淺談BGP路由黑洞與解決策略

劉炎火

摘要：在網(wǎng)絡(luò)配置中，路由黑洞是比較常見(jiàn)的故障，特別是在邊界配置BGP路由時(shí)，經(jīng)常出現(xiàn)路由黑洞，為了更好解決由于BGP配置而產(chǎn)生的路由黑洞，在本文中列舉了多種解決策略。

關(guān)鍵詞：路由黑洞;BGP;EBGP;IBGP;鄰居關(guān)系

中圖分類(lèi)號(hào)：TP393 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）17-0056-03

Abstract： In the network configuration， routing black hole is a common failure. A routing black hole often appears especially in BGP routing. In order to better solve the routing black hole caused by BGP configuration， this paper lists a variety of solutions.

Key words： routing black hole;BGP;ebgp; iBGP;neighbor relationship

在配置BGP的時(shí)候，最容易遇到的問(wèn)題就是路由黑洞，那么什么是路由黑洞？簡(jiǎn)單地說(shuō)，它會(huì)默默地將數(shù)據(jù)包丟棄，使數(shù)據(jù)包有去無(wú)回。我們知道傳統(tǒng)的IP路由，它是通過(guò)逐跳查找路由信息，根據(jù)路由信息轉(zhuǎn)發(fā)數(shù)據(jù)包，通俗地說(shuō)就是當(dāng)數(shù)據(jù)包到達(dá)路由設(shè)備的時(shí)候，路由設(shè)備首先查找路由表，然后根據(jù)路由信息轉(zhuǎn)發(fā)數(shù)據(jù)包，當(dāng)然，路由設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)包的前提是存在下一跳路由。對(duì)BGP來(lái)說(shuō)，由于存在IBGP水平分割規(guī)則，這是一種防止環(huán)路機(jī)制，所以在BGP的設(shè)計(jì)上有些設(shè)備就不會(huì)運(yùn)行BGP。BGP是一種TCP的連接或者說(shuō)是一種host-to-host的連接，可以跨越設(shè)備進(jìn)行連接，所以路由傳遞是沒(méi)有問(wèn)題的，但是數(shù)據(jù)包的路由卻是有問(wèn)題的。通常我們會(huì)出現(xiàn)是IBGP鄰居關(guān)系可以正常建立，也就是說(shuō)控制平面看起來(lái)是正常的，但是數(shù)據(jù)平面確不可達(dá)，從而形成路由黑洞。接下來(lái)，我將解決BGP路由黑洞的幾種常見(jiàn)方法進(jìn)行逐一介紹。

1 采用鄰居全互聯(lián)（Full-mesh）方式解決由IBGP水平分割導(dǎo)致的BGP路由黑洞問(wèn)題

圖1所示，為了實(shí)現(xiàn)1.1.1.1<->5.5.5.5可以互相訪(fǎng)問(wèn)，計(jì)劃在R1、R2、R4、R5跑BGP協(xié)議，R2、R3、R4跑OSPF協(xié)議。并且在R1<->R2、R4<->R5之間創(chuàng)建默認(rèn)路由保證BGP鄰居關(guān)系的建立。配置完成之后，發(fā)現(xiàn)無(wú)法實(shí)現(xiàn)1.1.1.1<->5.5.5.5互相訪(fǎng)問(wèn)，通過(guò)對(duì)設(shè)備路由信息的查詢(xún)，發(fā)現(xiàn)R3沒(méi)有1.1.1.1和5.5.5.5的路由條目。經(jīng)過(guò)仔細(xì)分析配置策略，發(fā)現(xiàn)由于R3沒(méi)有啟用BGP配置，因此R2和R4均不會(huì)將路由條目傳給R3，導(dǎo)致R3沒(méi)有1.1.1.1和5.5.5.5的路由信息，最終出現(xiàn)路由黑洞。

經(jīng)過(guò)對(duì)配置信息的分析和查閱相關(guān)資料，決定利用Full-mesh方式解決路由黑洞問(wèn)題。解決方法就是在R3上配置BGP，與R2和R4建立完全BGP鄰居關(guān)系，通過(guò)IBGP學(xué)習(xí)到1.1.1.1和5.5.5.5的路由條目。配置完成之后，經(jīng)測(cè)試完全實(shí)現(xiàn)1.1.1.1<->5.5.5.5互相訪(fǎng)問(wèn)。利用Full-mesh方式解決路由黑洞配置拓?fù)鋱D如圖1所示。

