此 eBGP 邻居的 AS 路径策略是接收/发送路由,最多有 3 条 AS 路径从/到我们/客户。问题是我们从流量分析中发现,该邻居还将流量路由到远离我们的 2 个 AS 路径之外。换句话说,我们已经成为过境者,没有任何意图,也没有得到我们的许可。
我能想到的唯一可能的解决方案是我的 eBGP 路由器,它与那个 eBGP 邻居对等应该只有具有最多 2 个 AS 路径的 BGP 路由,并且在 IP 路由表中没有默认路由。因此,目的地超出 IGP 和 2 个 AS 路径的流量将被我的路由器丢弃。
还有其他解决方案吗?访问列表似乎不可能。
您可以使用以下配置避免成为中转 AS:
创建一个与您自己的网络匹配的路径访问列表,并且只做广告。
Router(config)#ip as-path access-list X permit ^$
Router(config-router)#neighbor x.x.x.x filter-list X out
Router(config-router)#neighbor y.y.y.y filter-list X out
....
在该表格上,您可以确定您的所有提供商只会去找您,以访问您的网络
三个选项:
应用访问列表以拒绝流量到未通告给邻居的目的地。你不必做到完美。只包括永远不会被通告的目的地,并且足够多的目的地会让他们重新考虑他们的路线。发出警告,以防他们打官司。“我们注意到您正在向您未签约的目的地发送流量/我们看到您的服务被盗。我们将从 xxx 开始过滤此流量。”
将连接移至仅具有您通告的路由的路由器。这样,除了广告内容之外,任何到目的地的流量都将无处可去,并且会被丢弃。基本上,将过滤添加一跳。
将连接移动到 VRF 中,并且只将路由导入到 VRF 中您想要通告的内容。与上述选项的效果相同,但在逻辑上不是物理上的。一种方法是使用导出映射,仅将感兴趣的路由匹配到一个特殊的路由目标,然后将该 rt 导入邻居的 VRF。导出邻居的路由并将其导入您用于所有其他流量的 VRF。