Taller BGP Sergio PDF

SergioGlvezMorales2013
DEDNDEVIENELADIRECCINIP?
Autonomous System Numbers (ASN)

Coleccinderedesconmismapolticaenrutamiento
Soloprotocoloenrutamiento
PosibilidaddemltiplesIGP(InteriorGateway
Protocol,protocolodepasarela interno)
Generalmenteesdeunasolapropiedad,confiabley
controlado
Identificadoporunnicoentero32bits(ASN)
Ms acercadeASN
Histricamente2bytes
o 1al65535
Peroseconvirtien4bytes(RFC4893)
o 65536al4294967295
ASNEspeciales
o 0y65535estnreservados
o 64496 64511,65536 65551sonpara
documentacin(RFC5398)
o 64512 65534Usoprivado
o 23456representacindeASNde4bytesenel
mundode2bytes.
IGPcontraEGP
IGP InteriorGatewayProtocol
o IntercambioderutasdentrounASN
o Transportainformacinacercadelosprefijosinternos
o OSPF,ISIS,EIGRP,etc
EGP ExteriorGatewayProtocol
o IntercambioderutasentreASN
o ActualmenteBGPeselestndardeEGP
o Conexinconredesextrenas
IGP InteriorGatewayProtocol
o
o
o
o
Convergenciapordebajodelsegundo
Generalmentedescubrimientoautomtico
GeneralmenteconfasusrutasIGP
Todaslasrutasvanentrerouters IGP
EGP ExteriorGatewayProtocol
o DisociadasdelaIGP
o Configuradoespecialmente
EnrutamientoInternet
BGPseleccionalasrutasde
acuerdoaunalgoritmode
decisinylosvaloresde
algunos"atributos"ruta.
AS_PATHesunalistadeASN
cuandohayunUPDATEla
listaseactualiza.
ASN6057
Anuncia
200.40.0.0/16
ASN8158
Recibe
200.40.0.0/16
Elprefijo200.40.0.0/16es
propagadoconBGPa
Internet
Atributos:
200.40.0.0/16AS_PATH ASN1ASN3ASN6057
Trnsito yPeering
Trnsito
o TrficoyprefijosprocedentesdeunASNserealizanatravsde
unASNintermedioparallegarasudestinoASN
o Generalmenteseusaunacuota
Peering
o InterconexinprivadaentredosASN
o Generalmentenousacuota
TRNSITO
PEERING
Peering enunInternetExchangePoint(IXP)
InternetExchangePoint(IXP)
UbicacincomndeinterconexindondevariosASNintercambian
informacindeenrutamientoyeltrfico
Border GatewayProtocol (BGP)

Esunprotocolodeenrutamientoutilizadopara
intercambiarinformacindeenrutamientoentre
redesdiferentes.
Protocolodeentrada/salida
DescritoenRFC4271
o RFC4276proporcionauninformedeejecucinde
BGP
o RFC4277describelasexperienciasoperacionales
utilizandoBGP
TrabajaenelpuertoTCP179
ProtocolodePath Vector
AprendeatravsdevariasrutasBGPinternasy
externas.Intercambioinicialdetodalatabla
Actualizacionesincrementales
o Escogeelmejorpath yloinstalaenlatablade
reenvoIP.Polticasaplicadasparainfluirenla
seleccindelmejorpath
Intercambianmensajesdemantenimientode
conexin
Muchasopcionesparalaaplicacindepolticas
Classless InterDomain Routing (CIDR)
Ampliamenteutilizadoparalaredtroncalde
Internet
Vecinos
PortavocesBGP
o Interna(iBPG)siseencuentranenunmismoASN
o Externo(eBGP)siseencuentranendiferentesASN
CamposdeaplicacinBGP:redde
conexinnica
Slounasalidaparaelcliente
Noesnecesariorealmente
agregarBGP
Redes multitarjeta
Diferentessituacionesposibles
o Mltiplesenlacesaun
mismoISP
o Secundariosloparabackup
o Compartirlacargaentre
primarioysecundario
o Utilizarselectivamente
diferentesISPs
o Peering enIXP
EstadosdeBGP
Estados BGP
EventosBGP
1.
2.
3.
4.
5.
6.
1. BGPStart
2. BGPStop
3. BGPTransport connection open
4. BGPTransport connection closed
5. BGPTransport connection openfailed
6. BGPTransport fatalerror
7. ConnectRetry timer expired
8. Hold Timer expired
9. KeepAlive timer expired
10.Receive OPENmessage
11.Receive KEEPALIVEmessage
12.Receive UPDATEmessages
13.Receive NOTIFICATIONmessage
Idle
Connect
Active
OpenSent
OpenConfirm
Established
Configuracin Bsica
IPv4
IPv6
router bgp xxxx

