分類: Cisco

BGP協議最佳路徑選擇算法揭秘

BGP協議是壹個路徑矢量路由協議,也就是說,它的工作就是在自主系統間交換路由信息,以便發現訪問互聯網某處數據的最有效路徑。每個BGP路由器通過鄰居聲名與周邊的壹個或多個路由器連接。壹旦建立了鄰居關系,這些BGP路由器之間就會相互交換路由信息。據我最近壹次統計,整個互聯網上有大約12.5萬個路由信息,因此要配備壹個強大的路由器才能將所有BGP路由信息接收下來。

什麽是 BGP 最佳路徑選擇算法?
由於整個互聯網的BGP路由表有超過20萬個路由,同時壹個BGP路由器可能從多個來源收到多份的路由表,因此肯定會有壹種方法可以比較不同的BGP路由表,並從中選擇最佳的路由方案。這種方法就是BGP最佳路徑選擇算法。可能妳會註意到,CiscoBGP路由器會將應用權重(weight)作為路由表的第壹標準,而其它品牌的路由器則不是這樣。Cisco的官方BGP最佳路徑選擇算法文檔中詳細列明了所參考的各項標準。接下來我會列出每種標準並給出解釋和範例。默認情況下,BGP最佳路徑都是基於最短自治系統(AS)的原理得出的。不過很多時候,諸如weight,localpreference以及MED這樣的標準都是網絡管理員自行設定的。

接下來我們就按照BGP選擇最佳路徑的參考順序將這幾項標準介紹壹下:
#1 Weight —權重是Cisco為本地路由器設定的自定義參數,並不隨路由器更新而變化。如果指向某壹IP地址的路徑有多條(這很常見),那麽BGP會尋找權重最高的路徑。設定權重的參考因素很多,包括鄰居命令,as-path訪問列表,或者路由鏡像等。
  #2 Local Preference — 本地出口優先級參數會告知AS哪條路徑具有本地優先,數值越高優先級越高。默認為100。比如:
  bgp default local-preference 150
  #3 Network or Aggregate—這個參數會選擇本地發起的網絡或聚合作為路徑。將特定的路徑加入路由中,會讓路由更有效率,同時也節省了網絡空間。更多有關聚合的信息,可以參考Cisco的文章“UnderstandingRouteAggregation in BGP.”
  #4 Shortest AS_PATH — BGP 只有在weight, localpreference和locallyoriginated相當接近的時候才使用這個參數。
  #5 Lowest origin type — 這個參數處理Interior Gateway Protocol(IGP)協議的優先級低於 Exterior Gateway Protocol (EGP)協議。
  #6 Lowest multi-exit discriminator (MED) — 較低的MED值要優於較高的MED值。
  #7 eBGP over iBGP — 類似於#5, BGP AS Path 更傾向 eBGP 而不是 iBGP。
  #8 Lowest IGP metric — 這個參數傾向於采用最低IGP作為BGP下壹跳。
  #9 Multiple paths — 這個參數決定是否要在路由表中裝入多個路徑。可以參考 BGPMultipath獲取更多信息。
  #10 External paths — 當所有路徑都為外部路徑時,選擇首先接收到的路徑(較老的路徑)。)
  #11 Lowest router ID — 選擇來自具有最低路由器ID的BGP路由器的路徑。
  #12 Minimum cluster list — 如果多個路徑的originator或路由器ID相同,選擇cluster列表長度最短的路徑。
  #13 Lowest neighbor address — 這是指最低鄰居地址傳來的路徑。
  有些命令需要不斷的用到BGP 參數,它們是show ip bgp 和 show ipbgpsummary。實際上,我更喜歡給這兩個命令創建別名,以便能更快捷的使用它們(參考我的文章《用Cisco命令別名更有效的輸入命令》)。這些命令可以讓妳快速獲取BGP以及與路由器的關系。下面是使用show ip bgp命令後的情況範例:
  RTA# show ip bgpg
  BGP table version is 14, local router ID is 203.250.15.10
  Status codes: s suppressed, d damped, h history, * valid,>best, i -internal
  Origin codes: i – IGP, e – EGP, ? – incomplete
  Network Next Hop Metric LocPrf Weight Path
  *>i128.213.0.0 128.213.63.2 0 200 0 200 i
  > 192.208.10.0 192.208.10.5 0 300 0 300 i
  *>i200.200.0.0/16 128.213.63.2 200 0 200 400i
  >i203.250.13.0 203.250.13.41 0 100 0 i
  *>i203.250.14.0 203.250.13.41 0 100 0 i
  *> 203.250.15.0 0.0.0.0 0 32768 i
  帶星號的是BGP最佳路徑選擇算法選出的最佳路徑。
  總結:
  不論妳是使用BGP的網管,還是只是為了CCIE或CCNP考試學習BGP的學員,懂得這方面的知識都是非常有益的。正如上面看到的,使用參數和命令行的方式,確實可以快速實現所需功能。

內部網絡十大解析詳解

幾乎所有企業對於網絡安全的重視程度壹下子提高了,紛紛采購防火墻等設備希望堵住來自Internet的不安全因素。然而,Intranet內部的攻擊和入侵卻依然猖狂。事實證明,公司內部的不安全因素遠比外部的危害更恐怖。

  大多企業重視提高企業網的邊界安全,暫且不提它們在這方面的投資多少,但是大多數企業網絡的核心內網還是非常脆弱的。企業也對內部網絡實施了相應保護措施,如:安裝動輒數萬甚至數十萬的網絡防火墻、入侵檢測軟件等,並希望以此實現內網與Internet的安全隔離。

