AS-path filter:AS路径过滤器

       作用:根据BGP路由的AS-path属性进行路由匹配和过滤

       可以定义动作为permit或deny。默认底层deny any

       匹配条件:正则表达式

       可以使用route-policy调用(用来匹配路由)

也可以在BGP视图中指定邻居时直接调用(用来过滤路由)

正则表达式:

BGP高级特性:_bgp

BGP高级特性:_组网_02

       使用一定模板去匹配字符串,由普通字符和特殊字符组成

       普通字符:大小写英文字母,数字,标记符号等

       特殊字符:含有特定意义的字符,例如:.\*+?[]等

 

配置命令

       1、创建AS-path filter:在系统视图下创建

              [r10]ip as-path-filter name permit_100$

              //可以使用name或number定义,使用正则表达式作为匹配条件

       2、在BGP视图直接调用:

最终允许还是拒绝取决于AS-path-filter自身定义的规则,用于过滤BGP路由

[r10-bgp]peer 10.1.18.8 as-path-filter name import\export

              3、或者在route-policy中调用:作为匹配工具

最终允许还是拒绝取决于route-policy定义的规则

                     [r10]route-policy name permit node10

                     [r10-route-policy]if-match as-path-filter name

Community filter:团体属性过滤器

作用:根据BGP路由的团体属性匹配的BGP路由,与BGP团体属性搭配使用

       Community filter分类:

              1、基本community filter:可以用于匹配团体号和公认团体属性

              2、高级community filter:可以使用正则表达式匹配团体号

              创建方式:

                     1、编号:

                            1—99:基本community filter

                            100—199:高级community filter

                     2、命名的方式

                            在name前需要指定高级(advance)或基本(basic)

              匹配规则:

1、单个community filter组中的多个community值是‘与’的关系

2、多个community filter组中的community值是‘或’的关系

       配置命令:

              1、使能团体属性的通告能力,缺省情况下,未使能

                     [r10-bgp]peer 10.1.18.8 advertise-community

              2、创建community filter

                     [r10]ip community-filter 1 permit 100:400 100:200

                     [r10]ip community filter 1 permit 100:1

              3、使用route-policy调用

                     [r10]router-policy name permit node 10

                     [r10-route-policy]if-match as-path-filter 1

 

BGP高级特性:

      1、BGP ORF:

作用:降低本端CPU占用率,减少对端BGP邻居的配置工作,降低链路带宽的占用率

原理:将本端设备的入向策略使用route refresh报文打包发送给对端设备,对端设备接收到报文后,根据报文中携带的策略部署出向策略,使其在发送路由时执行过滤,减少对链路带宽的占用,提高本设备CPU利用率,同时减少对端设备的配置工作。

 

配置命令:

在BGP视图下配置

[r10-bgp]peer 10.1.18.8 capability-advertise orf ip-prefix send

//指定对端邻居通告基于IP前缀的ORF能力,并选择工作方式为发送方

[r10-bgp]peer10.1.18.8 ip-prefix name import

//指定对端邻居调用前缀列表配置入向策略

ip ip-prefix name index 10 deny 10.1.2.2 32

ip ip-prefix name index 20permit 0.0.0.0 less-equal 32

//配置前缀列表

 

对端配置:

[r8-bgp]peer 10.1.18.8 capability-advertise orfip-prefix receive

//指定对端邻居通告基于IP前缀的ORF能力,并选择工作方式为接收方

工作模式:

       Both:作为ORF的发送方和接收方

       Send:作为ORF的发送方

       Receive:作为ORF的接收方

 

      2、按组打包:

              作用:简化配置,减少设备性能的损耗

原理:将多个具有相同特点(相同的出口策略,相同的配置等)的设备添加到同一个对等体组中,然后对对等体组进行相关的配置

 

配置命令:

[r2-bgp]group ibgp internal(ibgp=name)

//创建IBGP对等体组

[r2-bgp]peer ibgp capability-interface loopback 0

[r2-bgp]peer ibgp advertise-community

[r2-bgp]peer ibgp next-hop-local

//针对组进行统一配置

[r2-bgp]peer 3.3.3.3 group ibgp

[r2-bgp]peer 4.4.4.4 group ibgp

[r2-bgp]peer 5.5.5.5 group ibgp

 

//将IBGP邻居加入到IBGP对等体组中

 

[r1-bgp]group ebgp external

//创建EBGP对等体组

[r1-bgp]peer ebgp as-number 200

//针对对等体组进行相应配置

              [r1-bgp]peer 10.1.12.2 group ebgp

              [r1-bgp]peer 10.1.13.3 group ebgp

              //将BGP邻居加入到EBGP对等体组

BGP安全特性:

       BGP攻击:非法邻居的建立,传递非法的路由,通过认证解决

发送大量非法报文,并传递非法路由,消耗路由器系统资源,导致正常邻居关系,或者网络状态出现故障,通过GTSM进行限制

      BGP认证:

确保BGP邻居关系的合法性,只有通过认证的才会建立BGP对等体关系

认证方式:

1、默认不认证

2、MD5认证:密钥单一,不会自动生成,需要手工配置,如需要修改,需要管理员手工干预,传输过程中密钥有泄漏风险

3、keychain认证:一串密钥的集合,会随着时间不断变换加密密钥,安全性更高

配置命令:

       在BGP视图中配置

       [r1-bgp]peer 10.1.12.2 password cipher huawei

       //配置认证方式为MD5

       [r1-bgp]peer 10.1.12.2 keychain huawei

       //配置认证方式为keychain

       注意:以上两种认证方式互斥

      GTSM:通用TTL安全保护机制

用于防范有效报文(正常交互的协议报文)攻击,占用设备CPU资源导致设备负担过重

通过配置有效的TTL值范围,来检测邻居的合法性

配置命令:

       [r5-bgp]peer group\ip address\ipv6地址 valid-ttl-hops 1(跳数)

       配置时需要双向配置

       默认不开启

       报文的TTL值有效范围计算公式:((255-hops+1),255)

      

       注意:与ebgp-max-hop不能同时配置

 

BGP RR组网方式:

      1、备份RR组网

              在同一个集群当中配置多个RR,RR间互为备份

              集群内所有BGP路由器都有RR建立IBGP全互联

              RR与其他RR IBGP全互联,所有RR为同一个cluster ID

RR间防环:

通过cluster list,RR接收到客户端发送过来的BGP路由时,再反射给其他RR,会将cluster ID添加到cluster list中,当其他RR接收到反射过来的BGP路由时,发现cluster list中携带与自身一致的cluster ID,则直接丢弃

              集群内防环:通过originator ID

 

      2、多集群RR组网:

              同级RR组网:

将骨干网划分成多集群,每个集群内的客户机只与集群内的RR建立IBGP全互联,不同集群的RR只建立IBGP邻居关系,RR间为非客户机关系

              层级RR组网:

将一个AS划分成多个集群,每个集群内的客户机只与集群内的RR建立IBGP全互联,较低网络层次的RR作为较高层次的RR的客户机,形成分级RR