BGP扩展属性

安全特性：

BGP安全特性：

• MD5
• GTSM：通用TTL安全保护机制通过对TTL的检测来达到防止攻击的目的，如果攻击者模拟真实的BGP协议报文（TCP），对一台路由器不断地发送报文，路由器接收报文后会交给BGP协议处理，从而占用大量地CPU。有利于路由器辨别BGP协议报文（TCP）的合法性。

　　　　peer 10.1.78.7 ttl-security hops 1               //ttl设置为1

• 限制从对等体接受的路由数量
• AS Path长度保护

路由衰减：

概念：路由不稳定的主要表现是路由震荡，即路由表中的某条路由反复消失和重现。

说明：发生路由震荡时，设备会向邻居发布路由更新，收到路由更新报文的设备要重新计算路由并修改路由表，频繁修改会消耗大量的CPU和带宽资源。

是用来解决路由不稳定的问题：

惩罚值：来衡量一条路由的稳定性，值越高则说明路由越不稳定。路由每发生一次震荡（激活状态变为非激活状态），BGP便会给此路由增加一定的阈值（1000）。当惩罚值超过一直时，此路由被抑制，不会加入路由表中，也不会传给其他邻居。

被抑制的路由每经过一段时间，惩罚值便会减少一半，这个时间为半衰期。当惩罚值降到使用阈值时，再次加到路由表，并向其他BGP邻居发布更新报文。

BGP对等体组配置：

IBGP对等体组：

<Sysname> system-view

[Sysname] bgp 100

[Sysname-bgp] group test internal         //建立对等体组

[Sysname-bgp] peer 10.1.1.1 group test     //将对等体加到组中

[Sysname-bgp] peer 10.1.2.1 group test

EBGP对等体组：

<Sysname> system-view

[Sysname] bgp 100

[Sysname-bgp] group test external

[Sysname-bgp] peer test as-number 2004    //添加对等体组的EBGP邻居的as号

[Sysname-bgp] peer 10.1.1.1 group test

[Sysname-bgp] peer 10.1.2.1 group test

BGP团体属性：

团体属性用于标识具有相同特征的BGP路由，该属性可选传递。

分为：

• 自定义团体属性
• 公共团体属性
  • Internet（互联网属性）
  • No  Advertise（不会将路由传给任何BGP邻居）
  • No  Export（不会传给EBGP邻居）
  • No Export  Subconfed（不会传给联盟EBGP邻居）

peer   10.1.1.1   advertise-community                       //向邻居10.1.1.1 传递团体属性

配置BGP聚合

summary  automatic     //自动聚合

自动聚合：只能对BGP引入的子网路由进行自然掩码进行聚合，配置自动聚合后，生成自然网段的路由，原来明细的路由会被抑制，不会优选发布给BGP对等体。

aggregate   ip-add {mask|mask-length}   [as-set|attribute-policy router-policy-name | delail-suppressed|origin-policy router-policy-name|suppress-policy  router-policy-name ]

ip-add {mask|mask-length}:聚合路由的目的IP地址和掩码或长度

as-set：生成具有as集合段的路由（放环）

attribute-policy：根据指定的路由策略设置聚合路由属性（选择要聚合的路由）

detail-suppressed：仅通告聚合路由

suppress-policy  router-policy-name ：抑制选定的具体路由，不通告部分具体路由

origin-policy：根据指定的路由策略选择用于聚合的源路由。

手动聚合策略包括：

• 同时发布聚合路由以及具体路由
• 抑制具体路由仅发布聚合路由
• 发布聚合路由同时抑制部分具体路由
• 将指定的具体路由生成聚合路由

配置BGP反射与联盟：

路由反射器与客户机之间建立IBGP连接并传递（反射）路由信息，而客户机之间不需要建立IBGP连接

路由反射器在客户机与非客户机之间传送路由更新原则：

• 路由更新是从非客户机收到的，仅反射给客户机
• 从客户机收到的，会反射给所有非客户机以及客户机
• 从EBGP对等体收到的，会反射给所有客户机和非客户机

为了防止AS内部的路由放环：

• 路由反射器使用了ORIGINATOR_ID和CLUSTER_LIST两个属性
• ORIGINATOR_ID属性用于记录到本地AS内部路由发起者的路由器ID
• CLUSTER_LIST用于记录一条路由经过群的群ID来跟踪它的反射路径

反射器冗余：

• 在一个集群中可以配置一个以上的路由反射器，以增强网络的可靠性和防止单点故障
• 一个集群中的每个路由反射器都有配置相同的集群ID（Cluster_ID）,以避免路由环路的产生

反射器配置：（只需要配置路由反射器负责路由反射，并不需要对客户机和非客户机进行配置）

peer  10.1.1.1 reflect-client    //配置反射器

reflector  cluter-id    2               //配置反射器集群ID(防环)默认为RR的Router-ID

undo    reflect   benween-clients     //如果网络全互联可以关闭客户间反射功能，减少带宽开销

反射器的防环机制：

• Originator ID属性：
  • 该属性为可选非传递
  • 用于集群内的防环
  • 由路由反射器RR产生，携带了本地AS内该路由发送者的Router-ID
• Cluster  List
  • 该属性为可选非传递
  • 用于集群间的防环
  • 由每个路由反射器（RR）产生，记录反射路由经过的集群

BGP联盟：

• 联盟是另一种替代IBGP对等体全连接的方式
• 联盟将一个自治系统划分为若干个子自治系统，子 自治系统之间建立联盟内的EBGP连接关系

指定子自治系统号：

bgp   65002

子自治系统的as号使用私有as号，范围为64512~65535

配置联盟ID：

confederation  id   200

指定一个联盟体中包含哪些子自治系统：

confederation     peer-as    65002

如果该路由器与该联盟的其他子自治系统要建立EBGP邻居关系，则需要在BGP视图下指定一个联盟体中包含了哪些自治系统联盟ID。

BGP联盟防环机制：

• AS_CONFED_SEQUENCE
• AS_CONFED_SET