a.ארגון לא יכול למנוע מארגון אחר שלא להעביר אליו תעבורה נכנסתb. לא מכילים רמות שליטה כמוBGP
2.BGP הוא distance vector protocol יש מספר יתרונות:BGPל-.3
a.:מכיל מנגנון אמין שמזהה אם מסרים בין נתבים עברו בהצלחה. כתוצאה מזהb. נשלח עידכון רק כשיש שינוי–אין צורך בעדכונים שוטפים וריענונים c. מכיל מגוון עשיר שלattributes
4.BGP:צובר עידכונים ושולח אותם במרוכז a. הרעיון הוא שזמןconvergence-פחות חשוב מ scalability .b.IBGP – שניות נשלח עדכון5 כל c.EBGP – שניות30 כל d. אם ניתוב עושהflap, BGP .ישדר את המצב של הניתוב שנכון לזמן העידכון e. שידור שלflap.אחת ל... חוסך הצפה של פירסומים
5.keepalive שניות60 נשלח כל 6.hold-down timer –
a. .מתי השכן יוכרז כמתb. פעמים 3כאשר keepalive .לא מגיעים c. 3ברירת מחדל הוא( 60 דקותx3 .)d. ה-0כאשר מוגדר ,BGP-תמיד למעלה ולא יחכה ל keepalivee.-בזמן הקמת קישור הBGP-השכנים דנים על גובה ה holdtime
i.-ייבחר ערך הholdtime הנמוך ביותר שיוצע ii. אולם, אם מוגדרkeepalive, holdtime-יקבע גם בהתאם ל
keepalive iii.-דוגמה: אם נבחר הholdtime (, אבל ה-21 של השכן )למשל
keepalive למשל( מקומית שמוגדר מה-5 משליש ביותר קטן )holdtime )7(-ה ,holdtime-יחושב עפ"י ה keepalive( הקטן המקומי
15)7.AS = routing domain8.BGP status
a.Idle –הנתב לא מנסה ליצור קישור. בד"כ כשאין גישה/ניתוב לשכן או בגלל clear
b.Active – כאשר הנתב יוצא ממצב idle אבל עדיין לא שלח open message. וכו', כלומר רק פתח synהספיק רק לשלוח TCP connectionאבל לא דיבר
BGPעוד c.OpenSent – כאשר הנתב שלח הודעה ראשונית לפתיחת קישור BGPומחכה
מכילה:openלתשובה מהנתב המרוחק. הודעת i. גרסתBGPיסכימו על הגירסה הגבוהה ביותר שנתמכת ע"י שני -
הצדדיםii.AS no. –-כל נתב שולח את ה AS-שלו ומוודא את ה AS
האחרiii.Hold time – .הזמן שבו יחליט נתב שהצד השני מת iv.BGP identifier –-ה router ID-שהוא כתובת ה IPהגבוהה
, הכתובת הגבוהה ביותרloopback. אם אין loopbacksביותר מבין ה-intעל כל
v. :פרמטרים אופציונליםtype, length, value )TLV( encoded, סיסמה
1
d.OpenConfirm – כאשר הנתב מקבל חזרה מהנתב המרוחק הודעת open e.Established –ונשלח הקישור הקמת על מסכימים הנתבים שני כאשר
keepalive9.show ip bgp summary
a.InQ גבוה בעיית – מציין CPUהפרסומים עם להתמודד מתקשה הנתב . שמגיעים אליו
b.OutQ גבוה בעיה של רוחב פס. אין מספיק רוחב פס לפרסם לאחרים את– הניתובים
c.TblVer –-יש להשוות את הערך של השכן מול הערך של ה Main table version.בהתחלה של הפלט( כדי לראות אם השכן מסונכרן(
d. בתחילת הפלט רשום כמה זיכרון לוקחים כל הפירסומים–צריכת זיכרון
BGP table version is 207267858, main routing table version 207267858296077 network entries using 35529240 bytes of memory591962 path entries using 30782024 bytes of memoryNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd10.20.142.42 4 65035 227379 12786861 207267795 0 0 5w4d 1
תהליך בחירת הניתוב.10a.-התעלמות מניתובים אשר הnext hopשלהם לא זמין b.Highest weightc.Highest local-preferenced.העדפת ניתובים שמקורם בנתב עצמוe.AS-pathf.Origin code – העדפת IGP על EGP על incomplete
i.IGP פקודת - network או( redistribute עם route-map)ii.EGPהפרוטוקול המיושן שקדם ל - BGP
iii.incomplete – ניתוב שנלמד ע"י redistributeg.MEDh.Origin העדפת - external ניתוב( EBGP על פני )internal )IBGP(
i. בחירה בין ניתוביIBGP –-העדפת ניתוב מה peerהקרוב ביותר ii. בחירה ביןEBGP –העדפת הניתוב הישן )היציב( ביותר
i.Router-IDbestהנתב מפיץ הלאה רק את ניתובי ה-.11 ומפרסם לאותו שכן אתroute poisoningכאשר הנתב מקבל ניתוב משכן, הוא מבצע .12
הניתוב )שרק קיבל( כ"לא זמין". המטרה היא למנוע לופ.13.auto-summary
a. כאשר מופעלauto-summary עם networkמתבצעת אגרגציה של ניתובים , classless mask אלא אם כן הוגדר– network )הישן( של ה-classfulלערך
b. כאשר מופעל עםredistribute-תתבצע אגרגציה עם ה ,classfull mask. יכנס לטבלת ניתוב.classful, רק ניתוב mask בלי networkכאשר מוגדר .14 timerהגדרות .15
a. תחתrouter bgp: distribute-list <ACL> out|in <IGP<b.סינון גלובלי על כל השכנים
17.aggregate-address <ip> <mask< מבצע אגרגציה. אם מוסיפים - summary-only, מפלטר גם ניתובים ארוכים )ספציפים( יותר
18.debuga.ip bgp updates debugמראה את הפירסומים שעוברים -b.debug ip tcp transactions – תהליך ההקמה של peer!כבד .
