bgp 2 atributos politicas

Joo A. Vasconcelos ([email protected])

Setembro / 2013

BGP -Fundamentos, Design e Implementao

BGP Atributos


BGP - atributos

BGP - atributos A mensagem de update do BGP inclui uma seqncia de comprimento varivel

com os atributos que descrevem a rota. Um atributo consiste em trs campos: tipo de atributo comprimento atributo valor do atributo

16 2 1 2 Variable 2 Variable Variable

Marker Length Type Unfeasible Routes Length

Withdrawn

Routes

Attribute

Length

Path Attribute

sNLRI

Octets

Update MessagePath Attributes

Information

BGP Attribute TypeType code 1 ORIGINType code 2 AS_PATHType code 3 NEXT_HOPType code 4 MULTI_EXIT_DISC Type code 5 LOCAL_PREFType code 6 ATOMIC_AGGREGATE Type code 7 AGGREGATORType code 8 Community (Cisco-defined)Type code 9 Originator-ID (Cisco-defined)Type code 10Cluster list (Cisco-defined)

Wireshark capture of an update message

indicating the path attributes to reach

network 172.19.0.0/16.

BGP - atributos

BGP - atributos

Diferentemente dos IGPs o BGP no escolhe caminhos com base na largura de banda, atraso e outras mtricas, os caminhos so escolhidos com base nos atributos que so enviados nos anncios.

Existem quatro tipos de atributos diferentes.Nem todos os fornecedores reconhecem todos os atributos BGP.

BGP - atributos Alguns atributos so obrigatrios e automaticamente includos em mensagens

de update, enquanto outros podem ser configurados manualmente.

Attribute EBGP IBGPAS_PATH Well-known Mandatory

Well-known Mandatory

NEXT_HOP Well-known MandatoryWell-known Mandatory

ORIGIN Well-known MandatoryWell-known Mandatory

LOCAL_PREF Not allowed Well-known DiscretionaryATOMIC_AGGREGATE

Well-known Discretionary

Well-known Discretionary

AGGREGATOR Optional Transitive Optional Transitive

COMMUNITY Optional Transitive Optional Transitive

MULTI_EXIT_DISC Optional NontransitiveOptional

Nontransitive

Automatically included in

update message

Can be configured to help provide path control.

Well-Known Mandatory: AS_PATH O atributo AS_PATH contm uma

lista com os ASs para chegar a uma rota.

Sempre que um update routepassas atravs de AS o nmero desse AS adicionado no incio da lista AS_PATH antes de ser colocado para o prximo vizinho EBGP.

Well-Known Mandatory: AS_PATH

AS 37

AS 21

AS 123

10.0.0.1

21.0.0.1

37.0.0.1

Network=10.0.0.0/8AS-Path=123

Netw

ork

=10.0

.0.0/8

AS-P

ath=21

123

O nmero de cada AS e acrescentado ao AS-Path quando o update enviado

Network=10.0.0.0/8AS-Path=37 21 123

Loop detectedo, o update ignorado

Well-Known Mandatory: NEXT_HOP

O atributo NEXT_HOP indica o endereo IP que deve ser usado para chegar ao prximo salto

Para originadas no roteador local o next hop is 0.0.0.0

O endereo IP o ponto de entrada do prximo AS ao longo do caminho para que se chegue a rede de destino.

Portanto, para EBGP, o endereo do prximo salto o endereo IP do vizinho que enviou a atualizao.

Roteador A anuncia a rede 172.16.0.0 para o roteador B via EBGP, com next hop 10.10.10.3Roteador B anuncia172.16.0.0 via IBGP para o roteador C, mantendo 10.10.10.3 como next-hop.


Well-Known Mandatory: ORIGIN

O atributo ORIGEM define a origem do anncio de rede, a origem pode ser : IGP :

Rede originada internamente ao AS que enviou o anncio, indicada com um "i" na tabela BGP.

EGP: (Obsoleto) A rede aprendido atravs EGP, que considerado um protocolo de

roteamento histrico e no compatvel com o Internet, indicado com um "e" na tabela BGP.

incompleto: A origem da rede desconhecida ou aprendida atravs de outros meios e

geralmente ocorre quando uma rota redistribuda no BGP, indicado com o sinal "?" Na tabela BGP.

