BGP后门路由解析

拓扑实验图:

什么是BGP后门路由,有何作用?先看下网络简要配置情况:

R1

s0/0:ip add 12.1.1.1 255.255.255.0

s0/1:ip add  13.1.1.1 255.255.255.0

l0:ip add  1.1.1.1 255.255.255.0

router bgp 100

bgp router-id 1.1.1.1

neighbor 2.2.2.2 remote-as 200

neighbor 2.2.2.2 update-source loopback 0

neighbor 2.2.2.2 ebgp-multihop 2

router eigrp 90

 

no auto-summary

network 13.1.1.0 0.0.0.255

ip route 2.2.2.0 255.255.255.0 12.1.1.2

R2

s0/0:ip add 12.1.1.2 255.255.255.0

s0/2:ip add 23.1.1.2 255.255.255.0

l0:ip add 2.2.2.2 255.255.255.0

router bgp 200

bgp router-id 2.2.2.2

neighbor 1.1.1.1 remote-as 100

neighbor 1.1.1.1 update-source loopback 0

neighbor 1.1.1.1 ebgp-multihop 2

neighbor 3.3.3.3 remote-as 200

neighbor 3.3.3.3 update-source  loopback 0

router ospf 110

router-id 2.2.2.2

network  2.2.2.0 0.0.0.255 area 0

network 23.1.1.0 0.0.0.255 area 0

ip route 1.1.1.0 255.255.255.0 12.1.1.1

 

R3

s0/2:ip add 23.1.1.3 255.255.255.0

s0/1:ip add 13.1.1.3 255.255.255.0

l0: ip add 3.3.3.3 255.255.255.0

l1:ip add 99.99.99.9 255.255.255.0

router bgp 200

bgp router-id 3.3.3.3

neighbor 2.2.2.2 remote -as  200

neighbor 2.2.2.2 update-source loopback 0

network 99.99.99.0 mask 255.255.255.0

router ospf 110

router -id 3.3.3.3

network 3.3.3.0 0.0.0.255 area 0

network 23.1.1.0 0.0.0.255 area 0

router eigrp 90

 

no auto-summary

network  99.99.99.0 0.0.0.255

network 13.1.1.0 0.0.0.255

 

OK!配置基本写完了,大家能猜到R1会学习到什么路由吗?用BGP协议从R2学习到的99.99.99.0/24的网络条目,用EIGRP协议也 从R2学习到的99.99.99.0/24的网络条目。在这种情况下,所有去往目标网络99.99.99.0的数据都将发向R2,不会走R3,因为 EBGP的管理距离20,要远远大于EIGRP的管理距离,被优先安装到了R1路由表中。

如果我现在有一种要求,要去往目标网络99.99.99.0/24下一跳是R3,有什么办法呢?其实大家可能已经想到办法了,就是用“路由策略“,将EBGP发送过来的99.99.99.0路由条目管理距离调大,或用同样方法将从EIGRP收到的99.99.99.0/24路由条目管理距离调的比EBGP的20还要小。

用以上方法可以解决问题,其实在BGP设计中,以经给我们提供了更好更方便的方法,那就是后门路由[backdoor].操作就是用network 命令将从R1学习来的99.99.99.0/24网络变为后门路由,导入本地路由表。如果BGP路由是从本地手工导入的,即BGP本地路由,则BGP本地 路由的AD值为200,与IBGP路由的AD值相同,AD值大于任何IGP协议。

命令就是在R1上执行:

router bgp 100

network 99.99.99.0 mask 255.255.255.0 backdoor

在做后门路由的时候要注意,如果你通告的是一个主类网络可以不加mask 掩码,这个要与始发BGP的路由配置一样,也就是与R3在BGP中发布的network 99.99.99.0 mask 255.255.255.0网络一样,掩码要匹配。做完此配置你会发现99.99.99.0/24这个路由条目在路由表中已经显示D开头了,下一跳R3。 在查看BGP,此条目被开头标记了r,意为IGP中有此路由。

本文转自wildlee 博客 由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。