2
i.peer destroyed … closed –יש בעיית תקשורת ii.remote sent RST – הצד השני לא מדבר BGP( ip,לא נכון
(router bgpלא הוגדר iii.resert due to bgp notifications הגדרות - BGPשגויות שלא
שגוי למשלpeer( AS)מאפשרות להקים c.debug ip bgp events – מראה אירועים גדולים )נפילה של BGPשליחת ,
עדכון(d.debug ip bgp keepalives –-מראה את ה keepalivee.debug ip bgp updates <ACL<מראה פירסומים שרלוונטים ל - ACLבלבד
ודחיות של פירסומים בגלל פילטריםf.debug ip bgp <neighbor> updates <ACL<ספציפי גם לשכן -
19.sh ip bgp x.x.x.x MASK
בחירת נתיב – פרק שני 1.regexp
a. יבצע 31חיפוש סטרינג match-317 גם ל .b.כל תו בודד = "."c.[1-3[.]34]" יבצע 317 213 על הסטרינג "match:פעמיים
i.213 317ii.213_317
d. ואחריו תו שיש לו משמעות יעשה "\"match" הוא כל^\) לאותו תו. למשל " סטרינג שמתחיל עם התו "(".
e."* "– .אם מופיע התו שלפניו מספר פעמים, אם בכלל f. "?"–אם מופיע התו שלפניו פעם אחת בלבד, אם בכלל g. "+"–.אם מופיע התו שלפניו לפחות פעם אחת h.^100._ :בשונה מ אומר רק הרשתות מאחורי _100^ 100אבל ללא 100
עצמו!i.[^0-9$+] ניתובים במרחק - ASאחד j.[(^0-9\_()+]1$*) כל - AS שמחובר ישירות אליי כולל prepend
i.\ואחריו מייצג משתנה ii.\1-מייצג את כל מה שבא בסוגריים הראשונים של ה regexp,
regexp pattern recall מייצג את הסוגריים השניים. נקרא גם 2\iii.[(^0-9)+] הוא כל AS שהוא directly connectediv./_(1)-מכניס את ה AS 'כשיש לפניו רווח 1 למשתנה מס v.$*מספר מופעים של החזרה הזו -
2.AS-path lista. הגדרתAS-path על neighbor: neigh <ip> filter-list <aslist> in|outb. הצגה שלas-path list: sh ip as-path-access-list <filter<c.-הצגת ניתובים שעונים לACL: sh ip bgp filter-list <filter<
3.prefix-list vs ACLa.-משפר ביצועים כיוון שהIOS בונה עם prefix-list-עץ החלטות )ב ACLהוא
עובר שורה, שורה(b. עושהmatch גם על subnet mask
4.le vs gea.0.0.0.0/0 ge 32 –כל ניתוב שה mask 32/ הואb.0.0.0.0/0 le 32 –כל ניתוב c.128.0.0.0/8 ge 16 –-ושה128 כל רשת שמתחילה ב mask שלה הוא class-B
או ארוך )ספציפי( יותר5.redistribute-list תחת router bgp-תסנן ניתובים שמכניסים ל IGPמ BGP :
a.redistribute-list prefix-list <ACL> out <IGP<
3
b. למרות שניתן להגדירneighbor prefix-list-ו neighbor redistribute-listזה , לא מומלץ ע"י סיסקו
6.ORFa.Outbound routing filterb. מאפשר לי להגדיר את הפילטרoutשל השכן לכיווני. אני שולח לשכן את
הפילטר והוא מתקין אותו.c. .יתרון: חוסך משאבים אצל הלקוח ומאפשר ללקוח שליטה מלאהd.לדוגמה, אם יש לי נתב חלש ואני רוצה לקבל רק פירסומים מסויימים, כאשר
, עדיין נשלחים אליי עדכונים מיותרים שאניfull routeהספקית שולחת לי , אני יכול לשלוט בניתובים שהספקית שולחת לי עודORFצריך לעבד. עם
לפני שהם הגיעו אליי.e.ORF נשלח יחד עם הודעות route refresh.f. ניתן להגבילORF כך שהנתב יבצע רק receiveספקית שמאפשרת ללקוח(
אליו(, שנשלחים הפירסומים על או sendלשלוט הלקוח( )צד bothבין( ספקיות אינטרנט(
g. הודעתORFבנויה מ i.AFI/SAFI – subsequent/address family info – איזה על AF
יופעל?ii.ORF type:
שמור– 1.0. )NLRI )ip + subnet הפילטר מבוסס על – 2.1community הפילטר מבוסס על – 3.2extended community הפילטר מבוסס על – 4.3 . הפילטר128 יישום של סיסקו. סיסקו עובדים רק עם – 5.128
prefix listמבוסס על IANA סוגים שהוגדרו ע"י – 6.1-127מיוחדים– 7.128-255 לצרכים לשימוש שניתנים סוגים
(proprietyופרטיים שהיצרנים הגדירו ) )שני הצדדים תומכים(ORFהשכנים דנים האם ניתן להפעיל .8
בנפרדtypeעבור כל iii.When to refreshiv.ORF entrie –הפילטר עצמו
h. תוכן הודעתORF-משתנה בהתאם ל typeלמשל, ב .NLRI:i.action: ADD-להוסיף שורה ל( prefix list ,)DELETE, DELETE
ALL-למחוק את כל ה( list)ii.match: permit / deny
iii.scope: EXACT או המדויקת( )הרשת REFINEתתי( רשתות(
iv.when: IMMIDIATE" )לעשות clearאחרי מיד ולפלטר " מאוחר יותר, בנפרד(refresh )לחכות ל-DEFERקבלת ההודעה( או
j.-שינוי ועדכון הprefix-listi.-הגדרת הprefix-מתבצעת רק בהקמה של ה BGP
ii. :כדי לעדכןClear ip bgp neighbor 10.0.0.100 in <prefix-list<
iii.-ה צריךclearלמרות שאנחנו מעדכנים את הצד המרוחק, . inלהיות
k.Monitoring – ע"י פקודת show ip bgp neighסדר בדיקת פילטרים בפירסום נכנס:.7
a.Prefix-listb.Filter-listc.Route-map
הסדר הפוך כאשר מדובר בפירסומים יוצאים כאשר יש שילוב של סוגי פילטר שונים, מתבצעAND
8.route-mapsa.-ניתוב שאינו עונה לMatch מתבצע עליו ,dropb.Permit all מתבצע ע"י permit ללא matchc. כמהmatch-ים בseq אחד מהווים ANDd. ניתן לבצעmatchעל
i.Route originator :ממי נלמד( match ip route-source)ii.Bgp next-hop )match ip next-hop(
iii.Origin codeiv.-ניתוב שמקורו בIGP ושיש לו tag )match tag(v.IGP route type )external/internal( )match route-type(
e.Sh ip bgp route-map <route map< יציגmatch ים בטבלתBGP9.soft reconfiguration
a.רק אם שני הצדדים תומכים בזהb.-בsoft in-הדרך היחידה היא לשמור עותק של טבלת ה ,BGPהנוכחית )כדי
לא לאבד ניתובים( ולקבל עוד ניתובים לטבלה נוספתc. במקרה של פירסומים החוצה, אין בעיה. לכן ההגדרהsoft-reconfig inboundd.-כדי לדעת אם הצד המרוחק תומך בsoft עושים sh ip bgp neigh e.Debug ip bgp-יציג את הדיון בין הצדדים לגבי תמיכה ב soft
BGP: 62.219.185.209 rcvd OPEN w/ optional parameter type 2 (Capability) len 2BGP: 62.219.185.209 OPEN has CAPABILITY code: 128, length 0BGP: 62.219.185.209 OPEN has ROUTE-REFRESH capability(old) for all address-familiesBGP: 62.219.185.209 rcvd OPEN w/ optional parameter type 2 (Capability) len 2BGP: 62.219.185.209 OPEN has CAPABILITY code: 2, length 0BGP: 62.219.185.209 OPEN has ROUTE-REFRESH capability(new) for all address-families
bgp attributes – 3 פרק 1.bgp attributes = bgp metricsישנם כמה סוגים:.2
b.Optional implementations – propriety.יישומים פרטיים של יצרנים שונים . transitive bitמתחלקים לשניים והנתב מזהה אותם לפי ה-
i.Transitive – 1.community2.aggregator –הכתובת של הנתב שביצע את האגרגציה
ii.Non-transitive – למשל MED3.Weight –
a.directly connected מקבלים weight( 32768 מקסימלי)b. כאשר מוגדרneighbor X filter-list <acl> weightניתובים שלא מקבלים ,
match עדיין מתקבלים אך לא מתווסף אליהם weight !–מדובר בפקודה לא נתמכת!