Well-Known Mandatory: ORIGINR1# show ip bgpBGP table version is 24, local router ID is 172.16.1.2 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path*> 192.208.10.0 192.208.10.5 0 0 300 i*> 172.16.1.0 0.0.0.0 0 32768 i

R1# show ip bgp

Network Next Hop Metric LocPrf Weight Path*> 10.1.1.0/24 0.0.0.0 0 32768 ?*> 192.168.1.0/24 10.1.1.2 84 32768 ?*> 192.168.2.0/24 10.1.1.2 74 32768 ?

i = Route generated by the networkcommand.

? = Rota gerada de forma noconhecida(normalamenteporredistribuio).

i = Rota gerada pelocomandonetwork.

Well-Known Discretionary: LOCAL_PREF Roda internamente na AS.

No passado para os peers EBGP e Informa no AS qual o melhor caminhopara sair do AS.

Um caminho com Local preference maior preferido. Default Cisco = 100.

Well-Known Discretionary: LOCAL_PREF

Os roteadores A e B so vizinhos IBGP no AS 64520 e ambos recebem atualizaes sobre a rede 172.16.0.0 por diferentes caminhos.

O Local Preference no roteador A est definido para 200. O Local Preference no router B est definido para 150. Como o Local Preference para o roteador A maior, ele ser selecionado como

o ponto de sada preferido pelo AS 64520.

Well-Known Discretionary: ATOMIC_AGGREGATE

O atributo atomic aggregate utilizado para indicar ao AS vizinho que as rotas foram sumarizadas.

Atributo adverte que a informao recebida pode no ser necessariamente a rota mais precisa disponvel.

Atributo definido como True ou Falsecom alertando os vizinhos BGP que vrios destinos foram agrupados em uma nica atualizao.

Optional Transitive: Community O atributo community possibilita que preefixos sejam agrupados de forma que

possam receber o mesmo tratamento por um vizinho que receba tais prefixos. Um grupo de prefixos que possuem as mesmas propriedades podem ser

marcados com a mesma community e pode-se por exemplo tomar decises de roteamento para o grupo todo de prefixos, sem a necessidade de avaliarum a um.

Provedores de Servio utilizam essas marcaes para aplicar polticas de roteamento especficas em suas redes, por exemplo alterando o Local Preference, MED ou Weight.

Communities pr definadas:

- No-Export : No faz anncio aos eBGP peers.

- No-Advertise : No faz anncio para nenhum peer.

- No-Export-Subconfed : No faz anncio para fora do sub-as, usado somente quando se trabalha com confederation.

Optional Transitive: Community

Exemplo do No-Export

- AS 100 anuncia o agregado e tambm sub prefixos para promover load sharing.- Os sub prefixos So marcados com a community No-Export.- Roteador G no passa para frente os anncios de sub prefixos.

Optional Transitive: Community

Optional Nontransitive: MED Atributo Multiple Exit Discriminator (MED) , tambm chamado de mtrica,

fornece uma dica para os vizinhos externos sobre o caminho preferido em um AS que tem mais que um ponto de entrada.

O menor valor de MED ser o caminho preferido.

MED enviado para EBGP peers e propagado somente para os demaisroteadores internos a esse AS, o atributo no enviado a outros peers EBGP.

Usando o atributo MED o BGP o nico protocolo que pode afetar a forma de encaminhamento do trfego entrante em um AS.

Optional Nontransitive: MED

Roteadores B e C incluem um atributo MED nos anncios para o roteador A. Router B envia o anncio da rede 172.20.0.0 com MED 150. Router C envia o anncio da rede 172.20.0.0 com MED 200. Router A ir escolher o roteador B como melhor caminho devido ao menor valor

do MED.

Cisco Weight Attribute O atributo weight um atributo proprietrio da Cisco que influencia localmente

a preferncia de uma rota para ser instalada na tabela de roteamento do roteador, o critrio de seleo de rota baseado no weight restrito ao roteador.

O weight pode possuir um valor de 0 a 65535. Caminhos para as rotas originadas localmente tem o peso de 32768 por default e rotas aprendidas tem o peso de 0.

Quanto maior o peso da rota para o mesmo destino, melhor considerada aquela rota.

Cisco Weight Attribute

Roteadores B e C aprendem a rede 172.20.0.0 pelo AS 65250 e propagam o anncio para o roteador A. Portanto o roteador A tem dois caminhos para alcanar 172.20.0.0.

