华为 BGP认证功能
忍一时风平浪静,退一步海阔天空。
文章目录
- 一、拓扑
- 二、基础配置
- 三、BGP的数据包
- 四、BGP的邻居状态机
BGP是一种运行在AS之间的动态路由协议,具备强大的路径限制能力,这也是使得BGP协议能够管理超大大型网络。
simple与cipher可一起使用,但是显示的类型不一样。
Cipher 密钥加密;simple明文。加密需要密钥一致。
一、拓扑
二、基础配置
1、按照图配置IP地址
<Huawei>system-view
[Huawei]sysname AR-1
[AR-1]int g0/0/0
[AR-1-GigabitEthernet0/0/0]ip address 12.1.1.1 24
[AR-1-GigabitEthernet0/0/0]int l0
[AR-1-LoopBack0]ip address 1.1.1.1 32
[AR-1-LoopBack0]quit
AR2、3同上;
2、配置BGP路由协议
[AR-1]bgp 100 //本设备创建BGP AS,所属AS 100
[AR-1-bgp]router-id 1.1.1.1 //设置本设备的BGP的R-ID为1.1.1.1
[AR-1-bgp]peer 12.1.1.2 as-number 100 //手动指定与对等体的接口地址12.1.1.2建立IBGP邻居[AR-2]bgp 100
[AR-2-bgp]router-id 2.2.2.2
[AR-2-bgp]peer 12.1.1.1 as-number 100
[AR-2-bgp]peer 23.1.1.3 as-number 200 //手动指定与对等体的接口地址23.1.1.3建立EBGP邻居[AR-3]bgp 200
[AR-3-bgp]router-id 3.3.3.3
[AR-3-bgp]peer 23.1.1.2 as-number 100
在AR-2上查看BGP邻居关系
可以看到,AR2与AR1和AR3之间的邻居状态均为Established,说明邻居关系已正常建立。
3、配置基于单一密钥的BGP认证功能
[AR-1]bgp 100
[AR-1-bgp]peer 12.1.1.2 password simple Huawei[AR-2]bgp 100
[AR-2-bgp]peer 12.1.1.1 password simple Huawei123
[AR-2-bgp]peer 23.1.1.3 password simple Huawei[AR-3]bgp 200
[AR-3-bgp]peer 23.1.1.2 password cipher Huawei
在AR-1上查看BGP邻居关系
AR1与AR2的邻居状态变成了Connect,说明AR1与AR2的邻居状态关系未能正常建立。
在AR-2上查看BGP邻居关系
AR2和AR3之间的邻居状态为Established,与AR1的邻居状态为Connect;说明AR2和AR3邻居状态关系正常建立,AR2和AR1邻居状态关系未能正常建立。
查看当前的BGP认证配置信息
在AR2上配置的认证密钥是明文显示的,在AR3上配置的认证密钥是密文显示的,并且AR2上配置的密钥和AR1上的不一致。
在AR2上将错误的密钥进行更正,然后再次查看AR2的BGP邻居关系
[AR-2-bgp]peer 12.1.1.1 password simple Huawei
修改密钥后,AR2和AR1邻居状态关系正常建立。
4、配置基于keychain的BGP认证
[AR-1]keychain key mode periodic daily
[AR-1-keychain]key-id 1
[AR-1-keychain-keyid-1]algorithm md5
[AR-1-keychain-keyid-1]key-string huawei
[AR-1-keychain-keyid-1]send-time daily 08:00 to 18:00
[AR-1-keychain-keyid-1]receive-time daily 08:00 to 18:00
[AR-1-keychain-keyid-1]bgp 100
[AR-1-bgp]undo peer 12.1.1.2 password
[AR-1-bgp]peer 12.1.1.2 keychain key
AR2设备配置同上;
查看BGP邻居关系
在AR1上使用dis keychain key命令查看keychain的信息。
接收容忍时间只对接受端的key有效,其原理就是延长了receive-time时间
Infinite表示容忍所有的时间延长。
在keychain方式下定义密钥的存活期分为Absolute与periodic两种模式。
periodic模式,一个key的有效时间为周期性的一段时间,分为daily,monthly,weekly,yearly等。
Key 具有多个属性,包括key-ID,认证算法,key-string以及send-time和receive-time。
三、BGP的数据包
1、Open报文(类型1)
作用: TCP 会话建立起来自以后,两个邻居都要发送一个 Open 报文,每个邻居都使用该报文标识自己,并且规定自己的 BGP 运行参数。如果 open 消息被接受,则回送一条 keepalive 消息进行确认,确认后就能发送 update
2、Update报文(类型2)
