1、ICS 33.040.40 M 33 YD 中华人民共和国通信行业标准YD厅1342-2005IPv6路由协议支持E怖的边界网关协议(BGP4)IPv6 routing protocol一一-BorderGateway pr侃侃。14(BGP4) for IPv6 2005-05-11发布2005-11-01实施中华人民共和国信息产业部发布YD厅1342-2005目次前言.n 1 范围.2 规范性引用文件3 术语和定义.4 缩略语.25 概述.26 BG.问多协议扩展. . 3 6.1 MP _REACH_Nl且I属性.3 6.2 MP _UNREACH_Nl且I属性.5 6.3 NLRI编码
2、. . 5 6.4 子序列地址族标识符(SAFI).-.5 6.5 差错处理. 5 6.6 BGP能力发布.6 6.7 IANA对SAFI数值定义.6 7 BGP4多协议扩展对IPv6的支持.67.1 基本要求.6 7.2 IP而地址范围. .7 7.3 构造下一跳域. 7 7.4 传输.7 8 安全问题.7 YDIT 1342-2005 前言本标准主要以IETF的RFC2858和RFC2545为基础,重点规定了BGP4协议的多协议扩展机制,以及多协议扩展对IPv6协议的支持。本标准是支持IP吨的路由协议系列标准之一。本系列标准预计的结构及名称如下:1. OPv6路由协议一一支持IP币的边界网
3、关协议但GP4)2. 支持IPv6的路由协议技术要求一一开放最短路径优先协议(OSPF)3. (支持IPv6的路由协议一致性测试方法一一边界网关协议(BGP4)4. (支持IPv6的路由协议一致性测试方法一一开放最短路径优先协议(OSPF)与本系列标准相关的标准还有路由协议一致性测试方法系列标准,该系列标准中的路由协议是支持IPv4的路由协议,标准结构如下:1. YD厅1251.1一23路由协议一致性测试方法一一边界网关协议但GP4)2. YD厅1251.2-23路由协议一致性测试方法一一中间系统到中间系统路由交换协议(IS-IS)3. YD/f 1251.3-23 路由协议一致性测试方法一一
4、开放最短路径优先协议(OSPF)本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院本标准主要起草人:李健芳武静景东风黄晖E YD厅1342-2005IPv6路由协议一一支持队局的边界网关协议(BGP4)1 范围本标准规定了支持IPv6网络层协议的BGP4协议的技术要求,包括:BGP4协议的多协议扩展机制和利用多协议扩展定义的新属性传送IPv6路由信息的机制。本标准适用于IPv6网络上支持BGP协议的路由器。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注目期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励
5、根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/f 1341-2005 RFC 17(1994 ) RFC 1771 (1 995) RFC 1772 (1995) RFC 1773 (1 995) RFC 1774 (1995) RFC 1997 (1 996) RFC 2545 (1 999) RFC 2858 (2000) IPv6基本协议一-IPv6协议分配号码BGP4协议边界网关协议(BGP)在因特网中的应用BGP4协议经验BGP4协议分析BGP聚合属性BGP4多协议扩展对IPv6自治域之间路由的支持BGP4多协议扩展3
