当前位置: 首页 > article >正文

BGP 及 4+ 的一些特性及配置笔记

一、Community 团体属性(可选非过渡):

        route-policy COMM permit node 10
          apply community no-advertise | no-export | internet | no-export-subconfed | x:y        
        bgp 100
          peer x.x.x.x route-policy X export
          peer x.x.x.x advertise-community    #默认不发团体属性,带了route-policy,还要再声明携带上

        专用的过滤小工具:

        ip community-filter X basic | advanced | 1-99 | 100-199 X permit x:y  #高级的可用正则
        route-policy to R5 permit node 10
          if-match community-filter R1
        route-policy toR5 permit node 20
        bgp 234
          peer x.x.x.x route-policy toR5 export
二、安全特性:
1、认证:明文、MD5 & Keychain

    1)明文:peer x.x.x.x password simpl x    #双方都配,在传输层三次握手进行,TCP报文中可见:TCP MD5 sinature 的TLV,用密码和其他参数进行hash,BGP其他报文中不再认证
    2)MD5:peer x.x.x.x cipher x
    3)Keychain:peer x.x.x.x keychain x

    keychain X mode absolute | periodic daily | monthly | weekly 
      key-id 0-63
      algorithm hmac-md5 | hmac-sha1-20 |  hmac-sha1-12 | md5 | sha-1 | simple
      key-string x cipher | plain
      send-time daily 00:00 to 11:59
      receive-time daily 00:00 to 11:59
      q
    key-id ....
    dis keychain X
2、、GTSM 通用TTL安全保护

在IP层,开启后,发送的报文TTL值被强制改为255,接收的TTL报文被设置为 ≥ 预配值,实际跳数 = 256 - 当前收到的TTL跳数,(与ebgp-max-hop互斥,它仅限制自己发的,却不限制自己收的)
    bgp 200
      peer x.x.x.x valid-ttl-hops 1-255

3、AS_path 长度保护  

    bgp 200
      as-path-limit x

4、限制对等体 接收的路由数量,超限则 notification

    peer x.x.x.x route-limit x

三、BGP 扩展特性:
1、路由衰减:

    用于解决路由不稳定的问题,只适用于 EBGP 路由
    dampening 半衰期900s 恢复值750 抑制值2000 抑制最大值16000
    dis bgp routing-table dampening parameter
    dis bgp routing-table damped
    路由标记为h,但不直接删掉
    路由标记为d,已经被惩罚到被删掉

四、BGP 增强特性:
1、BGP ORF(Outbound Route Filtering)

    在基于本地入口策略构建对端的出口策略,让对端按需发布路由
    包括基于前缀的ORF和VPN ORF
    ip ip-prefix P24 permit 0.0.0.0 0 less-equeal 24    #允许掩码长度<=24
    ip ip-prefix P24_ONLY 0.0.0.0 24    #只收24位掩码的路由
     bgp 234
      peer x.x.x.x ip-prefix P24 import    #这个是在接收端定制的
      peer x.x.x.x capability-advertise orf ip-prefix both | receive | send #双边都要配置    #接收端发送自己有发的能力send,发送端发送自己有收的能力receive,可接收对方所需做路由匹配发送
    dis bgp peer x.x.x.x orf ip-prefix    #查看 orf 中的 ip-prefix 表

2、Active-Route-Advertise    

    仅当 BGP 路由进入了全局路由表,才发给邻居,场景:在ASBR上配置,防止承载网路由泄露:当IGP不小心泄露到 IBGP 时,因为第五条 Origin:  IGP优于EGP、Incomplete,因此不会再外发给EBGP邻居。这条功能与路由同步(synchonorize)功能相反,同步功能要求IGP和BGP路由都存在,才能发送;而这个ARA则是不引入IGP,BGP的优先级才能进入全局路由表,才能被发送

3、四字节 AS 号:

    默认打开的,关闭:
    undo peer x.x.x.x capability-advertise 4-bytes-as    #关闭四字节能力
    23456 是AS保留值,以替代 2 字节的 AS 号,并传递 4 字节 AS 号的路由
    两种配置形式,一种大于65535的数字就是四字节AS号,另一种用x:y形式,用as-notation plain可以配成比例但用数字显示
    如果一端不支持四字节AS号,有四字节AS号的用 peer x.x.x.x fake-as x 两字节的AS号让对方来连并顺利建立邻居    


 


http://www.kler.cn/a/373537.html

相关文章:

  • leetcode-62-不同路径
  • 数据库数据恢复—Oracle ASM磁盘组掉线 ,ASM实例无法挂载的数据恢复案例
  • 对话瀚荃:为何欧美拟统一采用USB-C充电接口?
  • 基于MATLAB多参数结合火焰识别系统
  • 【JVM 深入了解】JVM 到底包含什么?
  • [0152].第3节:IDEA中工程与模块
  • 外包干了7天,技术明显退步。。。。。
  • Go:package
  • 传奇架设教程,M2报错无法找到城堡信息文件的解决方法
  • 【c++篇】:模拟实现string类--探索字符串操作的底层逻辑
  • oracle获取中文拼音/WB
  • isp框架代码理解
  • python debug作业
  • 前端vue2迁移至uni-app
  • 产品宣传册制作成电子产品宣传册用什么软件?
  • ollama 在 Linux 环境的安装
  • Leetcode 79 Word search
  • 保障农民工工资!我们这么做:
  • 前端面试题-token的登录流程、JWT
  • Django+Vue智慧分析居家养老系统统的设计与实现
  • 【Vulnhub靶场】DC-5
  • 构建旋转变换矩阵对二维到高维空间的线段点进行旋转
  • 微信小程序app.js里面onLaunch里面的函数比page里面的onshow里面的方法后执行
  • 接口表笔记
  • SchooWeb2--基于课堂学习到的知识点2
  • java基础面试题三异常处理