我写在过去的几个帖子,(1)你需要非常小心凝视与路由器以外的行政控制,和(2)良好的边缘政策是必不可少的保护自己和被保护的网络的一个好邻居你凝视。
负责和安全的外部BGP (EBGP)配置有几个要点。
首先,关于BGP和IGP之间的重分配:
不要这样做!
从IGP到外发BGP的重新分配几乎无法控制向外部对等体发布的内容,这是不负责任的。将传入的BGP广告重新分发到IGP中可能是致命的。OSPF、EIGRP和IS-IS不能处理完整的Internet表(超过200,000条路由),会导致网络崩溃。更糟糕的是,从这样的灾难中恢复是极其困难的,可能需要几个小时。即使你只从你的上游供应商的部分路线,不要重新分配他们。设置您将接受的前缀数量的限制可以进一步保护您。
其次,始终对任何外部BGP (EBGP)对等体使用身份验证,并且始终对每个对等体使用不同的密码。
第三,使用访问列表来保护您的BGP端口(TCP端口179),只允许您的外部接口IP地址和外部对等体IP地址之间的包;拒绝(并记录)任何其他源试图到达TCP端口179的数据包。
有了这些基本的保护措施,你就可以规范网络内外的广告内容了。
我将在下一篇文章中对此进行讨论。