【HCIE】03.BGP高级特性

news2024/12/23 2:03:22

每一条BGP路由都可以携带多个路径属性,针对其属性也有特有的路由匹配工具,包括:AS Path Filter和Community Filter。

import方向的属性,出现在如策略里面,加入到BGP路由表中,再传给路由表里,出去的时候也要走出策略。

BGP可以通过AS_Path Filter或者Community Filter来匹配

正则表达式

由普通字符和特殊字符组成

类型1

类型2

类型3

路由匹配工具

AS_Path Filter

  • 将BGP中的AS Path属性作为匹配条件的过滤器,利用BGP路由携带的AS_Path列表对路由进行过滤
  • 在不希望接收某些AS的路由时,可以利用AS_Path Filter对携带这些AS号的路由进行过滤,从而实现拒绝某些路由

直接调用方式

路由策略方式

配置案例-AS_Path

如图,若实现AS103不接收AS100与101的BGP路由

Community Filter

团体属性,用于标识一类相同特征的路由,类似于Tag属性;在IP中,用Tag标识,在BGP中,用团体来标识。

RT值就属于扩展团体属性

可以使用团体号和正则表达式来抓取

配置案例-Community

实现路由传递到R5后,不能继续向R6传递。需要开启团体属性功能

R1
ip ip-prefix 1 index 10 permit 1.1.1.1 32	//抓取一条1.1.1.1的主机路由
#
route-policy community permit node 10	//匹配到1.1.1.1这条路由后,打上团体属性100:100,不匹配的拒绝
	if-match ip-prefix 1
	apply community 100:100
#
route-policy community permit node 20	//放行
#
bgp 100
	peer 12.1.1.2 route-policy community export	//向12.1.1.2发送路由时增加团体属性
	peer 12.1.1.2 advertise-community	//向12.1.1.2开启团体属性功能

R2
ip community-filter 1 permit 100:100	//使用community-filter工具匹配团体属性为100:100的
#
route-policy 1 deny node 10	//如果匹配到团体属性1,那么则拒绝
	if-match community-filter 1
#
route-policy 1 permit node 20	//其余没有匹配到的,放行
#
bgp 101
	peer 12.1.1.1 route-policy 1 import	//12.1.1.1向自己发送路由时,使用入策略
	peer 12.1.1.1 advertise-community

ORF

类似于点菜的功能,需要什么路由就发送什么路由

如果设备希望只接收自己需要的路由,但对端设备又无法针对每个与它连接的设备维护不同的出口策略。此时,可以通过配置BGP基于前缀的ORF来满足两端设备的需求。

如图,如果只需要10.1.1.4/32这一条路由;

R1
bgp 100
	peer 10.1.12.2 capability-advertise orf ip-prefix both

R2
ip ip-prefix orf index 10 permit 10.1.1.4 32
#
bgp 200
	peer 10.1.12.1 ip-prefix orf import
	peer 10.1.12.1 capability-advertise orf ip-prefix both

路由策略是全部接收,接收后再进行筛选

ORF是发送之前,查看哪些需要发,哪些不需要发

BGP对等体组

可以用来节约一些命令

bgp 100
group IBGP100 internal
peer 10.1.2.2 as-number 100
peer 10.1.2.2 group IBGP100
peer 10.1.3.3 as-number 100
peer 10.1.3.3 group IBGP100
peer IBGP100 connect-interface LoopBack0

group EBGP external

BGP安全性

  • 建立非法BGP邻居关系,通告非法路由条目,干扰正常路由表
  • 发送大量非法BGP报文,路由器收到后上送CPU,导致CPU利用率升高
  • BGP使用认证和GTSM(通用TTL安全保护机制)两个方法保证BGP对等体间的交互安全
    • BGP的GSTM功能检测IP报文头中的TTL值是否在一个预先设置好的特性范围内,并对不符合TTL值范围的报文进行丢弃,这样就避免了网络攻击者模拟“合法”BGP报文攻击设备。在IP中,解析到IP就能处理完毕,不用上交到BGP模块,帮助BGP减少资源。

