1、ICS 33.040.40M33YU中华人民共和国通信行业标准YD/T 1342-2005IPv6路由协议支持IPv6的边界网关协议(BGP4 )IPv6 routing protocol-Border Gateway Protocol4 (BGP4) for IPv62005-05-11发布2005-11-01实施中华人民共和国信息产业部发布丫D/T 1342-2005目次前言?n范围,1规范性引用文件1术语和定义,1缩略语-,2概述,2BGP4多协议扩展31内乙傀J4ll66.1 MP_REACH-NI.RI属性36.2 MP UNREACHes NI.RI属性,.56.3 NLRI编码。
2、56.4子序列地址族标识符(SAFI )。.56.5差错处理一,56.6 BGP能力发布66.7 IANA对SAFI数值定义6BGP4多协议扩展对IPv6的支持.67.1基本要求。.。67.2 IM地址范围77.3构造下一跳域.77.4传翰7安全问题. 7前言本标准主要以IETF的RFC 2858和RFC 2545为基础,重点规定了BGP4协议的多协议扩展机制,以及多协议扩展对IM协议的支持。本标准是“支持IM的路由协议”系列标准之一。本系列标准预计的结构及名称如下:1. (IM路由协议支持IM的边界网关协议仍GP4)2.支持IM的路由协议技术要求开放最短路径优先协议(OSPF)3.支持IM的
3、路由协议一致性测试方法边界网关协议(BGP4) )4.支持IM的路由协议一致性测试方法开放最短路径优先协议(OSPF)与本系列标准相关的标准还有“路由协议一致性测试方法”系列标准,该系列标准中的路由协议是支持IPv4的路由协议,标准结构如下:1. YD/T 1251.1-2003路由协议一致性测试方法边界网关协议(BGP4)2. YD/T 1251.2-2003路由协议一致性测试方法中间系统到中间系统路由交换协议(IS-IS)3. YD/T 1251.3-2003路由协议一致性测试方法开放最短路径优先协议(OSPF)本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院本标
4、准主要起草人:李健芳武静景东风黄晖丫D/T 1342-2005IM路由协议IM的边界网关协议旧GP4)范围本标准规定了支持IM网络层协议的BGP4协议的技术要求,包括:BGP4协议的多协议扩展机制和利用多协议扩展定义的新属性传送IM路由信息的机制。本标准适用于IM网络上支持BGP协议的路由器。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1341-2005 IM基
5、本协议IM协议RFC 1700 (1994)分配号码RFC 1771 (1995) BGP4协议RFC 1772 (1995)边界网关协议(BGP)在因特网中的应用RFC 1773 (1995) BGP4协议经验RFC 1774 (1995) BGP4协议分析RFC 1997 (1996) BGP聚合属性RFC 2545 (1999) BGP4多协议扩展对IM自治域之间路由的支持RFC 2858 (2000) BGP4多协议扩展3术语和定义下列术语和定义适用于本标准。3.1自治域Autonomous System具有独立的选路策略的和惟一的内部网关路由协议的管理区。3.2BGP发官者BGP S
6、peaker保存BGP路由信息,运行BGP路由选择程序的路由器。3.3BGP对等体BGP Peer两个BGP发言者之间相互连接,完成路由信息的交互,这两个路由器就称为BGP对等体。3.4解结过程Ties Breaking用于BGP发言者在具有相同优先权、相同的目的地地址的候选路由中,选择某一路由的方法或过程。3.5数字签名Digital Signature对信息来源进行认证的手段,一般借用公钥加密体系实现。丫D/T 1342-20054缩略语下列缩略语适用于本标准。AS Autonomous与stemASN Autonomous System NumberAFI Address Family
7、IndificatorBGP Roder Gateway ProtocolDOS Denial of ServiceEGP External Gateway ProtocolFIFO First In First OutICMP Internet Control Message ProtocolIGP Interior Gateway ProtocolIANA Internet Assigned Numbers AuthorityIP Internet ProtocolIPX Intemetwork Packet ExchangeMP Multi-ProtocolNLRI Network La
