AS-path filter:AS路径过滤器
作用:根据BGP路由的AS-path属性进行路由匹配和过滤
可以定义动作为permit或deny。默认底层deny any
匹配条件:正则表达式
可以使用route-policy调用(用来匹配路由)
也可以在BGP视图中指定邻居时直接调用(用来过滤路由)
正则表达式:
使用一定模板去匹配字符串,由普通字符和特殊字符组成
普通字符:大小写英文字母,数字,标记符号等
特殊字符:含有特定意义的字符,例如:.\*+?[]等
配置命令:
1、创建AS-path filter:在系统视图下创建
[r10]ip as-path-filter name permit_100$
//可以使用name或number定义,使用正则表达式作为匹配条件
2、在BGP视图直接调用:
最终允许还是拒绝取决于AS-path-filter自身定义的规则,用于过滤BGP路由
[r10-bgp]peer 10.1.18.8 as-path-filter name import\export
3、或者在route-policy中调用:作为匹配工具
最终允许还是拒绝取决于route-policy定义的规则
[r10]route-policy name permit node10
[r10-route-policy]if-match as-path-filter name
Community filter:团体属性过滤器
作用:根据BGP路由的团体属性匹配的BGP路由,与BGP团体属性搭配使用
Community filter分类:
1、基本community filter:可以用于匹配团体号和公认团体属性
2、高级community filter:可以使用正则表达式匹配团体号
创建方式:
1、编号:
1—99:基本community filter
100—199:高级community filter
2、命名的方式
在name前需要指定高级(advance)或基本(basic)
匹配规则:
1、单个community filter组中的多个community值是‘与’的关系
2、多个community filter组中的community值是‘或’的关系
配置命令:
1、使能团体属性的通告能力,缺省情况下,未使能
[r10-bgp]peer 10.1.18.8 advertise-community
2、创建community filter
[r10]ip community-filter 1 permit 100:400 100:200
[r10]ip community filter 1 permit 100:1
3、使用route-policy调用
[r10]router-policy name permit node 10
[r10-route-policy]if-match as-path-filter 1
BGP高级特性:
1、BGP ORF:
作用:降低本端CPU占用率,减少对端BGP邻居的配置工作,降低链路带宽的占用率
原理:将本端设备的入向策略使用route refresh报文打包发送给对端设备,对端设备接收到报文后,根据报文中携带的策略部署出向策略,使其在发送路由时执行过滤,减少对链路带宽的占用,提高本设备CPU利用率,同时减少对端设备的配置工作。
配置命令:
在BGP视图下配置
[r10-bgp]peer 10.1.18.8 capability-advertise orf ip-prefix send
//指定对端邻居通告基于IP前缀的ORF能力,并选择工作方式为发送方
[r10-bgp]peer10.1.18.8 ip-prefix name import
//指定对端邻居调用前缀列表配置入向策略
ip ip-prefix name index 10 deny 10.1.2.2 32
ip ip-prefix name index 20permit 0.0.0.0 less-equal 32
//配置前缀列表
对端配置:
[r8-bgp]peer 10.1.18.8 capability-advertise orfip-prefix receive
//指定对端邻居通告基于IP前缀的ORF能力,并选择工作方式为接收方
工作模式:
Both:作为ORF的发送方和接收方
Send:作为ORF的发送方
Receive:作为ORF的接收方
2、按组打包:
作用:简化配置,减少设备性能的损耗
原理:将多个具有相同特点(相同的出口策略,相同的配置等)的设备添加到同一个对等体组中,然后对对等体组进行相关的配置
配置命令:
[r2-bgp]group ibgp internal(ibgp=name)
//创建IBGP对等体组
[r2-bgp]peer ibgp capability-interface loopback 0
[r2-bgp]peer ibgp advertise-community
[r2-bgp]peer ibgp next-hop-local
//针对组进行统一配置
[r2-bgp]peer 3.3.3.3 group ibgp
[r2-bgp]peer 4.4.4.4 group ibgp
[r2-bgp]peer 5.5.5.5 group ibgp
//将IBGP邻居加入到IBGP对等体组中
[r1-bgp]group ebgp external
//创建EBGP对等体组
[r1-bgp]peer ebgp as-number 200
//针对对等体组进行相应配置
[r1-bgp]peer 10.1.12.2 group ebgp
[r1-bgp]peer 10.1.13.3 group ebgp
//将BGP邻居加入到EBGP对等体组
BGP安全特性:
BGP攻击:非法邻居的建立,传递非法的路由,通过认证解决
发送大量非法报文,并传递非法路由,消耗路由器系统资源,导致正常邻居关系,或者网络状态出现故障,通过GTSM进行限制
BGP认证:
确保BGP邻居关系的合法性,只有通过认证的才会建立BGP对等体关系
认证方式:
1、默认不认证
2、MD5认证:密钥单一,不会自动生成,需要手工配置,如需要修改,需要管理员手工干预,传输过程中密钥有泄漏风险
3、keychain认证:一串密钥的集合,会随着时间不断变换加密密钥,安全性更高
配置命令:
在BGP视图中配置
[r1-bgp]peer 10.1.12.2 password cipher huawei
//配置认证方式为MD5
[r1-bgp]peer 10.1.12.2 keychain huawei
//配置认证方式为keychain
注意:以上两种认证方式互斥
GTSM:通用TTL安全保护机制
用于防范有效报文(正常交互的协议报文)攻击,占用设备CPU资源导致设备负担过重
通过配置有效的TTL值范围,来检测邻居的合法性
配置命令:
[r5-bgp]peer group\ip address\ipv6地址 valid-ttl-hops 1(跳数)
配置时需要双向配置
默认不开启
报文的TTL值有效范围计算公式:((255-hops+1),255)
注意:与ebgp-max-hop不能同时配置
BGP RR组网方式:
1、备份RR组网
在同一个集群当中配置多个RR,RR间互为备份
集群内所有BGP路由器都有RR建立IBGP全互联
RR与其他RR IBGP全互联,所有RR为同一个cluster ID
RR间防环:
通过cluster list,RR接收到客户端发送过来的BGP路由时,再反射给其他RR,会将cluster ID添加到cluster list中,当其他RR接收到反射过来的BGP路由时,发现cluster list中携带与自身一致的cluster ID,则直接丢弃
集群内防环:通过originator ID
2、多集群RR组网:
同级RR组网:
将骨干网划分成多集群,每个集群内的客户机只与集群内的RR建立IBGP全互联,不同集群的RR只建立IBGP邻居关系,RR间为非客户机关系
层级RR组网:
将一个AS划分成多个集群,每个集群内的客户机只与集群内的RR建立IBGP全互联,较低网络层次的RR作为较高层次的RR的客户机,形成分级RR