openvpn過濾報文

㈠ BGP工作原理（5）

一、BGP路由信息決策過程

1、Adj-RIB-In    存放從對等體接收到的更新

當從對等體接收到Update報文時，路由器會把Update報文存儲到路由信息庫RIB，並指明是來自哪個對等體的；

Update報文經過BGP輸入策略引擎路由過濾或修改屬性；

路由器執行路徑選擇演算法，來為每一條前綴確定最佳路徑；

2、Loc-RIB    存放經過輸入策略引擎、路徑選擇處理過的路由

得出的最佳路徑被存儲到本地BGP RIB中，然後將loc-RIB的路由載入到IP-RIB中；

3、Adj-RIB-Out    存放經過輸出策略引擎處理過的路由

Loc-RIB中的路由在被通告給其他對等體之前，必須通過輸出策略引擎，只有那些成功通過輸出策略引擎的路由，才會被安裝到輸出RIB中；

二、BGP選路規則

1、忽略下一跳不可達的路由；

2、優選prefer-value數值大的路由；                預設值0

3、優選Local-preference數值大的路由；        預設值100

----------------------------------------------------4、5、6三條規則用於比較自身產生的路由

4、聚合路由優於非聚合路由；                             

5、手工聚合路由優於自動聚合路由；

6、network發布的路由優於import發布的路由；

7、優選as-path長度短的路由；

8、IGP起源的路由優於EGP起源的路由優於未知起源的路由；

9、優選MED數值小的路由；     預設值0，命令compare-different-as-med修改預設比較行為

10、EBGP路由優於IBGP路由；

11、優選下一跳IGP開銷小的路由；

============================滿足以上條件可選實現負載分擔；

12、優選cluster-list長度短的路由；            有的有，有的沒有，沒有的優先

13、優選Originator-ID或RouterID小的路由；        二選一，優先比較Originator-ID

14、優選對等體地址小的路由；

三、BGP的負載分擔

1、BGP路由的負載分擔

到達同一目的地通常會存在多條有效路由，但是BGP只將最優路由發布給對等體；

前11個屬性完全相同的情況下，可通過命令maximum load-balancing ebgp|ibgp配置BGP負載分擔的最大等價路由條數，實現下發多條不同下一跳的BGP路由到IP路由表中，預設值為1，不進行BGP路由負載分擔；

如果滿足負載分擔條件的BGP路由數大於定義的BGP負載分擔規格，繼續從第12條規則比較下去；

到達同一目的地的eBGP路由和iBGP路由不能形成負載分擔，如果最優路由是ibgp路由，則只是ibgp路由形成負載分擔；如果最優路由是ebgp路由，則只是ebgp路由形成負載分擔；

預設情況下，BGP只對AS-path屬性完全相同的路由進行負載分擔，也適用於聯盟內部的自治系統之間，可通過命令load-balancing as-path-ignore配置路由在形成負載分擔時不比較路由的as-path屬性，但是該方式可能會引起路由環路；

2、下一跳路由的負載分擔

BGP區別於IGP協議的一點是其下一跳地址可以是非直連路由的介面IP，非直連的下一跳在路由器上會執行迭代路由進行查找路由表，BGP依賴下一跳路由來轉發數據，所以如果下一跳地址所對應路由在IP路由表中是負載分擔的（IGP的ICMP），也就間接實現了BGP報文轉發的負載分擔；

BGP同步

在華為VRP平台中，BGP同步默認是關閉的，並且不能手動開啟；

BGP同步指BGP路由器必須與IGP同步，AS內的路由器不僅要通過BGP學習到此路由，並且要從IGP協議學習到該路由，才會將該路由通告給eBGP鄰居；

除了BGP同步外，避免路由黑洞問題的方法還有IBGP全互連、RR、聯盟、MPLS VPN；

四、BGP路由及默認路由

1、生成BGP路由，BGP協議自身是不能發現路由的

（1）通過network方式生成來自IGP的路由

將IP路由表中存在的路由注入進BGP，注入的路由要和IP路由表中路由的前綴和掩碼一致；

network方式注入的路由，origin屬性為igp；

（2）通過import-route方式引入外部路由

import-route方式引入外部路由，origin屬性為incomplete；

（3）通過aggregate進行聚合的路由

自動聚合

自動聚合只能對import引入的路由進行有類聚合，不能對network方式注入的路由進行自動聚合；

自動聚合通過命令summary automatic實現，只能在引入路由的設備上生效，預設未啟用；

手動聚合

手動聚合通過命令aggregate可以對BGP路由表中的路由進行聚合；

如果聚合路由中所包含的明細路由的origin屬性各不相同，那麼聚合路由的origin屬性按照優先順序incomplete>egp>igp;