8、yer Routing InformationRIP Routing Information ProtocolSAFI Subsequent Address Family IndentifierSNPA SubNetwork Points of AttachmentTCP Transmission Control Protocol自治域自治域号地址族标识符边界网关协议拒绝服务外部网关协议先进先出因特网控制报文协议内部网关协议互联网编号分配机构因特网协议网间报文交换协议多协议扩展网络层可到达信息路由信息协议子序列地址族标识符子网连接点传输控制协议5概述BGP4协议用于承载IPv4的路由选择信息的
9、相关技术规定,参见RFC 1771, RFC 1772, RFC 1773和RFC 1774。其中,支持IPv4协议的BGP4协议中规定的以下3种属性是明确与IPv4协议相关的:1) NEXT- HOP属性(使用IPv4地址表示);2) AGGREGATOR属性(存储IPv4地址);3) NLRI属性(利用IPv4的地址前缀表示)。为了使BGP4协议能够支持多种网络层协议,如IPv6, IPX等,本标准规定了一种BGP4多协议扩展来实现BGP4协议对IPv6协议的支持。本标准首先假定任何一个BGP发言者(包括具有本标准所定义的多协议功能的发言者)都具有一个IPv4地址,因此欲使BGP4协议能够
10、支持多种网络层协议进行路由选择,只需在BGP4协议中增加如下两个功能:1) BGP4新增的信息必须将某一特定网络层协议与下一跳信息相关联,即下一跳地址用指定的网络层协议地址表示;2)具备将某一特定网络层协议与NLRI相关联的能力,本标准将使用地址族来区别不同的网络层协议。当且仅当BGP4协议需要发布可到达目的地的路由消息时,消息中所包含的NEXT-HOP属性必须提供下一跳地址信息,当BGP4协议需要发布从服务器上撤销的某些不可到达的目的地路由信息时,NEXTes HOP属性不必提供下一跳地址信息。因此,应将BGP4协议中的路由消息中所包含的可到达目的地信息与下一跳地址信息组合起来一起发布,并且
11、可到达目的地的路由消息发布应该从不可到达目的地的路由消息发布中分离出来。本标准所规定的多协议扩展具有向后兼容性,例如,一台支持多协议扩展的路由器能够与一台不支持扩展的路由器相兼容操作。丫D/T 1342-20056 BGP4多协议扩展本标准对BGP4协议扩展两个新的路径属性:MP REACH_ NLRI属性(多协议可到达NLRI)和MP_UNREACH-NLRI属性(多协议不可到达NLRI ),见表1。通过这两个属性,BGP4路由协议可U发布多种网络层协议(如IPv6, IPX等)的路由选择信息。表,BGP4多协议扩展新增路径属性列表属性名类型码用途MP REACH_ NLRI14用于承载可到
12、达目的地集合,以及用作这些目的地转发数据包的下一跳信息MP_UNREACH NLRI15用来承载不可到达目的地集合这两个属性都是可选非传递属性(参见RFC 1771)0“可选非传递”是指当BGP发言者接收到的BGP4消息中包含不能识别的可选属性,且消息中该属性的传递标记位置为“非传递”时,则BGP发言者应忽略该属性,且不能将该属性传递给其他BGP4对等体。因此,当不能支持BGP4多协议扩展的BGP发言者接收到包含这两个属性的BGP4消息时、应忽略这些属性中所包含的信息,并且不应将这些信息传送给其他的BGP对等体。这种多协议扩展方式可以提供后向兼容性,即支持多协议扩展的路由器可以与不支持多协议扩
13、展的路由器进行互通操作。6.1 MP_ REACH_ NLRI属性MP REACH NLRI属性可用于如下目的:1)向BGP对等体发布一条有效的路由;2)允许路由器发布其网络层地址,其中网络层地址位于MP-NLRI属性的网络层可到达信息字段中,该地址用来作为目的地的下一跳地址;3)允许一个指定的路由器报告其所在自治域系统内的部分或者全部的附加子网连接点(SNPA)oMP REACH_ NLRI属性的编码格式见表2a裹2 MR-REACH_ NLRI月性的编码格式地址族标识符(2字节)子序列地址族标识符(1字节)下一跳网络地址长度(1字节)下一跳网络地址(可变)SNPA数目(I字节)第一个SNP
