BGP
一、AS-Path正则表达式
- 正则表达式是按照一定模版匹配字符串的公式
AR3上未做过滤时
数字
让有字符串为10的通过
AR3\]ip as-path-filter 1 permit 10 \[AR3\]bgp 300 \[AR3-bgp\]peer 34.1.1.4 as-path-filter 1 import  反过来将仅有200i的路由进行加表 \[AR3-bgp\]route-policy as deny node 10 \[AR3-route-policy\]if-match as-path-filter 1 \[AR3\]route-policy as permit node 1000 \[AR3-bgp\]peer 34.1.1.4 route-policy as import  #### \| 等同于或的关系 为方便后续实验,给R3的AS path多创建几个  R3上看效果  调用400\|500  400或500的被加表  等同于下表写法  #### \[\]和. * \[\]中括号包围的字符串为一个字符单位 * .代表任意字符 **匹配0.5**  匹配0.\[45
匹配0.[4 5]
$ 一个字符串的结束
_代表任意
^一个字符串的开始
()括号包围的是一个组合
- 组合的结果再带到大的表达式中
\ 转义字符
还原后面字符串中特殊符号的原有含义
* 零个或多个
?零个或一个
+一个或多个
二、BGP对等体组
- 相同策略的对等体的集合
- 节约资源
在配置RR时,如果对端设备过多,配置也会繁琐,增大设备计算资源,可以通过加组的方式进行配置
AR3上:
group test internal
peer test connect-interface LoopBack 0
peer test reflect-client
peer test advertise-community
peer 2.1.1.1 group test
peer 4.1.1.1 group test
peer 5.1.1.1 group test
测试网络连通性:
三、BGP安全性
-
常见BGP攻击方式
- 建立非法BGP邻居关系,通告非法路由条目,干扰正常路由表
- 发送大量非法BGP报文,路由器接收后上送CPU,导致CPU利用率升高
-
保护方式
- peer 12.1.1.2 password cipher xxxxxxx 双方通过密码校验后再建立邻居
-GTSM保护 (TTL保护)- BGP的GTSM功能检测IP报文头部中的TTL是否在预先设定的范围内,并对不符合TTL值范围的报文进行丢弃,避免攻击者模拟合法的BGP报文攻击设备
AR5上 配置
抓包看 AR6发送给AR5的TTL=1 双方无法正常通讯
AR6上配置ebgp多跳
- BGP的GTSM功能检测IP报文头部中的TTL是否在预先设定的范围内,并对不符合TTL值范围的报文进行丢弃,避免攻击者模拟合法的BGP报文攻击设备
- peer 12.1.1.2 password cipher xxxxxxx 双方通过密码校验后再建立邻居