要查询路由表的问题MPLS通过LDP协议来为⽹段分配标签，建⽴标签转发表，通过分发标签来代替三层路由转发，提升转发效率缺点：状态化信息（同步、算路）路由⿊洞问题 初始路径： A→B→E→F 当B到E之间的链路发⽣故障时，由于LDP时依靠IGP协议分发标签的，所以先收敛IGP，在IGP收敛这段时间，LDP就⽆法分发新的标签，就相当于停运了，出现瞬间丢包⾏为，造成路由⿊洞RSVP-TE：流量⼯程协议标签建⽴过程：发送PATH，从头端到尾端尾端回复RESV每个路由器都会维护⼤量表项，整个路径的带宽、⽬的地这些每个路由器都知道优点： 为了解决LDP不⽀持流量⼯程的问题，MPLS中引⼊了RSVP-TE控制⾯ 传统路由是依据⽬的IP进⾏查找转发，且只关⼼下⼀跳怎么⾛，⽽并不关⼼流量的完整路径。

⽽RSVP-TE隧道技术引⼊了源路由的概念： 当流量进⼊RSVP⽹络后，在源节点就会计算出完整的每⼀跳路径（显式路径）。

收集了整⽹拓扑和链路状态信息，根据业务灵活选择路径，实现带宽资源预留缺点：不能完全适应在⼤型⼴域⽹1.状态维护消耗性能2.配置极其复杂（配单点通都要配置20条命令左右）RSVP信令⾮常复杂，每个节点都需要维护⼀个庞⼤的链路信息数据库3.可扩展性差为了准确预留带宽，RSVP-TE要求所有IP流量都需要通过隧道转发，节点之间建⽴Full-mesh隧道导致扩展性差，⼤规模部署⼏⽆可能4.不⽀持ECMP（等价多路径）从源路由的机制我们可以看到，RSVP-TE只会选择⼀条最优路径进⾏转发。

如果想要实现流量分担，还需要在相同的源和⽬的之间预先建⽴多条隧道。

SDN对⽹络的影响——以下讲解主要为SDN+SR的⽹络部署⽅式 传统MPLS是分布式架构 每台设备只可以看到⾃⼰的状态 如果需要知道邻居状态，就必须依靠⼤量指令去实现（例如：RSVP-TE、LDP等） 所以引出了集中式架构-SDN——控制器 统⼀进⾏路径计算和标签分发SR技术 SR控制与转发平⾯主要分为SR-MPLS和SRV6两种技术 控制平⾯：都是基于IGP路由协议扩展实现 数据转发平⾯：1.MPLS转发平⾯（上述所说的SR都是MPLS转发平⾯下的） 此平⾯的Segment称为 SR-MPLS，其中SID为MPLS标签 2.IPv6转发平⾯ 此平⾯的Segment称为 SRv6，其中SID为IPV6地址SR关键点：⽹络路径分段“段‘的含义： 1.⽹络节点可以是路由器、交换机、防⽕墙2.链路为段分配SID 1.邻接SID：链路的SID 2.前缀SID：⼀个地址段的SID（⼀个⽹络节点的SID） 3.节点SID：loopback 地址（设备本⾝）SR隧道建⽴⽅式：SR-TE： 1.⼿动配置：适合⽹络规模⽐较⼩的⽹络，不需要控制器的配合，但是不⽀持带宽预留等。