Функция предназначена для защиты только сессий eBGP-пиринга и не поддерживается для внутренних BGP-пиров (iBGP) и групп iBGP-пиров.
При настройке функции BGP TTL-security для существующей многоскачковой сессии eBGP пиринга необходимо сначала отключить команду конфигурации маршрутизатора neighbor ebgp-multihop, введя команду no neighbor <ip address> ebgp-multihop, перед настройкой этой функции с помощью команды neighbor <ip address> ttl-security. Эти команды являются взаимоисключающими, и для установления multihop сессии пиринга требуется только одна из них.
Функцию следует настроить на обоих участниках eBGP сессии. Чтобы максимизировать эффективность этой функции, аргумент hop-count должен быть строго настроен в соответствии с количеством прыжков между локальной и внешней сетью. Однако при настройке этой функции для многоскачковой сессии пиринга также следует учитывать возможные изменения пути.
Эффективность этой функции снижается в многоскачковых сессиях с большим диаметром. В случае атаки, направленной на загрузку процессора маршрутизатора BGP, настроенного для многоскачкового пиринга с большим диаметром, вам, возможно, все равно придется отключать затронутые сессии пиринга для устранения атаки.
Функция неэффективна против атак со стороны пира, который был скомпрометирован внутри вашей сети. Это ограничение также включает BGP-пиры, которые не являются частью локальной или внешней BGP-сети, но подключены к сетевому сегменту между BGP-пирами (например, коммутатор или хаб, используемый для соединения локальной и внешней BGP-сетей).
Функция не защищает целостность данных, передаваемых между eBGP-пирами, и не проверяет подлинность eBGP-пиров с использованием каких-либо методов аутентификации. Эта функция только проверяет локально настроенное значение TTL в сравнении с полем TTL в заголовке IP-пакета.
