ORF出口路由过滤器
[AR2]ip ip-prefix 1 permit 10.1.1.1 32
[AR2-bgp]peer 10.1.12.1 ip-prefix 1 import 过滤后AR2只能接收到AR1发出的10.1.1.1/32:
但是AR1发送时将所有的路由都传递出去:
[AR2-bgp]peer 10.1.12.1 capability-advertise orf ip-prefix send
[AR1-bgp]peer 10.1.12.2 capability-advertise orf ip-prefix receive如上,接收端向发送端发送send能力,发送端为接收端提供receive能力,只需要在接收端配置策略send给发送端即可,重新建立对等体后就可以生效。
如上,减轻了发送端的通告压力。
BGP对等体组
对等体组是一些具有某些相同策略的对等体的集合。 当一个对等体加入对等体组中时,该对等体将获得与所在对等体组相同的配置。当对等体组的配置改变时,组内成员的配置也相应改变。 大型网络或者设备数量众多时,利用对等体组可以简化配置。
[AR1-bgp]group IBGP internal BGP会自动建立IBGP的对等体组
[AR1-bgp]peer IBGP connect-interface LoopBack 0 对IBGP对等体组使用环回口建立对等体关系
[AR1-bgp]peer IBGP reflect-client 将对等体组内的设备都做成反射器
[AR1-bgp]peer 1.1.1.1 group IBGP 匹配1.1.1.1加入到对等体组中上述相当于对1.1.1.1做了“通过环回口0建立对等体关系,将自身做为反射器”两条命令,后续加入IBGP对等体组的设备都会执行这两条命令。
::: tip
上述做的是内部的(internal)IBGP对等体组,如果是external,就需要指定对等体组的as号。
:::
BGP安全性
常见BGP攻击主要有两种:
- 建立非法BGP邻居关系,通告非法路由条目,干扰正常路由表。
- 发送大量非法BGP报文,导致CPU利用率升高。
BGP认证可以解决非法对等体接入,GTSM可以解决非法报文的传递。
[AR1-bgp]peer 10.1.12.2 password simple Huawei@123 BGP的认证
如上,密码信息在TCP报文中携带。
GTSM功能检测IP报文头中的TTL值是否在预先设置好的特定范围内,丢弃TTL值范围以外的报文。
[AR1-bgp]peer xx.xx.xx.xx valid-ttl-hops 跳数GTSM的配置是对称的,需要在BGP对等体间同时使能GTSM。
路由衰减
BGP衰减使用惩罚值来衡量一条路由的稳定性,惩罚值越高则说明路由越不稳定。
路由每发生一次振荡(路由从激活状态变为未激活状态,称为一次路由振荡),BGP便会给此路由增加一定的惩罚值(1000)。当惩罚值超过抑制阈值(Suppress Value)时,此路由被抑制,不加入到路由表中,也不再向其他BGP对等体发布更新报文。
被抑制的路由每经过一段时间,惩罚值便会减少一半,这个时间称为半衰期(Half-life)。当惩罚值降到再使用阈值(Reuse Value)时,此路由变为可用并被加入到路由表中,同时向其他BGP对等体发布更新报文。 惩罚值、抑制阈值和半衰期都可以手动配置。 路由衰减只对EBGP生效,IBGP不生效。