14、A的长度(1字节)第一个SNPA(可变)第二个SNPA的长度(1字节)最后一个SNPA长度(1字节)最后一个SNPA(可变)网络层可到达信息(可变)1)地址族标识符(AFI )YD/T 1342-2005该字段长度为2个字节,用于承载与网络地址相关的网络层协议标识,该字段数值的定义参见RFC17加。2)子序列地址族标识符(SAFI )该字段长度为1个字节,用于承载属性中所包含的网络层可到达信息类型的额外信息。3)下一跳网络地址长度该字段长度为1个字节,其数值表示“下一跳网络地址”字段的长度,长度以字节为单位。4)下一跳网络地址该字段为可变长度字段,表示路径中到达目的地的下一个路由器的网络地址。
15、5) SNPA数目该字段长度为1个字节,表示列在该属性后面字段中的SNPA的数目。数值等于“0”表示属性中不包含SNPA.6)第N个SNPA的长度该字段长度为1个字节,其数值表示下一跳的第N个SNPA字段的长度,长度以半字节为单位。7)下一跳的第N个SNPA该字段长度为可变,用于承载“下一跳网络地址”字段所指定的路由器的一个SNPA。该字段长度为字节的整数倍,即“第N个SNPA的长度”字段所表示的数值的一半近似整数值。如果SNPA的长度为半字节的奇数倍,则该字段中的数值会以全“0半字节来进行尾部填充。8)网络层可到达信息(NLRI )该字段长度为可变,用于承载这个属性发布的有效路由中所列出的N
16、LRI。当子序列地址族标识符字段设置为本标准所定义的数值时,则NLRI的编码参见本标准6.3节。在MP REACH_ NLRI路径属性中承载的下一跳地址信息指定了边缘路由器的网络层地址,该边缘路由器应该是作为UPDATE消息中所包含MPee NLRI属性中所列出的目的地的下一跳。当路由器需要将MP REACH_ NLRI属性发布给外部对等体时,假定此外部对等体与该路由的下一跳地址处于同一个子网网段,则该路由器可以将自己的一个内部接口地址作为MP_REACH_NLRI属性的下一跳地址信息进行发布,这种方式也称为第一方下一跳(First Party),同时,BGP发言者也可以将自己的任何一个内部对
17、等路由器的一个接口地址作为MPwe REACH一LRI属性的下一跳地址信息进行发布,这种方式称为第三方下一跳(Third Party).假定此边缘路由器的网络地址是从一个外部对等体学习到的,且该外部对等体与该路由的下一跳地址处于同一个子网网段,则BGP发言者可以将任何一个外部对等体作为MP REAC几NLRI属性的下一跳地址信息进行发布,这种方式也称为第三方下一跳的第二种形式。通常下一跳地址是基于最短可用路径来进行选择。当出于某种策略因素考虑或为了处理不正确的桥式媒体,BGP发言者应支持避免第三方下一跳地址信息的发布。当BGP发言者发起路由时,该BGP发言者不能将一个对等体的地址作为下一跳地址
18、发布给该对等体。同时,一个BGP发言者也不能接收一条将自己作为下一跳的路由信息。当一个BGP发言者将一条路由信息发布给内部对等体时,BGP发言者不应该修改与该路由相关的下一跳信息。当一个BGP发言者通过内部链路接收到路由信息,如果属性中的所包含的地址与本地或远端的BGP发言者处于同一个子网网段,则该BGP发言者将接收到的路由信息发布给下一跳地址。不管是在EBGP和IBGP消息流程中,如果UPDATE消息承载了MP-REACH NLRI属性,则该消息必须同时承载ORIGIN属性和AS-PATH属性。并且在IBGP消息流程中,UPDATE消息还必须承载LOCAL一 PREF属性。如果本地BGP发言
19、者从外部对等体接收到一条携带M几REACH_ NLRI属性的UPDATE消息,则BGP发言者应检查消息中AS_ PATH属性所包含的自治域号码(AS)是否等于对等体的自治域号码。如果AS PATH属性中所包含的自治域号码(AS)不等于对等体的自治域号码,则本地BGP发言者将发送NOTIFICATION消息,且消息错误码为3 (UPDATE Message Error),错误子码为11(Malformed AS-PATH) o如果除了在MP_REACH_NLRI属性中承载有NLRI信息之外,UPDATE消息中未承载其他NLRI信4YD/T 1342-2005息,则UPDATE消息不应承载下一跳地
20、址NEXTes HOP属性。如果BGP发言者接收到此类消息中包含NEXT HOP属性,则BGP发言者应忽略消息中NEXT HOP属性。6.2 MP一 UNREACH NLRI属性该属性能够用于从路由器中撤销若干不可到达路由,编码格式见表3a表3 MP_ UNREACH一LRI属性的编码格式AR (2字节)SAFI (I字节)撒销的路由(可变)1)地址族标识符(AFT)该字段用于承载与NLRI相关的网络层协议标识,该字段数值的定义参见RFC 170002)子序列地址族标识符(SAFI)该字段用于承载属性中所包含的网络层可到达信息类型的额外信息。3)撤销的路由(Withdrawn Routes)该