聚合路由會繼承原明細路由中的所有團體屬性；

聚合時可以攜帶關鍵字：

detail-suppressed    預設手工聚合後通告所有明細路由，此參數抑制明細路由；

suppress-policy        用來實現部分抑制，部分不抑制，匹配route-policy的明細才抑制；

as-set        聚合路由as-path繼承成員明細路由的AS號，預設聚合路由會丟失明細的AS信息；

與普通as-path的segment類型as-sequence不同的是，as-set類型是一種AS號的無序集合；

對明細路由做聚合時，把所有明細路由AS-Path由前向後相同的部分放在（）的前面，其餘部分去重後放入（）；

origin-policy             有條件的聚合，只有滿足route-policy匹配條件時，才生成聚合路由；

attribute-policy        用來修改聚合路由的屬性；

2、默認路由

如果一台設備在網路中有多個EBGP鄰居，或者存在多個路由反射器，那麼該設備將會從鄰居或者反射器接收全網的路由，該設備也會向本AS內的IBGP對等體發布路由，這樣會極大地增加路由表的容量，通過向對等體發布預設路由，減少對等體路由表的數量。

通過命令peer x.x.x.x default-route-advertise向對等體發布一條默認路由，可以通過route-policy來設置默認路由的屬性；

參數conditional-route-match-any/all用來設置匹配條件，如果滿足條件則發布默認路由；

（1）any指當匹配任一條件時，發布默認路由；

（2）all指當匹配所有條件時，發布默認路由；

㈡ 鍗庣 RT-AC54U璺鐢卞櫒鍥轟歡鍔熻兘浣跨敤璇存槑

銆銆瀹藉甫璺鐢卞櫒鍦ㄤ竴涓緔у噾鐨勭卞瓙涓闆嗘垚浜嗚礬鐢卞櫒銆侀槻鐏澧欍佸甫瀹芥帶鍒跺拰綆＄悊絳夊姛鑳斤紝鍏峰囧揩閫熻漿鍙戣兘鍔涳紝鐏墊椿鐨勭綉緇滅＄悊鍜屼赴瀵岀殑緗戠粶鐘舵佺瓑鐗圭偣銆傛湰綃囨枃絝犱富瑕佷粙緇嶄簡鍗庣 RT-AC54U璺鐢卞櫒鍥轟歡鍔熻兘浣跨敤璇存槑錛屾垜瑙夊緱鎸轟笉閿欑殑錛岀幇鍦ㄥ垎浜緇欏ぇ瀹訛紝涔熺粰澶у跺仛涓鍙傝冦備竴璧瘋窡闅忔垜榪囨潵鐪嬬湅鍚

銆銆鍏蜂綋浠嬬粛

銆銆鍗庣 RT-AC54U榪欐捐礬鐢卞櫒鍥轟歡錛岀晫闈㈠仛鐨勫緢涓嶉敊(璧風爜姣擮penWrt瑕佸ソ鐪)錛屽姛鑳戒篃姣旇緝寮烘倣錛屼絾鏄瀵逛簬鍒氬叆鎵嬭繖涓鍥轟歡鐨勭敤鎴峰彲鑳戒細瀵規ゅ滻浠剁殑涓浜涘緢濂界敤鐨勫姛鑳芥棤浠庝笅鎵嬶紝鎵浠ヨ繖閲屾垜灝卞啓涓嬩簡榪欎釜鏂囩珷銆

銆銆鍥轟歡鐩稿叧淇℃伅

銆銆鍥轟歡婧愪唬鐮佸湴鍧錛歱adavan / rt-n56u — Bitbucket

銆銆鍥轟歡婧愪唬鐮佺紪璇戣存槑錛欻owToMakeFirmware

銆銆浣跨敤璇存槑

銆銆鎺у埗鍙拌存槑

銆銆姝ゅ勫氨鏄璺鐢卞櫒鐨勫懡浠ゆ帶鍒跺彴錛屽拰Linux鐨勫懡浠よ屾搷浣滀竴鏍楓

銆銆榪欓噷鍙浠ヤ嬌鐢ㄨ剼鏈榪涜岃嚜鍔ㄥ垎嫻佽劇疆銆傚姞鍏ユ櫤鑳藉垎嫻佽剼鏈鍚庡氨鑳藉噺杞籚PN鐨勮礋鎷, 鍜屽炲姞璁塊棶鍥藉唴緗戠珯鐨勯熷害銆

銆銆棣栭〉瑕佹湁VPN鐨勮處鍙峰瘑鐮侊紝鎺ヤ笅鏉ユ寜鐓т笅鍥捐劇疆錛

銆銆adbyby騫垮憡榪囨護鎻掍歡

銆銆淇鏀瑰畬鎴愬悗錛岃繘琛屼繚瀛樺苟杞閲嶅惎(鍙充笂瑙掔殑閲嶅惎鎸夐挳錛屼笉鏄璺鐢卞櫒涓婄殑閲嶅惎鎸夐挳)

