Как настроить фильтрацию маршрутов BGP IPv6 на маршрутизаторах Cisco

Рубрики:

Метки:

AS, BGP, blog, Cisco, Cisco CLI, Cisco IOS, Cisco IOS CLI, eBGP, iBGP, IP, IPV4, IPv6, Routing, карьера, команды, сетевые технологии

Команды LINUX «от A до Z» — настольная книга с примерами

Фильтрация маршрутов IPv6 в BGP аналогична фильтрации IPv4. Существует 3 метода фильтрации: Prefix-list, Filter-list, Route-map. Каждый из них может применяться как во входящем (inbound), так и в исходящем (outbound) направлениях. Рассмотрим, как использовать данные инструменты при фильтрации.

Содержание:

Топология
1. Настройка маршрутизатора R1
2. Настройка маршрутизатора R2
Фильтрация Prefix-list
Фильтрация Filter-list
Фильтрация Route-map
Порядок применения фильтрации
Выводы

Топология

Исследуемая топология состоит из двух маршрутизаторов (Cisco 1941 с образом Cisco IOS Release 15.4 IP Base). Допускается использование маршрутизаторов других моделей, а также других версий операционной системы Cisco IOS. В зависимости от модели устройства и версии Cisco IOS, доступные команды и результаты их выполнения могут отличаться от тех, которые показаны в этой статье.

Схема топологии следующая:

Настройка маршрутизатора R1

hostname R1
no ip domain-lookup
line con 0
logging synchronous
exec-timeout 0 0

ipv6 unicast-routing

interface GigabitEthernet0/0
ipv6 address 2001:DB8:0:12::1/64
no shutdown
exit

interface Loopback0
ipv6 address 2001:DB8:0:1::1/64
no shutdown
exit

interface Loopback1
ipv6 address 2001:DB8:0:11::1/64
no shutdown
exit

interface Loopback2
ipv6 address 2001:DB8:0:111::1/64
no shutdown
exit

interface Loopback3
ipv6 address 2001:DB8:0:1111::1/96
no shutdown
exit

router bgp 1
bgp router-id 1.1.1.1
neighbor 2001:DB8:0:12::2 remote-as 2

Курсы Python с нуля до DevOps на практике за 1,5 часа

Настройка маршрутизатора R2

hostname R2
no ip domain-lookup
line con 0
logging synchronous
exec-timeout 0 0

ipv6 unicast-routing

interface GigabitEthernet0/0
ipv6 address 2001:DB8:0:12::2/64
no shutdown
exit

router bgp 2
bgp router-id 2.2.2.2
neighbor 2001:DB8:0:12::1 remote-as 1

Фильтрация Prefix-list

Маршрутизаторы R1 и R2 используют адреса IPv6 и будут использовать MP-BGP, чтобы R1 мог рассылать свои сети loopback. Все сети на loopback-интерфейсах являются /64 подсетями, в то время как loopback3 имеет подсеть /96. Начнем с базовой конфигурации MP-BGP, чтобы R1 и R2 стали соседями в eBGP:

Маршрутизатор R1:

router bgp 1
address-family ipv6
neighbor 2001:db8:0:12::2 activate
network 2001:db8:0:1::/64
network 2001:db8:0:11::/64
network 2001:db8:0:111::/64
network 2001:db8:0:1111::/96

Маршрутизатор R2:

router bgp 2
address-family ipv6
neighbor 2001:db8:0:12::1 activate

Давайте проверим, узнал ли R2 все маршруты:

show ipv6 route bgp
B 2001:DB8:0:1::/64 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0
B 2001:DB8:0:11::/64 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0
B 2001:DB8:0:111::/64 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0
B 2001:DB8:0:1111::/96 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0

Теперь информация находится в таблице маршрутизации. А это значит, что можно приступать к настройке фильтрации.

Начнем с prefix-list. Маршрутизатор R1 рассылает и объявляет подсеть /96. Посмотрим, можно ли настроить R2 для фильтрации этой сети:

Курсы Git за час: руководство для начинающих DevOps / DevNet инженеров

ipv6 prefix-list EXAMPLE permit 2001::/16 le 64

Этот prefix-list проверяет весь диапазон 2001::/16 и разрешает подсети с /64 и меньше. Все, что больше этого значения, будет отклонено. Давайте активируем входящий prefix-list на R2 для всего трафика, полученного от R1:

router bgp 2
address-family ipv6
neighbor 2001:db8:0:12::1 prefix-list EXAMPLE in

Чтобы увидеть изменения, используем команду clear ip bgp * на R2 и посмотрим таблицу маршрутизации:

show ipv6 route bgp
B 2001:DB8:0:1::/64 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0
B 2001:DB8:0:11::/64 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0
B 2001:DB8:0:111::/64 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0

Информация о маршрутах была успешно отфильтрована.

Фильтрация Filter-list

Теперь попробуем filter-list. Этот инструмент можно использовать для фильтрации маршрутов из определенных AS.