4.AS-PATHa.-כאשר נתב מפרסם בEBGPבזמן שהוא מוציא את הפרסום, הוא מוסיף ,
prependb.-ה את רואה נתב כאשר - לופים למניעת ב-ASמנגנון שלו AS-pathשל
פירסום נכנס, הוא דוחה אותוc. לא ניתן לדבגprepending .אלא רק ע"י הנתב המרוחק Debugבנתב המקומי
.route-map לפני ה-prependיראה את ה-d. 1$[+()_\0-9^)]מומלץ שספקית תגדיר מול כל לקוח*)
5.NEXT-HOPa. ניתן להגדיר כתובת של נתב אחר בתורnext-hopכדי לשפר את הניתוב b. 3כאשר AS ים מחוברים באותוLAN והנתבים באותו subnet-ה ,ASהמקשר
של ה-next-hop( משנה את ה-3, 1ים אחרים )AS( בין שני 2)למשל AS ואז הנתב עושה destinationשמחזיק את ה- routingאבל לא עוברת דרכו
תעבורה
c. טופולוגיה כזו יכולה ליצור בעיה ברשתותNBMA )FR(כדי לפתור את זה יש . שני אפשרויות
i. להגדירsub-interface ולא להיות באותו subnetii.-לשנות את הnext-hop ע"י next-hop-self
6.LOCAL-PREFERENCEa. שינוי ברירת המחדל
i. :ע"י הפקודהbgp default local-preference <value<ii.-הנתב יעדיף ניתובים פנימיים על פני100אם נגדיר נמוך מ ,
חיצוניים
6
iii.-הנתב יעדיף ניתובים חיצוניים )למרות100אם נגדיר גבוה מ , יהיה קצר יותר(AS-pathשה-
7.MEDa.-משפיע על תעבורה נכנסת לASb.-משפיע רק על הAS-לא עובר ל( השכן המיידי AS)ים רחוקים יותרc. 0ברירת המחדל היאd.נמוך = טוב יותרe. נקרא גםmetricf. הגדרתMED על ניתובים שעברו redistribute ע"י default-metric <value<g.MED-נקבע ע"י ה cost-שה IGP.נתן לניתוב h. הגדרותMEDמתקדמות
i.Bgp always-compare-med – ים אחרים. AS שנלמד מ-MEDמשווה .1צריך להגדיר בכל הרשת אחרת יווצרו לופים.2
ii.Bgp bestpath med missing-med-worst(best )0 חסר, סיסקו מגדירים אותו כ-medאם ה-.1, צריך להתעלם ממנוmedהתקן אומר שאם חסר ערך ל-.2ליצור.3 יצרנים שונים, היישום של סיסקו עלו אם מערבבים
)הכיinfinity חסר בתור medבעיות ולכן הפקודה הזו מגדירה גרוע(
iii.Bgp bestpath med confed מאפשר להשוות - medכאשר )confederationמפעילים ASשונים שמתייחסים אחד לשני בתור
AS)אחד iv.Bgp deterministic-med – ישווה MED לפני route type
)int/ext(v.,סיסקו משווים ניתובים בזוגות: משווים ניתוב אחד לניתוב שני
!3-119עמוד משווים את המנצח לניתוב שלישי וכן הלאה...
תמיד יציג שני רשומות: אחרי השינויattribute, sh ip bgpכאשר מבצעים שינוי של .8received onlyוהמקורית שתסומן ב-
9.communitiesa. כברירת מחדל, מורידיםcommunitiesבפרסום יוצא b. כדי להעבירcommunity יש להגדיר ,neigh X send-communityc.Transitived.בנוי מ
i. ( 0-4,294,967,200 ביטים )32פורמט ישן - ממספר בןii. פורמט חדש–
": ביט שמפריד בינהם "16המספר מחולק לשני מספרים בני .1ה-.2 של שהערך הביטיםcommunityכדי ייחודי, יהיה
ה- את מייצגים ל-ASהראשונים עבורו communityיש משמעות
ASהביטים השניים מייצגים חשיבות מקומית עבור אותו .34.ip bgp-community new-formatלהפעלת הפורמט החדש
e.Communitiesמובנים i.No-export –-ל הניתוב את יפרסם לא EBGP-מ )חוץ
intraconfederation – שזה בעצם אותו AS)ii.No-advertise –הנתב לא יפרסם החוצה את הניתוב )גם לא
IBGP)
7
iii.Local-as – כמו no export-ל גם יפרסם לא אבל conefderation AS
iv.Internet –יפרסם את הניתוב לכל מי שייך לאינטרנט f.Community-list
i. ההבדל ביןextended )100-199(-ל simple )1-99(-הוא שב extended ניתן להשתמש ב-
ii.Internet בעצם מהווה any-ב זו במילה להשתמש וניתן simple-ב .extended-הכי פשוט להשתמש ב *.
