最も完成度の高いBGPルーティングプロトコルを詳しく解説-その３（計７）

・BGP と IGP の相互作用

BGP と IGP はデバイス内で異なるルーティング テーブルを使用します。異なる AS 間の相互通信を実現するために、BGP は IGP と対話する必要があります。つまり、BGP ルーティング テーブルと IGP ルーティング テーブルは相互にインポートします。

BGP は IGP ルートをインポートします

BGP プロトコル自体はルートを検出しないため、AS 間のルート相互通信を実現するには、他のルートを BGP ルーティング テーブルにインポートする必要があります。AS が他の AS にルートをアドバタイズする必要がある場合、AS エッジ ルーターは IGP ルートを BGP ルーティング テーブルにインポートします。 また、MED 値を設定して、トラフィックが AS に入るときにルートを決定するように EBGP ピアを導くこともできます。

BGP がルートをインポートする場合、インポートとネットワークの 2 つの方法がサポートされます。

1. インポート方法は、RIP ルート、OSPF ルート、ISIS ルート、およびその他のプロトコルのルートを、プロトコル タイプに従って BGP ルーティング テーブルにインポートすることです。インポートされた IGP ルートの有効性を保証するために、インポート メソッドはスタティック ルートとダイレクト ルートをインポートすることもできます。

2. ネットワーク方式は、IP ルーティング テーブルの既存のルートを BGP ルーティング テーブルに 1 つずつインポートする方法であり、インポート方式よりも正確です。

IGP は BGP ルートをインポートします

AS が他の AS からルートをインポートする必要がある場合、AS エッジ ルーターは BGP ルートを IGP ルーティング テーブルにインポートします。多数の BGP ルートが AS 内のデバイスに影響を与えるのを防ぐために、IGP が BGP ルートをインポートするときに、ルーティング ポリシーを使用してルートをフィルタリングし、ルート属性を設定できます。

・BGP セキュリティ

BGP は、認証と GTSM (Generalized TTL Security Mechanism) を使用して、BGP ピア間の対話のセキュリティを確保します。

BGP 認証

BGP認証はMD5認証とキーチェーン認証に分けられますが、BGPピア関係の認証はセキュリティを向上させる有効な手段です。MD5 認証は TCP 接続の認証パスワードのみを設定できますが、キーチェーン認証は TCP 接続の認証パスワードを設定できるだけでなく、BGP プロトコル パケットも認証できます。

BGP GTSM

BGP GTSM は、IP パケット ヘッダーの TTL (time-to-live) 値があらかじめ設定された特定の範囲内にあるかどうかを検出し、TTL 値の範囲を満たさないパケットを許可または破棄することで、IP 上のサービスを保護するという目的を実現します。システムのセキュリティを強化します。

たとえば、IBGP ピアのパケットの TTL 範囲を 254 ～ 255 に設定します。攻撃者が正当な BGP プロトコル パケットをシミュレートし、継続的にパケットを送信するデバイスを攻撃する場合、TTL 値は 254 未満である必要があります。BGP GTSM 機能が有効になっていない場合、これらのパケットを受信した後、デバイスはパケットがローカル マシンに送信されたことを検出し、それらを処理のためにコントロール プレーンに直接送信します。このとき、コントロール プレーンは多数の攻撃パケットを処理するため、デバイスの CPU 使用率が高くなり、システムが非常にビジーになります。BGP GTSM 機能が有効になっている場合、システムはすべての BGP パケットの TTL 値をチェックします。TTL 値が 254 未満の攻撃パケットを破棄して、ネットワーク攻撃パケットが CPU を占有するのを防ぎます。