安全特性:
BGP安全特性:
- MD5
- GTSM:通用TTL安全保護機制通過對TTL的檢測來達到防止攻擊的目的,如果攻擊者模擬真實的BGP協議報文(TCP),對一台路由器不斷地發送報文,路由器接收報文后會交給BGP協議處理,從而占用大量地CPU。有利於路由器辨別BGP協議報文(TCP)的合法性。
peer 10.1.78.7 ttl-security hops 1 //ttl設置為1
- 限制從對等體接受的路由數量
- AS Path長度保護
路由衰減:
概念:路由不穩定的主要表現是路由震盪,即路由表中的某條路由反復消失和重現。
說明:發生路由震盪時,設備會向鄰居發布路由更新,收到路由更新報文的設備要重新計算路由並修改路由表,頻繁修改會消耗大量的CPU和帶寬資源。
是用來解決路由不穩定的問題:
懲罰值:來衡量一條路由的穩定性,值越高則說明路由越不穩定。路由每發生一次震盪(激活狀態變為非激活狀態),BGP便會給此路由增加一定的閾值(1000)。當懲罰值超過一直時,此路由被抑制,不會加入路由表中,也不會傳給其他鄰居。
被抑制的路由每經過一段時間,懲罰值便會減少一半,這個時間為半衰期。當懲罰值降到使用閾值時,再次加到路由表,並向其他BGP鄰居發布更新報文。
BGP對等體組配置:
IBGP對等體組:
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp] group test internal //建立對等體組
[Sysname-bgp] peer 10.1.1.1 group test //將對等體加到組中
[Sysname-bgp] peer 10.1.2.1 group test
EBGP對等體組:
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp] group test external
[Sysname-bgp] peer test as-number 2004 //添加對等體組的EBGP鄰居的as號
[Sysname-bgp] peer 10.1.1.1 group test
[Sysname-bgp] peer 10.1.2.1 group test
BGP團體屬性:
團體屬性用於標識具有相同特征的BGP路由,該屬性可選傳遞。
分為:
- 自定義團體屬性
- 公共團體屬性
- Internet(互聯網屬性)
- No Advertise(不會將路由傳給任何BGP鄰居)
- No Export(不會傳給EBGP鄰居)
- No Export Subconfed(不會傳給聯盟EBGP鄰居)
peer 10.1.1.1 advertise-community //向鄰居10.1.1.1 傳遞團體屬性
配置BGP聚合
summary automatic //自動聚合
自動聚合:只能對BGP引入的子網路由進行自然掩碼進行聚合,配置自動聚合后,生成自然網段的路由,原來明細的路由會被抑制,不會優選發布給BGP對等體。
aggregate ip-add {mask|mask-length} [as-set|attribute-policy router-policy-name | delail-suppressed|origin-policy router-policy-name|suppress-policy router-policy-name ]
ip-add {mask|mask-length}:聚合路由的目的IP地址和掩碼或長度
as-set:生成具有as集合段的路由(放環)
attribute-policy:根據指定的路由策略設置聚合路由屬性(選擇要聚合的路由)
detail-suppressed:僅通告聚合路由
suppress-policy router-policy-name :抑制選定的具體路由,不通告部分具體路由
origin-policy:根據指定的路由策略選擇用於聚合的源路由。
手動聚合策略包括:
- 同時發布聚合路由以及具體路由
- 抑制具體路由僅發布聚合路由
- 發布聚合路由同時抑制部分具體路由
- 將指定的具體路由生成聚合路由
配置BGP反射與聯盟:
路由反射器與客戶機之間建立IBGP連接並傳遞(反射)路由信息,而客戶機之間不需要建立IBGP連接
路由反射器在客戶機與非客戶機之間傳送路由更新原則:
- 路由更新是從非客戶機收到的,僅反射給客戶機
- 從客戶機收到的,會反射給所有非客戶機以及客戶機
- 從EBGP對等體收到的,會反射給所有客戶機和非客戶機
為了防止AS內部的路由放環:
- 路由反射器使用了ORIGINATOR_ID和CLUSTER_LIST兩個屬性
- ORIGINATOR_ID屬性用於記錄到本地AS內部路由發起者的路由器ID
- CLUSTER_LIST用於記錄一條路由經過群的群ID來跟蹤它的反射路徑
反射器冗余:
- 在一個集群中可以配置一個以上的路由反射器,以增強網絡的可靠性和防止單點故障
- 一個集群中的每個路由反射器都有配置相同的集群ID(Cluster_ID),以避免路由環路的產生
反射器配置:(只需要配置路由反射器負責路由反射,並不需要對客戶機和非客戶機進行配置)
peer 10.1.1.1 reflect-client //配置反射器
reflector cluter-id 2 //配置反射器集群ID(防環)默認為RR的Router-ID
undo reflect benween-clients //如果網絡全互聯可以關閉客戶間反射功能,減少帶寬開銷
反射器的防環機制:
- Originator ID屬性:
- 該屬性為可選非傳遞
- 用於集群內的防環
- 由路由反射器RR產生,攜帶了本地AS內該路由發送者的Router-ID
- Cluster List
- 該屬性為可選非傳遞
- 用於集群間的防環
- 由每個路由反射器(RR)產生,記錄反射路由經過的集群
BGP聯盟:
- 聯盟是另一種替代IBGP對等體全連接的方式
- 聯盟將一個自治系統划分為若干個子自治系統,子 自治系統之間建立聯盟內的EBGP連接關系
指定子自治系統號:
bgp 65002
子自治系統的as號使用私有as號,范圍為64512~65535
配置聯盟ID:
confederation id 200
指定一個聯盟體中包含哪些子自治系統:
confederation peer-as 65002
如果該路由器與該聯盟的其他子自治系統要建立EBGP鄰居關系,則需要在BGP視圖下指定一個聯盟體中包含了哪些自治系統聯盟ID。
BGP聯盟防環機制:
- AS_CONFED_SEQUENCE
- AS_CONFED_SET