6、 术语和定义下列术语和定义适用于本标准。3.1 自治域Autonomous System 具有独立的选路策略的和惟一的内部网关路由协议的管理区。3.2 BGP发言者BGP Speaker 保存BGP路由信息,运行BGP路由选择程序的路由器。3.3 BGP对等体BGP Peer 两个BGP发言者之间相互连接,完成路由信息的交互,这两个路由器就称为BGP对等体。3.4 解结过程Ties Breaking 用于BGP发言者在具有相同优先权、相同的目的地地址的候选路由中,选择某一路由的方法或过程。3.5 数字签名Digital Signature 对信息来源进行认证的手段,一般借用公钥加密体系实现。Y
7、DIT 1342-25 4 缩畸语下列缩略i吾适用于本标准。川剧朋阳mmmmm川FmwmMmmmAutonomous System Autonomous System Numher Address Family Indificator Boder Gateway Protocol Denial of Service External Gateway Protocol First In First Out Internet Control Message Protocol Interior Gateway Protocol Internet Assigned Numhers Authority
8、Internet Protocol Internetwork Packet Exchange Multi-Protocol Network Layer Routing Information Routing Information Protocol Subsequent Address Family Indentifier SubNetwork Points of Attachment Transmission Control Protocol 自治域自治域号地址族标识符边界网关协议拒绝服务外部网关协议先进先出因特阿控制报文协议内部网关协议互联网编号分配机构因特网协议网间报文交换协议多协议扩展
9、网络层可到达信息路由信息协议子序列地址族标识符子网连接点传输控制协议5概述BGP4协议用于承载IPv4的路由选择信息的相关技术规定,参见RFC1771、RFC1772、RFC1773 和RFC1774。其中,支持IPv4协议的BGP4协议中规定的以下3种属性是明确与IPv4协议相关的:1) NEXT_HOP属性(使用IPv4地址表示); 2) AGGREGATOR属性(存储IPv4地址); 3) NLRI属性(利用IPv4的地址前缀表示)。为了使BGP4协议能够支持多种网络层协议,如IPv6、IPX等,本标准规定了一种BGP4多协议扩展来实现BGP4协议对IPv6协议的支持。本标准首先假定任何
10、一个BGP发言者(包括具有本标准所定义的多协议功能的发言者)都具有一个IPv4地址,因此欲使BGP4协议能够支持多种网络层协议进行路由选择,只需在BGP4协议中增加如下两个功能:1) BGP4新增的信息必须将某-特定网络层协议与下一跳信息相关联,即下一跳地址用指定的网络层协议地址表示;2)具备将某一特定网络层协议与NLRI相关联的能力,本标准将使用地址族来区别不同的网络层协议。当且仅当BGP4协议需要发布可到达目的地的路由消息时,消息中所包含的NEXT_HOP属性必须提供下一跳地址信息,当BGP4协议需要发布从服务器上撤销的某些不可到达的目的地路由信息时,NEXT_HOP属性不必提供下一跳地址
11、信息。因此,应将BGP4协议中的路由消息中所包含的可到达目的地信息与下一跳地址信息组合起来一起发布,并且可到达目的地的路由消息发布应该从不可到达目的地的路由消息发布中分离出来。本标准所规定的多协议扩展具有向后兼容性,例如,一台支持多协议扩展的路由器能够与一台不支持扩展的路由器相兼容操作。2 YDIT 1342-25 6 BGP4多协议扩展本标准对BGP4协议扩展两个新的路径属性:MP _REACH_NLRI属性(多协议可到达NLRI)和MP _UNREACH_NLRI属性(多协议不可到达NLRI),见表1。通过这两个属性,BGP4路由协议可以发布多种网络层协议(如IPv6、IPX等)的路由选择
