网络实战：从零搭建IDC数据中心 三线静态BGP互联网出口

IDC数据中心里边的静态BGP和动态BGP有什么区别，这个经常有人问。
今天，我以一名IDC网络工程师的身份，从零开始手动搭建一套IDC可以对外的静态三线BGP互联网出口，三线分别对应电信（AS4134）、联通（AS4837）和移动（AS9929），完整展示整个部署思路、原因与实现方式。

BGP出口优势

使用BGP带宽的优势，可以解决目前跨网访问丢包和高峰期网络不稳定的问题，对企业来说可以拥有一个简单的的稳定的互联网出口。

BGP带宽的价格通常都是电信+联通+移动单线价格相加的总和。

IDC基础资源准备

IDC正式部署BGP接入业务，申请成为CNNIC的会员。

CNNIC会分配给/23段的公网 IPv4 地址（截至到目前的分配政策是这样的）。

拿到IP地址段后，IDC需要主动联系三家运营商，这三家运营商会以各自的BGP AS号为起源，将这段地址代为广播到互联网。从而实现：

这个就是典型的静态BGP的代播模式。这种模式可以避免跨网中转访问，从而保证企业的业务体验感。

静态BGP有明显的缺点：当某个运营商的链路中断时，需要人工联系对方删除对外广播。在删除之前，这个运营商的网络访问会出现中断，这就是静态BGP的典型弊端。

运营商规则

在动手配置之前，先了解常见的节省成本的接入方式。
IDC会在同一家运营商处申请两条线路：

通过配置，IDC可以将从 10M BGP 线路学到的单运营商路由，其下一跳修改为 10G 静态互联出口地址，从而实现控制层面与数据层面的分离。

电信、联通、移动的接入逻辑都是这样。

示意图

IDC老板的需求（举例配置）

1、IDC老板已经花银子从CNNIC获取到一段地址23.23.23.0/24，准备分配给IDC里边的机柜托管用户，用于提供静态的BGP接入能力，并收取带宽的租金费用。

2、IDC老板已经和三家运营商都谈好了，每家运营商均提供2条线路，一条10M的BGP线路，一条10G的静态路由线路。

3、每家运营商的BGP线路只向IDC的路由器发放自己的BGP路由表，不发放其他路由表。举例：电信只给IDC发电信的路由表。

4、每家运营商均通过静态路由的方式将23.23.23.0/24下一跳指向IDC的互联路由器的互联接口。

5、每家运营商都会利用自己的BGP AS向全球互联网进行广播23.23.23.0/24，三家之间也会相互进行广播。

IDC网络攻城狮要解决的问题（举例配置）

1、要解决RPKI的校验问题（大部分都是NOT Found状态），也可以在互联网管理中心注册ROA多个起源AS，如下图是一个静态BGP的ROKI的状态：

2、要知道每家运营商对应的线路报障编号，以至于在链路中断之后能够及时的电话联系运营商删除受到影响的路由表。

3、需要将每家运营商的BGP路由表的下一跳，通过route-policy修改为静态IP地址互联的下一跳。以便实现电信走电信，联通走联通，移动走移动的网络。

4、因为三家运营商只发送了自己的路由表，全世界还有几百家运营商的路由表没学习到，所以需要增加默认路由到其中一个运营商上，以便能够穿透全球互联网。

设备配置

IDC路由器配置（华为路由器 模拟器）

1 对接电信的配置

1.1 基本接口

interface Ethernet0/0/0

 description China-CT-BGP Peer

 ip address 27.16.16.2 255.255.255.0

#

interface Ethernet0/0/1

 description China-CT-Static

 ip address 36.100.100.2 255.255.255.0

1.2 route-policy配置

此配置是将从电信Ethernet0/0/0学习来的路由，下一跳强制指定到电信静态路由出口上：

route-policy China-CT-import permit node 10

 if-match interface Ethernet0/0/0

 apply ip-address next-hop 36.100.100.1

1.3 BGP配置

bgp 65535

 router-id 23.23.23.0

 peer 27.16.16.1 as-number 4134

 peer 27.16.16.1 description China-CT

 #

 ipv4-family unicast

  reflector cluster-id 23.23.23.0

  undo synchronization

  dampening

  peer 27.16.16.1 enable

  peer 27.16.16.1 route-policy China-CT-import import

1.4 BGP状态校验

1.5 路由表校验

需要确认下一跳已经自动改成了静态接口

2 对接联通的配置

2.1 基本接口

interface GigabitEthernet0/0/0

 description China-CU-BGP Peer

 ip address 58.0.0.2 255.255.255.0

#

interface GigabitEthernet0/0/1

 description China-CU-Static

 ip address 60.0.0.2 255.255.255.0

2.2 route-policy配置

此配置是将从联通Gi 0/0/0学习来的路由，下一跳强制指定到联通静态路由出口上：

route-policy China-CU-import permit node 10

 if-match interface GigabitEthernet0/0/0

 apply ip-address next-hop 60.0.0.1

2.3 BGP配置

bgp 65535

 peer 58.0.0.1 as-number 4837

 peer 58.0.0.1 description China-CU

 #

 ipv4-family unicast

  undo synchronization

  dampening

  peer 58.0.0.1 enable

  peer 58.0.0.1 route-policy China-CU-import import

2.4 BGP状态校验

2.5路由表校验

需要确认下一跳已经自动改成了静态接口

3 对接移动的配置

3.1 基本接口

interface GigabitEthernet0/0/2

 description China-CM-BGP Peer

 ip address 1.28.28.2 255.255.255.0

#

interface GigabitEthernet0/0/3

 description China-CM-Static

 ip address 120.86.8.2 255.255.255.0

3.2 route-policy配置

此配置是将从移动Gi 0/0/2学习来的路由，下一跳强制指定到移动静态路由出口上：

route-policy China-CM-import permit node 10

 if-match interface GigabitEthernet0/0/2

 apply ip-address next-hop 120.86.8.1

3.3 BGP配置

bgp 65535

 peer 1.28.28.1 as-number 9929

 peer 1.28.28.1 description China-CM

 #

 ipv4-family unicast

  undo synchronization

  dampening

  peer 1.28.28.1 enable

  peer 1.28.28.1 route-policy China-CM-import import

3.4 BGP状态校验

3.5路由表校验

其他配置

ip route-static 0.0.0.0 0.0.0.0 27.16.16.1

总结

本次使用常规且常见的IDC做法，可以动态的更新运营商的路由表。

目前三家运营商的ipv4地址表总计不到5万条左右，注意设备性能。

当然还有很多直接用流控实现静态BGP的效果也很多，这个以后再实战。