星痕1216
H3C BGP配置10-BGP安全功能典型配置举例

1.组网需求

  所有路由器运行BGP协议,Switch A与RPKI服务器建立连接。Switch A与Switch B建立IBGP连接。

  Switch A将BGP RPKI验证结果发送给Switch B。

  配置路由策略,使得Switch B对收到的BGP RPKI验证结果设置匹配条件,控制路由的接收。

   

2.配置步骤

  1)配置各接口的IP地址,在Switch A和Switch B上配置BGP,建立IBGP邻居,配置过程略

  2)配置Switch A与RPKI服务器建立连接  

[SwitchA] bgp 100
[SwitchA-bgp-default] rpki
[SwitchA-bgp-default-rpki] server tcp 1.1.1.2
[SwitchA-bgp-default-rpki-server] port 1234

  3) 在Switch A上开启BGP RPKI验证  

[SwitchA-bgp-default-rpki] check-origin-validation

  4) 在Switch A上配置BGP RPKI验证结果参与路由优选

[SwitchA-bgp-default] address-family ipv4
[SwitchA-bgp-default-ipv4] bestroute origin-as-validation

  5)在Switch A上配置向对等体1.2.3.2发送BGP RPKI验证结果  

[SwitchA-bgp-default-ipv4] peer 1.2.3.2 advertise-ext-community
[SwitchA-bgp-default-ipv4] peer 1.2.3.2 advertise origin-as-validation

  6)在Switch B上对收到的BGP RPKI验证结果设置匹配条件,仅接收验证结果为Valid的路由

# 配置路由策略。
[SwitchB] route-policy rpki_policy permit node 0
[SwitchB-route-policy-rpki_policy-0] if-match rpki valid

# 应用路由策略。
[SwitchB] bgp 100
[SwitchB-bgp-default] address-family ipv4
[SwitchB-bgp-default-ipv4] peer 1.2.3.1 route-policy rpki_policy import

3.验证配置

# 查看Switch A与RPKI服务器的连接信息,可以看到Switch A与RPKI服务器已经建立连接。
[SwitchA] display bgp rpki server
  Server          VPN-index  Port        State      Time       ROAs(IPv4/IPv6)
  1.1.1.2         0          1234        Establish  00:04:43   5/4
# 查看从RPKI服务器获取的ROA信息,可以看到可以看到已经获得ROA信息。
[SwitchA] display bgp rpki table ipv4
 Total number of entries: 5
 Status codes: S - stale, U - used
  Network         Mask-range    Origin-AS    Server       Status
  1.2.3.4         8-24          100          1.1.1.2      U
  2.2.3.6         8-32          100          1.1.1.2      U
  2.2.3.6         10-24         4294967295   1.1.1.2      U
  2.2.3.9         20-24         4294967295   1.1.1.2      U
  3.2.3.5         8-26          200          1.1.1.2      U
# 查看Switch A上BGP RPKI验证结果。
[SwitchA] display bgp routing-table ipv4 1.2.3.0
 BGP local router ID: 2.2.2.2
 Local AS number: 100
 Paths:   1 available, 1 best
 BGP routing table information of 1.2.3.0/24:
 Imported route.
 Original nexthop: 0.0.0.0
 OutLabel        : NULL
 RxPathID        : 0x0
 TxPathID        : 0x0
 Org-validation  : Valid
 AS-path         : (null)
 Origin          : incomplete
 Attribute value : MED 0, pref-val 32768
 State           : valid, local, best
 IP precedence   : N/A
 QoS local ID    : N/A
 Traffic index   : N/A

  1.2.3.0/24在ROA数据库中的Network为1.2.3.4,Mask-range为8-24的地址前缀范围内,且AS和路由的源AS相匹配,因此验证结果为Valid。

# 查看Switch B上到达目的网络1.2.3.0的BGP IPv4单播路由的详细信息。
[SwitchB] display bgp routing-table ipv4 1.2.3.0
RR-client route.
 From            : 1.2.3.1 (192.168.56.22)
 Rely nexthop    : 1.2.3.1
 Original nexthop: 1.2.3.1
 OutLabel        : NULL
 Ext-Community   : <Origin Valid State: Valid >
 RxPathID        : 0x0
 TxPathID        : 0x0
 Org-validation  : Valid
 AS-path         : (null)
 Origin          : incomplete
 Attribute value : MED 0, localpref 100, pref-val 0
 State           : valid, internal, best
 IP precedence   : N/A
 QoS local ID    : N/A
 Traffic index   : N/A

  由于Switch B仅允许BGP RPKI验证结果为Valid的路由信息通过,因此可以看到到达目的网络1.2.3.0的BGP IPv4单播路由的信息。该路由信息中的扩展团体属性包含了BGP RPKI验证结果。

 

posted on 2022-01-13 16:41  星痕1216  阅读(450)  评论(0编辑  收藏  举报

Copyright © 2024 星痕1216
Powered by .NET 9.0 on Kubernetes Powered By博客园