12、信息。表1BGP4多协议扩展新增路径属性列褒属性名类型码用途MP REACH NLRI 14 用于承载可到达目的地集合,以及用作这些目的地转发数据包的下一跳信息MP UNREACH NLRI 15 用来承载不可到达目的地集合这两个属性都是可选非传递属性(参见RFC177 1) 0 可选非传递是指当BGP发言者接收到的BGP4消息中包含不能识别的可选属性,且消息中该属性的传递标记位置为非传递时,则BGP发言者应忽略该属性,且不能将该属性传递给其他BGP4对等体。因此,当不能支持BGP4多协议扩展的BGP发言者接收到包含这两个属性的BGP4消息时,应忽略这些属性中所包含的信息,并且不应将这些信息传
13、送给其他的BGP对等体。这种多协议扩展方式可以提供后向兼容性,即支持多协议扩展的路由器可以与不支持多协议扩展的路由器进行互通操作。6.1 MP _REACH_NLRI属性MP _REACH_NLRI属性可用于如下目的:1)向BGP对等体发布一条有效的路由;2)允许路由器发布其网络层地址,其中网络层地址位于MP_NLRI属性的网络层可到达信息字段中,该地址用来作为目的地的下一跳地址;3)允许一个指定的路由器报告其所在自治域系统内的部分或者全部的附加子网连接点(SNPA)。MP _REACH_Nl且I属性的编码格式见表2。褒2MP _REACH_NLRI属性的编码格式地址族标识符(2字节)子序列地
14、址族标识符(1字节)下一跳网络地址长度(1字节)下一跳网络地址(可变)SNPA数目(1字节)第一个SNPA的长度(1字节)第一个SNPA(可变)第二个SNPA的长度(1字节). 最后一个SNPA长度(1字节)最后一个SNPA(可变)网络层可到达信息(可变)1 )地址族标识符(AFI)3 YD/T 1342-2005 该字段长度为2个字节,用于承载与网络地址相关的网络层协议标识,i亥字段数值的定义参见RFC17。2)子序列地址族标识符(SAFI)该字段长度为1个字节,用于承载属性中所包含的网络层可到达信息类型的额外信息。3)下一跳网络地址长度该字段长度为1个字节,其数值表示下一跳网络地址字段的长
15、度,长度以字节为单位。4)下一跳网络地址该字段为可变长度字段,表示路径中到达目的地的下一个路由器的网络地址。5) SNPA数目该字段长度为1个字节,表示列在该属性后面字段中的SNPA的数目。数值等于0表示属性中不包含SNPA。6)第N个SNPA的长度该字段长度为1个字节,其数值表示下一跳的第N个SNPA字段的民度,长度以半字节为单位。7)下一跳的第N个SNPA该字段长度为可变,用于承载下一跳网络地址字段所指定的路由器的一个SNPA。该字段长度为字节的整数倍,即第N个SNPA的长度字段所表示的数值的一半近似整数值。如果SNPA的长度为半字节的奇数倍,则该字段中的数值会以全0半宇节来进行尾部填充。
16、8)网络层可到达信息(NLRI)该字段长度为可变,用于承载这个属性发布的有效路由中所列出的NLRI。当子序列地址族标识符字段设置为本标准所定义的数值时,则NLRI的编码参见本标准6.3节。在MP_REACH_NLRI路径属性中承载的下一跳地址信息指定了边缘路由器的网络层地址,该边缘路由器应该是作为UPDATE消息中所包含MP_NLRI属性中所列出的目的地的下一跳。当路由器需要将MP _REACH_NLRI属性发布给外部对等体时,假定此外部对等体与该路由的下一跳地址处于同一个子网网段,则该路由器可以将自己的一个内部接口地址作为MP_REACH_NI且I属性的下一跳地址信息进行发布,这种方式也称为
17、第一方下一跳(FirstPa町),同时,BGP发言者也可以将自己的任何一个内部对等路由器的一个接口地址作为MP_REACH_NLRI属性的下一跳地址信息进行发布,这种方式称为第三方下一跳(Third Party)。假定此边缘路由器的网络地址是从一个外部对等体学习到的,且该外部对等体与该路由的下一跳地址处于同一个子网网段,则BGP发言者可以将任何一个外部对等体作为MP _REACH_NLRI属性的下一跳地址信息进行发布,这种方式也称为第三方下一跳的第二种形式。通常下一跳地址是基于最短可用路径来进行选择。当出于某种策略因素考虑或为了处理不正确的桥式媒体,BGP发言者应支持避免第三方下一跳地址信息的