BGP认证

分为MD5认证和Keychain(秘钥链,不同时间用不同的密码进行认证)认证,对BGP对等体关系进行可以预防非法BGP邻居建立。

MD5认证
R1:
bgp 123
peer 3.3.3.3 password cipher dalong

R2:
bgp 123
peer 1.1.1.1 password cipher dalong

在TCP头部进行认证,MD5。BGP不做认证,让TCP帮助完成认证

bgp 123
keychain key1 mode periodic daily	//名字为key1,密码的循环周期
	receive-tolerance 10	//前后延时10分钟
	key-id 1	//第一个秘钥
   algorithm md5	//加密md5的方式
   key-string cipher dalong	//密码
   send-time daily 00:00 to 23:00		//密码发送的时间
   receive-time daily 00:00 to 23:00	//密码的接收时间
peer 3.3.3.3 keychain key1

GTSM配置

peer 3.3.3.3 valid-ttl-hops
hops:指定需要检测的TTL跳数值
整数形式,取值范围是1-255
缺省值是255.如果配置为hops,则被检测的报文的TTL值有效范围为[255-hops+1,255]

4字节AS号

刚开始的时候,AS号只有2个字节,1-65535,现在不够用,因为企业与运营商都在申请,导致现在申请光了,现在定义出4个字节的AS号,现在的设备基本都能支持4字节。

例,1.100,AS号就是65636。

携带4字节AS号的Open消息

因为My AS Number字段只有2个字节,所以不支持填充4字节的as号,因此重新开发了一个optional parameters字段用来填充4字节AS号,并在My As Number中置23456。

4字节AS号的路由信息传递

备份RR组网

两个RR之间不是反射关系,是同级反射,IBGP关系。、

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1000368.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

产品波士顿矩阵

随着公司产品的增多,每个产品的生命周期节点各不相同,很多时候我们往往在产品结构、资源分配方面会产生各种问题,导致需要发展的产品得不到资源,消耗资源的产品却有无法增长,所谓不聚焦导致的问题其实是资源和发展错配…

RP9学习-1

一.基础 1.10个面板位置示意图: 2.常用英文 1.鼠标点击:click or tap 3.工作区 1.恢复默认工作区: view-->reset view 2.自定义工作区: 可以用鼠标左键拖动面板到独立的位置或者吸附到其他面板上 3.自定义工具栏 view-->T…

4核8G服务器腾讯云CVM S5性能如何?CPU型号及租用价格

腾讯云4核8G服务器CVM标准型S5实例性能测评,包括CPU型号、内存、系统盘、CVM实例规格性能测评,腾讯云4核8G租用优惠价格表,腾讯云服务器网分享腾讯云4核8G服务器CVM S5性能测评和租用费用: 目录 腾讯云4核8G服务器CVM S5性能测评…

让AI帮你做出回答-钉钉问答机器人来啦

什么是问答机器人 问答机器人是一种人工智能系统,它可以根据用户提出的问题,自动地搜索并提供相关的答案。这些机器人通常基于自然语言处理技术,可以理解用户提出的问题,并能够快速地给出答案。 问答机器人通常会在多个数据源中…

怎么给商品图片去除背景,制作商品白底图?

很多商家在上架新产品时平台都会要求上传一张白底图,上传商品白底图不仅可以更快速的通过资源位审核,还更容易获得平台的免费曝光机会! 我们在编辑商品主图、上传商品素材图片的时候,经常需要用到白底图。但是很多朋友都不知道怎…

虹科分享 | 解决外科医生的担忧:AR让技术自己开口说话

在手术室中,分心可能导致严重错误和伤害,这凸显了在手术过程中减少对外科医生干扰的重要性。对于外科医生来说,在长时间的手术过程中,引入新技术设备时需要考虑多种因素。根据Vuzix对500多名外科医生的综合调查显示,使…