nobgp4defaultunicast
neighbor a.b.c.d.remoteas
bgp routerida.b.d.f
<as>
router bgp xxxx
neighbor X:X:X:X::X
neighbor X:X:X:X::Xremote
network A.B.C.D.mask
as
nosynchronization
neighbor X:X:X:X::X
exit addressfamily
addressfamily ipv6
neighbor X:X:X:X::Xactivate
neighbor X:X:X:X::X
network 2001:DB8::/32
nosynchronization
exit addressfamily
Configuracin Bsica(IPv4eBGP)
Router A
router bgp 65536
network 150.10.0.0mask 255.255.0.0
neighbor 131.108.10.1remoteas65537
Router A
Router B
router bgp 65537
network 131.108.0.0mask 255.255.0.0
!Tengacuidado,necesidadde
filtros!
!Nolointenteenlaproduccin
todava!
Router B
Router A
router bgp 65536
Router A
Router B
router bgp 65536
network 131.108.0.0mask 255.255.0.0
ip route 131.108.0.0255.255.0.0null 0
Router B
Ms sobreiBGP
BGPaparecedentrodelmismoASN
Noesnecesarioestarconectadodirectamente
IGPseencargadeconectividadentreBGP
speakers
Losspeakers iBGP debenestarinterconectados:
o Seoriginanredesconectadas
o Pasanprefijosaprendidosdesdefueradel
ASN
o Nopasandeprefijosaprendidosdeotros
speakers iBGP
Verificacin delfuncionamiento
Summary deBGP
Showip bgp summary
Showbgp ipv6[unicast|multicast]summary
Tabladeenrutamiento
Showip bgp <prefix>(emptyshowsall the routes)
Showbgp ipv6[unicast|multicast]<prefijo>
Ejemplodecomandos
MsComandosshow
Verificacindevecinos
Showip bgp neighbor<peer>
Showbgp ipv6[unicast|multicast]neighbor<peer>
Showip bgp ]neighbor<peer>advertisedroutes
Showbgp ipv6[unicast|multicast]neighbor<peer>advertisedroutes
Showip bgp neighbor<peer>routes
Showbgp ipv6[unicast|multicast]neighbor<peer>routes
Showip bgp neighbor<peer>receivedroutes
Showbgp ipv6[unicast|multicast]neighbor<peer>receivedroutes
ATRIBUTOS
Quesunatributo?
PartedeunaactualizacindeBGP
Describelascaractersticasdelprefijo
Sepuedesertransitivoonotransitivo
Algunossonobligatorios,otrosopcionales
o Atributosobligatorios:
Well known
Well known discretionary
o Atributosopcionales:
Optional nontransitive
Rutasdeatributos
Listadodeatributos
Value Code Reference
0Reserved
1ORIGIN[RFC4271]
2AS_PATH[RFC4271]
3NEXT_HOP[RFC4271]
4MULTI_EXIT_DISCRFC4271]
5LOCAL_PREF[RFC4271]
6ATOMIC_AGGREGATE[RFC4271]
7AGGREGATOR[RFC4271]
8COMMUNITY[RFC1997]
9ORIGINATOR_ID[RFC4456]
10CLUSTER_LIST[RFC4456]
14MP_REACH_NLRI[RFC4760]
15MP_UNREACH_NLRI[RFC4760]
16EXTENDEDCOMMUNITIES[RFC4360]
17AS4_PATH[RFC6793]
18AS4_AGGREGATOR[RFC6793]
ProcesodedecisindeBGP
ASPath
SecuenciadeASNs queunarutahaatravesado
Atributotransitivoobligatorio
Seutilizapara:
o DeteccindeLoop
o Laaplicacindelapoltica
EjemploASPath
2001:db8::/32
Nexthop
eBGP:Direccindelvecinoexterna
iBGP:NEXT_HOPdeeBGP (peropuedeser
cambiado)
Atributonotransitivoobligatorio
Paraevitarcarring externoenlasdireccionesIPde
nexthopseusa:nexthopself
neighbor x.x.x.x nexthopself
UtilizarbuclescomoNHeniBGP
Origin
Elorigendelprefijo
AtributohistricoutilizadoenlatransicindeEGP
paraBGP
Atributotransitivoyobligatorio
Tresvalores:IGP,EGP,incompleto
o IGPgeneradopordeclaracinsobrelared
BGP
o EGPgeneradoporEGP
o Incompletoredistribuidodeotroprotocolo
deenrutamiento
Aggregator
TransmiteladireccinIPdelrouter oBGPspeaker
generandolarutaagregada
Atributoopcionalytransitivo
Creadoporelusode"aggregateaddress":
router bgp 65537
aggregateaddress 10.1.0.0255.0.0.0
LocalPreference
IndicacindelarutapreferidaparasalidadeASN
locales
Atributonotransitivoyopcional
GlobalalosASNlocales
RutasconmayorLOCAL PREFsonlosms
deseables(pordefecto=100)
EjemploLocalPreference
Ejemplo
router bgp 65535
bgp routerid3.3.3.3
neighbor 2001:db8::1remoteas65535
neighbor 2001:db8::1updatesource Loopback0
addressfamily ipv6
neighbor 2001:db8::1activate
neighbor 2001:db8::1nexthopself
neighbor 2001:db8::1routemap LOCAL_PREFout
exitaddressfamily
ipv6prefixlist 10seq 5permit 2001:db8::/32
!
routemap LOCAL_PREFpermit 10
matchipv6address prefixlist 10
setlocalpreference 150
!
routemap LOCAL_PREFpermit 20
MultiExit Discriminator (MED)