具體實(shí)現(xiàn)過(guò)程：使用Peer Group簡(jiǎn)化配置，節(jié)約內(nèi)存，配置R2、R3、R4之間的IBGP，通過(guò)鄰居全互聯(lián)解決路由黑洞。R2、R3和R4相互建立鄰居關(guān)系，具體配置如下：

//R2與R3、R4建立鄰居關(guān)系

router bgp 200

neighbor slyar peer-group

neighbor slyar remote-as 200

neighbor slyar update-source Loopback0

neighbor slyar next-hop-self

neighbor 3.3.3.3 peer-group slyar

neighbor 4.4.4.4 peer-group slyar

//R3與R2、R4建立鄰居關(guān)系

router bgp 200

neighbor slyar peer-group

neighbor slyar remote-as 200

neighbor slyar update-source Loopback0

neighbor slyar next-hop-self

neighbor 2.2.2.2 peer-group slyar

neighbor 4.4.4.4 peer-group slyar

//R4與R2、R3建立鄰居關(guān)系

router bgp 200

neighbor slyar peer-group

neighbor slyar remote-as 200

neighbor slyar update-source Loopback0

neighbor slyar next-hop-self

neighbor 2.2.2.2 peer-group slyar

neighbor 3.3.3.3 peer-group slyar

利用Full-mesh方式解決路由黑洞，對(duì)于結(jié)構(gòu)簡(jiǎn)單的網(wǎng)絡(luò)沒(méi)有問(wèn)題，但是要是網(wǎng)絡(luò)拓?fù)鋸?fù)雜，則存在全互聯(lián)要求建立n*（n-1）/2個(gè)鄰居關(guān)系，這顯然是很麻煩，也不現(xiàn)實(shí)。因此，只能說(shuō)是解決BGP路由黑洞的方法之一。

2 采用路由反射器（Router Reflector）解決由IBGP水平分割導(dǎo)致的BGP路由黑洞問(wèn)題

導(dǎo)致路由黑洞的原因與“一”一樣，解決路由黑洞方法則采用Router Reflector方式進(jìn)行解決。Router Reflector基本原理是利用路由反射器，將R3作為反射器（RR），其余IBGP路由器作為客戶(hù)端?，路由反射器和客戶(hù)端共同組成路由反射簇，客戶(hù)端只需要與路由反射器建立鄰居即可，不需要與每臺(tái)IBGP路由器建立鄰居。

配置路由反射器配置，需要保證三個(gè)原則，一是RR從EBGP收到的路由，能夠反射給客戶(hù)端和非客戶(hù)端;二是從客戶(hù)端收到的路由，能夠反射給客戶(hù)端、非客戶(hù)端及EBGP鄰居;三是從非客戶(hù)端收到的路由，只能反射給客戶(hù)端和EBGP鄰居，不能反射給其他非客戶(hù)端。滿(mǎn)足了這三個(gè)原則，就可以有效解決BGP的路由黑洞問(wèn)題。網(wǎng)絡(luò)拓?fù)鋱D參照“圖1”，其中R3為反射器，R2和R4為客戶(hù)端，R2、R3和R4的配置如下：

2.1 使用回環(huán)接口配置R2、R3、R4之間的IBGP關(guān)系

//R3配置

router bgp 200

no synchronization

bgp router-id 3.3.3.3

neighbor 2.2.2.2 remote-as 200

neighbor 2.2.2.2 update-source Loopback0

neighbor 4.4.4.4 remote-as 200

neighbor 4.4.4.4 update-source Loopback0

no auto-summary

//R2配置

router bgp 200

neighbor 3.3.3.3 remote-as 200

neighbor 3.3.3.3 update-source Loopback0

neighbor 3.3.3.3 next-hop-self

//R4配置

router bgp 3

neighbor 3.3.3.3 remote-as 200

neighbor 3.3.3.3 update-source Loopback0

neighbor 3.3.3.3 next-hop-self

2.2 在R3上開(kāi)啟路由反射器，指定客戶(hù)端

router bgp 3

neighbor 2.2.2.2 route-reflector-client

neighbor 4.4.4.4 route-reflector-client

利用Router Reflector解決BGP的路由黑洞問(wèn)題，與Full-mesh比較，優(yōu)勢(shì)是顯而易見(jiàn)的，其建立鄰居關(guān)系只需要（n-1）條。因此，是解決BGP路由黑洞比較好的方法。

