Рассмотрим, как удалить частный номер AS при пересылке маршрутов BGP в публичную сеть. Приватные номера AS (64512 — 65535) не должны использоваться в Интернете, поскольку они не уникальны, в отличие от публичных номеров AS.
В некоторых случаях приватные номера AS можно присвоить сетям клиентов, которые находятся в одном провайдере. Преимущество этого метода заключается в том, что появляется возможность сохранить диапазон публичных номеров AS. Тогда как недостатком является то, что при необходимости подключения к другому интернет-провайдеру, потребуется переключиться на публичный номер AS.
Когда провайдер пересылает маршруты, которые узнает из частной AS, он удаляет приватный номер AS, прежде чем переадресует маршрут в другие AS.
Маршрутизаторы Cisco IOS поддерживают команду remove-private-as
для достижения этой цели. Однако есть некоторые ограничения:
- используется только для соседей eBGP;
- частные номера AS удаляются из исходящих обновлений;
- можно использовать только частные номера AS в AS path (описывает через какие AS надо пройти, чтобы достичь сети назначения). Если имеется совокупность публичных и частных номеров AS, тогда маршрутизатор ничего не удалит;
- если AS path содержит номер AS соседа eBGP, он не будет удален;
- если используется BGP Route Confederation, BGP удаляет только приватные номера AS после конфедерации AS path.
Содержание:
Топология
Исследуемая топология состоит из трех маршрутизаторов (Cisco 1941 с образом Cisco IOS Release 15.4 IP Base). Допускается использование маршрутизаторов других моделей, а также других версий операционной системы Cisco IOS. В зависимости от модели устройства и версии Cisco IOS, доступные команды и результаты их выполнения могут отличаться от тех, которые показаны в этой статье.
Схема топологии следующая:
Задачи
- Базовые настройки и применение BGP.
- Применение нескольких вариантов параметра BGP remove-private-as.
- Использование команд show для проверки работы параметра.
Настройки маршрутизатора R1
Настройки маршрутизатора R2
Настройки маршрутизатора R3
Remove-Private-AS
Маршрутизатор R1 находится в приватной AS, в то время как R2 и R3 используют публичные номера AS. Будем рассылать сеть loopback с R1 в eBGP, чтобы R2 и R3 могли её узнать. Давайте посмотрим на R2 и R3, они должны были узнать о сети 1.1.1.0/24:
Маршрутизатор R2:
Маршрутизатор R3:
Как и ожидалось, в AS path видна AS 2 и 64512. Теперь настроим R2, чтобы удалить приватный номер AS. Для этого используем команду remove-private-as
:
Очистим BGP, чтобы ускорить применение команды на R2:
Посмотрим таблицу BGP маршрутизатора R3:
В маршруте видна только AS 2, номер приватной AS был удален.
Remove-Private-AS All
Удаление приватных номеров AS будет выполняться только в том случае, если в пути AS нет публичных номеров AS. Чтобы понять принцип работы данного параметра, на R1 добавим дополнительные номера AS для обновления:
Использовали сочетание публичных и приватных номеров AS. Давайте добавим их к обновлениям R2 на R1:
Перезапустим работу BGP на R2:
И теперь проверим таблицы BGP на R2 и R3:
Маршрутизатор R2:
Маршрутизатор R3:
Обратите внимание, путь AS не изменился. Никакие приватные номера AS не были удалены, поскольку в пути AS есть некоторые публичные номера AS. Cisco IOS считает это неправильной конфигурацией, поэтому ничего не сделает. Но на R2 это можно изменить командой remove-private-as all
:
Снова перезапустим работу BGP на R2:
IOS 15.1T и более поздние версии поддерживают все параметры. Это приведет к удалению всех приватных номеров AS, независимо от того, что находится в пути AS. Давайте ещё раз посмотрим на таблицу BGP R3:
Все приватные номера AS теперь удалены из таблицы BGP, остаются только публичные номера AS.
Remove-Private-AS All Replace
В предыдущем примере были удалены все приватные номера AS, также их можно заменить на локальный номер AS. Это можно выполнить, добавив параметр replace-as
к команде remove-private-all
на R2:
Очистим BGP, чтобы ускорить применение команды на R2:
Вот как выглядит таблица BGP R3:
Все приватные номера AS были заменены на AS 2.
Выводы
Спасибо за уделенное время на прочтение статьи. Теперь Вы знаете, как удалить частный номер AS при пересылке маршрутов BGP на маршрутизаторе Cisco.
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!
- Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
- Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
- Проведем вечерние онлайн-лекции на нашей платформе.
- Согласуем с вами удобное время для практик.
- Если хотите индивидуальный график — обсудим и реализуем.
- Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
- Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
- отредактировать или создать с нуля резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
2 комментария. Оставить новый
Добрый день!
Может ли это как то быть использовано злоумышленниками? И если да, то как защититься?
Спасибо!
Злоумышленник может использовать все что угодно для взлома, в том числе и особенности маршрутизации. Поэтому в протоколах маршрутизации желательно настраивать аутентификацию, а на маршрутизаторах device hardening.