iii.regexpg. הגדרתcommunity ע"י route-map
i.Match1.match community <acl< יהיה - matchמה אחד אם
communities-שמשויך לניתוב יופיע ב ACL2.match community <acl> exact – יהיה matchרק אם כל
ACL מופיעים ב-communitiesה-ii.Set
1.Set community <community< ידרוס - community שמשויך לניתוב
2.Set community <community> additive –עוד יוסיף communityבנוסף לקיים
h. בדיקה שלcommunityעל טבלת הניתוב i.Sh ip bgp community <as:nn> <as:nn> ]exact[
ii.Sh ip bgp community-list <ACL<
חיבור לקוח לספקית – 4 פרק 1.PA – provider assigned – ,כתובות שניתנו ללקוח ע"י הספקית 2.PI – Provider independent –.כתובות שהלקוח רכש לעצמו בתנאי ש:PA( עם כתובות multihomedלקוח יכול להיות מחובר לשתי ספקיות ).3
a. הוא רכשasציבורי b.הספקית מסכימה שהכתובות שלה יפורסמו ע"י ספקית אחרת
לכיוון הספקית השניה במקום לבקש רשות להשתמש בכתובותNAT* ניתן להגדיר של הספקית הראשונה
ip route X/X y tag אלא לצבוע ניתוב סטטי )redistributeסיסקו ממליצה שלא לעשות .4Z ולפרסם את אותם ניתובים באמצעות )match-ל tag-ב route-map
לא עובר דרך הפילטריםneig X default-information, 0.0.0.0/0כאשר מוגדר .5ים פרטיים. AS כדי לא לפרסם neigh X remove-private-asיש להגדיר .67.maximum-paths <number<
a.)מאפשר להתקין בטבלת ניתוב כמה נתיבים ליעד )ברירת המחדל הוא נתיב אחדb.-רק ניתובים זהים לחלוטין ייחשבו כmultipathc.BGPניתובים זהים ליעד6 תומך ב
8.neigh X ebgp-multihop <number<a. 2-255טווח המספרים הואb.-אם לא הוגדר מספר, הTTL 255 הוא
64512-65535 פרטיות: ASכתובות .9 פרטי בחיבור לשתי ספקיות שונות:ASהגדרת .10
a. אם שני הספקיות מסכימות על אותוASשיוקצה ללקוח b. הלקוח יקבל שניAS-ים ויתרגם את אחד הAS:עבור הספקית השניה
Route 64512 Neigh X local-as 65000
AS-path: 65000 64512 iהספקית תראה את ה-
8
הספקית צריכה להתאים את הפילטרים שלה!
transit AS – 5 פרק ב-.1 כיוון שכל IBGPחובה להשתמש IGPניתובים יכול להכיל כ"כ הרבה אחר לא
ואפשרויות2.BGP split horizon
a.Prepend-ה את רואה נתב כאשר לופים. למניעת אמצעי הם שלוASים בפירסום, הוא מתעלם מהפירסום.
b.IBGP לא מוסיף prepend-ים ולכן יש חשש ללופים בתוך הASc.bgp split horizon-אומר שנתב לא יפרסם ניתובים שנלמדו ב IBGPלנתבים
ASבאותו 3.source-update loopback
a. כי כאשר ישfull mesh-קשה לבחור ב intהפיזי b.כי לפעמים יש יותר מקישור אחד בין הנתביםc.-יותר יציב )תמיד למעלה, תן ל לבדוק גישה ל-IGPכי זה loopbackים של
נתבים אחרים(4.next hop-לא משתנה ב IBGP?next-hopאיך להגדיר גישה ל-.5
a.-אפשרות א' - יש לכלול כתובות של קישורים לספקיות אחרות בIGPכדי( ה- תכיר את כ-next-hopשהרשת אלו יש להגדיר קישורים אבל )passive
interface כדי שלא ליצור קישוריות IGP-שגויה ולקבל זבל מ ASים אחריםb. 'להגדיר –אפשרות ב neig X next-hop-self-על הנתבים בקצה ה ASלהגדיר ,
update-source loopback0-ולהוסיף את ה loopback-ל IGP .6.recursive lookup
a.BGP לא מגדיר interface בתור next-hopהנתב עושה חיפוש רקורסיבי על , בטבלת הניתוב.next-hopהכתובת של ה-
b.Fast/optimum switching –כאשר מגיע פקט, מתבצע חיפוש ונכנסת רשומה destination. כך עבור כל cacheל-
c.Cisco express forwarding )CEF( – טבלת בונה FIB )Forwarding information base( כל פעם שנכנס ניתוב לטבלת IPועבור כל )טבלת ניתוב(
עדייןL2 שממנו צריך להוציא את התעבורה. מידע ברמת intכתובת יעד יש וכו'cache( mac.)נשמר ב-
בגלל שאנחנו לא רוצים שהלקוחIGP ולא ב-IBGPיש להחזיק ניתובים של לקוחות ב-.7 שלנו.IGPיפגע ביציבות של ה-
וההפך!IBGP ל-IGP בין ה-redistributeאין לבצע .8
9.no synchronizationa.sync אומר שניתוב BGP-לא ייכנס לטבלת ניתוב אלא אם יש ניתוב זהה ב
IGP בעבר, היו עושים .redistribute-ל IGP-ולא רצו לגרום למצב שבו ה BGP מסוגל להתמודדIGP פקטים לפני שה-ASמודיע לאחרים שאפשר להעביר ל-
איתם.b.-ה הניתובים, כמות בגלל בגלל שאיןIGPהיום, איתם. להתמודד יכול לא
redistribute-בין הפרוטוקולים, אין חשש ל black holeולכן ניתן לבטל את זה 10. distance bgp external internal local <AD< –-משנה את ה ADשל כל פרוטוקול
a..רלוונטי רק לניתובים שנלמדו אחרי ההגדרהb.External – EBGPc.Internal – IBGPd.Local –-שנלמד ב IGP (200 )ברירת מחדל