21、字段为可变字节长度,用于承载从服务中撤销的路由所列出的NLRI。当子序列地址族标识符字段设置为本标准所定义的数值时,则NLRI的编码参见本标准6.3节。如果UPDATE消息包含MP UNREACHes NLRI属性.则该消息不需要承载任何其他的路径属性。6.3 NLRI编码网络层可到达信息(NLRI )字段编码由一个或多个两维数组组成,两维数组格式为长度,前缀),字段编码方式见表40裹4 NLRI给码Length (1字节)Prefix(可变)1) Length(长度)该字段用于指示地址前级字段的长度,以比特为单位。当其数值等于“0时,指示地址前缀将匹配地址族标识符字段所指示的具有相同地址前缀
22、的所有的地址。2) Prefix(前缀)前级字段包含一个地址前缀,在地址前缀的后面有足够多的填充比特,这些填充比特使该字段长度为字节的整数倍。需要指出的是.填充比特的数值是不相关的。6.4子序列地址族标识符(SAFI )MPee REACH- NLRI属性和MP-UNREACH-NLRI属性中所包含的子序列地址族标识符字段定义的数值和含义分别如下所示:1一网络层可到达信息用于单播转发;2一网络层可到达信息用于多播转发;3一网络层可到达信息同时用于单播和多播转发。丘5差错处理如果一个BGP发言者接收到从邻居发来的一条包含MP REACHes NLRI属性或者MP-UNREACH_NLRI属性的U
23、PDATE消息,并且接收方确定消息所包含的属性不正确,则消息接收方必须撤销所有从相同的邻居接收来的,并且具有与不正确的MP-REACHes NLRI或MP_UNREACH-NLRI属性中所承载的相同的AFI/SAFI的BGP路由。对于接收到此错误UPDATE消息的BGP会话期间,BGP发言者应该忽略所有此会话丫D/T 1342-2005期间接收到的具有相同AFI/SAFI的子序列路由。除此之外,BGP发言者可以中断接收到这种不正确UPDATE消息的BGP会话。会话中断应该使用NOTIFICATION消息,并且消息错误码为3 (Update Message Error),错误子码为9 (Opti
24、onal Attribute Error).6.6 BGP能力发布使用多协议扩展的BGP发言者应该使用能力发布程序BGP-CAP来确定是否能够与一个特定的对等体来进行多协议扩展BGP的能力交互。BGP能力参数为可选参数,字段编码参见RFC 1771。其中能力代码字段设置为“1,用于指示多协议扩展能力,能力长度字段设置为“4。能力数值字段设置定义如图1所示。0 7 15 23 31A。一、一S人n图1能力字段编码该字段中各参数的含义和用途如下:I ) AFI(地址族标识符),长度为16比特,编码方式同前所述。2) Res(预留字段),长度为8比特,消息发送方应将该字段设置为“0,消息接收方应忽略
25、该字段。3) SAFI(子序列地址族标识符),长度为8比特,编码方式同前所述。支持多个AFI, SAFI数组的BGP发言者应将它们作为能力可选参数的多重能力。为了在一对指定的BGP发言者之间双向交换伍FI, SAFI所指定的路由选择信息,每一个BGP发言者必须通过能力发布机制,将能支持林FI, SAFI所指定路由的能力发布给对等体。支持多个AFI, SAFI)数组的BGP发言者应将它们作为能力可选参数的多重能力。为了在一对BGP发言者之间互相交换特定AFI, SAFI)的路由选择信息时,每一个BGP发言者必须通过能力发布机制,将能支持特定AFI, SAFI)的路由的能力发布给对等体。6.7 I
26、ANA对SAFI数值定义本标准规定MPL REACHes NLRI属性和MP UNREACH NLRI属性包含的子序列地址族标识符(SAFI)字段值定义见表5.班5 SAFI字段值定义列衰SAFI数值含义0保留值1参见6.42参见6.44-63由IANA使用“IETF Consensus策略来进行分配64-127由IANA使用FIFO策略进行分配128-255私有用途,IANA不进行分配7 BGP4多协议扩展对!Pv6的支持本标准规定利用BGP4多协议扩展定义的MP_REACH_NLRI和MP UNREACH NLRI送IM路由信息的机制。7.1墓本要求BGP4协议和一般的距离向量路由协议一样