銆銆SS鍔熻兘璁劇疆

銆銆淇鏀瑰畬鎴愬悗錛岃繘琛屼繚瀛樺苟杞閲嶅惎(鍙充笂瑙掔殑閲嶅惎鎸夐挳錛屼笉鏄璺鐢卞櫒涓婄殑閲嶅惎鎸夐挳)

銆銆榪欎釜鍥轟歡榪樻湁鍑犱釜鍔熻兘錛岃繖閲屾垜鍙浠嬬粛浜嗗嚑涓甯哥敤鐨勫姛鑳姐

銆銆鐩稿叧闃呰伙細璺鐢卞櫒瀹夊叏鐗規у叧閿鐐

銆銆鐢變簬璺鐢卞櫒鏄緗戠粶涓姣旇緝鍏抽敭鐨勮懼囷紝閽堝圭綉緇滃瓨鍦ㄧ殑鍚勭嶅畨鍏ㄩ殣鎮ｏ紝璺鐢卞櫒蹇呴』鍏鋒湁濡備笅鐨勫畨鍏ㄧ壒鎬э細

銆銆(1)鍙闈犳т笌綰胯礬瀹夊叏 鍙闈犳ц佹眰鏄閽堝規晠闅滄仮澶嶅拰璐熻澆鑳藉姏鑰屾彁鍑烘潵鐨勩傚逛簬璺鐢卞櫒鏉ヨ達紝鍙闈犳т富瑕佷綋鐜板湪鎺ュ彛鏁呴殰鍜岀綉緇滄祦閲忓炲ぇ涓ょ嶆儏鍐典笅錛屼負姝わ紝澶囦喚鏄璺鐢卞櫒涓嶅彲鎴栫己鐨勬墜孌典箣涓銆傚綋涓繪帴鍙ｅ嚭鐜版晠闅滄椂錛屽囦喚鎺ュ彛鑷鍔ㄦ姇鍏ュ伐浣滐紝淇濊瘉緗戠粶鐨勬ｅ父榪愯屻傚綋緗戠粶嫻侀噺澧炲ぇ鏃訛紝澶囦喚鎺ュ彛鍙堝彲鎵垮綋璐熻澆鍒嗘媴鐨勪換鍔°

銆銆(2)韜浠借よ瘉璺鐢卞櫒涓鐨勮韓浠借よ瘉涓昏佸寘鎷璁塊棶璺鐢卞櫒鏃剁殑韜浠借よ瘉銆佸圭璺鐢卞櫒鐨勮韓浠借よ瘉鍜岃礬鐢變俊鎮鐨勮韓浠借よ瘉銆

銆銆(3)璁塊棶鎺у埗瀵逛簬璺鐢卞櫒鐨勮塊棶鎺у埗錛岄渶瑕佽繘琛屽彛浠ょ殑鍒嗙駭淇濇姢銆傛湁鍩轟簬IP鍦板潃鐨勮塊棶鎺у埗鍜屽熀浜庣敤鎴風殑璁塊棶鎺у埗銆

銆銆(4)淇℃伅闅愯棌涓庡圭閫氫俊鏃訛紝涓嶄竴瀹氶渶瑕佺敤鐪熷疄韜浠借繘琛岄氫俊銆傞氳繃鍦板潃杞鎹錛屽彲浠ュ仛鍒伴殣鈃忕綉鍐呭湴鍧錛屽彧浠ュ叕鍏卞湴鍧鐨勬柟寮忚塊棶澶栭儴緗戠粶銆傞櫎浜嗙敱鍐呴儴緗戠粶棣栧厛鍙戣搗鐨勮繛鎺ワ紝緗戝栫敤鎴蜂笉鑳介氳繃鍦板潃杞鎹㈢洿鎺ヨ塊棶緗戝唴璧勬簮銆