10.showa.-ניתן ללמוד מsh ip bgp nei אם יש לנו IBGP או EBGP:
9
BGP neighbor is 1.1.1.1, remote AS 100, internal linkb.Sh ip bgp prefix – origin code.המרוחק בצד הניתוב נוצר איך מייצג
Internal/external :מייצג איך נלמד IBGP/EBGP.תקלות.11
a. לא נוצרBGP session פתרון: אין .update source loopback0b. קיים ניתוב יחיד בטבלתBGP-אבל הוא לא הופך ל best-סיבה: אין ניתוב ל .next-
hop .ולכן הניתוב לא מותקן c.-ניתוב מופיע כbest.אבל הוא לא מותקן. פתרון: לבטל סינכרון
scaling networks – 6 פרק IBGPמגבלות ב-.1
a.-בBGP יש להפעיל ,full mesh-בין כל נתבי ה edge .b.-עומס - בfull mesh-כמות ה ,session ים שלIBGP = )n*)n-1((/2 כאשר nמספר
. meshהנתבים שנמצאים ב-c. ניתן לפתור ע"יRR או ע"י confederation
BGP ל-IGPחלוקת האחריות בין ה-.2a. באחריותIGP-לדאוג לניתוב של ה BGP next hopb. באחריותIGP-למצוא את הנתיב האופטימלי ל next hopc. באחריותIGP למצוא ניתוב חלופי כדי שישמר BGP peeringבין נתבים
ניתובים אולם ישIGP route-summaryניתן )אך לא מומלץ( לבצע ב-.3 כדי להוריד . אולם,MPLSחשש כי הניתוב לא יהיו מיטבי ובמקרים מסוימים יכול לשבור נתיבי
על כל פופ.summaryמומלץ לנהל כתובות כך שיהיה ניתן לבצע בחירת כתובות ברשת הספקית.4
a.-ב ליצור בעיות למשל זה עלול ניתן להשתמש בכתובות לא חוקיות אולם tracert
b.-ייתכן וכתובות פרטיות ייצרו בעיות אצל הFWשל הלקוח כיוון שהוא יחשוב .address spoofingשמתבצע
c. אם מופעלMPLS-ניתן לשלב כתובות לא חוקיות אם נבטל ב ,MPLS-את ה TTL propogation-במקרה זה, הרשת של הספקית תיראה כ .hopאחד ואז
הבעיה של כתובות לא חוקיות תיפתר.d.-ניתן להגדיר כתובות לא חוקיות על הloopbackאולם יש להיזהר לא לפרסם
(.next hopים אחרים )לא תהיה גישה ל-ASאותם ל5.route reflectors
a.RRוה clients-שלהם מתנהגים בעצם כ clusterb.-כדי להפוך נתב לRR יש להתקין IOS.מיוחד c.RR הוא חריג מבחינת split horizion הוא שולח עידכוני .IBGPלקליינטים
שלוd.RR clients מתנהגים כמו IBGP" רגיל. הם במעין full mesh-עם ה "RRע"י
.cluster היחיד שיש להם מול הIBGP אחד. זה קישור ה-BGPקישור e.-חוקים עבור פרסום שנכנס לRR – בגדול RRלא מפרסם ניתובים מ non-
client-ל non-client אחרים כי הוא מצפה שיהיה mesh-בין כל ה non-clients.i.מ לnon-clientניתוב מפורסם clients+EBGPל מפורסם )לא non-
client)ii.-ניתוב מclient( מפורסם לכולם client, non-client, EBGP)
חוץ מהקליינט ששלח את הפירסוםiii.-ניתוב מEBGP.מפורסם לכולם
f.-יש צורך במנגנון למניעת לופים בIBGP של RRi.-לcluster יש cluster-id-שהוא ייחודי ל AS .
ii.Cluster-id-מוגדר על ה להיות חייב RR ע"י הפקודה bgp cluster-id
10
iii.RR-יכול לשמש כ RR רק עבור clusterאחד אבל יכול להיות client של cluster.אחר
iv.RRמוסיף לכל ניתוב שהוא מפרסם לקליינטים שלו 1.cluster-id –-המזהה היחודי של ה clusterהוא מכניס את .
.cluster-listהמזהה הזה לתוך שדה שנקרא 2.originator-ID –המזהה היחודי של הקליינט ממנו הוא למד
את הניתוב )אותו הוא מפרסם לאחרים(v. ניתוב שמכילcluster-id או originator-idעבר בהכרח דרך
RRvi.RR-שיזהה את ה cluster-ID בניתוב שלו IBGPיתעלם -
ממנו. זה מנגנון למניעת לופים.g.מנגנון נוסף למניעת לופים
i.( בחירת הניתוב העדיף מתנהלת כרגילweight, local preference)ii. ניתוב ללאcluster-ID יתועדף על פני ניתוב עם cluster-ID
iii. יתועדף ניתוב עםcluster-list קצר יותר על פני cluster-list ארוך.
h.-ניתן לעשות בAS אחד כמה cluster.יםi.RR redundancy
i. ניתן להגדיר כמהRRכדי ליצור שרידות ii. צריך ליצורfull-mesh-בין כל ה RR-ב cluster.
iii. כלclient צריך ליצור session עם כל RR.iv.
j.תקלותתוצאהסיטואציה
לא יקבלו את כל הניתוביםclustersחלק מה-full meshים לא ב-RRה- לא יקבלו את כל הניתוביםClientsיםRR אין קישור מול כל ה-clientsל-
Client מחזיק קישור לכמה clusterיםClientsאותו של עותקים לקבל עלולים פרסום וייתכן שייגרם לופ. Client עם קישורים מחזיקים יםclientים
אחרים
k. הירארכיה שלRRi.נותן מענה לרשתות גדולות מאוד
ii.RR-יכול לשמש כ client עבור RRאחר iii.אין הגבלה לגובה ההירארכיה
l.הגדרותi.Cluster-id-הוא בדרך ה router-id-של ה RRאם מתוכנן להפעיל .
