|
•
|
|
•
|
|
•
|
BGP 传输数据包畅通无阻。因此为了增强安全性,Dell SonicWALL 推荐配置 IPSec 隧道用于 BGP 会话。IPSec 隧道和 BGP 的配置彼此独立。IPSec 隧道完全在 SonicOS GUI 的 VPN 配置部分进行配置,而 BGP 在网络 > 路由页面启用,然后在 SonicOS 命令行接口进行配置。在配置通过 IPSec 的 BGP 时,首先配置 IPSec 隧道,然后在配置 BGP 之前验证通过隧道的连接是否有效。
|
1
|
|
2
|
|
3
|
|
4
|
输入 VPN 策略的名称。
|
|
5
|
在 IPsec 主要网关名称或地址字段,输入远程对等的 IP 地址(本例中是 192.168.168.35)。
|
|
6
|
在 IPsec 次要网关名称或者地址字段,输入 0.0.0.0。
|
|
7
|
输入共享密钥,然后确认。
|
|
8
|
在本地 IKE ID 字段,输入 SonicWALL 的 IP 地址(本例中是 192.168.168.75)。
|
|
9
|
在对等 IKE ID 字段,输入远程对等的 IP 地址 (192.168.168.35)。
|
|
10
|
单击网络选项卡。
|
|
11
|
|
12
|
|
13
|
单击建议选项卡。您可以使用默认的 IPSec 协议或根据需要自定义。
|
|
14
|
单击高级选项卡。
|
|
15
|
选中启用 Keep Alive 复选框。
|
|
16
|
单击确定。
|
防火墙的 VPN 策略现在已配置。现在,完成远程对等项的相应 IPSec 配置。完成时,返回到 VPN > 设置页面,然后选中 VPN 策略的启用复选框以启动 IPSec 隧道。
使用 SonicWALL 上的 ping 诊断功能 ping BGP 对等 IP 地址,并使用 Wireshark 确保请求和响应封装在 ESP 数据包中。
|
1
|
在 SonicOS GUI,转至网络 > 路由页面。
|
|
2
|
|
3
|
|
注:在通过 GUI 启用 BGP 后,BGP 配置的具体设置使用 SonicOS 命令行接口 (CLI) 执行。如需如何连接至 SonicOS CLI 的详细信息,请参见SonicOS 命令行接口指南,链接:
http://www.sonicwall.com/us/support/230_3623.html |
|
5
|
通过输入 configure 命令进入配置模式。
|
|
6
|
通过输入 route ars-bgp 命令进入 BGP CLI。现在,您可以看到以下提示:
|
ZebOS version 7.7.0 IPIRouter 7/2009
|
7
|
现在,您在 BGP 非配置模式中。输入 ? 查看非配置命令的列表。
|
|
8
|
输入 show running-config 查看当前的 BGP 运行配置。
|
|
9
|
|
10
|
在完成配置后,输入 write file 命令。如果该单元是“高可用性”对或集群的一部分,配置更改将自动传达至一个或多个其他单元。
|
|
网络或聚合路径 |
首选在本地来源于网络和聚合地址命令的路径。 |
权重命令按地址家族向学习自邻居的所有路由分配权重值。如相同前缀向多个同等项学习,则首选具有最高权重高的路由。权重仅适用于本地路由器。
使用 set weight 命令分配的权重替代使用上述命令分配的权重。
如为对等组设置权重,则对等组中的所有成员都拥有相同的权重。该命令还可用于向特定的对等组成员分配不同的权重。
图 71. BGP 本地首选项拓扑结构
以下 BGP 配置在 SNWL1 和 SNWL2 中输入。SNWL2 中的较高本地首选值致使 SNWL2 成为 AS 12345(SonicWALL AS)向外部 AS 发布的首选路由。
|
neighbor 172.16.228.228 remote-as 7675 |
neighbor 10.1.1.1 remote-as 8888 |
