1.组网需求
所有路由器运行BGP协议,Switch A与RPKI服务器建立连接。Switch A与Switch B建立IBGP连接。
Switch A将BGP RPKI验证结果发送给Switch B。
配置路由策略,使得Switch B对收到的BGP RPKI验证结果设置匹配条件,控制路由的接收。
2.配置步骤
1)配置各接口的IP地址,在Switch A和Switch B上配置BGP,建立IBGP邻居,配置过程略
2)配置Switch A与RPKI服务器建立连接
[SwitchA] bgp 100 [SwitchA-bgp-default] rpki [SwitchA-bgp-default-rpki] server tcp 1.1.1.2 [SwitchA-bgp-default-rpki-server] port 1234
3) 在Switch A上开启BGP RPKI验证
[SwitchA-bgp-default-rpki] check-origin-validation
4) 在Switch A上配置BGP RPKI验证结果参与路由优选
[SwitchA-bgp-default] address-family ipv4
[SwitchA-bgp-default-ipv4] bestroute origin-as-validation
5)在Switch A上配置向对等体1.2.3.2发送BGP RPKI验证结果
[SwitchA-bgp-default-ipv4] peer 1.2.3.2 advertise-ext-community [SwitchA-bgp-default-ipv4] peer 1.2.3.2 advertise origin-as-validation
6)在Switch B上对收到的BGP RPKI验证结果设置匹配条件,仅接收验证结果为Valid的路由
# 配置路由策略。 [SwitchB] route-policy rpki_policy permit node 0 [SwitchB-route-policy-rpki_policy-0] if-match rpki valid # 应用路由策略。 [SwitchB] bgp 100 [SwitchB-bgp-default] address-family ipv4 [SwitchB-bgp-default-ipv4] peer 1.2.3.1 route-policy rpki_policy import
3.验证配置
# 查看Switch A与RPKI服务器的连接信息,可以看到Switch A与RPKI服务器已经建立连接。 [SwitchA] display bgp rpki server Server VPN-index Port State Time ROAs(IPv4/IPv6) 1.1.1.2 0 1234 Establish 00:04:43 5/4
# 查看从RPKI服务器获取的ROA信息,可以看到可以看到已经获得ROA信息。 [SwitchA] display bgp rpki table ipv4 Total number of entries: 5 Status codes: S - stale, U - used Network Mask-range Origin-AS Server Status 1.2.3.4 8-24 100 1.1.1.2 U 2.2.3.6 8-32 100 1.1.1.2 U 2.2.3.6 10-24 4294967295 1.1.1.2 U 2.2.3.9 20-24 4294967295 1.1.1.2 U 3.2.3.5 8-26 200 1.1.1.2 U
# 查看Switch A上BGP RPKI验证结果。 [SwitchA] display bgp routing-table ipv4 1.2.3.0 BGP local router ID: 2.2.2.2 Local AS number: 100 Paths: 1 available, 1 best BGP routing table information of 1.2.3.0/24: Imported route. Original nexthop: 0.0.0.0 OutLabel : NULL RxPathID : 0x0 TxPathID : 0x0 Org-validation : Valid AS-path : (null) Origin : incomplete Attribute value : MED 0, pref-val 32768 State : valid, local, best IP precedence : N/A QoS local ID : N/A Traffic index : N/A
1.2.3.0/24在ROA数据库中的Network为1.2.3.4,Mask-range为8-24的地址前缀范围内,且AS和路由的源AS相匹配,因此验证结果为Valid。
# 查看Switch B上到达目的网络1.2.3.0的BGP IPv4单播路由的详细信息。 [SwitchB] display bgp routing-table ipv4 1.2.3.0 RR-client route. From : 1.2.3.1 (192.168.56.22) Rely nexthop : 1.2.3.1 Original nexthop: 1.2.3.1 OutLabel : NULL Ext-Community : <Origin Valid State: Valid > RxPathID : 0x0 TxPathID : 0x0 Org-validation : Valid AS-path : (null) Origin : incomplete Attribute value : MED 0, localpref 100, pref-val 0 State : valid, internal, best IP precedence : N/A QoS local ID : N/A Traffic index : N/A
由于Switch B仅允许BGP RPKI验证结果为Valid的路由信息通过,因此可以看到到达目的网络1.2.3.0的BGP IPv4单播路由的信息。该路由信息中的扩展团体属性包含了BGP RPKI验证结果。