本篇技術(shù)博文摘要 🌟

• 本文內(nèi)容涵蓋了BGP負載均衡的基本概念、配置技巧和在實際網(wǎng)絡(luò)中的應(yīng)用，包括如何在華為ENSP上實現(xiàn)負載均衡和路由過濾。
• 通過配置BGP的前綴列表、ACL以及路由過濾策略，可以實現(xiàn)網(wǎng)絡(luò)流量的精確控制和優(yōu)化，提高網(wǎng)絡(luò)的可擴展性與靈活性。

引言 📘

• 在這個快速發(fā)展的技術(shù)時代，與時俱進是每個IT人的必修課。
• 我是腎透側(cè)視攻城獅，一名什么都會一丟丟的網(wǎng)絡(luò)安全工程師，也是眾多技術(shù)社區(qū)的活躍成員以及多家大廠官方認可人員，希望能夠與各位在此共同成長。

📈個人成就和🌐社區(qū)貢獻與影響力

👑《榮譽頭銜》

• 華為云云享專家
• 華為云技術(shù)開發(fā)者HCCDA認證
• 華為HCDG成員
• 2024年度華為云核心貢獻者
• 阿里云專家博主
• 數(shù)據(jù)安全高級工程師認證
• 新華三高級網(wǎng)絡(luò)工程師認證
• 騰訊云開發(fā)者創(chuàng)作之星
• 2024年度騰訊云創(chuàng)作之星
• 騰訊云文檔內(nèi)容共建官
• 騰訊云TDP成員
• AWS——人工智能領(lǐng)域從業(yè)者認證
• 支付寶開發(fā)者社區(qū)優(yōu)秀季度創(chuàng)作博主
• CSDN網(wǎng)絡(luò)安全領(lǐng)域新星創(chuàng)作者

💻技術(shù)認證：

• 華為病毒查殺漏洞管理技術(shù)認證
• 華為Web暴力破解漏洞挖掘技術(shù)認證
• 華為HTTPS加密電商網(wǎng)站技術(shù)認證
• 華為博客網(wǎng)站SQL注入攻擊以及防御技術(shù)認證
• 華為MySQL數(shù)據(jù)庫遷移上云技術(shù)認證
• 華為企業(yè)上云網(wǎng)絡(luò)規(guī)劃設(shè)計技術(shù)認證
• 阿里云Apsara Clouder基于存儲產(chǎn)品快速搭建網(wǎng)盤技術(shù)認證
• 阿里云Apsara Clouder容器應(yīng)用與集群管理技術(shù)認證
• 阿里云Apsara ClouderECS基礎(chǔ)運維管理技術(shù)認證
• 阿里云Apsara ClouderECS快速入門技術(shù)認證
• 阿里云Apsara Clouder存儲應(yīng)用與數(shù)據(jù)管理技術(shù)認證
• 阿里云Apsara ClouderSOL基礎(chǔ)開發(fā)與應(yīng)用技術(shù)認證
• 阿里云Apsara Clouder基于容器搭建企業(yè)級應(yīng)用技術(shù)認證
• 阿里云Apsara Clouder云原生數(shù)據(jù)庫PolarDB 快速入門技術(shù)認證
• 阿里云Apsara Clouder云數(shù)據(jù)庫RDS快速入門技術(shù)認證
• 阿里云Apsara Clouder大模型- 基于百煉平臺構(gòu)建智能體應(yīng)用技術(shù)認證
• 阿里云Apsara Clouder企業(yè)級ECS集群構(gòu)建技術(shù)認證
• 騰訊微服務(wù)平臺TSF技術(shù)認證
• 騰訊EdgeOne網(wǎng)站加速與防護技術(shù)認證

🙆曾參與賽事以及榮譽獎項：

• 曾榮獲江蘇省新華三網(wǎng)絡(luò)賽事江蘇省一等獎、江蘇省華為ICT大賽團隊賽江蘇省二等獎、江蘇省網(wǎng)絡(luò)安全精英賽事優(yōu)秀獎、江蘇省C4網(wǎng)絡(luò)技術(shù)挑戰(zhàn)賽賽事、江蘇省紅帽挑戰(zhàn)賽、騰訊全國安全游戲競賽、全國網(wǎng)絡(luò)安全運維管理等CTF賽事
• 曾榮獲南京市CSDN作者周榜第2名、原力月榜第1名；全國原力榜第11名、全國領(lǐng)軍人物榜單第22名

歡迎各位彥祖與熱巴暢游本人專欄與技術(shù)博客

你的三連是我最大的動力

以下圖片僅代表專欄特色 [點擊??指向的專欄名即可閃現(xiàn)]

??Cyberspace Security

???24 Network Security -LJS?

??HCIP;H3C-SE;CCIP—LJS[華為、華三、思科高級網(wǎng)絡(luò)]

????Ungranted access vulnerability

???MYSQL REDIS Advance operation

??RHCE-LJS[Linux高端騷操作實戰(zhàn)篇]?

