安全特性:
BGP安全特性:
- MD5
- GTSM:通用TTL安全保护机制通过对TTL的检测来达到防止攻击的目的,如果攻击者模拟真实的BGP协议报文(TCP),对一台路由器不断地发送报文,路由器接收报文后会交给BGP协议处理,从而占用大量地CPU。有利于路由器辨别BGP协议报文(TCP)的合法性。
peer 10.1.78.7 ttl-security hops 1 //ttl设置为1
- 限制从对等体接受的路由数量
- AS Path长度保护
路由衰减:
概念:路由不稳定的主要表现是路由震荡,即路由表中的某条路由反复消失和重现。
说明:发生路由震荡时,设备会向邻居发布路由更新,收到路由更新报文的设备要重新计算路由并修改路由表,频繁修改会消耗大量的CPU和带宽资源。
是用来解决路由不稳定的问题:
惩罚值:来衡量一条路由的稳定性,值越高则说明路由越不稳定。路由每发生一次震荡(激活状态变为非激活状态),BGP便会给此路由增加一定的阈值(1000)。当惩罚值超过一直时,此路由被抑制,不会加入路由表中,也不会传给其他邻居。
被抑制的路由每经过一段时间,惩罚值便会减少一半,这个时间为半衰期。当惩罚值降到使用阈值时,再次加到路由表,并向其他BGP邻居发布更新报文。
BGP对等体组配置:
IBGP对等体组:
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp] group test internal //建立对等体组
[Sysname-bgp] peer 10.1.1.1 group test //将对等体加到组中
[Sysname-bgp] peer 10.1.2.1 group test
EBGP对等体组:
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp] group test external
[Sysname-bgp] peer test as-number 2004 //添加对等体组的EBGP邻居的as号
[Sysname-bgp] peer 10.1.1.1 group test
[Sysname-bgp] peer 10.1.2.1 group test
BGP团体属性:
团体属性用于标识具有相同特征的BGP路由,该属性可选传递。
分为:
- 自定义团体属性
- 公共团体属性
- Internet(互联网属性)
- No Advertise(不会将路由传给任何BGP邻居)
- No Export(不会传给EBGP邻居)
- No Export Subconfed(不会传给联盟EBGP邻居)
peer 10.1.1.1 advertise-community //向邻居10.1.1.1 传递团体属性
配置BGP聚合
summary automatic //自动聚合
自动聚合:只能对BGP引入的子网路由进行自然掩码进行聚合,配置自动聚合后,生成自然网段的路由,原来明细的路由会被抑制,不会优选发布给BGP对等体。
aggregate ip-add {mask|mask-length} [as-set|attribute-policy router-policy-name | delail-suppressed|origin-policy router-policy-name|suppress-policy router-policy-name ]
ip-add {mask|mask-length}:聚合路由的目的IP地址和掩码或长度
as-set:生成具有as集合段的路由(放环)
attribute-policy:根据指定的路由策略设置聚合路由属性(选择要聚合的路由)
detail-suppressed:仅通告聚合路由
suppress-policy router-policy-name :抑制选定的具体路由,不通告部分具体路由
origin-policy:根据指定的路由策略选择用于聚合的源路由。
手动聚合策略包括:
- 同时发布聚合路由以及具体路由
- 抑制具体路由仅发布聚合路由
- 发布聚合路由同时抑制部分具体路由
- 将指定的具体路由生成聚合路由
配置BGP反射与联盟:
路由反射器与客户机之间建立IBGP连接并传递(反射)路由信息,而客户机之间不需要建立IBGP连接
路由反射器在客户机与非客户机之间传送路由更新原则:
- 路由更新是从非客户机收到的,仅反射给客户机
- 从客户机收到的,会反射给所有非客户机以及客户机
- 从EBGP对等体收到的,会反射给所有客户机和非客户机
为了防止AS内部的路由放环:
- 路由反射器使用了ORIGINATOR_ID和CLUSTER_LIST两个属性
- ORIGINATOR_ID属性用于记录到本地AS内部路由发起者的路由器ID
- CLUSTER_LIST用于记录一条路由经过群的群ID来跟踪它的反射路径
反射器冗余:
- 在一个集群中可以配置一个以上的路由反射器,以增强网络的可靠性和防止单点故障
- 一个集群中的每个路由反射器都有配置相同的集群ID(Cluster_ID),以避免路由环路的产生
反射器配置:(只需要配置路由反射器负责路由反射,并不需要对客户机和非客户机进行配置)
peer 10.1.1.1 reflect-client //配置反射器
reflector cluter-id 2 //配置反射器集群ID(防环)默认为RR的Router-ID
undo reflect benween-clients //如果网络全互联可以关闭客户间反射功能,减少带宽开销
反射器的防环机制:
- Originator ID属性:
- 该属性为可选非传递
- 用于集群内的防环
- 由路由反射器RR产生,携带了本地AS内该路由发送者的Router-ID
- Cluster List
- 该属性为可选非传递
- 用于集群间的防环
- 由每个路由反射器(RR)产生,记录反射路由经过的集群
BGP联盟:
- 联盟是另一种替代IBGP对等体全连接的方式
- 联盟将一个自治系统划分为若干个子自治系统,子 自治系统之间建立联盟内的EBGP连接关系
指定子自治系统号:
bgp 65002
子自治系统的as号使用私有as号,范围为64512~65535
配置联盟ID:
confederation id 200
指定一个联盟体中包含哪些子自治系统:
confederation peer-as 65002
如果该路由器与该联盟的其他子自治系统要建立EBGP邻居关系,则需要在BGP视图下指定一个联盟体中包含了哪些自治系统联盟ID。
BGP联盟防环机制:
- AS_CONFED_SEQUENCE
- AS_CONFED_SET