Как предотвратить транзит маршрутов через AS в BGP

Рубрики:

Метки:

AS, AS_PATH, BGP, blog, Cisco, Cisco CLI, Cisco IOS, Cisco IOS CLI, eBGP, iBGP, IP, IPV4, команды, сетевые технологии

Команды LINUX «от A до Z» — настольная книга с примерами

Рассмотрим, как предотвратить транзит маршрутов через AS в BGP. По умолчанию BGP будет рассылать маршруты к сетям-соседям eBGP. Это означает, что если у клиента настроен multi-homed (подключение к двум или более интернет-провайдерам), его AS может стать транзитной.

Существуют 4 метода, которые можно использовать для предотвращения формирования транзитных AS:

Содержание:

Топология
Пример №1 filter-list с AS PATH access-list
Пример №2 No-Export Community
Пример №3 фильтрация prefix-list
Пример №4 фильтрация distribute-list
Выводы

Топология

R1 подключен к ISP1 и ISP2, каждый маршрутизатор находится в разных AS. Поскольку R1 — многоканальный, возможно, что провайдеры будут использовать его для достижения ISP1 и ISP2. Чтобы этого избежать, нужно убедиться, что R1 рассылает маршруты только из собственной AS.

Настройка маршрутизатора ISP1

hostname ISP1
no ip domain-lookup
line con 0
logging synchronous
exec-timeout 0 0

interface GigabitEthernet0/0
ip address 192.168.10.2 255.255.255.0
no shutdown
exit

interface Loopback 0
ip address 2.2.2.2 255.255.255.0
no shutdown
exit

router bgp 2
neighbor 192.168.10.1 remote-as 1
network 2.2.2.0 mask 255.255.255.0

Настройка маршрутизатора ISP2

hostname ISP2
no ip domain-lookup
line con 0
logging synchronous
exec-timeout 0 0

interface GigabitEthernet0/0
ip address 192.168.20.2 255.255.255.0
no shutdown
exit

interface Loopback 0
ip address 3.3.3.3 255.255.255.0
no shutdown
exit

router bgp 3
neighbor 192.168.20.1 remote-as 1
network 3.3.3.0 mask 255.255.255.0

Курсы Python с нуля до DevOps на практике за 1,5 часа

Настройка маршрутизатора R1

hostname R1
no ip domain-lookup
line con 0
logging synchronous
exec-timeout 0 0

interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0
no shutdown
exit

interface GigabitEthernet0/1
ip address 192.168.20.1 255.255.255.0
no shutdown
exit

interface Loopback0
ip address 1.1.1.1 255.255.255.0
no shutdown
exit

router bgp 1
neighbor 192.168.10.2 remote-as 2
neighbor 192.168.20.2 remote-as 3
network 1.1.1.0 mask 255.255.255.0

Пример №1 filter-list с AS PATH access-list

Prefix-lists и distribute-lists рабочее, но не масштабируемое решение, если учитывать, что таблица BGP имеет тысячи маршрутов BGP. Filter-list и no-export community хорошее решение, так как настроив их только один раз, при обновлении и добавлении новых маршрутов не придётся заново настраивать списки доступа и карты маршрутов.

Ранее был настроен BGP на каждом маршрутизаторе, что привело к образованию сеанса eBGP между R1 — ISP1 и R1 — ISP2. После рассылки сетей loopback, посмотрим на таблицу BGP маршрутизаторов ISP1 и ISP2:

Маршрутизатор ISP1:

show ip bgp

BGP table version is 4, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.10.1 0 0 1 i
*> 2.2.2.0/24 0.0.0.0 0 32768 i
*> 3.3.3.0/24 192.168.10.1 0 1 3 i

Маршрутизатор ISP2:

show ip bgp

BGP table version is 4, local router ID is 3.3.3.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.20.1 0 0 1 i
*> 2.2.2.0/24 192.168.20.1 0 1 2 i
*> 3.3.3.0/24 0.0.0.0 0 32768 i

Маршрутизаторы ISP узнали о всех сетях друг друга, и они будут использовать R1 в качестве адреса следующего перехода (next hop).

Использование filter-list с AS PATH access-list, вероятно, является наиболее удобным решением. Оно гарантирует, что маршруты всегда будут рассылаться только в своей AS. Приступим к настройке маршрутизатора R1:

ip as-path access-list 1 permit ^$

router bgp 1
neighbor 192.168.10.2 filter-list 1 out
neighbor 192.168.20.2 filter-list 1 out

Курсы Git за час: руководство для начинающих DevOps / DevNet инженеров

Регулярное выражение ^$ гарантирует, что будут рассылаться только локально созданные маршруты. Этот фильтр необходимо применить к обоим интернет-провайдерам.

Примечание: подробнее про регулярные выражения можно узнать в этой статье.

Чтобы увидеть изменения, используем команду clear ip bgp * на R1 и посмотрим на таблицу BGP:

show ip bgp

BGP table version is 4, local router ID is 1.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 0.0.0.0 0 32768 i
*> 2.2.2.0/24 192.168.10.2 0 0 2 i
*> 3.3.3.0/24 192.168.20.2 0 0 3 i

R1 все ещё знает о маршрутах от маршрутизаторов ISP. Что касается ISP1 и ISP2, то их таблицы BGP следующие.

