目录
第二章 BGP高级特性
2.1 BGP的路由控制
路由匹配工具:
- ACL访问控制列表:匹配前缀
- IP 前缀列表:匹配前缀和掩码长度
- AS-path filter:可以通过AS-Path的内容匹配对应的路由
- Community filter:通过匹配路由的团体属性,筛选路由。
路由策略工具:通过调用匹配工具,对匹配工具匹配路由进行路由的属性修改和控制。
- filter-policy:影响路由加表
- route-policy:修改路由属性,影响路由的接受和发布
2.1.1正则表达式
通过普通字符与特殊字符配合组成字符串的特征,从而匹配字符串:
- 普通字符:用于表示普通字符本身,比如1,2……9 a,b……z
- 特殊字符:比如“.”,“*”,“$”,“^”等
- 限制和扩充普通字符,控制字符,占位符号
- 描述该字符前的字符的重复使用方式
- 限定一个完整范围
2.1.2 团体属性
公认团体属性:
- internet,所有的路由默认携带的团体属性,十进制表示为0
- no-advertise,接收到路由携带该团体属性,不通告给所有的对等体
- no-export,接收到路由携带该团体属性,只通告给IBGP不通告出AS
- no-export-subconfed,接收到路由携带该团体属性,不通告给BGP联盟的其他子AS,只在通告给子AS内部的IBGP邻居。
自定义团体属性:32bit组成
表达方式:
- 十进制表达方式
- AA:NN的表达方式
- 建议AA部分为AS号,NN部分用户自定义
- X:y与十进制之间的换算,十进制=65536x+y,1:0=65536
- 对等体间必须要开启团体属性通告能力
扩展团体属性:MPLS中RT值通过扩展团体属性携带
2.2 BGP的特性
2.2.1 按需发布路由
ORF(按需发布路由),本端配置基于前缀的路由接受策略,并通过refresh报文携带该策略发送给对端,对端收到该策略后,按照策略需求发布路由给本端。以节约本端的系统资源。
2.2.2 按组打包
本端设备发送路由给对端设备需要对路由进行打包,并发送;
按组打包:是一些具有某些相同策略的对等体的集合。当一个对等体加入对等体组中时,该对等体将获得与所在对等体组相同的配置。当对等体组的配置改变时,组内成员的配置也相应改变。
- 本地对组内成员发送的路由仅需要打包一次,分别向组内成员发送。节约系统资源
- 可以减少配置量。
2.3 BGP的安全
安全风险:
- 建立非法邻居,发送非法的路由条目
- 发送大量的非法的BGP报文,接收该报文的设备必须将协议报文上送CPU处理,导致CPU的资源消耗过高,影响设备性能。
解决方法:
- 通过认证:可以防止BGP建立非法的对等体关系,对等体需要配置相同的认证密钥,才能建立邻居关系。
- MD5认证:通过对整个TCP进行认证,而BGP报文封装在TCP报文中,也可以得到认证。
- Keychain 认证:在密钥链中包含多个密钥,按照配置周期自动切换密钥。
- GTSM功能
- 通过限制BGP的报文的TTL值范围,保障BGP的安全
- peer 4.4.4.4 valid-ttl-hops n //该命令限制从4.4.4.4的对等体接收的BGP报文的TTL的范围为(255,256-n),收到超过范围的BGP报文,丢弃,不上送CPU。
2.4 4字节AS号
支持4字节AS号的设备之间建立新的会话,通过AS-path属性携带4字节AS号(按照4B编码),有一端不支持4字节AS号,则建立旧会话,通过AS-path属性携带2字节AS号(2B编码)。在传递过程中路径上出现新会话和旧会话,则就会话传递As-path属性还需要携带AS4-path属性,此时原有的4字节AS号,通过AS4-path属性携带,AS-path中携带占位符23456。
2.5 RR组网
单点故障:单点出现故障导致网络不可用
备份RR组网:同一个集群中,使用多个RR设备,多个RR设备设置相同的簇ID,其他设备都与该多个RR设备建立IBGP对等体关系,多个RR设备都指定其他设备为自己的客户端。
多集群组网:
- 同级RR组网:不同集群之间的RR相互建立IBGP对等体关系,相互传递路由,通过簇列表防环(簇ID必须要不一致),RR收到其他的RR设备的路由(其他集群的路由)反射进入到自己集群的客户端设备。
- 分级RR组网:二级RR设备作为自己集群的的RR设备的同时,作为一级RR设备的客户端。