Roteador A define valores de weight para os anncios: Updates vindos do roteador B so definidos com weight = 200 Updates vindos do roteador C so definidos com weight = 150.

Roteador A ir selecionar o caminho atravs do roteador B (maior weight)

A tabela de encaminhamento BGP pode ter vrios caminhos a escolher para cada rede.

BGP no foi projetado para realizar o balanceamento de carga automaticamente

Os caminhos so escolhidos por alguma poltica e no por caractersticas dos links

O processo de seleo BGP elimina quaisquer mltiplos caminhos atravs de comparaes at que um nico melhor caminho seja selecionado e este serento oferecido para a tabela de rotas.

BGP processo de deciso

BGP processo de deciso Prefer the route with highest

weight.

Prefer the route with highest LOCAL_PREF.

Prefer the locally generated route (network or aggregate routes).

Prefer the route with the shortest AS-PATH.

Prefer the route with the lowest ORIGIN (IGP

BGP inprocess

BGPtable

BGP outprocess

accepted

discarded

bgppeer

forwardingtable

in

out

best paths

everything

Input policies

output policies

Utilizando polticas no BGP

Interferindo no processo de deciso do BGP

Ferramentas Manipulao dos atributos

Prefix-List

Router(config)#ip prefix-list list-name [seqseq-value] deny|permit network/len [ge ge-value] [le le-value]

- Uma prefix-list pode ser aplicada por neighbor, no sentidoin ou out

- Uma prefix-list pode ser utilizada dentro de uma route-map


Prefix-List Deny default route

ip prefix-list Example deny 0.0.0.0/0 Permit the prefix 35.0.0.0/8

ip prefix-list Example permit 35.0.0.0/8 Deny the prefix 172.16.0.0/12, and all more-specific routes

ip prefix-list Example deny 172.16.0.0/12 ge 12 ge 12 means prefix length /12 or longer. For example,

172.17.0.0/16 will also be denied. In 192.0.0.0/8, allow any /24 or shorter prefixes

ip prefix-list Example permit 192.0.0.0/8 le 24 This will not allow any /25, /26, /27, /28, /29, /30, /31 or /32


Prefix-List In 192/8 deny /25 and above

ip prefix-list Example deny 192.0.0.0/8 ge 25 This denies all prefix sizes /25, /26, /27, /28, /29, /30, /31 and /32 in

the address block 192.0.0.0/8 It has the same effect as the previous example

In 192/8 permit prefixes between /12 and /20 ip prefix-list Example permit 192.0.0.0/8 ge 12 le 20 This denies all prefix sizes /8, /9, /10, /11, /21, /22 and higher in the

address block 193.0.0.0/8 Permit all prefixes

ip prefix-list Example 0.0.0.0/0 le 32


Expresses Regulares usadas no BGP.

No o objetivo deste curso explicar detalhadamente expressesregulares e toda sua potencialidade para tratamento de strings, mas uma breve explanao necessria para possibilitar a criaodas As-Path access list

^[0-9]+ [0-9]+?$

(6451[2-9]|645[2-9][0-9]|64[6-9][0-9][0-9]|65[0-4][0-9][0-9]|655[0-2][0-9]|6553[0-5])O que seria isso ?

ou isso ?

Veja em http://tools.lymas.com.br/regexp_br.php

Utilizando polticas no BGPFerramentas Manipulao dos atributos

Expresses Regulares usadas no BGP - Significado dos caracteres.

Satisfaz a condio para tudo o que for terminado com o caracter ou expresso ao lado esquerdo de $.$Satisfaz a condio para caracteres que comecem com o caracter (ou expresso) aps o ^.^

Um nmero isolado satisfaz a condio para qualquerexpresso que contenha esse nmero.1

Satisfaz a condio para qualquer caractere a esquerda do * , inclusive nenhum. Por isso preciso usar um caracter de espao em branco - em conjunto.

*

Satisfaz a condio para qualquer nmero no lugar do ponto..

Utilizando polticas no BGPUtilizando polticas no BGP

.Especifica um nmero ou intervalo de repeties para um caracter ou expresso.{ }

Satisfaz a condio para uma ou nenhuma ocorrenciado caracter (ou expresso) anterior?

O caractere pipe representa o operador lgico ou.|

Satisfaz a condio para qualquers dos caracteres queestejam dentro dos colchetes. O caractere ^ dentro dos colchetes representa uma negao.

