BGP

  • 一、AS-Path正则表达式
      • 数字
      • | 等同于或的关系
      • []和.
      • $ 一个字符串的结束
      • _代表任意
      • ^一个字符串的开始
      • ()括号包围的是一个组合
      • \ 转义字符
      • * 零个或多个
      • ?零个或一个
      • +一个或多个
  • 二、BGP对等体组
  • 三、BGP安全性

一、AS-Path正则表达式

  • 正则表达式是按照一定模版匹配字符串的公式

    AR3上未做过滤时

数字

让有字符串为10的通过
[AR3]ip as-path-filter 1 permit 10
[AR3]bgp 300
[AR3-bgp]peer 34.1.1.4 as-path-filter 1 import

反过来将仅有200i的路由进行加表
[AR3-bgp]route-policy as deny node 10
[AR3-route-policy]if-match as-path-filter 1
[AR3]route-policy as permit node 1000
[AR3-bgp]peer 34.1.1.4 route-policy as import

| 等同于或的关系

为方便后续实验,给R3的AS path多创建几个

R3上看效果

调用400|500

400或500的被加表

等同于下表写法

[]和.

  • []中括号包围的字符串为一个字符单位
  • .代表任意字符
    匹配0.5

    匹配0.[45]

    匹配0.[4 5]

$ 一个字符串的结束

_代表任意

^一个字符串的开始

()括号包围的是一个组合

  • 组合的结果再带到大的表达式中

\ 转义字符

还原后面字符串中特殊符号的原有含义

* 零个或多个

?零个或一个

+一个或多个

二、BGP对等体组

  • 相同策略的对等体的集合
  • 节约资源

    在配置RR时,如果对端设备过多,配置也会繁琐,增大设备计算资源,可以通过加组的方式进行配置
    AR3上:
    group test internal
    peer test connect-interface LoopBack 0
    peer test reflect-client
    peer test advertise-community
    peer 2.1.1.1 group test
    peer 4.1.1.1 group test
    peer 5.1.1.1 group test
    测试网络连通性:

三、BGP安全性

  • 常见BGP攻击方式

    • 建立非法BGP邻居关系,通告非法路由条目,干扰正常路由表
    • 发送大量非法BGP报文,路由器接收后上送CPU,导致CPU利用率升高

  • 保护方式

    • peer 12.1.1.2 password cipher xxxxxxx 双方通过密码校验后再建立邻居
      -GTSM保护 (TTL保护)
      • BGP的GTSM功能检测IP报文头部中的TTL是否在预先设定的范围内,并对不符合TTL值范围的报文进行丢弃,避免攻击者模拟合法的BGP报文攻击设备
        AR5上 配置

        抓包看 AR6发送给AR5的TTL=1 双方无法正常通讯

        AR6上配置ebgp多跳