אחד, עדיף לבחור במספר נמוך מ-RRיותר מ- כי אופן ההצגה256 IPהוא דומה ל-
Bgp cluster-id <cluster-id>ii.-הגדרת שכנים על הRRאין צורך בהגדרה על הקליינט עצמו(
Neighbor x.x.x.x route-reflector-clientm. Show ip bgp neigh-על ה RR יציג אם השכן הוא clientn.Sh ip bgp x.x.x.x-על הקליינט יציג שקיבל מה RR )cluster-id, originator(o.Sh ip bgp x.x.x.x-ה על RR מקליינט הניתוב את שקיבל יציג
(Received from a RR-client)
6.confederationa. הרעיון הוא לקחתAS( גדול confederation AS ולחלק אותו לכמה )ASים
(intraconfederation/member ASקטנים )i." כלAS קטן" נקרא member AS.
ii.-העולם לא ייראה את הMember AS-אלא את ה AS.הגדול
11
iii.-בתוך הmember AS יפעל iBGP.iv.-בEBGP אמיתי", מול" AS-ים אחרים, יוסרו הmember AS
הגדול.AS של ה-prepend ויתבצע pathמה-b.BGP בין ASים בתוך הקונפדרציה
i.-בין הmember AS-ל member AS אחר יהיה eBGPאולם הוא יהיה intra-confederation eBGPשונה וייקרא
ii.-למרות שהpeer-יוקם כ eBGP, local-preference, MED של הקונפדרציהAS יישמרו בין ה-next-hopו-iii.-שה שירוץ next-hopכיוון מומלץ נשמר, IGPאחד
ים.member-ASבקונפדרציה, בין ובתוך ה-iv.-באופן כללי, בiBGP-אין צורך ב multihop-כיוון שמדובר ב .
eBGP-בין ה members חייבים להגדיר ,multihop.v.-בintraconfederation eBGP-ה ,AS-יוצג ב as-pathאולם
(. parenthesesבתוך סוגריים )c.-ב לתמוך צריך .confederationנתב as-path הוא mandatoryו pathשל
typeמיוחד. אם הנתב לא מבין את ה-type קונפדרציה מוגדר שונה ע"י שדה .sessionשל הקונפדרציה, הוא יסגור את ה-
d.תיכנוןi. בתוךmember-as חייב להיות full mesh של ibgp
ii. מומלץ שלא לבצעfull mesh-בין נתבי הקצה של ה member-as ים משום שאזAS בעיקר כאשר כל– היעד יקבל פירסומים כפולים
שני לפחות מריץ בקונפדרציה במקום,BGPחבר שרידות. עבור אחד מרכזי )או יותר( אליו יתחברו כלbackbone ASמומלץ להגדיר
החברים בקונפדרציה.iii. מומלץ להגדיר כלpop בתור member-as –כלומר לחלק את
BGP openבהתחלה, כאשר יוצרים קישור אחראי על יחסי שכנותBGP עם השכן.
BGP I/Oועיבוד של התור ניהול על אחראי )BGPפקטים הקשורים ל- updates
(keepaliveו-
BGPכאשר control packets מתקבלים ע"י הנתב.
BGP scanner
)צורך זיכרון(
עובר על טבלת -BGPובודק שה next hopבר הוא ניתוב כל של
השגה. .dampening- מבצע
DB- ניקיון ותחזוקה של ה- - מבצע פרסום מותנה )רק אם אני
(Y אני אפרסם את Xמכיר את
שניות60כל
BGP router
)צורך זיכרון(
- מחשב את הניתוב העדיף- מקבל ושולח עדכונים
ה- עם אינטראקציה מבצע -RIB של הנתב(IP)טבלת
- מעבד הודעות נכנסותיוצאים עדכונים מייצר -
)אינטנסיבי(
- כל שניה - כאשר מוסיפים, מורידים ומבצעים
clear softלשכן
a.Scanner הוא אינטנסיבי כי הוא צריך לעבור על טבלה בגודל של 270,000 רשתות
b.-העומס על הCPUשה scanner.לוקח הוא גדול אך במשך זמן קצר c.-בזמן שהscanner-ל )למשל מענה נמוכה מחכים בעדיפות רץ, תהליכים
ICMP)d.Bgp router-לוקח את כל ה CPU cycles.הפנויים
CPU ועומס על ה-convergenceשיפור .3a.Queuing to tcp peer connection –-פעם הנתב היה מכניס ל tcp socket
מידע כל שניה. כעת הוא מזרים כל הזמן.b.Bgp peer groups – ליצור policy על group ולא על כל peer.בנפרד c.Path mtu Discovery / PMTU –
i.הBGP-ה את מזהה MTUדורשים שלא פקטים ומוציא הנדרש BGP כי ברירת המחדל הוא ש-overhead( overheadפרגמנטציה או
(.byte 536ייצר פקטים בגודל של ii.-מזהה לאורך הנתיב את צוואר הבקבוק שבו יש את הMTU
הנמוך ביותרiii.ip tcp path-mtu-discovery <age timer<iv.Age-timer –-כל כמה זמן הוא יבדוק את ה MTUv. ניתן לראות במהBGP משתמש ע"י s hip bgp neigh
d.Increase interface input queues – i.( לפעמים, כאשר מפרסמים ניתובים רביםUPDATESנשלח מידע ,)
.ACKרב שעליו השכן צריך לענות ב-ii.-כברירת מחדל, גודל הqueue של int פקטים ו75 הוא BGP
ים.discard יבצע intיכול לגרום לעליה משמעותית שתיגרום לכך שה-iii.-ניתן להגדיל את הqueue ע"י hold-queue <size> in
13
iv. החיסרון הוא שאז תוכנות שיכולות לזהותlatencyלא יידעו .packet lossשצריך להאט כיוון שהם לא מקבלים
v.-צפיה בqueue ע"י sh int – 80% אם באופן קבוע עומד על יש להגדיל
e.BGP scanner timei.-שה להגדיר שינוייםscannerניתן כך יותר. תכופות לעיתים ירוץ
והזיכרוןCPUייכנסו מהר יותר אבל יש סיכון לעומס על ה-ii.Bgp scan-time <interval<
iii. ניתן לראות ע"יshow ip bgp summary: scan intervalf.BGP advertisement interval
i.BGP ושולח את כולם אחת לכמה זמן. יוצאים מקבץ פרסומיםii.ערך ברירת מחדל
1.iBGP – 5שניות 2.eBGP – 30שניות
iii.Neigh X advertisement-interval <sec<iv.מומלץ להוריד כאשר הרשתות אצל השכן לא יציבות אולם
יכול לגרום לעומס על המשאבים.ניתן להגביל את כמות הפירסומים ששכן מפרסם לנו.4
a.Neigh x maximum-prefixes <no.> [threshold] [warning only] [restart restart interval]
b.Maximum –,מגבלת הניתובים. כברירת מחדל, אם עובר את ערך המקסימום .peerהנתב יסגור את ה-
c.Threshold )אופציונאלי( מתי– מציין מהמקסימום. אחוז מייצג באחוזים, יתחילו להופיע הודעות אזהרה בלוג.
