BGP 及 4+ 的一些特性及配置笔记

时间:2024-11-02 06:57:31
一、Community 团体属性(可选非过渡):

        route-policy COMM permit node 10
          apply community no-advertise | no-export | internet | no-export-subconfed | x:y        
        bgp 100
          peer x.x.x.x route-policy X export
          peer x.x.x.x advertise-community    #默认不发团体属性,带了route-policy,还要再声明携带上

        专用的过滤小工具:

        ip community-filter X basic | advanced | 1-99 | 100-199 X permit x:y  #高级的可用正则
        route-policy to R5 permit node 10
          if-match community-filter R1
        route-policy toR5 permit node 20
        bgp 234
          peer x.x.x.x route-policy toR5 export
二、安全特性:
1、认证:明文、MD5 & Keychain

    1)明文:peer x.x.x.x password simpl x    #双方都配,在传输层三次握手进行,TCP报文中可见:TCP MD5 sinature 的TLV,用密码和其他参数进行hash,BGP其他报文中不再认证
    2)MD5:peer x.x.x.x cipher x
    3)Keychain:peer x.x.x.x keychain x

    keychain X mode absolute | periodic daily | monthly | weekly 
      key-id 0-63
      algorithm hmac-md5 | hmac-sha1-20 |  hmac-sha1-12 | md5 | sha-1 | simple
      key-string x cipher | plain
      send-time daily 00:00 to 11:59
      receive-time daily 00:00 to 11:59
      q
    key-id ....
    dis keychain X
2、、GTSM 通用TTL安全保护

在IP层,开启后,发送的报文TTL值被强制改为255,接收的TTL报文被设置为 ≥ 预配值,实际跳数 = 256 - 当前收到的TTL跳数,(与ebgp-max-hop互斥,它仅限制自己发的,却不限制自己收的)
    bgp 200
      peer x.x.x.x valid-ttl-hops 1-255

3、AS_path 长度保护  

    bgp 200
      as-path-limit x

4、限制对等体 接收的路由数量,超限则 notification

    peer x.x.x.x route-limit x

三、BGP 扩展特性:
1、路由衰减:

    用于解决路由不稳定的问题,只适用于 EBGP 路由
    dampening 半衰期900s 恢复值750 抑制值2000 抑制最大值16000
    dis bgp routing-table dampening parameter
    dis bgp routing-table damped
    路由标记为h,但不直接删掉
    路由标记为d,已经被惩罚到被删掉

四、BGP 增强特性:
1、BGP ORF(Outbound Route Filtering)

    在基于本地入口策略构建对端的出口策略,让对端按需发布路由
    包括基于前缀的ORF和VPN ORF
    ip ip-prefix P24 permit 0.0.0.0 0 less-equeal 24    #允许掩码长度<=24
    ip ip-prefix P24_ONLY 0.0.0.0 24    #只收24位掩码的路由
     bgp 234
      peer x.x.x.x ip-prefix P24 import    #这个是在接收端定制的
      peer x.x.x.x capability-advertise orf ip-prefix both | receive | send #双边都要配置    #接收端发送自己有发的能力send,发送端发送自己有收的能力receive,可接收对方所需做路由匹配发送
    dis bgp peer x.x.x.x orf ip-prefix    #查看 orf 中的 ip-prefix 表

2、Active-Route-Advertise    

    仅当 BGP 路由进入了全局路由表,才发给邻居,场景:在ASBR上配置,防止承载网路由泄露:当IGP不小心泄露到 IBGP 时,因为第五条 Origin:  IGP优于EGP、Incomplete,因此不会再外发给EBGP邻居。这条功能与路由同步(synchonorize)功能相反,同步功能要求IGP和BGP路由都存在,才能发送;而这个ARA则是不引入IGP,BGP的优先级才能进入全局路由表,才能被发送

3、四字节 AS 号:

    默认打开的,关闭:
    undo peer x.x.x.x capability-advertise 4-bytes-as    #关闭四字节能力
    23456 是AS保留值,以替代 2 字节的 AS 号,并传递 4 字节 AS 号的路由
    两种配置形式,一种大于65535的数字就是四字节AS号,另一种用x:y形式,用as-notation plain可以配成比例但用数字显示
    如果一端不支持四字节AS号,有四字节AS号的用 peer x.x.x.x fake-as x 两字节的AS号让对方来连并顺利建立邻居