- 路由控制通过策略,抓取路由为工具
- 路由匹配工具 acl,ip prefix list ,as_path filter -AS路径过滤器,community filter 团体属性过滤器
- 1、AS_PATH filter 公认必遵
- 将bgp中的AS_path 作为匹配条件的过滤器进行过滤
- 过滤as_path = 10 11 12 中的13
- ^13或_13
- 命令
- 创建ip as-path-filter 默认为deny 所以要增加下一跳允许全部
- 应用 peer as-path-filter import | export
- route-policy 也可以调用
- 2、community filter community --可选过渡
- community filter与 community属性配合使用,可以在不便使用前缀列表和as路径过滤器时降低路由管理难度
- 基础命令
- route-policy 下 apply community community-number | aa:nn | 四个公有属性|additive-追加
- peer advertise-community 将属性发布给对等体 默认不发布
- whole-match:表示完全匹配
- 类型
- 基本community filter
- 匹配团体号或公认community属性
- 进程号1-99
- 高级community filter
- 可以使用正则表达式匹配团体号
- 进程号100-199
- 基本community filter
- 1、AS_PATH filter 公认必遵
- 3、路由策略工具:route-policy、filter-policy
- 正则表达式
- 按照末班来匹配字符串的公式,由不同字符和特殊字符组成
- 普通字符---匹配字符
- 特殊字符--匹配组合
- 按照末班来匹配字符串的公式,由不同字符和特殊字符组成
- 路由匹配工具 acl,ip prefix list ,as_path filter -AS路径过滤器,community filter 团体属性过滤器
- BGP其他特性
- 邻居按需发布路由
- 设备只希望接收自己需要的路由,ORF-(outbound route filters)出口路由器
- eer { group-name | ipv4-address } capability-advertise orf [ non-standard-compatible ] ip prefix { both | receive接收 | send 发送} [ standard-match 按照rfc标准 ] 一端为发送一端为接收
- 邻居按需发布路由
- BGP对等体组
- 可以批量配置对等体邻居的建立,简化配置步骤
- group in internal表示iBGP对等体/external表示EBGP对等体
- 举例
- peer 10.1.3.3 group in //加入组
- peer 10.1.4.4 group in
- peer 10.1.5.5 group in
- peer in connect-interface Loopback 0 //统一进行对等体的配置
- BGP安全特性
- BGP认证2种
- MD5和keychain
- MD5 bgp视图下
- peer password cipher密文 | simple 明文
- keychain
- 命令
- peer xxxx keychain
- GTSM检测
- 避免攻击者发送小于设定值的ttl从而建立假连接
- peer xxxx valid-ttl-hops
- 全局log记录(在单板)
- gtsm log drop-packet all
- 命令
- MD5 bgp视图下
- MD5和keychain
- BGP认证2种