BGP
一、AS-Path正则表达式
- 正则表达式是按照一定模版匹配字符串的公式
AR3上未做过滤时
数字
让有字符串为10的通过
[AR3]ip as-path-filter 1 permit 10
[AR3]bgp 300
[AR3-bgp]peer 34.1.1.4 as-path-filter 1 import
反过来将仅有200i的路由进行加表
[AR3-bgp]route-policy as deny node 10
[AR3-route-policy]if-match as-path-filter 1
[AR3]route-policy as permit node 1000
[AR3-bgp]peer 34.1.1.4 route-policy as import
| 等同于或的关系
为方便后续实验,给R3的AS path多创建几个
R3上看效果
调用400|500
400或500的被加表
等同于下表写法
[]和.
- []中括号包围的字符串为一个字符单位
- .代表任意字符
匹配0.5
匹配0.[45]
匹配0.[4 5]
$ 一个字符串的结束
_代表任意
^一个字符串的开始
()括号包围的是一个组合
- 组合的结果再带到大的表达式中
\ 转义字符
还原后面字符串中特殊符号的原有含义
* 零个或多个
?零个或一个
+一个或多个
二、BGP对等体组
- 相同策略的对等体的集合
- 节约资源
在配置RR时,如果对端设备过多,配置也会繁琐,增大设备计算资源,可以通过加组的方式进行配置
AR3上:
group test internal
peer test connect-interface LoopBack 0
peer test reflect-client
peer test advertise-community
peer 2.1.1.1 group test
peer 4.1.1.1 group test
peer 5.1.1.1 group test
测试网络连通性:
三、BGP安全性
-
常见BGP攻击方式
- 建立非法BGP邻居关系,通告非法路由条目,干扰正常路由表
- 发送大量非法BGP报文,路由器接收后上送CPU,导致CPU利用率升高
-
保护方式
- peer 12.1.1.2 password cipher xxxxxxx 双方通过密码校验后再建立邻居
-GTSM保护 (TTL保护)- BGP的GTSM功能检测IP报文头部中的TTL是否在预先设定的范围内,并对不符合TTL值范围的报文进行丢弃,避免攻击者模拟合法的BGP报文攻击设备
AR5上 配置
抓包看 AR6发送给AR5的TTL=1 双方无法正常通讯
AR6上配置ebgp多跳
- BGP的GTSM功能检测IP报文头部中的TTL是否在预先设定的范围内,并对不符合TTL值范围的报文进行丢弃,避免攻击者模拟合法的BGP报文攻击设备
- peer 12.1.1.2 password cipher xxxxxxx 双方通过密码校验后再建立邻居