27、,通常是独立于协议所用的特定地址族的。BGP属性来传IM协议属于丫D/T 1342-2005BGP4协议所支持一种协议,除非特别说明,在本规范中,当BGP4携带IPv6的可达信息时,BGP4的处理程序在BGP4及其扩展或修改的BGP4规范中定义。在路由信息方面,IPv6和Hv4在BGP4中最主要不同是IPv6引人了区域化的单播地址,并且定义了必须使用特定地址范围的特定情况。本标准实质上主要是涉及那些适应IPv6地址范围要求的必要规则。7.2 IPv6地址范围IM协议定义了3种单播地址范围ADDR-ARCH:全局地址、站点本地地址和链路本地地址。站点本地地址是非本地链路地址,其在“站点”范围内有
28、效,但不能适用于站点范围之外。本标准对使用BGP4的特定路由域的特征不作假设,对全局地址和站点本地地址也没有具体区分,只是称它们为“全局”和“非链路本地”地址。然而,网络管理者必须遵守地址范围的区分规则,并明确BGP4路由域和“站点”概念是相互正交的,且BGP4路由域和“站点”在某些情况下可以是一致的,在某些情况下可以是不一致的。11,16的规范进一步定义了,只有链路本地地址可用于产生ICMP重定向消息以及在一些路由协议中作为下一跳的地址(如RIP)。这些限制暗示了一个IPv6路由器对于所有直连路由(即那些给出的路由器和下一跳路由器的子网前级相同的路由)必须有一个链路本地下一跳地址。但是,根据
29、BGP4协议规范中给出了的下一跳属性的规则,链路本地地址并不太适合用作BGP4中下一跳的属性。由于以上原因,当BGP4用于传送IPv6可达信息,在宣布下一跳属性时,某些时候需要同时包括一个全局地址和一个链路本地地址。本标准中7.3节描述了在构造MP一 REACH_ NLRI属性的下一跳域的网络地址时应遵守的规则。7.3构造下一跳域BGP发言者应将下一跳的全局IPv6地址在下一跳域的网络地址中广播给其对等体,下一跳的IPv6链路本地地址可能紧随其后。当只有一个全局地址时,在MPwe REACHes NLRI属性中下一跳网络地址域的长度值应置为16,而如果一个链路本地地址也包含在下一跳域中时,此字
30、段长度值为32。只有在BGP发言者下一跳域的网络地址中的IM全局地址标识的实体以及此路由要发布给的对等体共享相同的子网时,链路本地地址才包括在下一跳域中。其他情况下,BGP发言者在网络地址域广播给其对等体的只是下一跳的IPv6全局地址(下一跳域的网络地址长度值是16)。因此,BGP发言者广播一条路由给内部对等体时可以通过去掉下一跳的链路本地IPv6地址来修改下一跳的网络地址。7.4传翰BGP4消息交互发生在TCP连接之上,而TCP连接荃于IPv6和IPv4都可以建立。BGP4自身是独立于所使用的传输协议,只是用传翰协议从建立对等会话的地址中获得隐含的配置信息。此信息(对等体的网络地址)在路由分
31、发过程中要被考虑进去。所以,用基于IPv4的TCP连接来传送IM可达信息时,要求有倾外明确的对等体的网络地址配置信息。以上提到的信息有别于用在BGP4连接建立过程中的BGP身份标识。BGP身份标识是包含在OPEN消息里的一个32位无符号整数,在对等实体间建立会话时互相交换。BGP身份标识是整个系统适用的值,在启动时被确定,在网络中必须是惟一的;在给定时刻,无论一个特定BGP4实例被配置成传送何种网络层协议,此BGP身份标识要从IPv4地址中获取。用基于IM的TCP传辅协议传送IM可达信息有其优点,如可以在对等实体间提供IPv6可达的明确的确认。8安全问题本标准定义的BGP扩展机制允许BGP4协
32、议传播IM路由的可达信息,然而该扩展机制的并不改变BGP4协议中现有的传翰安全机制,具体内容可参见RFC 1771和RFC 17730BGP4协议提供了灵活的可扩展机制用于保证鉴权和安全,此机制可以提供复杂程度不同的安全机制。BGP4协议规定所有BGP会话过程采用BGP对等体的BGP标识来进行鉴权,除此之外,BGP对等体丫D/T 1342-2005的自治域号(ASN)也可以用于进行BGP会话鉴权。作为BGP鉴权机制的一部分,BGP4协议允许在BGP消息中协议携带加密的数字签名。鉴权失败会导致NOTIFICATION消息发送和BGP连接的立刻结束。由于BGP4协议承载于TCP/IP连接之上,因此,BGP4鉴权机制可以通过TCP或IP的任何鉴权和加密机制进行扩展。同理,由于BGP4协议承载于TCP/IP连接之上,BGP4协议也同样容易受到目前TCP协议中普遍存在的拒绝服务(DoS)或鉴权攻击。