??數(shù)據(jù)結(jié)構(gòu)與算法[考研+實際工作應(yīng)用+C程序設(shè)計]

??RHCSA-LJS[Linux初級及進階騷技能]

上節(jié)回顧

目錄

本篇技術(shù)博文摘要 🌟

引言 📘

📈個人成就和🌐社區(qū)貢獻與影響力

👑《榮譽頭銜》

💻技術(shù)認證：

🙆曾參與賽事以及榮譽獎項：

歡迎各位彥祖與熱巴暢游本人專欄與技術(shù)博客

你的三連是我最大的動力

以下圖片僅代表專欄特色 [點擊??指向的專欄名即可閃現(xiàn)]

上節(jié)回顧

1.BGP負載均衡——路由等價負載分擔(dān)

啥是BGP負載均衡？

形成負載分擔(dān)的條件

注意：

基于華為ENSP的BGP負載均衡配置示例一

補充：

基于華為ENSP的BGP負載均衡配置示例2

R1示例配置:

配置后：

?

2.BGP的路由過濾——配置實戰(zhàn)

需求一：

1、抓流量

2、做策略

3、調(diào)用

需求二：

1、配置前綴列表

2、調(diào)用

需求三：

?1、配置ACL列表

2、調(diào)用

注意：

---

1.BGP負載均衡——路由等價負載分擔(dān)

啥是BGP負載均衡？

• 在大型網(wǎng)絡(luò)中,到達同一目的地通常會存在多條有效BGP路由,設(shè)備只會優(yōu)選一條最優(yōu)的BGP路由,將該路由加載到路由表中使用,這一特點往往會造成很多流量負載不均衡的情況。
• 通過配置BGP負載分擔(dān)，可以使得設(shè)備同時將多條等代價的BGP路由加載到路由表，實現(xiàn)流量負載均衡，減少網(wǎng)絡(luò)擁塞。
• 盡管配置了BGP負載分擔(dān),設(shè)備依然只會在多條到達同一目的地的BGP路由中優(yōu)選一條路由,并只將這條路由通告給其他對等體。
• 在設(shè)備上使能BGP負載分擔(dān)功能后,只有滿足條件的多條BGP路由才會成為等價路由,進行負載分擔(dān)。

形成負載分擔(dān)的條件

• Preferred-Value屬性值相同
• Local_Preference屬性值相同
• 都是聚合路由或者非聚合路由
• AS_Path屬性長度相同
• Origin類型(IGP、EGP、Incomplete)相同
• 起源碼相同、 MED屬性值相同
• 都是EBGP路由或都是IBGP路由
• AS內(nèi)部IGP的Metric相同
• AS_Path屬性完全相同即：內(nèi)容相同，順序相同，長度相同

  [r4-bgp]load-balancing as-path-ignore  ---忽略在進行負載均衡配置時的AS_Path屬性對比。

注意：

• 在實現(xiàn)負載均衡后，無論是否配置了next-hop-local命令，本地設(shè)備都會向自己的IBGP對等體發(fā)布路由時，將下一跳修改為本地地址

基于華為ENSP的BGP負載均衡配置示例一

[r4-bgp]maximum load-balancing ?INTEGER<1-8>  Specify maximum equal cost routesebgp          EBGP routes as equal cost routeibgp          IBGP routes as equal cost route
[r4-bgp]maximum load-balancing e	
[r4-bgp]maximum load-balancing ebgp 2   ---修改BGP最大負載分擔(dān)路由條目為2，默認情況為1。

補充：

• 如果攜帶了ebgp或者ibgp參數(shù)，則代表對某種方式學(xué)習(xí)到的路由進行負載分擔(dān)，不攜帶參數(shù)則代表全局執(zhí)行。

基于華為ENSP的BGP負載均衡配置示例2

R1示例配置:

[R1]bap 200[R1]maximum load-balancing ibgp 2

• 以上述拓撲為例, R1上兩條BGP路由在不做任何路由策略、配置的情況下,前8條優(yōu)選規(guī)則無法比較出優(yōu)選路由。
• 因此可以配置IBGP路由的負載分擔(dān)。?

配置后：

?

2.BGP的路由過濾——配置實戰(zhàn)

需求一：

• 通過路由策略來完成，不讓R2將172.16.1.0/24傳遞給R3

1、抓流量

[r2]ip ip-prefix aa permit 172.16.1.0 24

2、做策略

[r2]route-policy aa deny node 10[r2-route-policy]if-match ip-prefix aa[r2]route-policy aa permit node 20

3、調(diào)用

[r2-bgp]peer 10.1.23.3 route-policy aa export 

需求二：

• 不讓R3學(xué)習(xí)到172.16.2.0/24
• 所以IKN們有沒有想到可以用前綴列表

1、配置前綴列表

[r3]ip ip-prefix aa deny 172.16.2.0 24[r3]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32?

2、調(diào)用

[r3-bgp]peer 10.1.23.2 ip-prefix aa import 

?

需求三：

• 通過filter-policy來完成，不讓R2和R3學(xué)習(xí)172.16.3.0/24路由

?1、配置ACL列表

[r2-acl-basic-2000]rule deny source 172.16.3.0 0
[r2-acl-basic-2000]rule permit source any 

2、調(diào)用

[r2-bgp]peer 10.1.12.1 filter-policy 2000 import   

注意：

• 在BGP中使用過濾策略時，只能調(diào)用ACL列表，所以必須使用ACL列表來抓取流量