华为云云耀云服务器L实例使用教学:快速安装mysql

最近趁着华为云828大促活动,薅了一台云耀云服务器L实例,由于我买的是纯净版linux系统,所以上面啥也没有,我有一些自己的Java应用,后面就准备全部迁移到这台机器 jdk已经装好了,接下来准备把mysql搞定 首先…

JSR 303 校验

前言: JSR 303 是 Java 为 Bean 数据合法性校验提供的标准框架,它已经包含在 JavaEE 6.0 标准中。JSR 303 通过在 Bean 属性上标注类似于 NotNull、Max 等 JSR 303 是 Java 为 Bean 数据合法性校验提供的标准框架,它已经包含在 JavaEE 6.0 标…

操作系统学习笔记---计算机系统概述

目录 概念 功能和目标 特征 并发 共享(资源共享) 虚拟 异步 发展与分类 手工操作阶段(无OS) 批处理阶段 单道批处理系统 多道批处理系统 分时操作系统 实时操作系统 网络操作系统 分布式计算机系统 个人计算机操…

EmguCV-C#版本Opencv图像识别和处理

目录 0、简介 1、图像处理 (1)颜色处理 (2)图像差 (3)图像拼接 (4)直方图 (5)颜色空间/通道提取 2、预处理 (1)均衡化 &…

无涯教程-JavaScript - MIRR函数

描述 MIRR函数针对一系列定期现金Stream返回修改后的内部收益率。 MIRR会同时考虑投资成本和现金再投资收到的利息。 语法 MIRR (values, finance_rate, reinvest_rate)争论 Argument描述Required/OptionalValues 包含数字的单元格的数组或引用。这些数字表示定期发生的一系…

MATLAB入门-字符串操作

MATLAB入门-字符串操作 注:本篇文章是学习笔记,课程链接是:link MATLAB中的字符串特性: 无论是字符还是字符串,都要使用单引号来‘’表示;在MATLAB中,字符都是在矩阵中存储的,无论…

通配符ssl证书的作用有哪些?为什么通配符ssl证书如此受欢迎?

随着互联网安全问题日益突出,加之主流浏览器声明网站部署SSL证书,有助于提升网站排名,因此SSL证书成为了企业网络安全防护不可缺少的一环。SSL证书种类多样,其中通配符SSL证书颇受当下企业青睐,申请比例逐年上升。为何…

Linux 修改SSH的显示样式

要修改SSH的显示样式,您可以使用自定义的PS1(提示字符串1)变量来更改命令行提示符的外观。在您的情况下,您想要的格式似乎包括日期和时间,以及当前目录。以下是一个示例PS1设置,可以实现您所描述的样式&…

基于SSM的游戏攻略网站

末尾获取源码 开发语言:Java Java开发工具:JDK1.8 后端框架:SSM 前端:采用JSP技术开发 数据库:MySQL5.7和Navicat管理工具结合 服务器:Tomcat8.5 开发软件:IDEA / Eclipse 是否Maven项目&#x…

12个微服务架构模式最佳实践

微服务架构是一种软件开发技术,它将大型应用程序分解为更小的、可管理的、独立的服务。每个服务负责特定的功能,并通过明确定义的 API 与其他服务进行通信。微服务架构有助于实现软件系统更好的可扩展性、可维护性和灵活性。 接下来,我们将介…

金蝶云星空各种部署架构及适用场景分享

> 随着公司的快速发展上市到进入世界500强,作为技术经理,负责了金蝶云星空从单点部署到集群,再到替换SAP的过程,如今项目已经成功上线,所以对金蝶的相关知识也做下整理和归档。 > 在项目实施过程中,部…

智慧安防/视频分析云平台EasyCVR不显示告警图片该如何解决?

安防视频监控平台EasyCVR可拓展性强、视频能力灵活、部署轻快,可支持的主流标准协议有国标GB28181、RTSP/Onvif、RTMP等,以及支持厂家私有协议与SDK接入,包括海康Ehome、海大宇等设备的SDK等。平台既具备传统安防视频监控的能力,也…