Маршрутизатор ISP1:

show ip bgp

BGP table version is 5, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.10.1 0 0 1 i
*> 2.2.2.0/24 0.0.0.0 0 32768 i

Маршрутизатор ISP2:

show ip bgp

BGP table version is 5, local router ID is 3.3.3.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.20.1 0 0 1 i
*> 3.3.3.0/24 0.0.0.0 0 32768 i

ISP1 и ISP2 знают только о сети соседа 1.1.1.0/24. Транзитная AS не сформирована.

Пример №2 No-Export Community

Примечание: перед настройкой примера №2 необходимо удалить предыдущие настройки примера №1:

no ip as-path access-list 1 permit ^$

router bgp 1
no neighbor 192.168.10.2 filter-list 1 out
no neighbor 192.168.20.2 filter-list 1 out

Использование no-export community также прекрасное решение. Настроим R1 таким образом, чтобы маршруты от маршрутизаторов ISP были помечены no-export community. Это гарантирует, что маршруты будут известны в AS 1, но не будут рассылаться другим маршрутизаторам. Создадим карту маршрутов (route-map), указав сообщество, и укажем соседей в BGP:

route-map NO-EXPORT
set community no-export

router bgp 1
neighbor 192.168.10.2 route-map NO-EXPORT in
neighbor 192.168.20.2 route-map NO-EXPORT in

Примечание: в примере используется только один маршрутизатор в AS 1. Если в AS имеются ещё маршрутизаторы, и активирован iBGP, необходимо отправить сообщества (community) на эти маршрутизаторы с помощью команды neighbor <ip> send-community.

Теперь посмотрим на таблицы BGP ISP1 и ISP2:

Маршрутизатор ISP1:

show ip bgp

BGP table version is 5, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.10.1 0 0 1 i
*> 2.2.2.0/24 0.0.0.0 0 32768 i

Маршрутизатор ISP2:

show ip bgp

BGP table version is 5, local router ID is 3.3.3.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.20.1 0 0 1 i
*> 3.3.3.0/24 0.0.0.0 0 32768 i

Они знают только о сети соседа 1.1.1.0/24.

Пример №3 фильтрация prefix-list

Примечание: перед настройкой примера №3 необходимо удалить предыдущие настройки примера №2:

route-map NO-EXPORT
no set community no-export

router bgp 1
no neighbor 192.168.10.2 route-map NO-EXPORT in
no neighbor 192.168.20.2 route-map NO-EXPORT in

Используя prefix-list, можно определить, какие маршруты рассылаются соседям BGP. Это хорошее решение, но нужно учитывать, что каждый раз, когда в таблицу маршрутизации добавляется новый маршрут, придется снова и снова перенастраивать prefix-list. Посмотрим на это на примере маршрутизатора R1:

ip prefix-list NO-TRANSIT permit 1.1.1.0/24

router bgp 1
neighbor 192.168.10.2 prefix-list NO-TRANSIT out
neighbor 192.168.20.2 prefix-list NO-TRANSIT out

Prefix-list будет рассылать только сеть 1.1.1.0/24 маршрутизаторам ISP. Давайте проверим таблицы BGP ISP1 ISP2:

Маршрутизатор ISP1:

show ip bgp

BGP table version is 5, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.10.1 0 0 1 i
*> 2.2.2.0/24 0.0.0.0 0 32768 i

Маршрутизатор ISP2:

show ip bgp

BGP table version is 5, local router ID is 3.3.3.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.20.1 0 0 1 i
*> 3.3.3.0/24 0.0.0.0 0 32768 i

Пример №4 фильтрация distribute-list

Примечание: перед настройкой примера №4 необходимо удалить предыдущие настройки примера №3:

no ip prefix-list NO-TRANSIT permit 1.1.1.0/24

router bgp 1
no neighbor 192.168.10.2 prefix-list NO-TRANSIT out
no neighbor 192.168.20.3 prefix-list NO-TRANSIT out

Этот метод аналогичен использованию prefix-list, но на этот раз будем использовать distribute-list:

ip access-list standard NO-TRANSIT
permit 1.1.1.0 0.0.0.255

router bgp 1
neighbor 192.168.10.2 distribute-list NO-TRANSIT out
neighbor 192.168.20.3 distribute-list NO-TRANSIT out

Теперь посмотрим на таблицы BGP ISP1 и ISP2:

Маршрутизатор ISP1:

show ip bgp

BGP table version is 5, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.10.1 0 0 1 i
*> 2.2.2.0/24 0.0.0.0 0 32768 i

Маршрутизатор ISP2:

show ip bgp

BGP table version is 5, local router ID is 3.3.3.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.0/24 192.168.20.1 0 0 1 i
*> 3.3.3.0/24 0.0.0.0 0 32768 i

Выводы

Спасибо за уделенное время на прочтение статьи. Теперь Вы умеете предотвращать транзит маршрутов через AS в BGP на маршрутизаторах Cisco.

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.

Что Вы получите?

Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.

Как проходит обучение?

Проведем вечерние онлайн-лекции на нашей платформе.
Согласуем с вами удобное время для практик.
Если хотите индивидуальный график — обсудим и реализуем.
Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.

А еще поможем Вам:

отредактировать или создать с нуля резюме;
подготовиться к техническим интервью;
подготовиться к конкурсу на понравившуюся вакансию;
устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.

Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.