BGP-安全特性，扩展特性

BGP路由反射器和联盟的比较

反射器	联盟
不需要更改现有的网络拓扑，兼容性号	需要修改逻辑拓扑
配置方便，客户机不知道自己是客户机	所有设备需要重新进行配置，且所有设备必须支持联盟功能
集群与集群之间仍然需要全连接	联盟的子AS之间是特殊测EBGP连接，不需要全连接
在大型网络中应用广泛	应用较少

BGP扩展特性——安全认证

1、BGP认证

BGP基于TCP进行实现，目前仅支持MD5认证。[AR1-bgp]peer 10.0.12.2 password simple huawei

2、BGP GTSM

使BGP设备对所有的BGP报文，进行TTL检查，若在合理的范围内接收处理，若不在则丢弃。

[AR1-bgp]peer 10.0.12.2 valid-ttl-hops 2（2，缺省为255，配置为2时，被检测的报文的TTL有效范围为255-2+1到255之间）

3、限制从对等体接收的路由数量，

[AR1-bgp]peer 10.0.12.2 route-limit 10 （？后面惩罚措施可省略），设置允许从邻居接收的路由数量。

[AR1-bgp]peer 10.0.12.2 route-limit 10 70 {alert-only，idle-forever，idle-timeout}，设备允许从邻居接收的路由数量，且超过百分之70时产生告警。后续惩罚可省略。

alert-only：超限之后，只告警同时不接收超出的路由。

idle-forever：超限之后，断开邻居关系，不会自动建立邻居关系，除非认为操作。

idle-timeout：超限之后，断开邻居关系，等待指定的时间之后重新建立邻居关系。

4、AS_Path长度保护

[AR1-bgp]as-path-limit 3，当BGP路由器携带的AS号超过3个的时候，将不在接收BGP路由。

BGP扩展特性——路由衰减

BGP衰减使用惩罚值（Penalty Value），默认抑制阈值为2000。

被抑制的路由每经过一段时间，惩罚值会减少一般，这个时间称为半衰期（Half-life），默认为900秒。15分钟。

[AR1-bgp]dampening 2 1000 3000 5000

BGP-增强特性，ORF，活动路由通告，四字节AS

BGP基于前缀的ORF（Outbound Route Filtering，出向路由过滤）功能：

1、基于本地的入口策略构建对端口的出口策略，实现BGP按需发布路由。

2、包括基于前缀的ORF和VPN ORF。

[AR1-bgp]peer 10.0.12.2 capability-advertise orf cisco-compatible ip-prefix both

[AR2-bgp]peer 10.0.12.1 capability-advertise orf cisco-compatible ip-prefix both

BGP-增强特性——按策略进行下一跳迭代

按策略进行下一跳迭代：指定BGP路由，只能根据哪些路由进行迭代。

注释：若配置按策略执行下一跳迭代，则需要匹配所有ASBR路由的下一跳地址，防止出现BGP路由无法进行正常迭代。