防火墙技术案例2_企业出口BGP组网配置.docxVIP

大家好，本期案例中，强叔将为大家介绍企业出口BGP的技术案例，希望能给大家带来一定的收获。大家都知道，防火墙在企业网络中所处的位置一般是在出口，也就是作为出口网关来使用。对于一般的中小企业，在出口防火墙上配置静态路由就能保证企业内网与Internet之间的访问，但对于大型企业来说静态路由缺乏灵活性和可维护性，是不建议使用的。这里，强叔和大家一起探讨下BGP路由在大型企业出口的基本配置，这里强调是基本配置，就是不包括各种BGP属性等高级配置的。可能大家觉得很简单，但是在实际配置的时候往往会出现这样和那样的问题。当然很熟悉BGP路由的小伙伴们除外。言归正传，首先我们来看一个组网，左侧是以防火墙为出口的实际组网，右侧为使用eNSP模拟的组网环境。如下图。??网络环境描述如下：???两台防火墙作为企业的网关，通过主备备份的方式部署在企业的出口。???企业内网通过OSPF协议学习内网路由。???两台防火墙分别通过BGP协议与外网两个ISP建立EBGP邻居关系。???防火墙上配置NAT，保证私网用户能够访问Internet。(用于从ISP1访问Internet的地址池：110.1.1.1～110.1.1.254；用于从ISP2访问Internet的地址池：210.1.1.1～210.1.1.254)这里说明一下，由于图比较小，一个图无法标出全部地址，只能在两个图中给出。模拟环境中R5的Loopback 1地址代表外网服务器，CLIENT1代表用户区1中的一个用户。现给出基本配置如下（说明：这里只给出一条（左侧）线路的路由设备的相关配置，其它的配置部分请参见《USG9000V3R1C20典型配置案例》的路由－企业BGP部分）。FW1R3R5bgp 10?peer 100.1.1.2 as-number 20?peer 200.1.1.2 as-number 30?#?ipv4-family unicast?undo synchronization?peer 100.1.1.2 enable?peer 200.1.1.2 enableospf 1?default-route-advertise always?area 0.0.0.0?network 10.1.1.0 0.0.0.255bgp 20?peer 100.1.1.1 as-number 10?peer 101.1.1.1 as-number 10?peer 102.1.1.2 as-number 40?#?ipv4-family unicast?undo synchronization?peer 100.1.1.1 enable?peer 101.1.1.1 enable?peer 102.1.1.2 enablebgp 40?peer 102.1.1.1 as-number 20?peer 202.1.1.1 as-number 30?#?ipv4-family unicast?undo synchronization??network 220.1.1.1 32?peer 102.1.1.1 enable?peer 202.1.1.1 enable按照如上配置，我们在FW1上使用display bgp peer命令查看BGP的邻居建立情况，显示都为Established，说明成功建立邻居关系。使用display bgp routing-table命令查看BGP路由表，能够看到外网220.1.1.1网段的路由。此时，查看IP路由表，你也能看到这条路由然而你在FW1上ping??220.1.1.1，却发现无法ping通。大家知道为什么吗？这个问题针对部分初学路由的人来说可能是个困惑，“路由都学习到了，为什么还ping不通”?年轻时的强叔也有过这个疑问。其实答案很简单：路由是双向的，有去的路由，就要有回的路由。这个时候，你在R5上查看路由表，发现是没有到FW1的路由。如果你要在FW1上ping通220.1.1.1，你就需要在FW1上把自己的接口网段通告到BGP路由中，怎么通告，方法很多。???可以引入直连路由：[FW1-bgp]?import-route direct???可以通过network命令发布接口的网段（推荐使用方法）：[FW1-bgp]?network 100.1.1.1 24然后你再在R5上查看BGP路由表，会发现如下路由，并且能够ping通220.1.1.1。但是针对本场景，我们是需要内网用户能够访问外网，也就是模拟环境中的CLIENT1访问R5的loopback1地址220.1.1.1，这个时候我们应用怎么配置呢？企业内部网络是通过OSPF协议学习路由，现在要想让外部网络学习到内部网络的路由，很多初学者，很自然的想到在出口网关FW1上把两种路由互相引入，如:[FW1-