BGP协议在大型企业广域网设计中的实践

何国军

(中国国际航空股份有限公司信息管理部,北京 101312)

边 界 网 关 协 议（Border Gateway Protocol，BGP）是一种用来在路由选择域之间交换网络可达性信息（Network Layer Reachability Information，NLRI） 的 路由选择协议。由于不同的管理机构分别控制着他们各自的路由选择域，因此路由选择域通常被称为自治系统（Autonomous System，AS）①，而经典的自治系统的定义是：一组路由器在统一管理之下，在AS内使用内部网关协议（Interior gateway protocol，IGP）和统一度量来路由数据包，而通过外部网关协议将数据包路由到其他AS ②，该定义目前仍然在发展，因为很多AS在其内部使用多种内部网关协议和不同的度量。按照经典自治系统的定义，在一个AS内通常使用内部网关路由协议，这通常会使大型企业网络设计者在设计大型企业网络时更加倾向于更多地选择内部网关路由协议而忽略BGP。

为了完成企业广域网络的设计与实施，我们有必要对IGP和BGP进行一个全面的比较，目前使用较多的IGP按照行为可以分为距离矢量算法，链路状态算法和混合算法三类，但其实现的目标均为在单一的路由域内选择最佳的可达性信息，为达到这个目标，IGP通常具有网络拓扑发现能力，自动适应网络拓扑变化能力，能周期性更新网络可达性信息，使用共同的路径选择策略，能提供一定的路径控制能力。从这些特点看，IGP就是为单一路由域设计的，它所需要的管理较少，自动化成度较高。BGP能够提供广泛的域间策略控制，具有很强的可扩展性，能够互联极大规模网络。在设计极大规模企业网络时我们将二者结合起来，完成任何一者不能单独完成的任务，笔者即通过两个协议的结合为某大型企业网络实现了广域网改造。

某大型企业网络由公司总部网络和若干个分公司网络组成，每个分公司网络下又下辖若干下属分支机构网络，为典型的多层结构，全网设备运行OSPF（Open Shortst Path First，一种IGP协议，适合层次化网络结构）路由协议，总部的路由器C7606和骨干线路及分公司路由器C7206运行在OSPF骨干区，分公司分别运行在各自的路由区域里，每个分公司分别管理自己的网络和下属分支机构网络，改造前总部管理总部的两台C7606路由器和分公司连接总部的两台C7206路由器及两条专线，分公司管理两台C7206的以太口以下的网络，拓扑如下：

在进行网络改造前，总部的路由器C7606和分公司的所有路由器C7206都运行在OSPF 骨干区里，分公司路由器运行在OSPF Area n下，连接总部和分公司的骨干线路运行在OSPF骨干区域，因线路抖动造成了骨干路由器OSPF运算频繁，影响到了总部数据中心，为此第一期网络改造将OSPF的骨干区域收缩到总部，连接每个分公司的骨干线路运行在各个分公司的Area里。在这种结构下，所有路由器都有全网路由，这种模式的优点是配置简单，不需要过多的管理，但是缺点也是显而易见的，各地位于同一个管理域下，但事实上各地却是不同的管理域，由此造成的严重问题是脏路由全网泛滥。

为改变这种状况，公司二期网络改造决定在公司骨干网络上运行BGP路由协议，在改造过程中，首先在总部和分公司的骨干设备上启动BGP路由进程，宣告各自网段，验证互相能够收到对方的宣告，为了控制主备线路的路由选择，在分公司的主路由器上将输入路由的Local-preference参数调大，这样在分公司的两台BGP路由器上，主设备的BGP条目将优于备设备的BGP条目因而被安装在主设备的路由表中，保证了全网路由的一致性，在主干线路故障或者主路由设备故障时，备份线路上的BGP条目自动出现在主备设备的路由表中，在实施灾难切换验证中，笔者发现主干线路中断180秒后，备份BGP路由才能安装到BGP路由表中。经核实，BGP邻居老化时间在未经调整的情况下，默认为180秒，这是为保证域间路由的稳定，尽量减少自治系统的相互影响需要的，这也是外部网关路由协议在设计时的重要特征，因为是外部网关路由协议，所以对于域间路由的快速收敛的要求低于IGP的要求，在BGP路由协议用于企业的特大型网络时，这个参数可以做适当调整，调整的参考数据主要是骨干路由器的处理能力，主干线路的稳定情况，主干线路的可用带宽，各个自治系统内部路由的变化频度等条件，在各个条件非常良好的情况下，这个参数可以调整到10秒，收敛时间已经能够与IGP路由协议相比。

BGP路由器收到对方自治系统的条目后，为保证全网路由可达，需要将BGP路由注入到各自的自治系统的IGP路由域中，注入时主要考虑因素是注入后的路由条目的度量值，笔者的经验是将BGP骨干线路的带宽用于各个自治系统的IGP路由协议计算路由度量，这个值足够用于各个自治系统内部的IGP度量比较。经过一段时间的运转，笔者发现在把BGP路由注入到各个IGP路由域时会产生路由黑洞，经过详细调查，发现是分公司BGP路由器在BGP路由进程中对路由宣告做了汇聚，汇总路由在设备上自动生成了一条指向null 口的路由，并且这条路由也安装在本地的BGP表中，在把BGP路由注入IGP时，这条路由也被注入到IGP，如果分公司有关于这条汇总路由的详细路由丢失，就会在分公司和总部的BGP路由器之间产生路由环路，造成对故障判断的误导，为了消除这种不必要的脏路由，在将BGP注入IGP时，使用一个过滤表将所有产生的指向Null接口的路由过滤掉，即可实现清洁的注入，在注入完成后，即可切断总部和分公司之间的IGP协议，完成切换实施工作。

BGP改造实施完成后，骨干网络运行非常稳定，并且实现了管理域分割，分公司有了对IGP路由协议完全的控制，能够自主的设计本自治系统，于是又对下属机构网络的连接进行了一次改造，将每个下辖机构分别划入一个OSPF末梢区域，全网被分割为非常小的管理域，全网路由完全受控，实现了一个最佳应用，在全网改造前全网路由条目有一千多条，改造后全网路由尽为五十多条，极大的节省了路由器的硬件资源，再次改造后的网络示意图如下：

此次改造已经完成3年多，在运行过程中，总公司又新增了几家分公司，都实现了与总部的无缝连接，对于原有分公司的网络影响小到可以忽略，这个网络设计在公司高速成长时能够最大地实现可扩展性，骨干稳定性和全网的高可靠性。通过BGP路由协议的应用，我们验证了BGP协议作为超大网络骨干协议的扩展性，能够充分保证公司的兼并重组收购等资产运作在IT层面的实现，在分割管理域时又保证全网路由策略的一致性，并且通过调整参BGP老化参数，达到快速收敛，实现公司网络的互通互联。