BGP MD5验证

BGP使用TCP作为传输协议，只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的，BGP就会认为这个数据包有效，但数据包的大部分参数对于攻击者来说是不难获得的。为了保证BGP协议免受攻击，BGP邻居之间使用TCP的MD5认证来降低被攻击的可能性。

为防止BGP对等体所设置的MD5密码被破解，需要周期性的更新MD5认证密码。

Keychain认证

Keychain由多个认证密钥组成，每个密钥包含一个ID和密码。密钥存在生命期，通过密钥的生命期可以在Keychain中滚动选择不同的认证密钥。BGP会话两端绑定相同规则的Keychain后，Keychain可以滚动选择认证密钥来增强BGP防攻击性。

BGP GTSM特性

GTSM机制通过TTL的检测来达到防止攻击的目的。如果攻击者模拟真实的BGP协议报文，对一台路由器不断的发送报文。路由器接口板收到这些报文后，发现是发送给本机的报文，则直接上送控制层面的BGP协议处理，而不加辨别其“合法性”。这样导致路由器控制层面因为处理这些“合法”报文，系统异常繁忙，CPU占用率高。

配置GTSM功能，通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内来对路由器进行保护，增强系统的安全性。

路由超限控制

BGP路由表路由数量通常都很大，为了防止从对等体接收到大量路由而导致消耗过多系统资源，BGP使用邻居路由限定为一个BGP路由器设置允许从其对等体收到的最大路由数量。

AS-PATH数量控制

BGP接收路由时会检查AS_Path属性中的AS号是否超限。如果超限则丢弃路由，路由发布也会检查AS_Path属性中的AS号是否超限，如果超限，则不发布此路由，防止恶意构造超长AS-PATH属性的错误报文对路由器进行报文攻击。

RPKI

配置RPKI（Resource Public Key Infrastructure）功能，通过验证BGP4+路由起源是否正确来保证BGP/BGP4+的安全性。

RPKI主要应用在存在RPKI服务器，需要对BGP路由起源是否正确进行验证的组网中。通过验证从邻居收到的BGP路由是否合法来控制选路结果，从而确保域内的主机能够安全地访问外部服务。

BMP

通过配置BMP，可以对网络中设备的BGP/BGP4+运行状态进行实时监控，包括对等体关系的建立与解除、路由信息刷新等。

BMP主要应用在存在监控服务器，需要对网络中设备的BGP4+运行状态进行监控的组网中。BMP的产生改变了以往只能通过人工查询方式来获得设备的BGP/BGP4+运行状态的状况，大大提高了网络监控的效率。