BGP高级特性

BGP高级特性

AS-path filter：AS路径过滤器

作用：根据BGP路由的AS-path属性进行路由匹配和过滤

• 可以自己定义动作permit和deny，默认底层deny any

匹配条件

• 正则表达式
• 可以使用route-policy调用（作为匹配工具），也可以在BGP进程中指定对等体直接调用（作为过滤器，用来过滤路由）

正则表达式

• 使用一定的模板去匹配字符串，由普通字符和特殊字符组成
  • 普通字符：大小写英文字母，数字，标记符号等
  • 特殊字符：含有特定意义的字符，如：\ . *$[] ()|?

配置命令

1.在系统视图下创建AS-path-filer
ip as-path-filter 1 deny _30*0_
ip as-path-filter 1 Permit ^100_1000_2000$
//可以使用number或者那么定义，使用正则表达式作为匹配项
2.在BGP视图指向对等体直接调用
	在出方向或者入方向上过滤BGP路由
	peer 6.6.6.6 as-path-filter 1 import\export
	最终允许还是拒绝取决于as-path-filter自身定义的规则
3.在router-policy中调用，作为匹配工具，用来匹配BGP路由
	route-policy as-path permit node 10
	if-match as-path-filter 1
	peer 6.6.6.6 route-policy as-path import\export
	最终允许还时拒绝取决于router-policy node定义的规则

community filter：团体属性过滤器

作用

• 根据BGP路由的团体属性匹配BGP路由，与BGP团体属性搭配使用

community filter分类

基本 community filter：可以用于匹配团体号和公认团体属性

高级community filter：可以使用正则表达式匹配团体号

创建方式

1. 编号：
   • 1-99：基本community filter
   • 100-199：高级community filter
2. 命名的方式
   • 在name前指定为高级（advance）和基本（basic）

匹配规则

1. 单个community filter组中的多个community 值是“与”的关系
2. 多个community filter组中的community 值是“或”的关系
3. 底层默认拒绝所有

配置命令

1.使能团体属性的通告能力，缺省情况下未使能
[Huawei-bgp]peer 1.1.1.1 advertise-community
2.创建community filter
	ip community filter 1 permit 100：200
	ip community filter advanced 123 permit 
3。在route-policy中调用

ORF：outbound route filer

作用

• 降低本端CPU占用率，减少对端BGP邻居的配置工作，降低链路带宽的占用率

原理

• 将本端设备的入方向策略使用route-refresh报文打包发送给对端设备，对端设备接收到后，根据保温中携带的策略部署出方向此策略，使其发送路由时执行过滤，减少对链路带宽的占用，提高本端设备的利用率，同时减少对端设备的配置工作

配置命令

• 本端配置

  • 1.配置前缀列表
    	ip ip-prefix 1 permit 10.1.1.1 32
    2.指定对端邻居调用前缀列表部署入方向策略
    	peer 10.1.12.1 ip-prefix 1 import
    3.指定对端邻居通告基于IP前缀列表的ORF能力，并选择工作方式为send
    	peer 10.1.12.1 capability-advertise orf ip-prefix send 
    

• 对端配置

  • 指定对端邻居通告基于IP前缀列表的ORF能力，并选择工作方式为receive
     peer 10.1.12.2 capability-advertise orf ip-prefix receive
    

工作模式

1. send：作为ORF的发送方，报文发送方
2. receive：作为ORF的发送方，路由发送方
3. both：作为ORF的发送方和接收方

对等体组：按组打包

作用

• 简化配置，减少设备性能的损耗

原理

• 将多个具有相同特点（相同出口策略，相同的配置等）的设备添加到同一个对等体组中，然后对对等体组进行相关的配置和部署策略

配置命令

1. 配置IBGP对等体组

   • 1.创建IBGP对等体组
     	[R2-bgp] group in internal
     2.针对对等体组进行统一配置
     	[R2-bgp] peer in connect-interface Loopback 0
     3.将IBGP对等体加入到IBGP对等体组中
     	[R2-bgp] peer 10.1.3.3 group in
     	[R2-bgp] peer 10.1.4.4 group in
     	[R2-bgp] peer 10.1.5.5 group in
     

2. 配置EBGP对等体组

   • 1.创建EBGP对等体
     	[R2-bgp] group in external
     2.针对对等体组进行统一配置
     	[R2-bgp] group in as-number //只在配置EBGP对等体时需要配置
     3.将EBGP对等体加入到EBGP对等体组中
     

BGP安全特性

BGP认证

• 确认BGP邻居关系的合法性，只有通过认证的才会建立BGP对等体关系

认证方式

1. 默认不认证
2. MD5认证：密钥单一，不会自动产生，需要手工配置，如需修改，需要管理员干预，传输过程和保管中密钥有泄露风险
3. keychain认证：一串密钥的集合，会随着时间不断的变换加密密钥，安全性更高

配置命令

在BGP视图下配置
	[Huawei-bgp]peer 6.6.6.6 password cipher huawei123//配置认证方式为MD5
	[Huawei-bgp]peer 6.6.6.6 keychain 1//配置认证keychain
	注意：以上两种认证方式互斥

GTSM：通用的TTL安全保护机制

作用

• 用于防范有效报文攻击（正常交互的协议报文），占用设备CPU资源导致设备负担过重
• 通过配置有效的TTL值范围，来检测邻居的合法性

配置命令

[R1-bgp] peer group\ipv4\ipv6 address valid-ttl-hops 1 （跳数）
//配置时需要双向配置，默认不开启
报文的TTL值的有效范围计算公式：[（255-hops+1），255]
注意：与ebgp-MAX-hops不能同时配置

RR组网部署方式

单集群的备份组网

• 同一个集群当中配置多个RR，RR间互为备份
• 集群内所有BGP路由器与RR建立IBGP全互联，并作为RR客户端
• RR与其他RR建立IBGP全互联，所有RR共同维护一个cluster_id
• 同一集群内简化RR路由表条目：
  • 通过cluster list，RR接收到客户端发送过来的BGP路由时，再反射给其他RR时，会将cluster id添加到cluster list中，当集群内其他RR接收到该反射来的BGP路由时，发现cluster list 中携带与自己一致的cluster id，则直接丢弃。因此，因此，同一集群内的备份RR只会学习到RR客户端发送过来的BGP路由，而无需学习并保存其他RR反射过来的BGP路由，达到简化路由表条目的目的

多集群组网

• 同级RR组网：
  • 将骨干网络划分成多个集群，每个集群内的客户机只与集群内的RR建立IBGP全互联，不同集群的RR建立IBGP邻居关系，RR间为非客户机关系
• 层级RR组网
  • 将一个AS划分成多个集群，每个集群的客户机只与进群内的RR建立IBGP全互联，较低网络层次的RR较高层次的RR客户机，形成分级RR