配置BGP的GTSM功能示例

最新推荐文章于 2024-12-14 15:35:10 发布
最新推荐文章于 2024-12-14 15:35:10 发布
阅读量2.9k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/oBarryChen/article/details/104535549
版权
该博客详细介绍了如何在BGP网络中配置GTSM(通用 TTL 安全机制)功能,以保护路由器免受CPU利用型攻击。通过配置GTSM,设备能够检查IP报文头中的TTL值,确保其在预设范围内,从而过滤非法报文。文中提供了具体的配置步骤,包括在DeviceA、DeviceB、DeviceC和DeviceD上配置GTSM,以及检查配置效果的命令和统计信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

配置BGP的GTSM功能示例
BGP网络中使用BGP GTSM功能可保障路由器免受CPU利用类型的攻击。

组网需求
网上的“有效报文”攻击导致设备有限资源(如CPU)的过载和消耗。例如,攻击者模拟真实的BGP协议报文,对一台路由器不断地发送报文,路由器收到这些报文后,发现是发送给本机的报文,转发层面则直接上送控制层面由BGP协议处理,而不加辨别其“合法性”,这样导致路由器因为处理这些“合法”报文,系统异常繁忙,CPU占用率高。

GTSM功能通过检查IP报文头中的TTL值是否在一个预先定义好的范围内,可以有效保护设备免受CPU利用型攻击。

如图5-2所示,DeviceA属于AS10,DeviceB、DeviceC、DeviceD属于AS20。在下面的网络中运行BGP协议,并使用BGP GTSM功能保障DeviceB免受CPU利用类型的攻击。

图5-2 配置BGP GTSM功能组网图
说明:
本例中interface1,interface2分别代表GE1/0/0,GE2/0/0。

配置注意事项
在配置过程中,需注意以下事项:
GTSM功能需要在BGP连接的两端同时使能.

BGP连接的两端对等体必须配置相同的valid-ttl-hops值。

配置思路
采用如下的思路配置BGP的GTSM功能:

在AS20的路由器DeviceB、DeviceC、DeviceD上配置OSPF协议实现互通。

在DeviceA和DeviceB之间建立EBGP连接,在DeviceB、DeviceC和DeviceD之间使用Loopback接口建立IBGP全连接。

在DeviceA、DeviceB、DeviceC和DeviceD上配置GTSM功能。

数据准备
为完成此配置例,需准备如下的数据:

DeviceA、DeviceB、DeviceC、DeviceD的Router ID,所在的AS号。

DeviceA和DeviceB之间、DeviceB和DeviceC之间、DeviceC和DeviceD之间、DeviceB和DeviceD之间的有效TTL跳数值。

操作步骤
配置各接口的IP地址(略)
配置OSPF(略)
配置IBGP全连接

配置DeviceB。

[~DeviceB] bgp 20
[*DeviceB-bgp] router-id 2.2.2.9
[*DeviceB-bgp] peer 3.3.3.9 as-number 20
[*DeviceB-bgp] peer 3.3.3.9 connect-interface LoopBack0
[*DeviceB-bgp] peer 3.3.3.9 next-hop-local
[*DeviceB-bgp] peer 4.4.4.9 as-number 20
[*DeviceB-bgp] peer 4.4.4.9 connect-interface LoopBack0
[*DeviceB-bgp] peer 4.4.4.9 next-hop-local
[*DeviceB-bgp] commit

配置DeviceC。

[~DeviceC] bgp 20
[*DeviceC-bgp] router-id 3.3.3.9
[*DeviceC-bgp] peer 2.2.2.9 as-number 20
[*DeviceC-bgp] peer 2.2.2.9 connect-interface LoopBack0
[*DeviceC-bgp] peer 4.4.4.9 as-number 20
[*DeviceC-bgp] peer 4.4.4.9 connect-interface LoopBack0
[*DeviceC-bgp] commit

配置DeviceD。

[~DeviceD] bgp 20
[*DeviceD-bgp] router-id 4.4.4.9
[*DeviceD-bgp] peer 2.2.2.9 as-number 20
[*DeviceD-bgp] peer 2.2.2.9 connect-interface LoopBack0
[*DeviceD-bgp] peer 3.3.3.9 as-number 20
[*DeviceD-bgp] peer 3.3.3.9 connect-interface LoopBack0
[*DeviceD-bgp] commit
配置EBGP连接

配置DeviceA。

[~DeviceA] bgp 10
[*DeviceA-bgp] router-id 1.1.1.9
[*DeviceA-bgp] peer 10.1.1.2 as-number 20
[*DeviceA-bgp] commit

