BGP 及 4+ 的一些特性及配置笔记
一、Community 团体属性(可选非过渡):
route-policy COMM permit node 10
apply community no-advertise | no-export | internet | no-export-subconfed | x:y
bgp 100
peer x.x.x.x route-policy X export
peer x.x.x.x advertise-community #默认不发团体属性,带了route-policy,还要再声明携带上
专用的过滤小工具:
ip community-filter X basic | advanced | 1-99 | 100-199 X permit x:y #高级的可用正则
route-policy to R5 permit node 10
if-match community-filter R1
route-policy toR5 permit node 20
bgp 234
peer x.x.x.x route-policy toR5 export
二、安全特性:
1、认证:明文、MD5 & Keychain
1)明文:peer x.x.x.x password simpl x #双方都配,在传输层三次握手进行,TCP报文中可见:TCP MD5 sinature 的TLV,用密码和其他参数进行hash,BGP其他报文中不再认证
2)MD5:peer x.x.x.x cipher x
3)Keychain:peer x.x.x.x keychain x
keychain X mode absolute | periodic daily | monthly | weekly
key-id 0-63
algorithm hmac-md5 | hmac-sha1-20 | hmac-sha1-12 | md5 | sha-1 | simple
key-string x cipher | plain
send-time daily 00:00 to 11:59
receive-time daily 00:00 to 11:59
q
key-id ....
dis keychain X
2、、GTSM 通用TTL安全保护
在IP层,开启后,发送的报文TTL值被强制改为255,接收的TTL报文被设置为 ≥ 预配值,实际跳数 = 256 - 当前收到的TTL跳数,(与ebgp-max-hop互斥,它仅限制自己发的,却不限制自己收的)
bgp 200
peer x.x.x.x valid-ttl-hops 1-255
3、AS_path 长度保护
bgp 200
as-path-limit x
4、限制对等体 接收的路由数量,超限则 notification
peer x.x.x.x route-limit x
三、BGP 扩展特性:
1、路由衰减:
用于解决路由不稳定的问题,只适用于 EBGP 路由
dampening 半衰期900s 恢复值750 抑制值2000 抑制最大值16000
dis bgp routing-table dampening parameter
dis bgp routing-table damped
路由标记为h,但不直接删掉
路由标记为d,已经被惩罚到被删掉
四、BGP 增强特性:
1、BGP ORF(Outbound Route Filtering)
在基于本地入口策略构建对端的出口策略,让对端按需发布路由
包括基于前缀的ORF和VPN ORF
ip ip-prefix P24 permit 0.0.0.0 0 less-equeal 24 #允许掩码长度<=24
ip ip-prefix P24_ONLY 0.0.0.0 24 #只收24位掩码的路由
bgp 234
peer x.x.x.x ip-prefix P24 import #这个是在接收端定制的
peer x.x.x.x capability-advertise orf ip-prefix both | receive | send #双边都要配置 #接收端发送自己有发的能力send,发送端发送自己有收的能力receive,可接收对方所需做路由匹配发送
dis bgp peer x.x.x.x orf ip-prefix #查看 orf 中的 ip-prefix 表
2、Active-Route-Advertise
仅当 BGP 路由进入了全局路由表,才发给邻居,场景:在ASBR上配置,防止承载网路由泄露:当IGP不小心泄露到 IBGP 时,因为第五条 Origin: IGP优于EGP、Incomplete,因此不会再外发给EBGP邻居。这条功能与路由同步(synchonorize)功能相反,同步功能要求IGP和BGP路由都存在,才能发送;而这个ARA则是不引入IGP,BGP的优先级才能进入全局路由表,才能被发送
3、四字节 AS 号:
默认打开的,关闭:
undo peer x.x.x.x capability-advertise 4-bytes-as #关闭四字节能力
23456 是AS保留值,以替代 2 字节的 AS 号,并传递 4 字节 AS 号的路由
两种配置形式,一种大于65535的数字就是四字节AS号,另一种用x:y形式,用as-notation plain可以配成比例但用数字显示
如果一端不支持四字节AS号,有四字节AS号的用 peer x.x.x.x fake-as x 两字节的AS号让对方来连并顺利建立邻居