2.0.0 BGP高级特性-ASFilter、CommunityFilter、ORF、对等组

Peer Group

BGP对等体组

在网络中出现多台设备配置相近的情况下，使用对等体组可以极大的减少配置命令的输入。

与端口组类似，通过创建一个组，然后将成员添加入其中，可以对组中的成员进行统一的管理。

案例配置1

以AR2为例，配置IBGP组，将AR6、AR5添加入组中统一管理配置：

# BGP进程中创建IBGP组
[AR2]bgp 100
[AR2-bgp]router-id 2.2.2.2
[AR2-bgp]group IBGP internal 
# 将IBGP成员添加入组中
[AR2-bgp]peer 10.1.26.6 group IBGP
[AR2-bgp]peer 10.1.25.5 group IBGP

此时查看BGP配置，可以看到部分命令自动补全：

bgp 100
 router-id 2.2.2.2
 group IBGP internal
 peer 10.1.25.5 as-number 100 
 peer 10.1.25.5 group IBGP 
 peer 10.1.26.6 as-number 100 
 peer 10.1.26.6 group IBGP 
 #
 ipv4-family unicast
  undo synchronization
  peer IBGP enable
  peer 10.1.25.5 enable
  peer 10.1.25.5 group IBGP 
  peer 10.1.26.6 enable
  peer 10.1.26.6 group IBGP 

以AR2为例，配置EBGP组，将AR1添加入组中统一管理配置：

# 将EBGP成员添加入组中，并指定该组属于哪个AS。
# 下次再有该AS的EBGP邻居需要接入，直接添加入组中即可。
[AR2-bgp]peer 10.1.26.6 group IBGP# EBGP组也是同样的
[AR2]bgp 100
[AR2-bgp]router-id 2.2.2.2
[AR2-bgp]group EBGP_200 external 
[AR2-bgp]peer EBGP_200 as-number 200

# 将EBGP成员 AR1添加入组中
[AR2-bgp]peer 10.1.12.1 group EBGP_200

Community Filter

Community团体属性是BGP的私有属性属于可选过渡的属性，在BGP对等体之间传播，且不受AS的限制。

利用团体属性可以使多个AS中的某一组BGP设备共享相同的策略，从而简化路由策略的应用和降低维护管理的难度。

BGP设备在发布路由时，新增或者改变路由的团体属性。

个人注解：团体值，类似Tag，因为Tag只能在IGP协议中使用，BGP中没有Tag字段，但有团体属性。

公认团体属性

在所有的BGP路由中，都存在着默认的团体属性，以下是默认的公认团体属性。

团体属性名称	团体属性号	说明
Internet	0（0x00000000）	设备在收到具有此属性的路由后，可以向任何BGP对等体发送该路由。缺省情况下，所有的路由都属于Internet团体。
No_Advertise	4294967042（0xFFFFFF02）	设备收到具有此属性的路由后，将不向任何BGP对等体发送该路由。
No_Export	4294967041（0xFFFFFF01）	设备收到具有此属性的路由后，将不向AS外发送该路由。
No_Export_Subconfed	4294967043（0xFFFFFF03）	设备收到具有此属性的路由后，将不向AS外发送该路由。如果使用了联盟，也不向联盟内其他子AS发布此路由。

个人注解：Internet默认，No_Advertise不通告给任何对等体（收到路由后就自己使用），No_Export不外扩（只在自己的AS内传播），NO_Export_Subconfed（不外传的同时也不向内传）。

团体属性格式

一个Community属性值的长度为32 bit，可使用两种形式呈现：

1、十进制整数格式。

2、AA：NN格式，其中AA表示AS号，NN是自定义编号。

于路由策略中修改团体属性时，可以看到可选参数：
[AR6-route-policy]apply community ?
  INTEGER<0-4294967295>  Specify community number
  STRING<3-11>           Specify aa<0-65535>:nn<0-65535>
  
  internet               Internet(well-known community attributes)
  no-advertise           Do not advertise to any peer (well-known community     
                         attributes)
  no-export              Do not export to external peers(well-known community   
                         attributes)
  no-export-subconfed    Do not send outside a sub-confederation(well-known     
                         community attributes)
  none                   No community attribute