[ ]

Satisfaz a condio para uma ou mais que uma ocorrncia do caractere ou expresso anterior.+

.

Utilizando polticas no BGPExpresses Regulares usadas no BGP - Significado dos caracteres

..

A tabela abaixo apresenta as expresses mais utilizadas.

rotas que atravessaram o AS100_100_

rotas recebidas do AS100 que podem ter sidooriginadas em outros ASs^100_

representa todo o conjunto de rotas BGP.*

rotas originadas em ASs peers EBGP^[0-9]+$

rotas que foram originadas no AS100 e podem terpassado por outros Ass_100$somente as rotas pertencentes ao AS100^100$

representa somente as rotas locais do prprio AS^$


As-path access list (Filter-List).

ip as-path access-list 1 permit _3561$ip as-path access-list 2 deny _35$ip as-path access-list 2 permit .*

router bgp 100neighbor 171.69.233.33 remote-as 33neighbor 171.69.233.33 filter-list 1 inneighbor 171.69.233.33 filter-list 2 out

- Aceita somente rotas originadas pelo AS 3561, descarta qualqueroutra.

- No anuncia rotas originadas pelo AS 35, anuncia qualquer outra.


.O range de AS privado 64512-65535- montando a expresso regular

6451[2-9] (matches on 64512 64519)645[2-9][0-9] (matches on 64520 64599)64[6-9][0-9][0-9] (matches on 64600 64999)65[0-4][0-9][0-9] (matches on 65000 65499)655[0-2][0-9] (matches on 65500 65529)6553[0-5] (matches on 65530 65535)

- escrevendo em nica linha6451[2-9]|645[2-9][0-9]|64[6-9][0-9][0-9]|65[0-4][0-9][0-9]|655[0-2][0-9]|6553[0-5]

Utilizando polticas no BGPAs-path access list (Filter-List)

Ignorando anncios que contenham nr. de AS privado no AS-Path

Utilizando polticas no BGPAs-path access list (Filter-List)


.router bgp 100neighbor 10.1.2.2 filter-list 10 in

ip as-path access-list 10 deny 6451[2-9]|645[2-9][0-9]|64[6-9][0-9][0-9]|65[0-4][0-9][0-9]|655[0-2][0-9]|6553[0-5]ip as-path access-list 10 permit .*


As-path access list (Filter-List)


.Partial Routing

O cliente quer receber apenas as rotas originadas no AS do ISP ao qual estligado.

#neighbor192.168.100.2 filter-list 10 out

#ip as-path access-list 10 permit ^([^ ]+)?$

A regexp nesse exemplo permite apenas rotas com no mximo 1 AS no AS-PATH, inclusive rotas com As-Path vazio, ou seja, originadaslocalmente


neighbor {ip-address | peer-group-name} route-map map-name {in | out}

Router(config-router)#

route-map map-tag [permit | deny] [sequence-number]Router(config)#

match {criteria} Router(config-route-map)#

set {actions} Router(config-route-map)#

.


Route-map

Comando matchCommand Description

match as-path Matches the AS_PATH attribute

match ip addressMatches any routes that have a destination network number address that is permitted by a standard or extended ACL

match metric Matches routes with the metric specified

match community Matches a BGP community

match interface Matches any routes that have the next hop out of one of the interfaces specified

match ip next-hop Matches any routes that have a next-hop router address that is passed by one of the ACLs specified

match ip route-source

Matches routes that have been advertised by routers and access servers at the address that is specified by the ACLs

match route-type Matches routes of the specified type

Comando SetCommand Description

set weight Sets the BGP weight valueset local-preference Sets the LOCAL-PREF attribute value

set as-path Modifes an AS path for BGP routesset origin Sets the ORIGIN attribute valueset metric Sets the Multi-Exit_Disc (MED) value

set community Sets the BGP communities attributeset ip next-hop Indicates which IP address to output packetsset interface Indicates which interface to output packetsset ip default

next-hopIndicates which default IP address to use to output packets

set default interface

Indicates which default interface to use to output packets

Route Map - Exemplo

Exemplo de configuraoRouter bgp 3Neighbor 1.1.1.1 route-map MYMAP in!route-map MYMAP permit 10match ip address 1set metric 5!route-map MYMAP permit 20set local-preference 200!ip access-list 1 permit 1.1.1.0 0.0.0.255

Anncios vindos do vizinho 1.1.1.1 sero submetidos ao route-mapMyMap.Se a rede 1.1.1.0/24 for encontrada no anncio, a mtrica definida como 5 (linha 10).Quaisquer outros prefixos recebidos desse vizinho sero tratados na linha 20.Como no h nenhuma declarao match, o atributo LOCAL_PREF para todos os prefixos apresentados serdefinido para 200.