d.Restart )אופציונאלי( מתי הנתב ינסה להקים קישור – BGPמחדש, לאחר .maximum-prefixesשהקישור נפל בגלל
e.Peer שנסגר בגלל maximum prefixes יופיע בתור idlef.Sh ip bgp neigh –-יציג את המגבלה ואת אחוז ה threshold:
No. of prefixes received 2, maximum limit 10Threshold for warning message 70%Last reset due to: peer exceeding maximum prefix limit
5.peer-groupa. חוסך התייחסות לכל שכן בנפרד, יוצרpolicyמשותף ולכן חוסך משאבים b. מבצעpolicy .על שכן אחד ומיישם את זה על כל השכנים c. לא ניתן להגדירeBGP-ו iBGP באותו peer-groupd. ניתן להגדיר עלpeer-group גם remote ASe.הגדרות
Neighbor <group> peer-groupNeighbor <group> route-map <route-map> out
Neighbor x.x.x.x peer-group <group<Neighbor x.x.x.x route-map <route-map> in
f.Showi.Sh ip bgp peer-group < group<קונפיגורציה על הקבוצה. מציג -
ה את מבצע הנתב שעליו המייצג השכן של הכתובת policyאת )ואח"כ מיישם על שאר חברי הקבוצה(.
ii.Sh ip bgp peer-group <group> summary iii.Clear ip bgp <group.… <iv. Sh ip bgp neigh-יגיד אם השכן שייך ל - peer-group
6.route dampeninga. יזהה ב-flappingנתב eBGPבגלל שניתובים מגיעים אחד ל יותר לאט 30
שניותb.מושגים
14
i.Flap –ניתוב שמתקבל ואז מוסר שוב ושוב ii.Suppress –ההיסטוריה בגלל בו משתמשים שלא ניתוב
dampenedהבעייתית שלו. ברגע שמגיע לסף זה, הניתוב נחשב iii.Half time –-ל שלוקח הזמן penaltyלחצי מערכה לרדת
המקוריiv.Suppress duration –הזמן המקסימלי שבו ניתוב יהיה במצב
suppressv.Start-suppress –-גובה ה penalty על flap
c. כל פעם שמתבצעflap הניתוב מקבל ,penalty נקודות1000 של d.Penalty.יורד בהדרגה ככל שעובר הזמן e. ניתוב שיש לוflap ואינו זמין כעת מסומן שהוא במצב h )history(.f.Clear ip bgp יוצר flapg.Penalty מופעל על path ולא על prefix!!!h.:ישנם שלושה ספים
i.Suppress limit – הסף הגבוה. כאשר ניתוב מקבל penaltyועובר סף זה, הניתוב לא נכנס לשימוש והוא לא מופץ הלאה
ii.Reuse limit –-הסף הבינוני. כאשר ה Penaltyשל הניתוב יורד לסף זה, הניתוב נכנס לשימוש שוב ומופץ גם הלאה.
iii.Half reuse limit –-הסף הנמוך. כאשר ה penaltyשל הניתוב שנותר עלpenaltyיורד לסף זה, נמחקת ההיסטוריה של הניתוב וכל
הניתוב נמחק.i.ערכי ברירת מחדל
i.Half time – 15דקות ii.Suppress limit – 2000
iii.Reuse – 750iv.Max suppress time / suppress-duration – 1 hour
j. קונפיגורציהBgp dampening <half time> <reuse> <suppress> <suppress duration> [route-map]
i. ניתן להגדיר על ניתובים ספציפים באמצעותroute-mapii.Set
Set dampening <half time> <reuse> <suppress> <suppress duration>iii.:שימושים
root DNSלהיות סלחן עבור ניתובים שמפנים ל-.1להיות קשוח עם ניתובים ספציפים.2מדיניות שונה עבור שכן בעייתי/יציב במיוחד.3
k. פקודותclearClear ip bgp dampening <ip + mask>Clear ip bgp x.x.x.x flap-statistics ]regexp | filter-list | ip+mask[
l. פקודותshowSh ip bgp dampened-pathSh ip bgp x.x.x.x )Dampinfo: penalty: 996, flapped 1 times in 00:00:10(Sh ip bgp flap-statisticsDebug ip bgp dampening
15
.boot יגרום ל-+)SW, show version | include )]0-9[*()_\1 על enableאם שכחנו סיסמת
תוספות מהשאלות
1.Maximum-paths (8 )למרות שיש נתבים שתומכים ב6 המקסימלי הוא2.IGP-לא מושפע מ flaps-מחוץ ל AS כי לא עושים( redistribute ) bgp confederation peer של עצמך ב-ASלא צריך להכניס את ה-.34.Aggregate לא מבצע redistribute! IP ינסה ליצור שכנות באמצעות ה-source-interface, multihop-bgpכאשר לא מוגדר .5
הקרוב ביותר לשכן )ניתוב(intשל ה-6.Conditional routing – אם נופל int שהניתוב ,BGPייעלם )ניתוב סטטי שמפנה ל
int)7.Network
a.Network <ip<יפיץ ל - BGP-כל ניתוב בטבלת ה IP-שנמצא ב classהפקודה . !aggregateלא תבצע
b.Network <ip> mask <mask<יפיץ את הניתוב רק אם הרשת המדויקת - IPנמצאת בטבלת
8.Maximum-prefixes – אתעובר אלא רק אם –על הסף עומד לא יתריע או ינתק אם הסף
9.GE – :למשל 128.0.0.0/8 ge 16-ושה128. כל רשת שמתחילה ב maskשלה הוא class-Bאו ארוך )ספציפי( יותר
האתגר של ספקיות האינטרנט הוא.10a. שמירה עלpolicy)אחיד בכל הרשת )שונות גדולה מידי קשה לניהול b.-גידול הmesh פתרון ע"י :RRאו קונפדרציה c.כמות העדכונים ואגרגציה
:BGP attributeבכל פרסום יש ביט שמייצג את סוג ה-.11a.Optional bit
i.0 – well known attributeכל פרסום חייב להכיל את ה( attribute)יםii.1 – optional attribute)לא חייב להיות מוכר ע"י כולם(
b.Transitive biti.0 ה–/כבוי attribute הוא non transitive
ii.1 - דלוק/transitivec.Partial bit
i.0 – complete נתב מקבל ברירת המחדל, כאשר .attributeשהוא optional.אבל מוכר לנתב
ii.1 – partial נצבע כאשר הנתב מקבל .optional attributeאבל לא מבין אותו. הנתב צריך לצבוע את הביט, להסיר בפרסומים החוצה
ה- לשכן attributeאת להודיע במטרה eBGPמוכר משהו שהיה שהוסר ולכן הפרסום חסר.
