1.BGP的拓展特性-安全特性
MD5:BGP使用TCP作为传输层协议,为提高BGP的安全性,可以在建立TCP连接时进行MD5认证。但BGP的MD5认证并不能对BGP报文认证,它只是为TCP连接设置MD5认证密码,由TCP完成认证。如果认证失败,则不建立TCP连接,一旦认证之后而且认证失败是不会立刻断掉邻居关系,而是等老化时间,也就是3个keepalive报文之后还没收到邻居发送过来的keepalive报文就会断掉邻居关系
GTSM:GTSM通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内,对IP层以上业务进行保护,增强系统的安全性。使能BGP的GTSM策略后,接口板对所有BGP报文的TTL值进行检查。根据实际组网的需要,对于不符合TTL值范围的报文,GTSM可以设置为通过或丢弃。配置GTSM缺省动作为丢弃时,可以根据网络拓扑选择合适的TTL有限值范围,不符合TTL值范围的报文会被接口板直接丢弃,这样就避免了网络攻击者模拟的“合法”BGP报文占用CPU。该功能与EBGP多跳互斥
缺省情况下,BGP对等体(组)上未配置GTSM功能。我们将TTL值设置为255,也就是表示必须为直连BGP邻居发来的TCP建立请求我才和它进行BGP邻居关系的建立,TTL发送的第一跳默认是255,当设备进行转发到不同的网段时再减少,如果减小到0就表示不可达,出现了环路,接收公式为【255-配置+1,255】,默认为【1,255】
限制从对等体接收的路由数量:限制从对等体接收的路由数量,防止资源耗尽性攻击
AS_Path长度保护:通过在入口和出口两个方向对AS_Path的长度进行限定,直接丢弃AS_Path超限的报文
2. BGP的拓展特性-路由衰减
路由衰减就是用来解决路由不稳定的问题。多数情况下,BGP协议都应用于复杂的网络环境中,路由变化十分频繁。为了防止持续的路由振荡带来的不利影响,BGP使用路由衰减来抑制不稳定的路由
- 惩罚值(Penalty Value):用来衡量一条路由的稳定性,惩罚值越高则说明路由越不稳定。路由每发生一次振荡(路由从激活状态变为未激活状态,称为一次路由振荡,其实就是从network变成undo network状态),BGP便会给此路由增加一定的惩罚值(1000)。当惩罚值超过抑制阈值(Suppress Value)时,此路由被抑制,不加入到路由表中,也不再向其他BGP对等体发布更新报文
- 当某条路由的惩罚值到达最大抑制值(Maximum Suppress Value),便不会再增加,这样就可以确保某路由在非常短的时间内翻动十几次之后,不会将惩罚值累加到一个很高的、使路由始终保持被抑制状态的值
- 被抑制的路由每经过一段时间,惩罚值便会减少一半,这个时间称为半衰期(Half-life)。当惩罚值降到再使用阈值(Reuse Value)时,此路由变为可用并被加入到路由表中,同时向其他BGP对等体发布更新报文。上文提到的惩罚值、抑制阈值和半衰期都可以手动配置
- 路由衰减只适用于EBGP路由。对于从IBGP收来的路由不能进行衰减,因为IBGP路由经常含有本AS的路由,内部网络路由要求转发表尽可能一致。如果衰减对IBGP路由起作用,不同设备的衰减参数不一致时,会导致转发表不一致