路由映射类似于访问控制列表。其中包含一系列用于确定设备如何处理路由的允许和/或拒绝语句。路由映射应用于入站流量,而不是出站流量。下图显示使用路由映射配置本地首选项的拓扑结构示例。
图 72. 使用路由映射的 BGP 本地首选项拓扑结构
|
neighbor 172.16.228.228 remote-as 7675 |
neighbor 10.1.1.1 remote-as 9999 neighbor 10.1.1.1 route-map rmap1 in neighbor 12.34.5.237 remote-as 12345 |
在 SNWL2 (rmap1) 配置的路由映射应用于来自邻居 10.1.1.1 的入站路由。有两个允许条件:
|
•
|
route-map rmap1 permit 10:该允许条件匹配经配置允许来自 AS 8888 流量的访问列表 100,并将来自 AS 8888 的路由设为本地首选值 200。
|
|
•
|
route-map rmap1 permit 10:该允许条件将不匹配访问列表 100 的所有其他流量(即来自 8888 以外的其他 AS 的流量)设为本地首选值 150。
|
AS_Path 预置是在路径更新开始时添加附加 AS 编号的一项操作。这会使该路由的路径更长,从而降低其首选性。
AS_Path 预置可应用于出站或入站路径。如果受邻居超控,则 AS_Path 预置可能不起作用。
|
neighbor 10.50.165.228 remote-as 7675 |
neighbor 10.50.165.233 remote-as 12345 |
本配置将使路由安装到邻近的 10.50.165.233,AS_Path Prepended 为 12345 12345。这可以通过输入 show ip bgp 命令查看。
set metric 命令可用于路由映射中设置路径的优先性:
多出口标识 (MED) 是可用于影响路径优先性的可选属性。这是非传递性的,表示在单个设备上配置,不会在更新消息中发布给邻居。在此部分中,我们将考虑使用第 1525 页的 bgp always-compare-med 命令和第 1526 页的 bgp deterministic-med 命令。
bgp always-compare-med 命令允许比较来自不同 AS 的路径的 MED 值以选择路径。首选拥有较低 MED 的路径。
例如,考虑 BGP 表中的以下路由,always-compare-med 命令被启用:
如果 always-compare-med 命令被禁用,在比较路由 1 和路由 2 时就不会考虑 MED,因为它们拥有不同的 AS 路径。仅比较路由 1 和路由 3 的 MED。
选择的路由也受 bgp deterministic-med 命令影响,该命令在选择相同自治系统中不同对等项发布的路由时会比较 MED。
bgp deterministic-med 命令被启用时,来自相同 AS 的路由被群组,将比较各组的最佳路由。如果显示 BGP 表:
BGP 将拥有包含路由 1 的群组和包含路由 2 和路由 3 (相同 AS)的第二个群组。
将比较各组的最佳路由。路由 1 是其所在组的最佳路由,因为它是来自 AS 200 的唯一路由。
路由 1 与 AS 400 群组中的最佳项路由 2 (最低 MED)进行比较。
由于两个路由并非来自相同 AS,在比较中不会考虑 MED。外部 BGP 路由优于内部 BGP 路由,因此路由 3 成为最佳路由。
团体是共享相同的属性,且可以使用传递性 BGP 团体属性配置的前缀群组。前缀可以具有多个团体属性。路由器可以具备一个、多个或所有属性。BGP 团体可以视为一种标签形式。下面是 BGP 团体配置的示例。
自动总结设置控制是否按类别发布路由。自动总结是发生 BGP 配置问题的另一个常见原因。
图 73. 中转对等项与非中转对等项
为了防止您的设备意外成为中转对等项,您要配置入站和出站过滤器,例如:
|
•
|
|
•
|
以下拓扑结构显示 SonicWALL 安全设备使用多宿主 BGP 网络在两个 ISP 之间分担负载的示例。
图 74. 用于负载分担拓扑结构的多宿主 BGP
