BGP引入外部路由.docxVIP

通过配置BGP与IGP交互，使同时运行BGP和OSPF的路由器的BGP路由信息与OSPF路由信息能够互相引入。组网需求如图1所示，在AS 10内使用OSPF作为IGP协议，USG_A和USG_B之间建立EBGP连接。Router为AS 10内部的一台非BGP设备，通过OSPF协议和USG_A建立连接。要求在USG_A上配置BGP引入OSPF路由，同时配置OSPF引入BGP路由，实现USG_A与USG_B能够互访。最终实现企业内网用户通过运营商网络访问Internet的目的。图1 配置BGP引入外部路由组网图 项目数据USG_AGE1/0/1IP地址：1.1.1.1/24安全区域：UntrustGE1/0/3IP地址：10.3.0.1/24安全区域：TrustRouter ID1.1.1.1AS号10USG_BGE1/0/1IP地址：2.2.2.2/24安全区域：UntrustGE1/0/3IP地址：1.1.1.2/24安全区域：TrustRouter ID1.1.1.2AS号20配置思路采用如下思路配置BGP引入外部路由：配置各接口基本参数，实现互联链路互通。在USG_A和USG_B上启用BGP协议，并配置USG_A和USG_B建立的EBGP邻居关系。由于USG_B连接到2.2.2.0/24网段，通过在USG_B上配置BGP发布2.2.2.0/24网段的路由，可以使USG_A学到2.2.2.0/24网段的路由。在USG_A上配置OSPF进程100。在USG_A上配置OSPF区域0，并将USG_A和Router上互联网段加入OSPF区域0中。由于Router连接到10.2.0.0/16网段，配置Router的OSPF区域0内需发布10.2.0.0/16网段的路由，可以使USG_A学到10.2.0.0/16网段的路由。在USG_A上配置BGP引入OSPF路由，同时在USG_A上配置OSPF引入BGP路由，这样三台USG_A、USG_B和Router的路由表中存在到各个网段的路由，从而实现Router和USG_B的互访需求。分别配置USG_A和USG_B的安全策略，保证企业内网PC能够正常访问Internet。操作步骤配置USG_A。 配置接口基本参数。 选择“网络 接口”。单击GE1/0/1对应的，按如下参数配置。 安全区域untrustIPv4IP地址1.1.1.1/24单击“确定”。参考上述步骤按如下参数配置GE1/0/3接口。 安全区域trustIPv4IP地址10.3.0.1/24配置USG_A启用BGP协议。 选择“网络 路由 BGP”。在“配置BGP”界面，启动BGP协议，参数配置如下。 启动BGP选中AS号10路由标识1.1.1.1单击“应用”。配置USG_A与USG_B的邻居关系。 在“邻居配置列表”中，单击“新建”。配置与USG_B的邻居关系，配置如下。 邻居IP1.1.1.2邻居AS号20单击“确定”。配置OSPF进程。 选择“网络 路由 OSPF”。单击“OSPF列表”中的“新建”。配置OSPF进程100。 进程ID100单击“确定”。配置OSPF区域0，并将10.3.0.0/24网段加入区域0。 单击OSPF进程100对应的。在“OSPF进程ID：100”导航树中选择“基本配置 区域配置”。在“区域配置列表”中单击“新建”，配置OSPF区域0参数。 区域0.0.0.0网段IP10.3.0.0正/反掩码0.0.0.255单击“确定”。配置安全策略，允许内部网络中的PC访问Internet。 选择“策略 安全策略”。单击“新建”，按如下参数配置从Trust到Untrust的域间策略。说明： 此处只给出了完成本举例所需的安全策略的基本参数，具体使用时，请根据实际情况设置安全策略中的其他参数。名称policy_sec_1源安全区域trust目的安全区域untrust源地址10.2.0.0/16动作允许单击“确定”。参考上述步骤配置从Untrust到Local、从Local到Untrust的域间策略。 名称policy_sec_2源安全区域local,untrust目的安全区域local,untrust动作允许配置USG_B。 配置接口基本参数。 选择“网络 接口”。单击GE1/0/1对应的，按如下参数配置。 安全区域untrustIPv4IP地址2.2.2.2/24单击“确定”。参考上述步骤按如下参数配置GE1/0/3接口。 安全区域trustIPv4IP地址1.1.1.2/24配置USG_B启用BGP协议。 选择“网络 路由 BGP”。在“配置BGP”界面，启动BGP协议，参数配置如下。 启动BGP选中AS号20路由标识1.1.1.2单击“应用”。配置USG_B与USG_A的邻居关系。 在“邻