18、发布。当BGP发言者发起路由时,该BGP发言者不能将一个对等体的地址作为下一跳地址发布给该对等体。同时,一个BGP发言者也不能接收一条将自己作为下一跳的路由信息。当一个BGP发言者将一条路由信息发布给内部对等体时,BGP发言者不应该修改与该路由相关的下一跳信息。当一个BGP发言者通过内部链路接收到路由信息,如果属性中的所包含的地址与本地或远端的BGP发言者处于同一个子网网段,则该BGP发言者将接收到的路由信息发布给下一跳地址。不管是在EBGP和IBGP消息流程中,如果UPDATE消息承载了MP_REACH_NLRI属性,则该消息必须同时承载ORIGIN属性和AS_PATH属性。并且在IBGP消
19、息流程中,UPDATE消息还必须承载LOCAL_PREF属性。如果本地BGP发言者从外部对等体接收到一条携带MP_REACH_NLRI属性的UPDATE消息,则BGP发言者应检查消息中AS_PATH属性所包含的自治域号码(AS)是否等于对等体的自治域号码。如果AS一PATH属性中所包含的自治域号码(AS)不等于对等体的自治域号码,则本地BGP发言者将发送NOTIFICATION消息,且消息错误码为3(UPDATE Message Error) ,错误子码为11(Malformed AS_PATH)。如果除了在MP_REACH_NLRI属性中承载有NLRI信息之外,UPDATE消息中未承载其他N
20、I且I信4 YDIT 1342-2oo5 息,则UPDATE消息不应承载下一跳地址NEXT_HOP属性。如果BGP发言者接收到此类消息中包含NEXT_HOP属性,则BGP发言者应忽略消息中NEXT_HOP属性。6.2 MP一UNREACH_NLRI属性该属性能够用于从路由器中撤销若干不可到达路由,编码格式见表3。1)地址族标识符(AFI)襄3MP _UNREACH_NLRI .性的编码格式AF1 (2字节)SAF1 (1字节)撤销的路由(可变)该字段用于承载与NI且I相关的网络层协议标识,该字段数值的定义参见RFC17。2)子序列地址族标识符(SAFI)该字段用于承载属性中所包含的网络层可到达
21、信息类型的额外信息。3)撤销的路由(WithdrawnRoutes) 该字段为可变字节长度,用于承载从服务中撤销的路由所列出的NLRI。当子序列地址族标识符字段设置为本标准所定义的数值时,则NLRI的编码参见本标准6.3节。如果UPDATE消息包含MP_UNREACH_NLRI属性,则该消息不需要承载任何其他的路径属性。6.3 NLRI编码网络层可到达信息(NLRI)字段编码由一个或多个两维数组组成,两维数组格式为长度,前缀, 字段编码方式见表4。l)Le鸣曲(长度)襄4NLRI铺码I.en剧1(1字节)Prefix (可变)该字段用于指示地址前缀字段的长度,以比特为单位。当其数值等于0时,指
22、示地址前缀将匹配地址族标识符字段所指示的具有相同地址前缀的所有的地址。2) pre缸(前缀)前缀字段包含一个地址前缀,在地址前缀的后面有足够多的填充比特,这些填充比特使该字段长度为字节的整数倍。需要指出的是,填克比特的数值是不相关的。6.4 子序列地址族标识符(SAFI)MP _REACH_NI且I属性和M巳UNREACH_NI且I属性中所包含的子序列地址族标识符宇段定义的数值和含义分别如下所示:1一网络层可到达信息用于单播转发;2一网络层可到达信息用于多播转发;3一网络层可到达信息同时用于单播和多播转发。6.5 差错处理如果一个BGP发言者接收到从邻居发来的一条包含MP_REACH_NLRI