Inbound Route Map(import policy)

eBGP SessionRoute-map e demais estruturas


Route Map - Exemplo


Route Map com clusula continue -Exemplo


Reset na sesso BGP

Hard reset

Soft reset (outbound and inbound)

Route refresh

Reset na sesso BGP

Hard reset

clear ip bgp {* | neighbor-address}

Toda a tabela de encaminhamento BGP descartada. Sesso BGP faz a transio do estado established para o estado idle,

tudo deve ser reaprendido. Quando um neighbor especificado, apenas a sesso BGP com esse

vizinho ser reiniciada. menos grave do que clear ip bgp *.

Reset na sesso BGPSoft reset (inbound) - Dois comandos necessrios

neighbor {ip-address} soft-reconfiguration inbound

Fora o BGP manter uma tabela com com todas as redes recebidas antes do processo de filtragem. Dessa forma se for preciso alterar uma poltica de entrada no preciso que o vizinho reenvie todos os updates. Isso raramente utilizado, pois o consumo de memria para o BGP dobrado.

clear ip bgp {* | neighbor-address} [soft in]



My routerDistribute list in

filter-list in

route-map in(filters, weights)

default weight

filter-list weight

Copy of updatesreceived from

neighbor

Incoming neighborBGP table

Reset na sesso BGPSoft reset (inbound) neighbor ip-address soft-reconfiguration in

My router

BGP table

Distribute list in

filter-list in

route-map in(filters, weights)

default weight

filter-list weight

Copy of updatesreceived from

neighbor

clear ip bgp ip-address soft in


Reset na sesso BGPSoft reset (outbound)

clear ip bgp {* | neighbor-address} [soft out]

A conexo permanece estabelecida e o comando no reseta a sesso BGP.

Ao contrrio, o roteador cria um novo update e envia toda a tabela para o vizinho especificado.

Este novo update inclui os withdrawn para as redes que o vizinho no deva mais conhecer com base na nova poltica de sada.

Esta opo altamente recomendada quando voc est mudando a poltica de sada.


My router

BGP table

Distribute list out

filter-list out

route-map out(filters, ...)

Outgoing neighbor

clear ip bgp ip-address soft out

replay


My router

Soft reset e comandos show ip bgp

BGPtable

Filters and routemaps

Filters and routemaps

Incoming neighbor

show ip bgp neighbor address received

show ip bgp neighbor address routes show ip bgp

show ip bgp neighbor address advertised

Outgoing neighbor

Reset na sesso BGP

Reset na sesso BGPRoute refresh

clear ip bgp {* | neighbor-address} [soft in | out]

No despreza a tabela existente, tambm no armazena uma tabela original (antes das filtragens), portanto no precisa de memria adicional

Requer que os rotedores envolvidos tenham suporte a essa funcionalidade (RFC 2918).

No necessita configurao adicional, se os roteadores possuem a implementao tudo acontece de forma automtica


RTR-A RTR-B

BGP session

1 - Route refresh negociado quando a sesso BGP estabelecida

2 - Uma poltica de entrada alterada no roteador RTR-B

4 - RTR-B envia a mensagem route refresh para RTR-A

Route Refresh message

5 - RTR-A re-envia todas as rotas BGP paara RTR-B

BGP routes are resent

3 - O administrador solicita inbound soft reconfiguration (comando)

Router#clear ip bgp address soft in


Router#show ip bgp neighbor 192.168.3.101BGP neighbor is 192.168.3.101, remote AS 3, internal linkBGP version 4, remote router ID 192.168.3.101BGP state = Established, up for 02:15:33Last read 00:00:33, hold time is 180, keepalive interval is 60 secondsNeighbor capabilities:Route refresh: advertised and receivedAddress family IPv4 Unicast: advertised and received

Received 1417 messages, 0 notifications, 0 in queueSent 1729 messages, 2 notifications, 0 in queueRoute refresh request: received 9, sent 29Minimum time between advertisement runs is 5 seconds