案例配置2

以下就做个简单的案例，AR5、AR6都学习到AR9的Loop100路由并引入到IBGP中。

AR2此时会学习到去往AR9环回口开销为2与开销为20的BGP路由，但对于AR2来说，还想进一步的区分这些路由就得借助其它手段。

为了方便，可以在AR6、AR5上配置路由策略，将路由引入BGP时打上规定好的Community团体属性，使得AR2可以快速分辩。

查看路未配置团体属性前的由明细信息

• 默认的Community属性 Internet 不显示出来。

<AR2>dis bgp routing-table 192.168.100.0

 BGP local router ID : 2.2.2.2
 Local AS number : 100
 Paths:   2 available, 1 best, 1 select
 BGP routing table entry information of 192.168.100.0/24:
 From: 10.1.26.6 (6.6.6.6)
 Route Duration: 00h05m48s  
 Relay IP Nexthop: 0.0.0.0
 Relay IP Out-Interface: GigabitEthernet0/0/0
 Original nexthop: 10.1.26.6
 Qos information : 0x0
 AS-path Nil, origin incomplete, MED 2, localpref 100, pref-val 0, valid, internal, best, select, active, pre 255
 Not advertised to any peer yet

 BGP routing table entry information of 192.168.100.0/24:
 From: 10.1.25.5 (5.5.5.5)
 Route Duration: 00h05m55s  
 Relay IP Nexthop: 0.0.0.0
 Relay IP Out-Interface: GigabitEthernet0/0/2
 Original nexthop: 10.1.25.5
 Qos information : 0x0
 AS-path Nil, origin incomplete, MED 20, localpref 100, pref-val 0, valid, internal, pre 255, not preferred for MED
 Not advertised to any peer yet

配置命令

• （1）创建路由策略，添加团体属性。

[AR6]route-policy Community_ospf_100-1 permit node 10
[AR6-route-policy]apply community 100:1

[AR5]route-policy Community_isis_100-2 permit node 10
[AR5-route-policy]apply community 100:2

• （2）将策略应用于OSPF/ISIS路由引入上，并给制定邻居激活团体属性。

[AR6]bgp 100
[AR6-bgp]import ospf 1 route-policy Community_ospf_100-1 
[AR6-bgp]peer 10.1.26.2 advertise-community

[AR5]bgp 100
[AR5-bgp]import isis 1 route-policy Community_isis_100-2
[AR5-bgp]peer 10.1.26.2 advertise-community

• 完成操作之后再查看路由明细，可以看到 Community：<CC:NN>。

<AR2>dis bgp routing-table 192.168.100.0

 BGP local router ID : 2.2.2.2
 Local AS number : 100
 Paths:   2 available, 1 best, 1 select
 BGP routing table entry information of 192.168.100.0/24:
 From: 10.1.26.6 (6.6.6.6)
 Route Duration: 00h13m40s  
 Relay IP Nexthop: 0.0.0.0
 Relay IP Out-Interface: GigabitEthernet0/0/0
 Original nexthop: 10.1.26.6
 Qos information : 0x0
 Community:<100:1>
 AS-path Nil, origin incomplete, MED 2, localpref 100, pref-val 0, valid, intern
al, best, select, active, pre 255
 Not advertised to any peer yet

 BGP routing table entry information of 192.168.100.0/24:
 From: 10.1.25.5 (5.5.5.5)
 Route Duration: 00h13m17s  
 Relay IP Nexthop: 0.0.0.0
 Relay IP Out-Interface: GigabitEthernet0/0/2
 Original nexthop: 10.1.25.5
 Qos information : 0x0
 Community:<100:2>
 AS-path Nil, origin incomplete, MED 20, localpref 100, pref-val 0, valid, inter
nal, pre 255, not preferred for MED
 Not advertised to any peer yet

团体属性过滤

以上介绍的是如何设置团体属性，而团体属性过滤 Community-Filter则是像ACL一样，用于匹配团体属性。

与ACL一样Community-Filter也有标准（Basic，序号1~99）和高级（Advanced，序号100-199）。

[AR1]ip community-filter ?
  INTEGER<1-99>     Community-filter number (basic)
  INTEGER<100-199>  Community-filter number (advanced)
  advanced          Advanced community-filter
  basic             Basic community-filter
  
