BGP-安全特性、扩展特性、增强特性

BGP-安全特性,扩展特性

BGP路由反射器和联盟的比较

|-------------------|----------------------------|
| 反射器 | 联盟 |
| 不需要更改现有的网络拓扑,兼容性号 | 需要修改逻辑拓扑 |
| 配置方便,客户机不知道自己是客户机 | 所有设备需要重新进行配置,且所有设备必须支持联盟功能 |
| 集群与集群之间仍然需要全连接 | 联盟的子AS之间是特殊测EBGP连接,不需要全连接 |
| 在大型网络中应用广泛 | 应用较少 |

BGP扩展特性------安全认证

1、BGP认证

BGP基于TCP进行实现,目前仅支持MD5认证。[AR1-bgp]peer 10.0.12.2 password simple huawei

2、BGP GTSM

使BGP设备对所有的BGP报文,进行TTL检查,若在合理的范围内接收处理,若不在则丢弃。

[AR1-bgp]peer 10.0.12.2 valid-ttl-hops 2(2,缺省为255,配置为2时,被检测的报文的TTL有效范围为255-2+1到255之间)

3、限制从对等体接收的路由数量,

[AR1-bgp]peer 10.0.12.2 route-limit 10 (?后面惩罚措施可省略),设置允许从邻居接收的路由数量。
[AR1-bgp]peer 10.0.12.2 route-limit 10 70 {alert-only,idle-forever,idle-timeout},设备允许从邻居接收的路由数量,且超过百分之70时产生告警。后续惩罚可省略。

alert-only:超限之后,只告警同时不接收超出的路由。

idle-forever:超限之后,断开邻居关系,不会自动建立邻居关系,除非认为操作。

idle-timeout:超限之后,断开邻居关系,等待指定的时间之后重新建立邻居关系。

4、AS_Path长度保护

[AR1-bgp]as-path-limit 3,当BGP路由器携带的AS号超过3个的时候,将不在接收BGP路由。

BGP扩展特性------路由衰减

BGP衰减使用惩罚值(Penalty Value),默认抑制阈值为2000。

被抑制的路由每经过一段时间,惩罚值会减少一般,这个时间称为半衰期(Half-life),默认为900秒。15分钟。

[AR1-bgp]dampening 2 1000 3000 5000

BGP-增强特性,ORF,活动路由通告,四字节AS

BGP基于前缀的ORF(Outbound Route Filtering,出向路由过滤)功能:

1、基于本地的入口策略构建对端口的出口策略,实现BGP按需发布路由。

2、包括基于前缀的ORF和VPN ORF。

[AR1-bgp]peer 10.0.12.2 capability-advertise orf cisco-compatible ip-prefix both

[AR2-bgp]peer 10.0.12.1 capability-advertise orf cisco-compatible ip-prefix both

BGP-增强特性------按策略进行下一跳迭代

按策略进行下一跳迭代:指定BGP路由,只能根据哪些路由进行迭代。

**注释:**若配置按策略执行下一跳迭代,则需要匹配所有ASBR路由的下一跳地址,防止出现BGP路由无法进行正常迭代。

相关推荐
海绵波波1071 小时前
Webserver(4.3)TCP通信实现
服务器·网络·tcp/ip
热爱跑步的恒川4 小时前
【论文复现】基于图卷积网络的轻量化推荐模型
网络·人工智能·开源·aigc·ai编程
云飞云共享云桌面5 小时前
8位机械工程师如何共享一台图形工作站算力?
linux·服务器·网络
音徽编程7 小时前
Rust异步运行时框架tokio保姆级教程
开发语言·网络·rust
幺零九零零8 小时前
【C++】socket套接字编程
linux·服务器·网络·c++
23zhgjx-NanKon9 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon9 小时前
华为eNSP:mux-vlan
网络·安全·华为
点点滴滴的记录9 小时前
RPC核心实现原理
网络·网络协议·rpc
Lionhacker9 小时前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
程思扬10 小时前
为什么Uptime+Kuma本地部署与远程使用是网站监控新选择?
linux·服务器·网络·经验分享·后端·网络协议·1024程序员节