3 采用聯(lián)邦（BGP Confederation）解決由IBGP水平分割導(dǎo)致的BGP路由黑洞問(wèn)題

導(dǎo)致路由黑洞的原因也和“一”一樣，解決路由黑洞方法則采用Confederation方式進(jìn)行解決。Confederation基本原理是將AS 200內(nèi)部劃分為2個(gè)子AS，使用私有BGP AS 65001和65002，同時(shí)，R3與R4之間的關(guān)系改為EBGP，從而打破IBGP的水平分割法則，進(jìn)而解決路由黑洞問(wèn)題。這些私有AS就叫作聯(lián)邦（Confederation），私有AS對(duì)于AS 100和AS 300來(lái)說(shuō)，即聯(lián)邦是透明的，在他們看來(lái)，AS 200依舊是AS 200。實(shí)現(xiàn)BGP Confederation配置拓?fù)浣Y(jié)構(gòu)如圖2所示。

配置Confederation需要按照三個(gè)步驟完成，第一步將路由器進(jìn)行分組，劃分為不同的小AS;第二步在大AS的邊界路由器上，聲明所處的大AS號(hào);第三步在小AS邊界路由器之間建立聯(lián)邦EBGP關(guān)系，并互指Peer。參照?qǐng)D2，配置內(nèi)容如下：

3.1 在R2和R3上創(chuàng)建聯(lián)邦A(yù)S 65011，建立IBGP關(guān)系

//R2上創(chuàng)建AS 65001

router bgp 65001

no synchronization

bgp router-id 2.2.2.2

neighbor 3.3.3.3 remote-as 65001

neighbor 3.3.3.3 update-source Loopback0

neighbor 3.3.3.3 next-hop-self

no auto-summary

//R3上創(chuàng)建AS 65011

router bgp 65001

no synchronization

bgp router-id 3.3.3.3

neighbor 2.2.2.2 remote-as 65001

neighbor 2.2.2.2 update-source Loopback0

no auto-summary

3.2 在R4上創(chuàng)建聯(lián)邦A(yù)S 65002

//R4上創(chuàng)建AS 65002

router bgp 65002

no synchronization

bgp router-id 4.4.4.4

no auto-summary

3.3在R2、R3、R4上聲明自己的大AS，然后與R1和R5創(chuàng)建EBGP關(guān)系

//R2上配置聯(lián)邦聲明

router bgp 65001

bgp confederation identifier 200

neighbor 10.0.12.1 remote-as 100

//R4上配置聯(lián)邦聲明

router bgp 65002

bgp confederation identifier 200

neighbor 10.0.45.2 remote-as 300

//R3上配置聯(lián)邦聲明

router bgp 65001

bgp confederation identifier 200

3.4 在R3和R4的聯(lián)邦A(yù)S之間通過(guò)環(huán)回口創(chuàng)建EBGP關(guān)系，并互指聯(lián)邦Peer

//R3上配置EBGP鄰居并指定聯(lián)邦Peer

router bgp 65001

bgp confederation peers 65002

neighbor 4.4.4.4 remote-as 65002

//由于使用回環(huán)接口建立聯(lián)邦EBGP關(guān)系，因此需要將默認(rèn)TTL值改大（在此TTL默認(rèn)值為1）

neighbor 4.4.4.4 ebgp-multihop 2

neighbor 4.4.4.4 update-source Loopback0

//R4上配置EBGP鄰居并指定聯(lián)邦Peer

router bgp 65002

bgp confederation peers 65001

neighbor 3.3.3.3 remote-as 65001

neighbor 3.3.3.3 ebgp-multihop 2

neighbor 3.3.3.3 update-source Loopback0

neighbor 3.3.3.3 next-hop-self

所謂聯(lián)邦A(yù)S是由一組子自治系統(tǒng)組成，它們共享一個(gè)聯(lián)邦A(yù)S號(hào)，該聯(lián)邦A(yù)S號(hào)被聯(lián)邦之外的對(duì)等體視為整個(gè)聯(lián)邦的名字（AS號(hào)），外部的對(duì)等體是無(wú)法看見(jiàn)聯(lián)邦的內(nèi)部結(jié)構(gòu)的。因此采用聯(lián)邦A(yù)S解決IBGP鄰居關(guān)系，從而解決其路由黑洞問(wèn)題是比較可取的方法。