# 可使用序号创建
ip community-filter 1 permit ......

# 可使用名称创建
ip community-filter basic XXXX permit ......

案例配置3

• 为了突出团体属性的作用，提出图中的要求，禁止将ISIS路由发布给AR1。
• 默认情况下所有活动且最优的BGP路由会发布给EBGP邻居，故可以在AR1邻居上配置一个Export的Community-Filter路由策略将ISIS的团体路由给剔除掉。
• 目前常接触标准的Community-Filter，故以此为主进行配置。

• 由于是自己乱画的拓扑并不能直观的看出结果，所以先将AR2-AR6之间的线先断掉，这样网络中只有ISIS的路由了。此时可以看到默认情况下AR1是可以收到ISIS路由的。

开始配置过滤ISIS团体属性路由操作：

• （1）于AR2上创建团体属性过滤

[AR2]ip community-filter basic Filter_ISIS_Community permit 100:2

• （2）创建路由策略，匹配团体属性并设置相应动作。

先把匹配上团体属性的路由先deny掉，再permit放行其它路由。

[AR2]route-policy Filter_ISIS_Community deny node 10
[AR2-route-policy]if-match community-filter Filter_ISIS_Community
[AR2-route-policy]quit

[AR2]route-policy Filter_ISIS_Community permit node 20
[AR2-route-policy]quit

• （3）将路由策略绑定到EBGP邻居AR1上

[AR2]bgp 100
[AR2-bgp]peer 10.1.12.1 route-policy Filter_ISIS_Community export

• 最后在AR2再查看BGP路由信息，可以发现没有从AR1上学习到关于ISIS的路由了。

AS_Path Filter

随着网络越来越大，BGP网络中可能会与多个AS互联且业务路由可能与本地相隔多个AS网络。

AS_Path-Filter（AS路径过滤），是将BGP中的AS_Path属性作为匹配条件的过滤器，利用BGP路由携带的AS_Path列表对路由进行过滤。

• 若网络中某台路由器不希望接收某些AS的路由时，可以利用AS_PathFilter对携带这些AS号的路由进行过滤，从而实现拒绝某些路由。
• 与其它过滤功能不一样的是，AS路径过滤采用正则表达式匹配。为此对于匹配的范围和灵活程度有了极大的提升。

关于正则表达式的介绍，在此仅使用到简单基础的几个。

^ 1 # 匹配以1开头的AS路径，如100，1111，100 200等。

2$ # 匹配以2为结尾的AS路径，如12，100 102等。

.* # 匹配所有

100 # 直接填写数字，则是匹配所有存在100的AS路径，如100、100 200、300 100 200。

[100] # 方括号内填写数字，表示只匹配AS路径为100。

配置命令

• 创建AS路径过滤时，与ACL相似以序号或名称创建。

[AR2]ip as-path-filter ?
  INTEGER<1-256>  Specify an access-list number
  STRING<1-51>    Specify an as-path-filter name

• 创建一个匹配经过100 200的AS路径路由

[AR2]ip as-path-filter 1 deny "100 200"

• AS路径过滤可以创建多个，默认按照从上至下匹配

# 先放行100 200的，再放行200 300，最后.*拒绝所有
ip as-path-filter 1 permit "100 200"
ip as-path-filter 1 permit "200 300"
[AR2]ip as-path-filter 1 deny .*

案例配置4

• 如图，AR1与AR3将环回口发布入BGP中，默认情况下AR2可以学习到AR1、AR3的环回口路由。
• 要求实现过滤来源自AS200的路由（但不过滤AS300的）。

• 默认情况下，AR2的BGP路由表信息。
• 此时可以从Path/Ogn中查看到该路由的AS-Path信息。

[AR2]dis bgp routing-table 
 Total Number of Routes: 4
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   192.168.1.0        10.1.12.1       0                     0      200i
 *>   192.168.3.0        10.1.12.1                             0      200 300i

• （1）创建AS路径过滤，只匹配源自AS200的路由（只匹配AS200，不匹配AS 200 300）。

^200$的意思是：匹配开头为200的，结尾也为200的，也就是只匹配AS200。

[AR2]ip as-path-filter 1 permit ^200$

• （2）创建路由策略

[AR2]route-policy Filter_AS200_AS-path deny node 10
[AR2-route-policy]if-match as-path-filter 1
[AR2-route-policy]quit

