BGP安全特性

一、MD5认证

1. BGP认证只支持MD5认证，没有明文认证；
2. BGP报文中没有设计认证字段，认证信息是存放到TCP报文中的option字段携带。

配置命令：
peer x.x.x.x password cipher xxxx

二、GTSM

GTSM，有效防止基于TCP的源地址伪造攻击，保护设备不被CPU类型的攻击从面避免CPU负载过大。

配置GTSM：
peer x.x.x.x valid-ttl-hops N
此命令的两大作用：

1. 在向邻居x.x.x.x 发送BGP报文时，TTL为255
2. 在接收邻居x.x.x.x 发来的BGP报文时,要求报文的TTL ≥ 255-N+1

三、限制从对等体接收的路由数量

peer x.x.x.x route-limit y，设置允许从对等体收到的路由数量最大值为y

1. peer x.x.x.x route-limit 100 70
   收到路由的最大数量为100，超过70%告警，超过最大数量断开BGP邻居，30s后自动再次建立邻居
2. peer x.x.x.x route-limit 100 70 alert-only
   收到路由的最大数量为100，超过70%告警，超过最大数量仅告警，不断开BGP邻居
3. peer x.x.x.x route-limit 100 70 idle-timeout 10
   收到路由的最大数量为100，超过70%告警，超过最大数量断开邻居关系，并在10分钟后重新建立邻居，超时前可以使用reset bgp x.x.x.x 手动重新建立邻居
4. peer x.x.x.x route-limit 100 70 idle-forever
   收到路由的最大数量为100，超过70%告警，超过最大数量断开邻居关系，不再自动建立，可以使用resetbgp 10.1.45.5手动重新建立邻居

四、AS-PATH长度保护

as-path-limit x，设置AS_Path属性中AS号的最大个数为 x

1. 如果设置的限制数刚好是接收BGP路由的AS-PATH的数量，则不会传递给EBGP邻居