本环境是基于”火天网演攻防演训靶场”进行搭建,火天系列产品提供模拟器级别的网络环境构建系统,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现工作,产品也完成大量NFV设备对接,覆盖市面常见的大部分相关设备,为训练环境构建提供基础资源支持
背景介绍
在BGP通告原则中,我们最常关注的是在一个大型的AS当中受IBGP水平分割(从IBGP邻居学到的路由不再发送给其他的IBGP邻居)的影响,会导致IBGP邻居之间的BGP路由无法完全传递。针对这一问题通常有以下解决方案。
1.建立全连接的IBGP邻居
2.部署路由反射器
3.部署BGP的联盟
其中建立IBGP的全互联需要AS内的每个IBGP设备维持“n(n-1)/2”个BGP邻居关系与TCP连接,这会极大的消耗网络设备的CPU资源,维持邻居关系及重复的路由更新数据表也会占用较多的带宽资源,也会给日常的维护与策略的部署带来更多的压力。
路由反射器简介
路由反射器RR作为AS内的中心路由器,其他IBGP设备都与这台中心BGP设备建立IBGP邻居关系,由中心路由器从任意一个IBGP邻居收到的路由按照特定规则反射给与中心路由器具有IBGP邻居关系的BGP路由器,这样即可以实现IBGP内部之间的路由传递,也避免了全互联带来的问题。
路由反射器原理
1、RR突破了“从IBGP对等体获得的BGP路由,BGP设备只发布给它的EBGP对等体。”的限制,并采用独有的Cluster_List属性和Originator_ID属性防止路由环路。
(1)RR将路由反射出去的时候添加Orignator
ID,取值为IBGP邻居的Router id。
(2)当BGP设备接受一条路由之后,Orignator ID和自身RouterID相同,则拒绝接受该路由。
2、如上图所示,在同一AS65000内一台设备作为RR,三台设备(juniper MX cp和juniper MX fp是一台转-控分离的juniper路由器)作为客户机,形成Cluster1。此时AS中IBGP的连 接数从配置RR前的10条减少到4条,不仅简化了设备的配置,也减轻了网络和CPU的负担。
路由反射器配置过程
-
1. 配置接口。
2. 配置内部网关协议(IGP),以下使用ospf。
3. 配置 BGP,包括与自治系统AS中所有支持 IBGP 的设备的群集标识符和邻接方关系。[edit protocols bgp
group internal-peers]4. 将 OSPF 路由重新分配到 BGP 的策略。[edit protocols ospf area 0.0.0.0]
5. 配置路由器 ID 和自治系统 (AS) 编号。[edit routing-options]
配置RR
配置bgp client1
配置bgp client2
配置bgp client3
验证bgp邻居
蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
原文始发于微信公众号(蛇矛实验室):看我如何在靶场中配置路由反射器