[AR2]route-policy Filter_AS200_AS-path permit node 20
[AR2-route-policy]quit

• （3）绑定路由策略

因为路由是从AR1进入到AR2中，故绑定的方向为Import。

[AR2-bgp]peer 10.1.12.1 route-policy Filter_AS200_AS-path import 

虽然前面有添加了Export的策略，但方向不冲突就不会出现命令覆盖。

peer 10.1.12.1 route-policy Filter_ISIS_Community export

peer 10.1.12.1 route-policy Filter_AS200_AS-path import

如果方向相同，只能绑定一个策略的话，就需要再创建一个新策略，将两个策略进行合并在一起。

• 配置完成之后，再查看AR1的BGP路由表信息

[AR2]dis bgp routing-table 
 Total Number of Routes: 7
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   192.168.3.0        10.1.12.1                             0      200 300i

ORF

Outbound Route Filtering 输出路由过滤

能将本端设备配置的出口路由策略通过路由刷新报文发送给BGP邻居。

BGP邻居根据本端的出口策略，在路由发送时对路由进行过滤，只发送本端需要的路由。这样不仅避免了本端设备接收大量无用的路由，降低了本端设备的CPU使用率，还有效减少了BGP邻居的配置工作，降低了链路带宽的占用率。

个人注解：通过ORF实现对端发送指定的路由过来，避免发送过多无用的路由。

主要应用于本端设备希望BGP邻居只发送需要的路由，而BGP邻居又不愿意针对不同设备维护不同的出口策略时，可以运用BGP ORF特性（简读：邻居单独为了某个设备创建策略）。

案例配置5

• 要求AR1通过ORF技术实现只接收来自AR3的192.168.31.0/24路由。

• 查看目前AR1的BGP路由情况

<AR1>dis bgp routing-table 

 Total Number of Routes: 6
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   192.168.3.0        10.1.13.3       0                     0      300i
 *>   192.168.31.0       10.1.13.3       0                     0      300i

• （1）由于ORF采用前缀列表进行过滤路由，故第一步创建前缀列表。

# 例如：匹配192.168.31.0/24的路由
[AR1]ip ip-prefix 1 permit 192.168.31.0 24

• （2）创建ORF，使允许向该邻居发送ORF报文，绑定前缀列表（序号1）

[AR1]bgp 200
[AR1-bgp]peer 10.1.13.3 ip-prefix 1 import 
[AR1-bgp]peer 10.1.13.3 capability-advertise orf ip-prefix send 

peer 邻居 capability-advertise orf ip-prefix 动作

有三种主要动作：both 双向、send 发送、receive 接收。

给邻居绑定前缀列表之后，需要指定该邻居的ORF动作，如send发送本端的前缀列表策略给对端。

而对端需要具备receive接收才能完成这个ORF功能。

• 疑惑：都已经绑定了前缀策略了，如果我不配置ORF是什么现象？

绑定策略之后，的确只能接收到指定的路由。

但对端其中是发送了一堆路由过来，而是只是从中过滤出所需的路由，非常占用链路带宽。

• 此时AR1的BGP路由表：

<AR1>dis bgp routing-table
 Total Number of Routes: 5
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   192.168.31.0       10.1.13.3       0                     0      300

• 但此时AR3所通告给AR1的路由有：

<AR3>display bgp routing-table peer 10.1.13.1 advertised-routes 

 Total Number of Routes: 2
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn

 *>   192.168.3.0        10.1.13.3       0                     0      300i
 *>   192.168.31.0       10.1.13.3       0                     0      300i

为了减少AR3通告大量无用的路由，故需要开启ORF功能进行辅助

• （3）邻居路由器上配置接收ORF报文。

[AR3]bgp 300
[AR3-bgp]peer 10.1.13.1 capability-advertise orf ip-prefix receive 

• 此时再查看AR3通告给AR1的路由，发现只通告AR1所需的路由了。

<AR3>display bgp routing-table peer 10.1.13.1 advertised-routes 

 Total Number of Routes: 2
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   192.168.31.0       10.1.13.3       0                     0      300i

扩展

由于有些厂商的设备的ORF能力码与RFC规定的能力码不同，因此为了与其他厂商设备互通，可以配置non-standard-compatible参数。

如果不加non-standard-compatible参数，则ORF可能协商失败。