作用: 当BGP对等体之间成功建立会话后利用Update报文进行路由信息的交换;Update报文既用来通告可用路由信息,也可以通告不可达需要撤销的路由信息。每条update 消息只描述一类具有相同路径属性的可达路由;可达路由信息放在NLRI字段中;同时Update报文可以携带多条不可达路由信息;不可达路由信息放在Withdrawn Router字段中。
3、Notification 报文(类型3)
作用: 当BGP检测到错误状态时,就会向对等体发出Notification通知报文,之后BGP连接会立即中断。例如对等体之间的AS号非法,认证失败,邻居地址不可达等
4、Keepalive 消息(类型4)
作用: 如果路由器接受了邻居在 OPEN 消息中的参数,就会应答一个 keeplive 消息,并且在此后 1/3 的 holdtime(但不小于 1S)为周期发送该消息,华为设备默认 60S一发,保持时间默认180S。如果协商后保持时间为 0,标识此邻居永远UP,则不发送 keepalive 保活消息。
5、Route-refresh报文(类型5)
作用: 路由刷新报文用来要求对等体重新发送指定地址族的路由信息。
四、BGP的邻居状态机
1、Idle状态
(1)BGP空闲状态,在Idle状态下BGP拒绝邻居发送的连接请求,此时等待由BGP系统发出的Start事件
(2)Start(管理员配置邻居)事件发生后,BGP会对自己的资源进行初始化,重置连接计时器(Connect Retry 默认32S)发起TCP连接请求,并开始侦听远端对等体发起的连接端口,并转至Connect状态
1.1 停留在此状态的原因
(1)本BGP设备没有去往对等体的路由
(2)收到来自邻居的Notification报文触发Notification报文条件(再一个重置计时器后重新建立BGP的TCP连接,即重新发送用于BGP的TCP连接报文)
① AS号错误;
② R-ID重复
③ 认证失败
④ Hold time 连接超时(中间设备或者目标设备策略限制)
⑤ 其他错误原因
2、Connect状态
在Connect状态下,BGP启动连接重传定时器,等待TCP完成连接。
(1)如果TCP连接成功,那么BGP会向对等体发送Open报文,并转至OpenSent状态
(2)如果TCP连接失败,那么BGP转至Active状态
(3)如果连接重传定时器超时,BGP任没有收到BGP对等体的响应,那么BGP继续尝试TCP连接,停留在Connect状态。
2.1 停留在Connect状态的原因
(1)与BGP对等体TCP连接超时
① 中间设备没有本设备去往对等体的路由,
② 中间设备拒绝了本BGP设备发出的BGP相关数据(过滤了本设备IP流量或者TCP流量或者TCP-179端口数据)
③ 对等体设备未开启BGP(TCP-179端口处于关闭状态)
3、Active
在Active状态下,BGP总是试图建立TCP连接
(1)如果TCP连接成功,那么BGP向对等体发送Open报文,关闭连接重传定时器,并转至OpenSent
(2)如果TCP连接失败,停留在Active状态
(3)如果连接重传定时器超时,任没有收到BGP对等体的响应,那么BGP转至Connect状态
3.1 停留在Active状态的原因
(1)与BGP对等体TCP失败
(2)–本BGP设备配置错误的对等体地址
4、OpenSent
在OpenSent状态,BGP等对等体的Open报文,并对收到的Open报文中的AS号,版本号,认证信息等进行检查
(1)如果收到的Open报文正确,那么BGP发送Keepalive报文,且重置Keepalive定时器,并转至OpenConfirm状态。
(2)如果发现收到的Open报文有错误,那么BGP发送Notification报文给对等体。并转至Idle状态。
4.1 停留在OpenSent状态的原因
(1)对等体发送的Open报文中的AS号与本BGP设备配置不一致。(本端BGP配置时邻居的AS号配置错误)
5、OpenConfirm
在OpenConfirm状态下,BGP等待Keepalive或Notification报文。
(1)如果收到Keepalive报文,则转至Established状态(BGP邻居的最终状态)
(2)如果收到Notification报文,则转至Idle状态
5.1 停留在OpenConfirm状态的原因
(1)BGP的TCP建立成功,对等体未发送Keepalive报文(邻居设备BGP配置对本BGP的AS号错误配置)
6、Established状态
在Established状态下,BGP对等体之间交互Update,Keepalive,Route-refresh报文和Notification报文。
(1)如果收到正确的Update或Keepalive报文,那么BGP就人为对端处于正常运行状态,保持BGP连接;
(2)如果收到错误的就发送Notification报文告知对端,并转至Idle状态
(3)Route-reFresh报文不会改变BGP状态
(4)如果收到Notification报文,那么BGP转至Idle状态。
(5)如果收到TCP拆除链接通知,那么BGP将断开连接,转至Idle状态
本人所有文章都受版权保护,著作权归艺博东所有!未经授权,转载必究或附上其原创链接。
华为 BGP认证功能相关推荐
- 华为中级认证HCIP知识点,看这个就够了
各个知识点 OSPF 知识点 IS-IS 知识点 BGP 知识点 IGMP 知识点 路由控制知识点 生成树协议 MPLS DHCP VRRP BFD SDN(了解) OSPF 知识点 OSPF基本配置 ...