  然而,情況並非如此!企業中經常會有人私自以Modem撥號方式、**或無線網卡等方式上網,而這些機器通常又置於企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅,從某種意義來講,企業耗費巨資配備的防火墻已失去意義。

  這種接入方式的存在,極有可能使得黑客繞過防火墻而在企業毫不知情的情況下侵入內部網絡,從而造成敏感數據泄密、傳播病毒等嚴重後果。實踐證明,很多成功防範企業網邊界安全的技術對保護企業內網卻沒有效用。於是網絡維護者開始大規模致力於增強內網的防衛能力。

  下面給出了應對企業內網安全挑戰的10種策略。這10種策略即是內網的防禦策略,同時也是壹個提高大型企業網絡安全的策略。

  1、註意內網安全與網絡邊界安全的不同

  內網安全的威脅不同於網絡邊界的威脅。網絡邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防範(如邊界防火墻系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。

  內網安全威脅主要源於企業內部。惡性的黑客攻擊事件壹般都會先控制局域網絡內部的壹臺Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開黑客防護措施,同時建立並加強內網防範策略。

  2、限制VPN的訪問

  虛擬專用網(VPN)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火墻的防護之外。很明顯VPN用戶是可以訪問企業內網的。

  因此要避免給每壹位VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別,即只需賦予他們所需要的訪問權限級別即可,如訪問郵件服務器或其他可選擇的網絡資源的權限。

  3、為合作企業網建立內網型的邊界防護

  合作企業網也是造成內網安全問題的壹大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火墻,保護MS-SQL,但是Slammer蠕蟲仍能侵入內網,這就是因為企業給了他們的合作夥伴進入內部資源的訪問權限。由此,既然不能控制合作者的網絡安全策略和活動,那麽就應該為每壹個合作企業創建壹個DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內網其他資源的訪問。

  4、自動跟蹤的安全策略

  智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中壹大改革,極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用壹種自動檢測方法來探測商業活動中的各種變更,因此,安全策略也必須與相適應。例如實時跟蹤企業員工的雇傭和解雇、實時跟蹤網絡利用情況並記錄與該計算機對話的文件服務器。總之,要做到確保每天的所有的活動都遵循安全策略。

  5、關掉無用的網絡服務器

  大型企業網可能同時支持四到五個服務器傳送e-mail,有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中很可能有潛在的郵件服務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若壹個程序(或程序中的邏輯單元)作為壹個window文件服務器在運行但是又不具有文件服務器作用的,關掉該文件的共享協議。

  6、首先保護重要資源

  若壹個內網上連了千萬臺(例如30000臺)機子,那麽要期望保持每壹臺主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮壹般都有擇優問題。這樣,首先要對服務器做效益分析評估,然後對內網的每壹臺網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器(例如實時跟蹤客戶的服務器)並對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產,並做好在內網的定位和權限限制工作。

  7、建立可靠的無線訪問

  審查網絡,為實現無線訪問建立基礎。排除無意義的無線訪問點,確保無線網絡訪問的強制性和可利用性,並提供安全的無線訪問接口。將訪問點置於邊界防火墻之外,並允許用戶通過VPN技術進行訪問。

  8、建立安全過客訪問

  對於過客不必給予其公開訪問內網的權限。許多安全技術人員執行的“內部無Internet訪問”的策略,使得員工給客戶壹些非法的訪問權限,導致了內網實時跟蹤的困難。因此,須在邊界防火墻之外建立過客訪問網絡塊。

  9、創建虛擬邊界防護

  主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企業網絡的使用和在企業經營範圍建立虛擬邊界防護這個問題。這樣,如果壹個市場用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火墻防護,現在也應該意識到建立網上不同商業用戶群之間的邊界防護。

  10、可靠的安全決策

  網絡用戶也存在著安全隱患。有的用戶或許對網絡安全知識非常欠缺,例如不知道RADIUS和TACACS之間的不同,或不知道代理網關和分組過濾防火墻之間的不同等等,但是他們作為公司的合作者,也是網絡的使用者。因此企業網就要讓這些用戶也容易使用,這樣才能引導他們自動的響應網絡安全策略。 另外,在技術上,采用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺。

CCNA 640-802學習方法

CCNA的自學方法
對於網絡到底有沒有前途的問題,很多人很多時候在懷疑,就我看來,關鍵在於自己的興趣了,妳喜歡這個行業,覺得不很排斥就幹吧;雖然不比研發好(研發壹般也要這個研究生),但是幹得出色壹樣牛X;我身邊的朋友們網絡行業的,NEC-5K,IBM—7K,騰訊--6K,工作兩年,混得還過意的去;因為我是轉行,現在在集成公司,薪水是比同學們遜色了。但能學東西,只有好好努力了;

CCNA學習經驗:
1)完全靜下來仔細把課本看2-3遍;
第壹遍通讀;第二遍細讀:分成幾個板塊學習,1-3章 為基礎部分;4-6章壹個板塊,7-9章壹個板塊,也是重點板塊,10-13章壹個板塊,14章廣域網放在最後學習,記憶行的東西;
2)讀書壹定要作筆記;
3)課後練習壹定要熟做;
4)實驗部分要用模擬器練習做;
5)如果想壹次順利通過考試的話,偷點小懶的話,可以找: http://www.killtest.net/CCNA/640-802.asp

請不要做浮躁的人:
1)沒有純粹的捷徑可走,腳踏實地做人做事;
2)看書總比經常上論壇重要;
3)真正的高手是幾乎不來論壇無聊;
4)做個有心的人,總會找到妳需要的信息,不需壹味的問;
5)請勿沈迷於網絡;
6)有嚴格的學習計劃;
7)有慎密的個人職業規劃;
8)熱愛生活!