目录
一、邻居按需发布路由
设备只接收自己需要的路由,过滤掉自己不需要的路由,指定路由接收。通过配置BGP基于前缀的ORF(Outbound Route Filters,出口路由过滤器)来满足两端设备的需求。
1、基础配置
R9 AS号为100,R10 AS号为200
AR1
bgp 100
peer 10.1.12.2 capability-advertise orf ip prefix both //通过按照前缀列表发送或者接收的能力
AR2
ip ip-prefix orf index 10 permit 10.1.1.4 32 //定义前缀表明自己想要的路由
bgp 200
peer 192.168.10.1 ip-prefix orf import //按照ORF前缀列表入方向来接收
peer 192.168.10.1 capability-advertise orf ip prefix both
2、在R2接收端抓包查看
最后四位0a 01 01 04 = 10.1.1.4 表示抓取了10.1.1.4的路由
update中withdrawn route 显示撤销的路由
二、对等体组
1、类似接口组,简化命令的作用
在IE LAB考试时需要“按照最简化的方式完成配置”时需要用到对等体组的方式完成
三、BGP安全特性(重点)
1、BGP存在的安全隐患
存在非法邻居建立
发送大量非法BGP报文 IP报文解封装送给TCP,TCP解封完送给BGP模块,BGP模块收到送给CPU处理
2、安全措施及方法
BGP使用认证和GTSM(Generalized TTL Security Mechanism,通用TTL安全保护机制)两个方法保证BGP对等体间的交互安全。
3、GTSM
B认为A传到B TTL值为252才是合法的,防止黑客的攻击
peer 3.3.3.3 valid-ttl-hops
hops:指定需要检测的TTL跳数值
整数部分,取值范围为1~255
缺省值为255,如果配置为hops
则被检测的报文的TTL值有效范围为【255-hops+1,255】
4、Keychain加密
Keychain:在握手之前就搞定了,独立认证方式,独立的是一个进程,有一个认证链,1点到2点是什么密码,2点到3点什么密码
(1)秘钥链实现
秘钥链中有很多密码,可以定义每个密码的使用时间
BGP要去调用秘钥链
BGP本身无法调用秘钥链,需要通过TCP调用
TCP需要建立链接,TCP里面有多余的配置需要(要去调用密钥链)
根据系统时间拿到密码,让跟你做验证,验证成功才能建立TCP,从而BGP才能建立成功
先有Keychain,然后在调用到TCP当中
(2)问题
问题:时间不同步
时间不同步原则上用不了,同一时间需要换密码 NTP服务器可以保证时间同步,但不能保证分秒同步,在配置密码时有一个容忍时间
(3)配置解析
keychain key1 mode periodic daily
receive-tolerance 10 //接收容忍时间
key-id 1
algorithm md5 //认证类型
key-string cipher spoto
send-time daily 00:00 to 23:00 //0点到23点发送的时间
receive-time daily 00:00 to 23:00 //0点到23点接收的时间
bgp 103
peer 5.5.5.5 keychain ke1 //在bgp中调用