BGP高级特性——ORF、GTSM、4字节AS号

目录

邻居按需发布路由（ORF）

BGP对等体组（Peer Group）

BGP安全性

---

邻居按需发布路由（ORF）

基本原理

如果设备希望只接受自己需要的路由，可以通过配置BGP基于前缀的ORF（Outbound Route Filters出口路由过滤器），ORF通过BGP Refresh报文告诉对等体我只需要X.X.X.X的路由，对等体收到后，就只会给设备发送X.X.X.X的路由

ORF与Router-policy的区别

ORF：              我直接告诉对端需要的路由，对端只给我发送这条路由

Router-policy：对端把所有的路由都发给我，我自己过滤出我想要的路由

优点

避免了本端设备接收大量无用路由，降低了链路带宽的占用率

配置命令（一端配置接口ORF，一端配置发送ORF）

华为设备配置

通过IP-Prefix定义自己需要哪些路由，并对指定邻居调用

系统视图：ip ip-prefix 123 permit 1.1.1.1 32   匹配1.1.1.1/32路由

BGP视图：peer 10.0.0.1 ip-prefix 123 import/export

        import  对自己对等体10.0.0.1接收的路由通过前缀列表过滤

        export  对自己对等体10.0.0.1发布的路由通过前缀列表过滤

配置ORF的发送与接收

BGP视图：peer 10.0.0.1 capability-advertise orf ip-prefix 123 [both/receive/send]

        both：     对对等体10.0.0.1允许发送和接收ORF报文

        receive：对对等体10.0.0.1只允许接收ORF报文

        send：   对对等体10.0.0.1只允许发送其报文

        standard-match：按照RFC标准规定的前缀匹配规则来匹配路由

BGP对等体组（Peer Group）

对等体组是一些具有某些相同策略的对等体的集合

将一个对等体加入对等体组中时，该对等体将会获得与所在对等体相同的配置

当对等体组的配置改变之后，组成员的配置也相应改变

对等体组中的单个对等体也可以单独配置自己的发布路由与接收路由的策略

配置命令（Bgp视图下配置）

华为设备配置

创建对等体组

group  [name]  [external/internal]

  name:对等体组的名称

  external：创建EBGP对等体组

  internal：创建IBGP对等体组

为对等体组Name配置AS号

peer [name] as-number [as-number]

  当为IBGP对等体组时，不需要做此配置

  当为EBGP对等体时，需要做此配置（AS号为对端AS号）

将对等体IP加入到对等体组Name

peer  [ip]  group  [name]

为对等体组Name指定发送BGP报文的源接口，并指定发起连接时使用的源地址

peer [name] connect-interface [接口] [源地址]

配置完成后，对对等体Name的操作就相当于直接对Peer [ip]的操作

A-R1上配置IBGP对等体组实例

华为设备配置——A-R2和A-R3与A-R1的1.1.1.1建立IBGP邻居

bgp 100

 peer Group1 internal         创建IBGP对等体组Group1

 peer 10.0.12.2 group Group1  将对等体10.0.12.2加入对等体组

 peer 10.0.13.3 group Group1  将对等体10.0.13.3加入对等体组

 peer Group1 connect-interface Loopback 0  配置对等体组的源接口与源IP地址

等同于

bgp 100

 peer 10.0.12.2 as-number 100

 peer 10.0.13.3 as-number 100

 peer 10.0.12.2 connect-interface Loopback 0

 peer 10.0.13.3 connect-interface Loopback 0

AR1上配置EBGP对等体组实例

华为设备配置——AR2和AR3与AR1的1.1.1.1建立EBGP邻居

bgp 100

 peer Group2 external           创建EBGP对等体组Group2

 peer Group2 as-number 200     配置对等体组的AS号为200

 peer 10.0.12.2 group Group2     将对等体10.0.12.2加入到对等体组

 peer 10.0.13.3 group Group2     将对等体10.0.13.3加入到对等体组

 peer Group2 ebgp-max-hop 2    配置对等体组的Ebgp跳数为2

 peer Group2 connect-interface LoopBack0 1.1.1.1  配置对等体组的源接口和源地址

等同于

bgp 100

 peer 10.0.12.2 as-number 200

 peer 10.0.13.3 as-number 200

 peer 10.0.12.2 ebgp-max-hop 2

 peer 10.0.13.3 ebgp-max-hop 2

 peer 10.0.12.2 connect-interface LoopBack0 1.1.1.1

 peer 10.0.13.3 connect-interface LoopBack0 1.1.1.1

BGP安全性

常见的BGP攻击：建立非法的BGP邻居、发送大量非法的BGP报文

通过BGP认证和GTSM两个方法来保证BGP对等体之间的交互安全

BGP认证

可以在建立TCP连接时使用MD5值进行MD5认证，确保TCP连接安全建立

也可以在建立TCP连接时使用Keychain认证

MD5方式和Keychaiin方式互斥

BGP——基本概念1（自治系统、邻居建立、认证）-CSDN博客https://blog.csdn.net/m0_49864110/article/details/123631015?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169634931416800184122351%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=169634931416800184122351&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-4-123631015-null-null.nonecase&utm_term=BGP%E8%AE%A4%E8%AF%81&spm=1018.2226.3001.4450GTSM

即通用TTL安全保护机制，检测IP报文头中的TTL值，检查此值是否在设置的TTL的有效范围中，对不在有效范围中的报文进行丢弃；避免网络攻击者模拟合法BGP报文攻击设备

GTSM配置命令

华为设备配置

BGP视图

使能GTSM功能，并设置TTL跳数值（缺省是255）

peer [ip-address] valid-ttl-hops [hops]          需要在对等体之间都配置

  TTL的范围=[256-设置的hops值 ，255  ]

  例如：如果两台BGP对等体直连，就可以设置TTL范围为[255，255]，表示中途没有经过其它设备（IP报文默认TTL为255）

系统视图

设置未匹配GTSM策略的报文的缺省动作（默认为可以通过过滤）

gtsm default-action [drop/pass] 

在丢弃GTSM报文时记录LOG信息

gtsm log drop-packet all