Всё, что рассылает R1, содержит только AS 1 в пути AS. Для начала на R1 нужно настроить AS prepending так, что всякий раз, когда маршрутизатор рассылает сеть 2001:db8:0:1::/64, он добавляет AS 11 в путь AS:

ipv6 prefix-list FIRST_LOOPBACK permit 2001:db8:0:1::/64

route-map PREPEND permit 10
match ipv6 address prefix-list FIRST_LOOPBACK
set as-path prepend 11
exit
route-map PREPEND permit 20

router bgp 1
address-family ipv6
neighbor 2001:db8:0:12::2 route-map PREPEND out

Давайте теперь проверим таблицу BGP R2:

show ip bgp all

For address family: IPv4 Unicast

For address family: IPv6 Unicast

BGP table version is 4, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 2001:DB8:0:1::/64  2001:DB8:0:12::1  0 0 1 11 i

*> 2001:DB8:0:11::/64  2001:DB8:0:12::1  0 0 1 i

*> 2001:DB8:0:111::/64  2001:DB8:0:12::1  0 0 1 i

В выводе команды видно, что 2001:DB8:0:1::/64 теперь имеет AS 11 в своем пути AS.

Давайте настроим filter-list на R2, чтобы избавиться от этой сети. Настроим инструмент таким образом, чтобы он работал со всем трафиком, полученным от R1:

ip as-path access-list 11 permit ^1$

router bgp 2
address-family ipv6
neighbor 2001:db8:0:12::1 filter-list 11 in

В приведенном выше access-list в пути AS разрешены только маршруты AS1.

Используем команду clear ip bgp * и проверяем, как выглядит таблица маршрутизации R2:

show ipv6 route bgp
B 2001:DB8:0:11::/64 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0
B 2001:DB8:0:111::/64 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0

Фильтрация Route-map

Route-Map действительно очень полезное решение, которое может использоваться для разных целей. В этом примере на R2 будем использовать IPv6 access-list в route-map для фильтрации сети 2001:DB8:0:11::/64. Настроим access-list, который соответствует сети 2001:DB8:0:11::/64 и route-map. И последнее, но не менее важное — применяем данную конфигурацию для всего входящего трафика в R2:

ipv6 access-list THIRD_LOOPBACK
permit 2001:db8:0:11::/64 any
exit

route-map FILTER deny 10
match ipv6 address THIRD_LOOPBACK
exit
route-map FILTER permit 20

router bgp 2
address-family ipv6
neighbor 2001:db8:0:12::1 route-map FILTER in

Используем команду clear ip bgp * и проверим, как работает access-list, и как выглядит таблица маршрутизации R2:

show ipv6 access-list
IPv6 access list THIRD_LOOPBACK
permit ipv6 2001:DB8:0:11::/64 any (1 match) sequence 10

show ipv6 route bgp
B 2001:DB8:0:111::/64 [20/0]
B 2001:DB8:0:111::/64 [20/0]
via FE80::5054:FF:FE1F:F678, GigabitEthernet0/0

Список доступа сообщает, что он нашёл одно совпадение (1 match), и также можно заметить, что сеть 2001:DB8:0:11::/64 отсутствует в таблице маршрутизации.

Порядок применения фильтрации

В данной статье приведены примеры использования инструментов prefix-list, filter-list и route-map для фильтрации маршрутов IPv6 в BGP (MBGP, MP-BGP). Их можно применять по отдельности: Route-Map является очень популярным решением, так как данный инструмент можно использовать для многих целей, к примеру — фильтрации и выполнение таких действий, как добавление атрибута AS_PATH. Перечисленные инструменты можно применять вместе, как на R2:

show run | sec address-family ipv6
address-family ipv6
neighbor 2001:DB8:0:12::1 activate
neighbor 2001:DB8:0:12::1 prefix-list EXAMPLE in
neighbor 2001:DB8:0:12::1 route-map FILTER in
neighbor 2001:DB8:0:12::1 filter-list 11 in

Если активировать эти решения одновременно, необходимо знать, в каком порядке маршрутизатор будет обрабатывать эти методы фильтрации. Вот порядок для двух направлений трафика:

	Inbound (входящий)	Outbound (исходящий)
1	Route-map	Prefix-List
2	Filter-List	Filter-List
3	Prefix-List	Route-Map

Почему это так важно? Представьте, что на маршрутизаторе настроены инструменты для входящего трафика route-map и prefix-list. Если маршрут разрешен в prefix-list, но запрещен в route-map, то маршрут никогда не появится в таблице BGP, поскольку route-map обрабатывается перед prefix-list.

Для исходящей фильтрации всё наоборот. Если маршрут разрешен в route-map, но запрещен в filter-list, тогда этот маршрут никогда не будет рассылаться. Filter-List обрабатывается до route-map для исходящего трафика.

Выводы

Спасибо за уделенное время на прочтение статьи. Теперь Вы знаете как настроить фильтрацию маршрутов BGP IPv6 на маршрутизаторах Cisco.

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.

Что Вы получите?

Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.

Как проходит обучение?

Проведем вечерние онлайн-лекции на нашей платформе.
Согласуем с вами удобное время для практик.
Если хотите индивидуальный график — обсудим и реализуем.
Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.

А еще поможем Вам:

отредактировать или создать с нуля резюме;
подготовиться к техническим интервью;
подготовиться к конкурсу на понравившуюся вакансию;
устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.

Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.