4 采用多協(xié)議標(biāo)簽交換 （MPLS）解決BGP路由黑洞問(wèn)題

導(dǎo)致路由黑洞的原因與“一”一樣，R2與R4建立IBGP，可以互相學(xué)習(xí)各自的BGP 路由，因是BGP鄰居的建立是通過(guò)TCP建立的，BGP鄰居互傳路由是通告封裝到TCP，再封裝到IP里面的。配置完成時(shí)候，還是無(wú)法實(shí)現(xiàn)1.1.1.1<->5.5.5.5互相訪(fǎng)問(wèn)。解決辦法除了前面三種以外，也可以使用MPLS來(lái)解決BGP路由黑洞問(wèn)題。MPLS 是一種使用標(biāo)簽來(lái)制定數(shù)據(jù)轉(zhuǎn)發(fā)決策的數(shù)據(jù)包轉(zhuǎn)發(fā)技術(shù)。案例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)參照“圖1”，具體配置內(nèi)容如下所示。

//R2上配置MPLS

route recursive-lookup tunnel

mpls lsr-id 2.2.2.2

mpls

mpls ldp

int s1/1

mpls

mpls ldp

//R2上配置MPLS

route recursive-lookup tunnel

mpls lsr-id 3.3.3.3

mpls

mpls ldp

int s1/1

mpls

mpls ldp

int s1/2

mpls

mpls ldp

//R2上配置MPLS

route recursive-lookup tunnel

mpls lsr-id 4.4.4.4

mpls

mpls ldp

int s1/2

mpls

mpls ldp

使用MPLS解決BGP路由黑洞容易實(shí)現(xiàn)，配置也比較簡(jiǎn)單，但是其中為什么能在沒(méi)有路由的情況下（R3，R4）能通，很多人并不是特別清楚。在MPLS網(wǎng)絡(luò)中，MPLS會(huì)給IGP路由分配label，cef會(huì)采用MPLS分配好的label，并且給下一跳是IGP內(nèi)的相應(yīng)BGP路由分配對(duì)應(yīng)IGP的label，數(shù)據(jù)在轉(zhuǎn)發(fā)的時(shí)候是按照cef表進(jìn)行的，這樣那些沒(méi)有在MPLS中分配標(biāo)簽的BGP路由也可以按照標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，最終解決路由黑洞問(wèn)題。

由于BGP規(guī)定無(wú)論路由器是否啟動(dòng)BGP都要無(wú)條件地轉(zhuǎn)發(fā)BGP消息和更新包，違背了"非IGP路由器阻斷IGP域"的原則，因而輾轉(zhuǎn)造成了BGP路由器"居然ping不通路由表中的條目"的現(xiàn)象，也就是所謂的路由黑洞。在邊界路由器產(chǎn)生的路由黑洞，一般不宜采用重分布實(shí)現(xiàn)同步策略。上述四種策略是實(shí)際應(yīng)用中常用策略。

參考文獻(xiàn)：

[1] Amir Ranjbar[美].CCNP TSHOOT學(xué)習(xí)指南[M].北京：人民郵電出版社，2013.

[2] 周亞軍.思科CCIE路由交換v5實(shí)驗(yàn)指南[M].北京：電子工業(yè)出版社，2016.

[3] 張國(guó)清.路由技術(shù)：IPv6版[M].北京：電子工業(yè)出版社，2014.

[4] 梁廣民，王隆杰.思科網(wǎng)絡(luò)實(shí)驗(yàn)室CCNA實(shí)驗(yàn)指南[M].北京：電子工業(yè)出版社，2012.

【通聯(lián)編輯：唐一東】