BGP路由过滤

BGP路由过滤,第1张

BGP路由是构成之Internet路由表的核心,目前规模已经达到十几万条。在实际应用中并不是所有的业务路由器都会需要全部的Internet路由,而且在AS之间,也仅需要接收或发布部分路由。所以我们在很多时候需要对BGP路由进行过滤来控制路由的发送和接收。

1 BGP路由过滤的手段

我们知道路由过滤主要是以对路由所携带的信息作为匹配条件做过滤,BGP的属性众多,相较于其他路由所携带的路由信息就很多,所以对于BGP的路由过滤也要灵活的多。

1.1 ACL/IP 前缀列表

ACL:用户在定义ACL时可以指定IP地址和子网范围,用于匹配路由信息的目的网段地址或下一跳地址。

IP Prefix:IP Prefix的作用类似于ACL,但比它更为灵活,且更易于用户理解。使用IP Prefix过滤路由信息时,其匹配对象为前缀和掩码。

ACL、IP前缀列表主要是对BGP路由的前缀做过滤,可以实现对不同前缀地址做不同的过滤。

1.2 AS 路径过滤列表

AS路径过滤列表仅用于BGP。BGP的路由信息中,包含有自治系统路径域。as-path就是针对自治系统路径域指定匹配条件。

BGP可以直接使用AS路径过滤列表对路由做过滤,它可以以BGP路由的AS-PATH属性作为过滤条件,可以实现对来自不同AS的路由做过滤。

当想拒绝某一个AS始发的所有路由,用AS路径过滤列表显然要简单的多。

1.3 Route Policy

路由策略相较于前两种方法,提供了更丰富的手段。既可以使用ACL、IP前缀列表和AS路径列表对BGP路由做过滤,还可以使用其他匹配条件,比如:

团体属性列表(community-list):BGP的路由信息包中,包含一个community属性域,用来标识一个团体。community-list就是针对团体属性域指定匹配条件。

扩展团体属性列表(extcommunity-list):可用于VPN的Route-Target(路由目标)扩展extcommunity-list就是针对扩展团体属性指定匹配条件。

综上看,BGP路由常用来被过滤的条件主要是路由前缀、AS-PATH属性、Community属性,当然还有一些其他匹配条件(MED、next-hop、route-type、route-source、interface、tag)也可以被用来做过滤。

2 BGP路由过滤的实施点

BGP路由过滤的策略可以在本地对从对等体接收路由入方向、本地发布路由以及对对等体发送路由出方向处实施。

2.1 接收路由(Import Policy)

在收到BGP对等体的路由时,我们可以执行路由策略,过滤我们不需要的BGP路由。

路由策略的执行在BGP往路由表添加路由之前,所以路由一旦被过滤掉,这些路由不添加到在执行策略的设备的路由表中,在本地不负责转发。

路由策略可以对所有接收的路由作过滤,也可以只对特定的BGP对等体或对等体组作过滤。

2.2 本地发布路由

对于本地发布的路由,主要是指通过network、import方式本地发布的BGP路由,我们可以执行路由策略,过滤我们不需要发布的BGP路由。

路由策略的执行在BGP往路由表添加路由之前,这些路由可以有选择的发布给所有BGP对等体。

2.3 发送路由(Export Policy)

在给BGP对等体发送路由的时候,我们也可以执行路由策略,过滤我们不想发布的BGP路由。

路由策略的执行在BGP往路由表添加路由之后,所以本地路由表中匹配deny策略的路由依然生效,在本地可以转发,只不过不向配置策略的对等体发送该BGP路由,让对等体无法从自己学习使用该路由。

路由策略可以对所有对等体做过滤,也可以只对特定的BGP对等体或对等体组作过滤。

Remote Triggered Black Hole(RTBH)

简单说来,就是为了处理DDOS攻击,在边界网络设备上配置主机的空洞路由和PBR,将攻击流打上tag,引导到空接口丢弃。缺点是不能分析攻击流量。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/460165.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-03
下一篇2023-06-03

发表评论

登录后才能评论

评论列表(0条)

    保存