BGP安全特性
一、MD5认证
- BGP认证只支持MD5认证,没有明文认证;
- BGP报文中没有设计认证字段,认证信息是存放到TCP报文中的option字段携带。
配置命令:
peer x.x.x.x password cipher xxxx
二、GTSM
GTSM,有效防止基于TCP的源地址伪造攻击,保护设备不被CPU类型的攻击从面避免CPU负载过大。
配置GTSM:
peer x.x.x.x valid-ttl-hops N
此命令的两大作用:
- 在向邻居x.x.x.x 发送BGP报文时,TTL为255
- 在接收邻居x.x.x.x 发来的BGP报文时,要求报文的TTL ≥ 255-N+1
三、限制从对等体接收的路由数量
peer x.x.x.x route-limit y,设置允许从对等体收到的路由数量最大值为y
- peer x.x.x.x route-limit 100 70
收到路由的最大数量为100,超过70%告警,超过最大数量断开BGP邻居,30s后自动再次建立邻居 - peer x.x.x.x route-limit 100 70 alert-only
收到路由的最大数量为100,超过70%告警,超过最大数量仅告警,不断开BGP邻居 - peer x.x.x.x route-limit 100 70 idle-timeout 10
收到路由的最大数量为100,超过70%告警,超过最大数量断开邻居关系,并在10分钟后重新建立邻居,超时前可以使用reset bgp x.x.x.x 手动重新建立邻居 - peer x.x.x.x route-limit 100 70 idle-forever
收到路由的最大数量为100,超过70%告警,超过最大数量断开邻居关系,不再自动建立,可以使用resetbgp 10.1.45.5手动重新建立邻居
四、AS-PATH长度保护
as-path-limit x,设置AS_Path属性中AS号的最大个数为 x
- 如果设置的限制数刚好是接收BGP路由的AS-PATH的数量,则不会传递给EBGP邻居