配置DeviceB。

[*DeviceB-bgp] peer 10.1.1.1 as-number 10
[*DeviceB-bgp] commit

查看对等体的连接状态。

display bgp peer
BGP local router ID : 2.2.2.9
Local AS number : 20
Total number of peers : 3 Peers in established state : 3

Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv

3.3.3.9 4 20 8 7 0 00:05:06 Established 0
4.4.4.9 4 20 8 10 0 00:05:33 Established 0
10.1.1.1 4 10 7 7 0 00:04:09 Established 0
可以看出,DeviceB到其他路由器的BGP连接均已建立。

在DeviceA和DeviceB之间配置GTSM功能。由于两台路由器直连,因此TTL到达对方的有效范围是[255, 255]。所以此处的valid-ttl-hops值取1。

在DeviceA上配置GTSM功能。

[~DeviceA] bgp 10
[*DeviceA-bgp] peer 10.1.1.2 valid-ttl-hops 1
[*DeviceA-bgp] commit

在DeviceB上配置EBGP连接的GTSM功能。

[~DeviceB] bgp 20
[*DeviceB-bgp] peer 10.1.1.1 valid-ttl-hops 1
[*DeviceB-bgp] commit

查看GTSM功能配置情况。

display bgp peer 10.1.1.1 verbose
BGP Peer is 10.1.1.1, remote AS 10
Type: EBGP link
BGP versio