For address family: IPv4 UnicastBGP table version 188, neighbor version 188Index 2, Offset 0, Mask 0x41 accepted prefixes consume 36 bytesPrefix advertised 322, suppressed 0, withdrawn 230

... Rest deleted

Router#show ip bgp neighbor 192.168.3.101BGP neighbor is 192.168.3.101, remote AS 3, internal linkBGP version 4, remote router ID 192.168.3.101BGP state = Established, up for 02:15:33Last read 00:00:33, hold time is 180, keepalive interval is 60 secondsNeighbor capabilities:Route refresh: advertised and receivedAddress family IPv4 Unicast: advertised and received

Received 1417 messages, 0 notifications, 0 in queueSent 1729 messages, 2 notifications, 0 in queueRoute refresh request: received 9, sent 29Minimum time between advertisement runs is 5 seconds

For address family: IPv4 UnicastBGP table version 188, neighbor version 188Index 2, Offset 0, Mask 0x41 accepted prefixes consume 36 bytesPrefix advertised 322, suppressed 0, withdrawn 230

... Rest deleted


Manipulando o atributo weight


Com essa poltica aplicada no R1, escolhe o AS 65030 como melhorcaminho para trfego destinado a qualquer rede que tenha sidooriginada no AS 65020

Laboratrio

Lab - 3

Manipulando o atributo local-preference


172.16.0.0: shortest AS-path is via 192.168.28.1, Router X (65002 65003) 172.24.0.0: shortest AS-path is via 172.20.50.1, Router Y (65005) 172.30.0.0: shortest AS-path is via 172.20.50.1, Router Y (65005 65004)

Uma anlise de ttrfego revela que: Os trs maiores volumes de trfego saindo do AS 65001 so para:

172.30.0.0, 172.24.0.0, and 172.16.0.0. 30% 172.24.0.0 (via Router B) 20% 172.30.0.0 (via Router B) 10% 172.16.0.0 (via Router A) 40%% outros destinos Router B to 172.20.50.1 est com alto trfego Router A to 192.168.28.1 quase no utilizado

Voc decide desviar o trfego para a rede 172.30.0.0 para o Router A next hop 192.168.28.1 para ter uma melhor distribuio de trfego.


Router A: A route map ligada ao neighbor 192.168.28.1 inbound

A linha 10 da route-map faz um Match para encontrar o que est definido na access-list 65 Access list 65 permite a rede 172.30.0.0 set local-preference 400 para os anncios desta rede

A linha 20 da route-map no tem nenhum match ou set Similar ao permit any em uma access list. Como no h nenhuma condio match para as demais redes elas

permacero com o local preference default = 100

Router A 172.30.0.0LocPref=400


Router C aprende o novo valor do local-preference (400) vindo do Router A para a rede 172.30.0.0. .

The AS-path para172.20.50.1 continua menor para o caminho atravs de 192.168.28.1, mas o atributo Local-Preference antecede o AS-PATH no processo de deciso do BGP..

172.30.0.0LocPref=400


Laboratrio

Lab - 4

Manipulando AS Path AS Prepending

Pelo processo normal o BGP escolhe o caminho com AS-Path mais curto ou seja, aquele que atravessa um nmero menor de ASs

Nesse exemplo, a partir do AS 65010 com destino para redes no AS 65040o roteador R4 enviaria o trfego diretamente para o AS 65040

Se quisermos alterar esse comportamento, temos que alterar os annciosno AS 65040


Uma route-map inserida ao neighbor 172.16.1.1 out. Antes de enviar o update para esse neighbor o atributo AS-Path

ser alterado, sendo acrescido duas cpias no mesmo nr de AS. Nesse exemplo a route map no tem clusula match, portanto todos os

anncios para esse neighbor tero o AS-Path alterado. Isso tambm poderia ser feito apenas para um ou alguns prfixos do AS

65040, utilizando por exemplo uma prefeix-list.

AS Path = 65040 65040 65040 65040

Manipulando AS Path AS Prepending

Laboratrio

Lab - 5

Manipulando MED


O valor default do MED zero, pode-se altera-lo com o comando default-metric globalmente no BGP

Por exemplo se fizermos a configurao apresentada no AS 65001 todosos roteadores no AS 65004 adotariam: MED of 1001 para Router A MED of 99 para Router B

Na prtica isso resultaria na utilizao de apenas um dos links.

Router A

Router B

Manipulando MED comroute map

Show ipp bgp executado no roteador Z.