23、属性或者MP_UNREACH_NLRI 属性的UPDATE消息,并且接收方确定消息所包含的属性不正确,则消息接收方必须撤销所有从相同的邻居接收来的,并且具有与不正确的MP_REACH_NLRI或MP_UNREACH_NI且I属性中所承载的相同的AFI/SAFI的BGP路由。对于接收到此错误UPDATE消息的BGP会话期间,BGP发言者应该忽略所有此会话5 YD/T 1342-25 期间接收到的具有相同AFI/SAFI的子序列路由。除此之外,BGP发言者可以中断接收到这种不正确UPDATE消息的BGP会话。会话中断应该使用NOTIFICA TION消息,并且消息错误码为3(Update Me部a
24、geError) ,错误子码为9(Optional Attribute EITOr)。6.6 BGP能力发布使用多协议扩展的BGP发言者应该使用能力发布程序BGP-CA町来确定是否能够与一个特定的对等体来进行多协议扩展BGP的能力交互。BGP能力参数为可选参数,字段编码参见RFC17710其中能力代码字段设置为1,用于指示多协议扩展能力,能力长度字段设置为4,能力数值字段设置定义如图l所示。7 15 23 31 AFI Res SAFI 回1能力字段编码该字段中各参数的含义和用途如下:1) AFI (地址族标识符),长度为16比特,编码方式同前所述。2) Res (预留字段),长度为8比特,消
25、息发送方应将该字段设置为0,消息接收方应忽略该字段。3) SAFI (子序列地址族标识符),长度为8比特,编码方式同前所述。支持多个AFI,SAFI数组的BGP发言者应将它们作为能力可选参数的多重能力。为了在一对指定的BGP发言者之间双向交换AFI,SAFI所指定的路由选择信息,每一个BGP发言者必须通过能力发布机制,将能支持A凹,SAFI所指定路由的能力发布给对等体。支持多个AFI,SAFI数组的BGP发言者应将它们作为能力可选参数的多重能力。为了在一对BGP发言者之间互相交换特定AFI,SAFI的路由选择信息时,每一个BGP发言者必须通过能力发布机制,将能支持特定AFI,SAFI的路由的能
26、力发布给对等体。6.7 IANA对SAFI数值定义本标准规定MPL_REACHNl且I属性和MP_UNREACH_NLRI属性包含的子序列地址族标识符(SAFI)字段值定义见表5。襄5SAFI字段值定义列褒SAF1数值含义。保窗值参见6.42 参见6.44-63 由IANA使用IETFCon酷ns凶策略来进行分配64-127 由IANA使用F1FO策略进行分配128-255 私有用途,IANA不进行分配7 BGP4多协议扩展对IP峭的支持本标准规定利用BGP4多协议扩展定义的MP_REACH_NLRI和MP_UNREACH_Nl且1BGP属性来传送IPv6路由信息的机制。7.1 基本要求BGP
27、4协议和一般的距离向量路由协议一样,通常是独立于协议所用的特定地址族的。IPv6协议属于6 YD厅1342-2005BGP4协议所支持一种协议,除非特别说明,在本规范中,当BGP4携带IP币的可达信息时,BGP4的处理程序在BGP4及其扩展或修改的BGP4规范中定义。在路由信息方面,IP丙和IPv4在BGP4中最主要不同是IPv6引入了区域化的单播地址,并且定义了必须使用特定地址范围的特定情况。本标准实质上主要是涉及那些适应IPv6地址范围要求的必要规则。7.2 IPv6地址范围IPv6协议定义了3种单播地址范围ADDR_ARCH:全局地址、站点本地地址和链路本地地址。站点本地地址是非本地链路
28、地址,其在站点范围内有效,但不能适用于站点范围之外。本标准对使用BGP4的特定路由域的特征不作假设,对全局地址和站点本地地址也没有具体区分,只是称它们为全局和非链路本地地址。然而,网络管理者必须遵守地址范围的区分规则,并明确BGP4路由域和站点概念是相互正交的,且BGP4路由域和站点在某些情况下可以是一致的,在某些情况下可以是不一致的。IPv6的规范进一步定义了,只有链路本地地址可用于产生ICMP重定向消息以及在一些路由协议中作为下一跳的地址(如RIP)。这些限制暗示了一个IPv6路由器对于所有直连路由(即那些给出的路由器和下一跳路由器的子网前缀相同的路由)必须有一个链路本地下一跳地址。但是,