銆銆(5)鏁版嵁鍔犲瘑

銆銆涓轟簡閬垮厤鍥犱負鏁版嵁紿冨惉鑰岄犳垚鐨勪俊鎮娉勬紡錛屾湁蹇呰佸規墍浼犺緭鐨勪俊鎮榪涜屽姞瀵嗭紝鍙鏈変笌涔嬮氫俊鐨勫圭鎵嶈兘瀵規ゅ瘑鏂囪繘琛岃В瀵嗐傞氳繃瀵硅礬鐢卞櫒鎵鍙戦佺殑鎶ユ枃榪涜屽姞瀵嗭紝鍗充嬌鍦↖nternet涓婅繘琛屼紶杈擄紝涔熻兘淇濊瘉鏁版嵁鐨勭佹湁鎬с佸畬鏁存т互鍙婃姤鏂囧唴瀹圭殑鐪熷疄鎬с

銆銆(6)鏀誨嚮鎺㈡祴鍜岄槻鑼

銆銆璺鐢卞櫒浣滀負涓涓鍐呴儴緗戠粶瀵瑰栫殑鎺ュ彛璁懼囷紝鏄鏀誨嚮鑰呰繘鍏ュ唴閮ㄧ綉緇滅殑絎涓涓鐩鏍囥傚傛灉璺鐢卞櫒涓嶆彁渚涙敾鍑繪嫻嬪拰闃茶寖錛屽垯涔熸槸鏀誨嚮鑰呰繘鍏ュ唴閮ㄧ綉緇滅殑涓涓妗ユ併傚湪璺鐢卞櫒涓婃彁渚涙敾鍑繪嫻嬶紝鍙浠ラ槻姝涓閮ㄥ垎鐨勬敾鍑匯

銆銆(7)瀹夊叏綆＄悊

㈢ pptp涓嶉渶瑕佸～瀵嗛掗

pptp涓嶉渶瑕佸～瀵嗛掗濡備笅
MPPE鍏跺疄涓鑸灝辨槸鐢ㄤ簬PPTP鐨勪竴縐嶅姞瀵嗗崗璁錛屼竴鑸琍PTP灝辨槸鍩轟簬榪欎釜鐨勩備絾鏄錛岃繖涓鍗忚鏈韜鏄鍩轟簬瀵嗛掗鍔犲瘑鐨勶紝涔熷氨鏄鍙﹀栫殑涓緋誨垪鍚嶈瘝錛
Microsoft Challenge Handshake Authentication Protocol (MS-CHAP),
Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2),
Extensible Authentication Protocol-Transport Level Security (EAP-TLS)
涓婅堪涓変釜璁よ瘉鐢ㄦ潵鎻愪緵瀵嗛掗銆備簬鏄灝卞紩鍑轟簡鏈鍚庣殑闂棰橈紝鑳藉惁琚鎴鑾楓傚叾瀹炴埅鑾風殑榪欎釜闂棰樺繀鐒跺瓨鍦錛屾埅鑾鋒湰韜灝辨槸鎶撳埌鎶ユ枃銆備絾鏄鎶撳埌鎶ユ枃涓嶄唬琛ㄨ兘澶熻В鏋愬嚭鍏朵腑鍚涔夈傛墍浠ョ牬璇戠殑闂棰樿嚦鍏抽噸瑕併侻PPE鏈夌‖浼わ紝紜浼ゅ氨鏄涓鏃﹀瘑閽ョ煡閬撲簡錛岄偅灝卞交搴曡鐮磋瘧浜嗐傜浉姣斾箣涓嬶紝OpenVPN灝辨瘮PPTP濂戒簡錛岃嚦灝慜penVPN涓嶆槸閭ｄ箞瀹規槗琚鐮磋瘧錛堟垜涔熷彧鏄鍚鍒浜鴻ㄨ猴紝瀵規よ█璁轟笉璐熷叾浠栬矗浠伙級銆備絾鏄疧penVPN鍦ㄤ嬌鐢ㄤ笂鍙鑳芥湁寰堝ぇ灞闄愭э紝姣曠珶鐜板湪鐨勬墜鎸佺粓絝璁懼囧苟涓嶆槸閮芥敮鎸佺殑銆傝孭PTP鍒欐槸鏀鎸佺殑鍗佸垎騫挎硾錛屽敮涓鐨勯棶棰樺彲鑳芥槸榪愯屽晢鐨勯棶棰樸傝繍琛屽晢闈炶佸皝鎴慞PTP錛屾垜涔熸病鍔炴硶銆傚傛灉瀵瑰姞瀵嗚佹眰騫墮潪鏃跺垎閲嶈嗙殑鎯呭喌涓嬶紝浣跨敤濂界殑瀵嗙爜鏈哄埗錛屼嬌鐢≒PTP涔熸槸鍙浠ョ殑銆