最低0.47元/天 解锁文章
oBarryChen
关注
增强BGP的安全性的三种方法:MD5认证、Keychain认证、BGP GTSM功能
网络技术联盟站
07-03 1030
以上就是关于华为网络设备配置BGP安全性的详细说明,包括MD5认证、Keychain认证和BGP GTSM功能的操作步骤。这些配置选项将有助于增强BGP协议的安全性,并保护网络免受潜在的攻击。
【RFC5082 通用TTL安全机制(GTSM)】(缩译)
PiPiQ_Blog的博客
06-13 961
原文rfc5082 (ietf.org)The Generalized TTL Security Mechanism (GTSM)通用TTL安全机制(GTSM) 概述 本文档为 Internet 社区指定了 Internet 标准跟踪协议,并请求讨论和改进建议。本协议的标准化状态和现状请参考当前版本的《互联网官方协议标准》(STD 1) 使用数据包的生存时间 (TTL) (IPv4) 或跳数限制 (IPv6) 来验证数据包是否由连接链路上的相邻节点发起,已在许多最近的协议中使用。本文档概括了此技术...
BGP高级特性——ORF、对等体组、GTSM特性
m0_49864110的博客
10-29 4466
如果设备希望只接受自己需要的路由,可以通过配置BGP基于前缀的ORF(Outbound Route Filters出口路由过滤器),ORF通过BGP Refresh报文告诉对等体我只需要X.X.X.X的路由,对等体收到后,就只会给设备发送X.X.X.X的路由。即通用TTL安全保护机制,检测IP报文头中的TTL值,检查此值是否在设置的TTL的有效范围中,对不在有效范围中的报文进行丢弃;peer 10.0.12.2 group Group2 将对等体10.0.12.2加入到对等体组。
华为设备配置LDP GTSM
Tony_long7483的博客
05-16 355
华为设备配置LDP GTSM
配置 OSPF GTSM 特性示例
Arouroua的博客
06-30 687
本文主要是ospf和gtsm的一个实验示例配置文件!
BGP协议
Major_S的博客
06-28 361
BGP协议
神州路由器bgp配置
最新发布
04-15
#### 启用 BGP GTSM 功能 如果需要增强安全性,则可以在 BGP 对等体间启用 GTSM (Generalized TTL Security Mechanism),从而防止伪造的数据包进入网络。操作方法如下所示: ```plaintext system-view bgp {as-...
"华为OSPF配置操作示例详解及配置举例目录介绍
本文主要介绍了华为OSPF配置实例,并对配置举例的不同功能示例进行了详细说明。華为OSPF(Open Shortest Path First)是一种开放式最短路径优先协议,用于路由选择。在本文中,将介绍OSP(Open Shortest Path)协议...
6 安全特性
xnxqwzy的博客
03-27 688
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
BGP安全特性详解(不看后悔!!!)
chuaxing的博客
01-16 730
BGP安全特性详解
【HCIE】03.BGP高级特性
走马
09-11 512
每一条BGP路由都可以携带多个路径属性,针对其属性也有特有的路由匹配工具,包括:AS Path Filter和Community Filter。import方向的属性,出现在如策略里面,加入到BGP路由表中,再传给路由表里,出去的时候也要走出策略。BGP可以通过AS_Path Filter或者Community Filter来匹配。
BGP安全性
jiuzhao23的博客
11-11 289
BGP使用TCP作为传输协议,只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的,BGP就会认为这个数据包有效,但数据包的大部分参数对于攻击者来说是不难获得的。BGPGTSM功能检测IP报文头中的TTL(Time-to-Live)值是否在一个预先设置好的特定范围内,并对不符合TTL值范围的报文进行丢弃,这样就避免了网络攻击者模拟“合法”BGP报文攻击设备。对于丢弃的报文,可以通过该命令打开LOG信息开关,控制是否对报文被丢弃的情况记录日志,以方便故障的定位。
BGP拓展特性_安全特性
阿道夫的博客
03-27 791
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
BGP 全网最详解(理论及配置
Lxyand1的博客
12-14 8169
为方便管理规模不断扩大的网络,网络被分成了不同的AS(Autonomous System,自治系统)。早期,EGP(Exterior Gateway Protocol,外部网关协议)被用于实现在AS之间动态交换路由信息。但是EGP设计得比较简单,只发布网络可达的路由信息,而不对路由信息进行优选,同时也没有考虑环路避免等问题,很快就无法满足网络管理的要求。BGP是为取代最初的EGP而设计的另一种外部网关协议。不同于最初的EGP,BGP能够进行路由优选、避免路由环路、更高效率的传递路由和维护大量的路由信息。
HCIP认证笔记(填空)
qq_50496467的博客
06-15 786
如果收到IP地址比自己小的组播设备B发来的查询报文,则A由查询器转为非查询器,并启动其他查询器存活定时器,记录B为当前的查询器。7、在如图所示的Hub&Spoke组网中,为了实现路由的正确传递,管理员必须在Hub-PE的BGP-VPN-out试图中,手工配置命令peer 10.1.2.1 allow-as-loop。2、网络工程师在进行故障处理时,将某一个网络的示意图画出,R1和R2启用IGMP版本为2,使用PIM-SM作为组播路由协议,其他配置均为默认配置,则该组播网络的查询器是(
BGP拓展特性实验
zljszn的博客
09-22 278
必须要两端都配置相同的密码认证才能建立邻居关系,但是如果另外一端没有配置的话也不会立刻断掉邻居关系,而是等老化时间过去之后才会断掉邻居关系,也就是三个keepalive报文的时间。配置相互接收的报文的TTL的值,接收公式为【255-配置+1,255】,默认为【1,255】,如果接收端不在发送端的范围内也是会等老化时间过去之后才会断掉邻居关系。在接收端做,限制对等体发送过来的AS的数量,如果超过限制的数量的话不会断掉邻居关系,而是丢失这条路由。阈值的时候,路由就会被抑制住,前面带h的就是被抑制的路由。
Ubuntu20.04安装gtsm_toolbox
weixin_45017167的博客
05-31 1113
本文详细介绍了在ubuntu20.04系统中安装gtsam-4.0.3 realsease版本的matlab gtsam_toobox库的流程,希望能够帮助更多读者减少安装过程遇到的问题。
MPLS LDP基础
热门推荐
曹世宏的博客
05-29 5万+
MPLS LDP简介 标签分发协议LDP(Label Distribution Protocol)是多协议标签交换MPLS的一种控制协议,相当于传统网络中的信令协议,负责转发等价类FEC(Forwarding Equivalence Class)的分类、标签的分配以及标签交换路径LSP(Label Switched Path)的建立和维护等操作。LDP规定了标签分发过程中的各种消息以及相关处理过...
路由器重温——BGP路由-3
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
02-02 1294
简化IBGP网络连接 BGP规定,在AS内部IBGP设备之间,为了防止路由环路,IBGP设备从其IBGP对等体学习来的路由不再通告给其他IBGP对等体,也就是只能单跳通告。这样在AS内部各IBGP设备之间就可能无法实现互联互通,因为任何一个IBGP设备都可能无法了解同一个AS中非直连的IBGP设备上的路由信息。 为解决以上问题,会要求AS内部各IBGP对等体间全连接。为简化IBGP网络连接,BGP提出了两种解决方案,就是“路由反射器”和“联盟”。简化IBGP网络连接就涉及两项配置任务。可根据实际需要选择
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值