BGP 属性フィルタ機能は、セキュリティ対策を向上させる次の 2 つの方法を提供します。
-
この機能では、指定したネイバーから受け取ったアップデートに、指定した属性タイプが含まれている場合に、そのアップデートを取り消すことができます。アップデートを取り消すと、そのアップデート内のプレフィックスは BGP ルーティング テーブルから削除されます(ルーティング
テーブル内に存在する場合)。
-
また、この機能では、アップデートから指定したパス属性をドロップすることもできます。その場合、残りのアップデートは通常どおりに処理されます。
BGP 拡張属性エラー処理機能は、形式が誤っているアップデートに起因するピア セッションのフラッピングを防止します。形式が誤っているアップデートは取り消され、BGP セッションがリセットされることはありません。この機能はデフォルトで有効になっていますが、無効にすることができます。
機能は、次の順序で実装されます。
-
ユーザ指定のパス属性を含むアップデートを受信すると、そのアップデートは取り消されます(NLRI を正常に解析できる場合のみ)。BGP ルーティング テーブルに既存のプレフィックスがある場合、そのプレフィックスは削除されます。この機能は neighbor path-attribute treat-as-withdraw コマンドによって設定します。
-
受信したアップデートからユーザ指定のパス属性が破棄され、残りのアップデートは正常に処理されます。この機能は neighbor path-attribute discard コマンドによって設定します。
-
形式が誤っているアップデートを受信すると、そのアップデートは取り消されます。この機能はデフォルトで有効になっています。no bgp enhanced-error コマンドを設定すると、無効にすることができます。
treat-as-withdraw を属性に指定する場合の詳細
属性タイプ 1、2、3、4、8、14、15、16 は、パス属性 treat-as-withdraw に対して設定できません。
属性タイプ 5(localpref)、タイプ 9(Originator)、タイプ 10(Cluster-id)は、eBGP ネイバーでのみ treat-as-withdraw に対して設定できます。
取り消しとして処理(treat-as-withdraw)されるようにパス属性を設定すると、ルーティング テーブルを最新の状態に維持するために着信ルート リフレッシュがトリガーされます。
discard を属性に指定する場合の詳細
属性タイプ 1、2、3、4、8、14、15、16 は、パス属性 discard に対して設定できません。
属性タイプ 5(localpref)、タイプ 9(Originator)、タイプ 10(Cluster-id)は、eBGP ネイバーでのみ discard に対して設定できます。
破棄(discard)されるようにパス属性を設定すると、ルーティング テーブルを最新の状態に維持するために着信ルート リフレッシュがトリガーされます。
拡張属性エラー処理の詳細
形式が誤っているアップデートを受信すると、BGP パス属性の処理によるピア セッションのフラッピングを防止するために、そのアップデートは取り消されます(treat-as-withdraw)。この機能は、eBGP ピアと iBGP ピアに適用されます。この機能はデフォルトで有効になっていますが、無効にすることができます。
BGP 拡張属性エラー処理機能を有効または無効にすると、BGP では、アップデートの形式を整えると同時に属性リストの先頭に MP_REACH 属性(属性 14)を配置します。MP_REACH 属性が属性リストの先頭にあると、拡張属性エラー処理がより簡単に機能します。