BGP高级特性

BGP基本内容

边界网关协议
AS---自治系统
BGP的邻居关系:

  1. 处于同一个AS的设备建立的邻居关系---IBGP邻居---环回口建立邻居关系
  2. 处于不同的AS的设备建立的邻居关系---EBGP邻居---直连接口建立---如果不是直连接口建立邻居关系---修改跳数上限

基于TCP端口号179

BGP的报文:

  1. open
  2. update--发送BGP路由更新
  3. notification---报告错误信息
  4. keep alive---维持对等体邻居关系
  5. route-refresh

BGP的状态机:
Idle
Connect
Active
Opensent
Openconfirm
established

BGP的路由生成方式:

  1. network
  2. import---自动聚合

BGP的通告原则:

  1. 只发布最优路由
  2. 从EBGP邻居收到的路由,会发送给其他所有的邻居
  3. 从IBGP邻居收到的路由,不会发送给IBGP邻居,但是会发布给EBGP邻居
  4. 同步

BGP的四大属性:
公认必遵:oringin、as-path、next-hop

公认任意:local-preference

可选过度:community

可选非过度:MED、cluster list

BGP路由控制概述

路由匹配工具:

  • ACL(Access Control List,访问控制列表)

  • IP Prefix List(地址前缀列表)

  • AS_Path Filter(AS路径过滤器)
    基本命令:
    创建AS_Path Filter
    ip as-path-filter { as-path-filter-number | as-path-filter-name } { deny | permit } regular-expression
    应用AS_Path Filter
    peer { group-name | ipv4-address | ipv6-address } as-path-filter { as-path-filter-number | as-path-filter-name } { import | export }
    if-match as-path-filter { as-path-filter-number | as-path-filter-name }

  • Community Filter(团体属性过滤器)

路由策略工具:

  • Filter-Policy
  • Route-Policy

邻居按需发布路由:

ORF的基础配置:
peer { group-name | ipv4-address } ip-prefix ip-prefix-nam { import | export }
peer { group-name | ipv4-address } capability-advertise orf [ non-standard-compatible ] ip-prefix { both | receive | send } [ standard-match ]

BGP对等体组

具有某些相同策略的对等体的集合

基础配置命令

  • group group-name [ externale | internal ] 创建对等体组
  • peer group-name as-number { as-number-plain | as-namber-dot } 为指定的对等体配置AS号(可选)
  • peer { ipv4-address | ipv6-address } group group-name 将对等体加入对等体组
  • peer group-name connect-interface interface-type interface-name [ ipv4-source-address ] 指定发送BGP报文的源接口,并指定发起连接时使用的源地址

BGP安全性

常见的BGP攻击

  • 建立非法BGP邻居关系,通告非法路由条目,干扰正常路由表
  • 发送大量非法BGP报文,路由器收到后上送CPU,导致CPU利用率升高

安全保证:
BGP使用认证和GTSM

BGP认证的基础配置命令---防止非法邻居建立

  • peer { group-name | ipv4-address | ipv6-address } password { cipher cipher-password | simple simple-password } MD5认证
  • peer { group-name | ipv4-address | ipv6-address } keychain keychain-name keychain认证

GTSM功能的基础配置命令---报文是否合法

  • peer { group-name | ipv4-address | ipv6-address } valid-ttl-hops [hops] 在BGP对等体(组)上应用GTSM功能
  • gtsm default-action { drop | pass } 设置未匹配GTSM策略的报文的缺省动作(可选)
  • gtsm log drop-packet all 打开单板的LOG信息开关,在单板GTSM丢弃报文时记录LOG信息(可选)

4字节AS号

配置
bgp as-number(1.1)

路由反射器

3中角色:
RR(Router Reflector):路由反射器
Client:客户机
Non-Client:非客户机

备份RR组网
通过Cluster ID,防止路由环路