BGP高级特性
AS-path filter:AS路径过滤器
作用:根据BGP路由的AS-path属性进行路由匹配和过滤
- 可以自己定义动作permit和deny,默认底层deny any
匹配条件
- 正则表达式
- 可以使用route-policy调用(作为匹配工具),也可以在BGP进程中指定对等体直接调用(作为过滤器,用来过滤路由)
正则表达式
- 使用一定的模板去匹配字符串,由普通字符和特殊字符组成
- 普通字符:大小写英文字母,数字,标记符号等
- 特殊字符:含有特定意义的字符,如:\ . *$[] ()|?
配置命令
1.在系统视图下创建AS-path-filer
ip as-path-filter 1 deny _30*0_
ip as-path-filter 1 Permit ^100_1000_2000$
//可以使用number或者那么定义,使用正则表达式作为匹配项
2.在BGP视图指向对等体直接调用
在出方向或者入方向上过滤BGP路由
peer 6.6.6.6 as-path-filter 1 import\export
最终允许还是拒绝取决于as-path-filter自身定义的规则
3.在router-policy中调用,作为匹配工具,用来匹配BGP路由
route-policy as-path permit node 10
if-match as-path-filter 1
peer 6.6.6.6 route-policy as-path import\export
最终允许还时拒绝取决于router-policy node定义的规则
community filter:团体属性过滤器
作用
- 根据BGP路由的团体属性匹配BGP路由,与BGP团体属性搭配使用
community filter分类
基本 community filter:可以用于匹配团体号和公认团体属性
高级community filter:可以使用正则表达式匹配团体号
创建方式
- 编号:
- 1-99:基本community filter
- 100-199:高级community filter
- 命名的方式
- 在name前指定为高级(advance)和基本(basic)
匹配规则
- 单个community filter组中的多个community 值是“与”的关系
- 多个community filter组中的community 值是“或”的关系
- 底层默认拒绝所有
配置命令
1.使能团体属性的通告能力,缺省情况下未使能
[Huawei-bgp]peer 1.1.1.1 advertise-community
2.创建community filter
ip community filter 1 permit 100:200
ip community filter advanced 123 permit
3。在route-policy中调用
ORF:outbound route filer
作用
- 降低本端CPU占用率,减少对端BGP邻居的配置工作,降低链路带宽的占用率
原理
- 将本端设备的入方向策略使用route-refresh报文打包发送给对端设备,对端设备接收到后,根据保温中携带的策略部署出方向此策略,使其发送路由时执行过滤,减少对链路带宽的占用,提高本端设备的利用率,同时减少对端设备的配置工作
配置命令
-
本端配置
-
1.配置前缀列表 ip ip-prefix 1 permit 10.1.1.1 32 2.指定对端邻居调用前缀列表部署入方向策略 peer 10.1.12.1 ip-prefix 1 import 3.指定对端邻居通告基于IP前缀列表的ORF能力,并选择工作方式为send peer 10.1.12.1 capability-advertise orf ip-prefix send
-
-
对端配置
-
指定对端邻居通告基于IP前缀列表的ORF能力,并选择工作方式为receive peer 10.1.12.2 capability-advertise orf ip-prefix receive
-
工作模式
- send:作为ORF的发送方,报文发送方
- receive:作为ORF的发送方,路由发送方
- both:作为ORF的发送方和接收方
对等体组:按组打包
作用
- 简化配置,减少设备性能的损耗
原理
- 将多个具有相同特点(相同出口策略,相同的配置等)的设备添加到同一个对等体组中,然后对对等体组进行相关的配置和部署策略
配置命令
-
配置IBGP对等体组
-
1.创建IBGP对等体组 [R2-bgp] group in internal 2.针对对等体组进行统一配置 [R2-bgp] peer in connect-interface Loopback 0 3.将IBGP对等体加入到IBGP对等体组中 [R2-bgp] peer 10.1.3.3 group in [R2-bgp] peer 10.1.4.4 group in [R2-bgp] peer 10.1.5.5 group in
-
-
配置EBGP对等体组
-
1.创建EBGP对等体 [R2-bgp] group in external 2.针对对等体组进行统一配置 [R2-bgp] group in as-number //只在配置EBGP对等体时需要配置 3.将EBGP对等体加入到EBGP对等体组中
-
BGP安全特性
BGP认证
- 确认BGP邻居关系的合法性,只有通过认证的才会建立BGP对等体关系
认证方式
- 默认不认证
- MD5认证:密钥单一,不会自动产生,需要手工配置,如需修改,需要管理员干预,传输过程和保管中密钥有泄露风险
- keychain认证:一串密钥的集合,会随着时间不断的变换加密密钥,安全性更高
配置命令
在BGP视图下配置
[Huawei-bgp]peer 6.6.6.6 password cipher huawei123//配置认证方式为MD5
[Huawei-bgp]peer 6.6.6.6 keychain 1//配置认证keychain
注意:以上两种认证方式互斥
GTSM:通用的TTL安全保护机制
作用
- 用于防范有效报文攻击(正常交互的协议报文),占用设备CPU资源导致设备负担过重
- 通过配置有效的TTL值范围,来检测邻居的合法性
配置命令
[R1-bgp] peer group\ipv4\ipv6 address valid-ttl-hops 1 (跳数)
//配置时需要双向配置,默认不开启
报文的TTL值的有效范围计算公式:[(255-hops+1),255]
注意:与ebgp-MAX-hops不能同时配置
RR组网部署方式
单集群的备份组网
- 同一个集群当中配置多个RR,RR间互为备份
- 集群内所有BGP路由器与RR建立IBGP全互联,并作为RR客户端
- RR与其他RR建立IBGP全互联,所有RR共同维护一个cluster_id
- 同一集群内简化RR路由表条目:
- 通过cluster list,RR接收到客户端发送过来的BGP路由时,再反射给其他RR时,会将cluster id添加到cluster list中,当集群内其他RR接收到该反射来的BGP路由时,发现cluster list 中携带与自己一致的cluster id,则直接丢弃。因此,因此,同一集群内的备份RR只会学习到RR客户端发送过来的BGP路由,而无需学习并保存其他RR反射过来的BGP路由,达到简化路由表条目的目的
多集群组网
- 同级RR组网:
- 将骨干网络划分成多个集群,每个集群内的客户机只与集群内的RR建立IBGP全互联,不同集群的RR建立IBGP邻居关系,RR间为非客户机关系
- 层级RR组网
- 将一个AS划分成多个集群,每个集群的客户机只与进群内的RR建立IBGP全互联,较低网络层次的RR较高层次的RR客户机,形成分级RR