- 2023年华为HCIE-Datacom认证(H12-891、H12-892)
一.什么是HCIE-Datacom 英文名:Huawei Certified ICT Expert-Datacom 中文名:培训与认证数通网络领域具备跨场景融合解决方案专业知识和技能水平的专家 二.考 ...
- 互联网晚报 | 2月17日 星期四 | 小鹏汽车回应总裁年薪超4亿;B站将上线开播前人脸认证功能;星巴克再次涨价...
今日看点 ✦ Redmi K50电竞版正式发布:搭载高通骁龙8Gen1,售价3299元起 ✦ 小鹏汽车回应"总裁年薪超4亿":系误解,实为多年累积的股权激励 ✦ B站直播新规:开播 ...
- 华为BGP协议基础配置
目录 一.原理概述 二.实验目的 三.实验拓扑 四.实验步骤 五.查看代码: 一.原理概述 1.自治系统(AS)是由一个技术管理机构管理,使用统一选路策略的一组路由器集合,自治系统编号范围:1-655 ...
- 华为hcie认证工程师里一定要知道的Radius 基本介绍
华为hcie认证工程师Radius 基本介绍为实现对于用户的认证.授权以及审计的工作,实现远端AAA 功能,其中一种广泛使用的方式就是利用Radius 协议.RADIUS可以实现例如以太网接入等多种用 ...
- 大学生考华为ICT认证,从哪个级别开始
建议你直接从中级,也就是HCIP开始.当然HCIA还是需要自学的,把基础知识先掌握好,才能更好去备考HCIP. HCIA的含金量属实不高,一般是在校大学生考,而且这个证书对于找工作来说,也没什么含金量 ...
- 华为hcie认证体系华为华为hcie认证价值NSR不间断路由思科华为网工常备知识点解析ie-lab
NSR ( Non-Stopping Routing ,不间断路由) :通过协议备份机制,实现主备倒换时控制平面(路由)和转发平面(业务)均不中断.1.在设备发生倒换的过程中,路由处理不中断,因为:邻 ...
- 北京华为HCIE认证网络工程师快速完成设备流量控制和风暴控制
北京华为HCIE认证网络工程师快速完成设备流量控制和风暴控制为保证网络安全,以及防止广播风暴,限制广播报文类型的流量的抑制.使用相应的风暴控制操作.基本操作如下: 配置接口广播流量抑制,在接口视图下配 ...
- 思科与华为BGP配置命令对比
思科与华为BGP配置命令对比 Cisco(config)#router bgp 100 //配置BGP进程号 [Huawei]bgp 100 //启动BGP,指定本地AS编号,并进入BGP视图 Cis ...
最新文章
- 1968年12月9日,恩格尔巴特公开演示了世界上第一个鼠标盒子
- hibernate加载持久化对象的两种方式---------------load方式和get方式
- htpc电脑方案_我终于定稿了客厅HTPC的方案: Matx机箱小喆B3卧倒
- JVM调优总结(三)-基本垃圾回收算法
- Vue 父子组件间的通信
- Wi-Fi 6值得升级吗?从Wi-Fi 5升级到Wi-Fi 6需要什么?
- 计算机第一课 教案 纪律,信息技术开学第一课-纪律
- linux c之通过消息队列实现进程通信
- 【kafka】kafka Kafka分区leader迁移
- ORACLE中用户解锁与改密(以hr用户为例)
- day4 函数的包装+装饰器+迭代器
- mysql 查看修改连接数据库_mysql查看最大连接数和修改mysql数据库最大连接数方法...
- 不足300的游戏蓝牙耳机靠谱吗?五款高人气蓝牙耳机测评
- 新能源汽车行业资讯-2022-9-16
- 博思得标签打印机驱动_博思得打印机驱动
- 基于照片标记的广州市旅游流特征简单分析(上)
- 一位基金经理13年的期货感悟
- docker中 scp root远程至普通用户
- ios11对比android8.0,谁的设计更好?iOS11正式版多图详尽对比安卓8.0
- 有序的uuid(32位)
热门文章
- 7-3 两个数的简单计算器 (20分)
- 百度通用翻译api使用
- Python学习(类的属性、继承、覆盖等详解)
- Linux 查看内核 系统 等软件版本命令
- linux0.11-文件系统
- linux程序执行失败,调试时提示 .dynamic section for .so.* is not at the expected address
- 华为--OSPF抓包实验分析邻接关系的七个状态,单区域ospf配置
- vue.js项目实战运用篇之抖音视频APP-第二节:项目基础架构搭建
- 计算机如何计算对数函数
- ATT 汇编 lea 和 mov指令区别