Manipulando MED comroute map

Laboratrio

Lab - 6

.Filtragem de anncios


Filtragem de anncios

Prefixos Recebidos - O que filtrar ?

Trs cenrios possveis

- BGP entre Cliente e ISP

- BGP entre ISPs

- BGP com UpStream/Transit provider

Cada um tem diferentes requisitos de filtragem


Prefixos Recebidosde clientes

ISPs s devem aceitar prefixos que tenham sido atribudos ao cliente.

Se o ISP no for o responsvel pela atribuio dos prefixos do cliente, ento deve certificar-se que tais prefixos esto realmente atribudos ao cliente.

Ferramenta para isso : Whois


Prefixos Recebidosde clientes:whois.registro.br


Prefixos Recebidospeers ISPs

Um AS peer um ISP com o qual se concorda trocar anncios de prefixos que cada um gerou para Internet.

S devem ser aceitos os prefixos que o respectivo AS peer indicou que ir anunciar.

O seu AS s deve anunciar os prefixos que foram previamente indicados aos demais AS peers.


Prefixos Recebidosde UpStream/Transit provider

Um UpStream/ Transit provider um ISP ao qual voc paga para lhe fornecer trnsito para toda Internet

No aceite rota default ( a menos que seja necessrio) No aceite endereos privados e de uso especial (rfc

1918) http://www.rfc-editor.org/rfc/rfc5735.txt No aceite prefixos maiores que /24


Prefixos Recebidosde UpStream/Transit provider

Confira a lista de bogons da Tean Cymruhttp://www.team-cymru.org/Services/Bogons/http.html

Utilize o bogon route server - Fornece via sesso BGP uma relao de blocos que no devem constar na tabela da Internet. So blocos vlidos que no esto sendo utilizados e tambm os blocos privados (rfc1918).

http://www.team-cymru.org/Services/Bogons/bgp.html


Como filtrar ?

- Distribute-List

- Prefix-List

- Filter-List


Prefixos Recebidos - Como filtrar ?

Distribute-List

Router(config)#neighbor {ip-address | peer-group-name} distribute-list {access-list-number | expanded-list-number | access-list-name| prefix-list-name} {in | out}

- Uma distribute-list pode ser aplicada por neighbor, no sentido in ouout

- Exige a criao de uma access-list


Prefixos Recebidos - Como filtrar ?

Distribute-List

router bgp 2001 no synchronization bgp log-neighbor-changes neighbor 62.128.47.6 remote-as 11151 neighbor 62.128.47.6 distribute-list 50 inneighbor 62.128.47.194 remote-as 645 neighbor 62.128.47.198 remote-as 645 no auto-summary ! access-list 50 permit 23.75.18.0 0.0.0.255

access-list 50 permit 23.75.19.0 0.0.0.255

.Ignorando anncios que contenham nr. de AS privado no AS-Path

router bgp 100neighbor 10.1.2.2 filter-list 10 in

ip as-path access-list 10 deny 6451[2-9]|645[2-9][0-9]|64[6-9][0-9][0-9]|65[0-4][0-9][0-9]|655[0-2][0-9]|6553[0-5]ip as-path access-list 10 permit .


Prefix-Listrouter bgp 200

network 215.7.0.0neighbor 220.200.1.1 remote-as 210neighbor 220.200.1.1 prefix-list PEER-IN inneighbor 220.200.1.1 prefix-list PEER-OUT out

!ip prefix-list PEER-IN deny 218.10.0.0/16ip prefix-list PEER-IN permit 0.0.0.0/0 le 32ip prefix-list PEER-OUT permit 218.10.0.0/16ip prefix-list PEER-OUT deny 0.0.0.0/0 le 32

Aceita tudo exceto a rede 218.10.0.0/16 Envia somente a rede 218.10.0.0/16


Prefixos recebidos ou enviados

.ip as-path access-list 1 permit _3561$ip as-path access-list 2 deny _35$ip as-path access-list 2 permit .*

router bgp 100neighbor 171.69.233.33 remote-as 33neighbor 171.69.233.33 filter-list 1 inneighbor 171.69.233.33 filter-list 2 out

- Aceita somente rotas originadas pelo AS 3561, descarta qualqueroutra.

- No anuncia rotas originadas pelo AS 35, anuncia qualquer outra.


bgp 2 atributos politicas

Documents