在 BGP 中删除私有数字
75640
Created On 09/25/18 17:42 PM - Last Modified 06/07/23 06:14 AM
Resolution
详细
BGP 自治系统数字有两种类型: 私有和公共。公众作为数字范围从1到64511和私有作为数字范围从64512到65535。
私有作为数字被用于划分大作为许多小象数字为唯一目的保存公众作为数字。与私有和公共 IP 地址的概念一样, 私有作为数字不应该被泄露到互联网上。因此, 在将更新发送到全球 BGP 网格 (即 internet) 之前, 必须将这些私有数字删除。
拓扑结构
在下面的示例中, 网络 R1 使用私有作为数字65001。防火墙和服务提供商路由器 (R2) 分别使用公共数字500和100。
配置
转到网络 > 虚拟路由器 >> 默认 >> BGP > 对等组。单击 "添加" 以创建新的对等组, 并检查 "将私有删除为"。
工作
以下是当路由器1公布网络10.1 时发生的事件序列. 1.0/24 当为100的防火墙对等组配置为启用 "删除私有 as" 选项时:
- R1 用 AS 路径属性65001向防火墙通告网络 10.1. 1.0/24。
- 作为500的防火墙从 R1 接收更新, 并在其全局路由表中为网络 10.1.1.0/24 输入一个条目, 以192.168.1.2 的下一跃点进行。这是直接连接到防火墙的 R1 接口, 因此它使用192.168.1.2 作为网关到达 10.1. 1.0/24 网络。
- 防火墙、在将 10.1. 1.0/24 网络的更新发送到服务提供商的100中时, 将私钥剥离为 65001, 并构造一个新的更新数据包, 其自身为数字 (500/10.1 网络的 as 路径属性 1.0) 并发送与服务提供商 R2 相同。这将作为 eBGP 更新发送, 因为更新介于两个不同的数字之间 (如500和 100)。
- 服务提供商 R1 接收网络 10.1. 1.0/24 的此更新, 并在其路由表中使用下一跃点作为 200.1.1.2, 该项是防火墙的 e1/1 接口。在 R1 上看到的此网络的 as 路径属性为 500, 这是防火墙的 as。
因此, 私人的数字被阻止进入 BGP 表的互联网。
所有者: dantony