12.Weightהוא ה attribute היחידי שאפשר להגדיר על שכן 13.default-metric הגדרת - MED על ניתובים שעברו redistribute
16
show ip bgpניתוח של .14x.x.x.x from y.y.y.y )z.z.z.z(
a.x.x.x.x – next hopb.y.y.y.y –...נלמד מ c.z.z.z.z –-ה router ID של y.y.y.y
15.BGP בתוך confederation member AS הוא iBGP רגיל ולא intraconfed iBGP!ו-EBGP. EIGRP, OSPF הוא vrf ל-redistributeפרוטוקול ניתוב שלא צריך לבצע .16
RIPv2 יכולים לעבוד עם VRF אבל צריך redistribute.17.Soft reconfig vs route refresh
a.Soft-reconfig-ה הבינ"ל התקן לפני סיסקו של פרטי יישום הוא route-refresh .
b. האופציהroute-refresh-צורכת פחות זיכרון מ soft-reconfig.c.Sh ip bgp neigh מראה תמיכה ביכולת route-refreshd. עםroute-refresh מספיק לעשות in|out clear בלי( soft)
האתגרים של ספקיות גדולות.18a.Policy scaling – Policy אחיד בכל הרשת ולא policyנפרד עבור כל שכן b.iBGP full mesh – גידול מצריך מעבר לתצורת RRאו קונפדרציה c.Updates and table size – הפתרון הוא route summarization
להגדיר .19 צריכה אינטרנט שמריציםnext-hop-selfספקית שלה הקצה נתבי בכל i/eBGP
בין השכנים.BGP לא משפיעים על קישור ה-PMTUשינויים בהגדרת .2021.aggregate-address AS-set –
a.-כאשר מבצעים אגרגציה, ייתכן ויש ניתובים מASים שונים שיאוחדו לרשת של הניתוב "הגדול" לא יכיל את ה-AS-pathאחת ואז ה- AS,ים המקוריים
מידע יילך לאיבוד וייתכן ויווצר לופ..b.AS-set-יוסיף ל AS-path גם ASים "שהלכו לאיבוד" כתוצאה מהסגרגציהc.AS-path אחרי AS-set :{ 10,20 }30 ייראה למשל כךid. הגדרתas-set את מהניתוב תעלים atomic-aggregateה כי )אולי ASים
ואז אין צורך לציין שבוצעה אגרגציה?(pathהמקוריים מופיעים ב-22.deterministic-med –( נניח שיש שני ניתובים path=מאוד ישן( עם אותו 2=חדש, 1
שונה:path=דיי ישן(, עם 3וניתוב נוסף )a. ,כברירת מחדלBGP( 1 יעבור בין זוג הניתובים החדשים ביותר וישווה אותם
(2 ואח"כ הזוכה מבין השניים מול 3מול b.Det-med אומר שיש לקבץ ניתובים שבאו מאותו ,AS )1, 2(ואז הזוכה מול
(3 השונה )pathהניתוב עם ה-23.no sync – כברירת מחדל מופעל sync מה שיוצר טעות נפוצה בהגדרת ,BGP-ב
transit AS24.Peer שנסגר בגלל maximum prefixes יופיע בתור idle)PfxCt(25.neighbor advertisement-interval( ישנה את הזמן שבו יישלחו עידכונים שניות5
אבל לעולם לא יותר מדקה! כברירת מחדל( eBGP שניות עבור 30 ו-iBGPבשביל 26. iBGP multipath
a. -תנאי הקדם הם שכל הattributes שווים אבל next-hop.שונה b. החלטה )אם האפשרות מופעלת( לגביmultipath מתקבלת לפני router ID
בין כמה נתביםmultipath לא חייב להיות זהה )ניתן לעשות Router-idולכן שונים(
c.Maximum-paths ibgp <value<27.ORF
a. מבוסס עלprefixבלבד b. לא תומך בניתוביmulticastc. ניתן להגדיר לפיaddress family
17
28.link bandwidtha.דרישות קדם
i.Multipathמופעל ii.CEFמופעל
iii.Extended community מופעל בין iBGP :neigh X send-community extended
i.התחשבות תוך יוצאת בתעבורה עומסים חלוקת לעשות מאפשר ברוחב הפס
ii.-הנתב שולח לAS extended community:למשל . DMZ-Link Bw 1443 kbytes כשעושים( sh ip bgp x.x.x.x)iii.-בshow ip route:אנחנו נראה את חלוקת העומסים
* 172.168.1.1, from 172.168.1.1, 00:01:43 ago Route metric is 0, traffic share count is 13 172.168.2.2, from 172.168.2.2, 00:01:43 ago Route metric is 0, traffic share count is 87
c. קונפיגורציה– i.-צריך להגדיר את היכולת בכל נתב בAS )bgp dmzlink-bw(
ii. צריך להגדיר מול כל שכן שמחזיק קישוא עליו נעשהload balance
iii.מגדירים ברמת הaddress family:וגם ברמת השכן Router bgp 100 Address-family ipv4 Bgp dmzlink-bw Neigh X dmzlink-bw
29.TTL security checka. מנגנון למניעת התקפתDDoS על קישור eBGPכך להעמיס את ידי ועל
הנתב.b.משפיע על קישור הBGPבתעבורה נכנסת אך לא יוצאת c.)צריך להגדיר על כל נתב )המקומי והמרוחקd. מיועד לטופולוגיתeBGP multihop ומחליף את הפקודה multihop e. מגדירTTL מינימלי עבור קישור BGPכלומר, בודק את ה TTLשל הפקטים
מקסימלי.TTL מגדיר Multihopשעוברים בין השכנים. בעוד ש-f.במקרה זה, התקפה שהמקור שלה קרוב יותר מהכתובת של השכן, תיעצר
שלה גבוהTTL שה-)BGP )tcp packetsלהימנע כי הנתב שלנו יזרוק תעבורת ttl securityמהגדרת ה-
g. קונפיגורציהneighbor X ttl-security hops <hops<30.BGP dynamic update peer group – יוצר policyמשותף בהתאם לקונפיגורציה של
זהה )כי אחרתpolicy כדי ליצור peer groupהשכנים בנתב. בעבר, היה צריך ליצור עבור כל שכן בנפרד(policyהנתב צריך ליצור
31.extended community costa.non-transitive –-עובר רק בתוך ה ASאו הקונפדרציה b.-חייב להיות מוגדר בכל הנתבים בAS.c.-ניתן להגדיר בroute-map בלבד ע"י set extcommunity cost