29、根据BGP4协议规范中给出了的下一跳属性的规则,链路本地地址并不太适合用作BGP4中下一跳的属性。由于以上原因,当BGP4用于传送IPv6可达信息,在宣布下一跳属性时,某些时候需要同时包括一个全局地址和一个链路本地地址。本标准中7.3节描述了在构造MP_REACH_NLRI属性的下一跳域的网络地址时应遵守的规则。7.3 构造下一跳域BGP发言者应将下一跳的全局IPv6地址在下一跳域的网络地址中广播给其对等体,下一跳的IPv6链路本地地址可能紧随其后。当只有一个全局地址时,在MP_REACH_NLRI属性中下一跳网络地址域的长度值应置为16,而如果一个链路本地地址也包含在下一跳域中时,此字段长度
30、值为32。只有在BGP发言者下一跳域的网络地址中的IPv6全局地址标识的实体以及此路由要发布给的对等体共事相同的子网时,链路本地地址才包括在下一跳域中。其他情况下,BGP发言者在网络地址域广播给其对等体的只是下一跳的IPv6全局地址(下一跳域的网络地址长度值是16)。因此,BGP发言者广播一条路由给内部对等体时可以通过去掉下一跳的链路本地IPv6地址来修改下一跳的网络地址。7.4 传输BGP4消息交互发生在TCP连接之上,而TCP连接基于IPv6和IPv4都可以建立。BGP4自身是独立于所使用的传输协议,只是用传输协议从建立对等会话的地址中获得隐含的配置信息。此信息(对等体的网络地址)在路由分
31、发过程中要被考虑进去。所以,用基于IPv4的TCP连接来传送IPv6可达信息时,要求有额外明确的对等体的网络地址配置信息。以上提到的信息有别于用在BGP4连接建立过程中的BGP身份标识。BGP身份标识是包含在OPEN消息里的一个32位无符号整数,在对等实体间建立会话时互相交换。BGP身份标识是整个系统适用的值,在启动时被确定,在网络中必须是惟一的;在给定时刻,无论一个特定BGP4实例被配置成传送何种网络层协议,此BGP身份标识要从IPv4地址中获取。用基于IPv6的TCP传输协议传送Pv6可达信息有其优点,如可以在对等实体问提供IPv6可达的明确的确认。8 安全问题本标准定义的BGP扩展机制允
32、许BGP4协议传播IPv6路由的可达信息,然而该扩展机制的并不改变BGP4协议中现有的传输安全机制,具体内容可参见RFC1771和RFC1773。BGP4协议提供了灵活的可扩展机制用于保证鉴权和安全,此机制可以提供复杂程度不同的安全机制。BGP4协议规定所有BGP会话过程采用BGP对等体的BGP标识来进行鉴扭,除此之外,BGP对等体7 YD厅1342-2005的自治域号(A5N)也可以用于进行BGP会话鉴权。作为BGP鉴权机制的一部分,BGP4协议允许在BGP消息中协议携带加密的数字签名。鉴权失败会导致NOTIFICATION消息发送和BGP连接的立刻结束。由于BGP4协议承载于TCP/IP连
33、接之上,因此,BGP4鉴权机制可以通过TCP或IP的任何鉴权和加密机制进行扩展。同理,由于BGP4协议承载于TCP/IP连接之上,BGP4协议也同样容易受到目前TCP协议中普遍存在的拒绝服务(D05)或鉴权攻击。8 的OONIN寸的?O中华人民共和国通信行业标准IPv6路由协议一一支持队后的边界罔关协议田间YDIT 1342-2005 * 人民邮电出版社出版发行北京市崇文区夕照寺街14号A座邮政编码:1061 电话:68372878 北京地质印刷厂印刷版权所有不得翻印开本:880x1230 印张:1 字数:22千字ISBN 7-115-1088/05-62 定价:10.元本书拥有印装质量问题,请与本社联系电话:(010)68372878 25年7月第1版2005年7月北京第1次印刷1116
