BGP高级特性

 路由匹配工具：

                         1.基本ACL          只能匹配前缀，无法匹配掩码长度

                         2.IP前缀列表       既可以匹配前缀，也可以匹配前缀长度

                         3.AS-Path过滤器        通过AS-Path属性匹配路由                          

                         4.团体属性过滤器       通过团体属性匹配路由

 路由策略工具：

                         1.Filter-Policy    过滤路由

                         2.Route-Policy  过滤路由、修改路由的属性

正则表达式：一种公式，用于限定匹配范围；由普通字符和特殊字符组成

           1.普通字符，匹配字符本身        

           2.特殊字符，配合普通字符匹配复杂或特殊的字符串组合

常用： ^$          匹配AS-Path为空的路由，起源于AS内部IBGP对等体的路由

           ^100_    匹配相邻的AS100通告的路由  

           _100$     匹配始发于AS100的路由  

           .*            匹配所有路由

BGP高级特性：

1.邻居按需发布路由

     ORF出口路由过滤器：双方需要使能ORF功能

        本端配置入方向的路由过滤策略后，通过路由刷新报文将过滤策略发送给对端邻居    

        邻居收到后，根据收到的过滤策略构建对应的出方向过滤策略

     目的：减少接收无用的路由，减少设备资源和带宽资源的浪费

 2.对等体组

      类型：IBGP对等体、EBGP对等体

      作用：将具有相同策略的对等体加入对等体组，针对组的配置会对所有组成员生效，简化配置命令

 3.按组打包

      作用：减少设备计算路由的次数，减少设备资源消耗

 4.安全功能

      1.认证，建立对等体时进行身份认证，防止和非法设备建立BGP对等体

            认证类型：MD5认证、Keychain认证

            基于TCP协议 Options提供的认证功能实现

      2.GTSM通用的TTL检测，限制接收的协议报文的TTL值合法范围，防止接收非法的报文

  5. 4B AS号

       AS号分为公有AS号和私有AS号

       2B AS号：0----65535

       4B AS号：0----2^32 - 1    格式：1.点分格式：X（16bit）.Y（16bit）   2.整数格式

                                     65536 x  X  +  Y    

                          例如：AS 66666 = AS 1.1130

       4B AS号在使用时能够兼容 2B AS号

              1.对等体正常建立，使用兼容AS号作为本地AS号，AS号23456

              2.在路由通告的过程中，携带AS-Path、AS4-Path实现兼容

  6.路由数量限制

  7.路由汇总

  8.团体属性通告功能

  9.路由反射器

         部署：1.同级RR  分级RR

                   2.单集群   多集群

网络安全技术：

一、以太网交换安全

  1.端口隔离技术

     隔离组：加入到同一个隔离组的接口之间无法进行通信

        端口隔离类型：1.双向隔离，同一个隔离组的接口之间无法通信；不同隔离组之间的接口可以通信

                                   配置端口隔离后默认为双向隔离

                               2.单向隔离，需要额外指定，实现该接口无法访问指定的接口

        端口隔离模式：1.L2       二层隔离、三层不隔离

                               2.ALL     二层隔离、三层隔离

  2.MAC地址表

       MAC地址表项类型：

                  1.静态MAC地址表项     手工配置MAC、端口、VLAN映射关系

                                     特点：1.不会老化

                                               2.保存配置后，设备重启表项不会丢失

                  2.动态MAC地址表项     交换机根据接收数据自动学习映射关系

                                      特点：1.存在老化时间，默认300s  

                                                2.当设备重启/接口板复位动态MAC地址表项会丢失

                  3.黑洞MAC地址表项     手工配置

                                     特点：1.不会老化

                                               2.保存配置后，设备重启表项不会丢失

                                     作用：交换机丢弃源MAC或目的MAC为黑洞MAC地址的数据帧

       MAC地址表安全功能：1.禁止动态学习MAC

                                         2.限制动态学习MAC地址的数量

  3.端口安全

    安全MAC地址动作：接口使能端口安全功能，接收收到数据帧源MAC地址必须为安全MAC地址才能

                                   被转发，如果数据帧源MAC地址不在MAC地址表中，则进行响应动作

        Restrict：丢弃源MAC地址不存在的报文并上报告警

        Protect：只丢弃源MAC地址不存在的报文，不上报告警（默认）

        Shutdown：接口状态被置为error-down，并上报告警

    安全MAC地址类型：

            安全动态MAC地址：接口使能端口安全功能，该接口学习的动态MAC地址自动转换成安全动态

                                           MAC地址

                                           特点：1.存在老化时间，默认不老化

                                                     2.设备重启时，表项会丢失

            安全静态MAC地址：接口使能端口安全功能，接口对应静态MAC地址自动转换成安全静态                                                     MAC地址

                                           特点：1.不存在老化时间，不会被老化

                                                     2.保存配置后，设备重启表项不会丢失

               StickyMAC地址：接口使能端口安全功能，并同时使能Sticky MAC功能后，该接口动态

                                              学习的MAC地址自动转换成Sticky MAC地址

                                           特点：1.不存在老化时间，不会被老化

                                                     2.保存配置后，设备重启表项不会丢失

     4.MAC地址漂移检测和防护

              MAC地址漂移：交换机接口频繁发生MAC地址覆盖现象

              导致MAC地址偏移原因：1.二层环路   2.网

        避免MAC地址漂移的方式：

               1.配置接口学习MAC地址优先级，优先级低的接口不允许覆盖优先级高的接口

               2.配置不允许相同优先级的接口进行MAC地址覆盖

        MAC地址漂移检测的方式：

               1.基于VLAN MAC地址漂移检测

                       动作：1.告警     2.阻断接口     3.阻断MAC地址

               2.基于全局 MAC地址漂移检测

                       动作：1.错误Down状态     2.退出VLAN

           *错误Down状态接口恢复：1.手动开启接口   2.配置错误Down接口自动恢复的时间

     5.MAC Security/ IP Security   IPSec