Indicacin(aparesexternos)delarutapreferidaen
unASN
o SeutilizaenmltiplesentradasASN
o Atributonotransitivoyopcional
Determinalamejorrutaparaeltrficoentrante
ComparasiloscaminossondelmismoASN
RutademenorMED,default=0(RFC4271)
Communites
LasCommunities sedescribenenRFC1997
Atributotransitivoyopcionales
32bitsentero,representadocomodosenterosde
16bits(RFC1998)
Formatocomnes<localASN>:xx
0:0a0:65535y65535:0de65535:65535estn
reservados
Seutilizaparadestinosdegrupo,cadadestinopuedeser
miembrodevariascomunidades
MuytilenlaaplicacindepolticasdentroyentreASN
Escomounaetiquetaaplicadaaunaactualizacin.
Lascomunidadestpicas:
o Destinosaprendidasdelosclientes
o DestinosaprendidasdeISPs ocompaeros
o DestinosenVPN
ComunidadesWellKnow
noexport =noanunciaasuspareseBGP (65535:65281)
noadvertise =noanunciaacualquierpunto
(65535:65282)
localAS=noanunciafueradelASNlocal(usadoconlas
centrales)
https://www.iana.org/assignments/bgpwellknown
communities/bgpwellknowncommunities.xhtml
EjemploSetcommunity
Setcommunity 65536:200
router bgp 65536
neighbor 10.1.1.1sendcommunity
neighbor10.1.1.1routemapset_community out
!
routemap set_community 10permit
matchip address 1
setcommunity 65536:200
!
accesslist 1permit 10.10.0.00.0.255.255
EjemploSetlocalpref
Setlocalpref basadoenunacommunity
router bgp 65537
neighbor10.1.1.2routemapfilter_on_community in
!
routemap filter_on_community 10permit
matchcommunity 1
!
ip communitylist1permit65537:150
Filtrado,polticasyescalaBGP
AplicacindePolticasconBGP
LaspolticasestnbasadaenlarutaAS,la
comunidadoelprefijo
Rechazar/aceptarrutasseleccionadas
Estableceratributosparainfluirenlaseleccinde
rutas
Utiliza
o Listadeprefijos
o Listadefiltros
o Mapasderutasydelascomunidades
Listadeprefijos
Porprefijoparesfiltro,entranteosaliente
Permitelacoberturadelosrangosdelongitudesde
prefijo(ge,le)
SobrelabasedelosnmerosderedenNLRI(con
familiaresdireccinIPv4/formatodelamscara)
ip prefixlistlistname[seq seqvalue]permit|deny
network/len [ge gevalue][lelevalue]
Ejemplos
Denegarrutapordefecto
ipprefixlistEGdeny0.0.0.0/0
Permitirelprefijo35.0.0.0/8
ipprefixlistEGpermit35.0.0.0/8
Denegarelprefijo172.16.0.0/12
ipprefixlistEGdeny172.16.0.0/12
En192/8permitirhasta/24
ip prefixlist EGpermit 192.0.0.0/8le24
Ejemplo
router bgp 65535

neighbor 2001:cafe::1remoteas65536
!
addressfamily ipv6
neighbor 2001:cafe::1activate
neighbor 2001:cafe::1prefixlist IPv6BOGUSin
exitaddressfamily
!
ipv6prefixlist IPv6BOGUSdeny 2001:db8::/32le128
ipv6prefixlist IPv6BOGUSpermit 2002::/16
ipv6prefixlist IPv6BOGUSdeny 2002::/16le128
ipv6prefixlist IPv6BOGUSdeny fe00::/9le128
ipv6prefixlist IPv6BOGUSdeny ff00::/8le128
ipv6prefixlist IPv6BOGUSpermit 0::/0le48
ipv6prefixlist IPv6BOGUsdeny 0::/0le128
Expresionesregulares
.Coincidiruncarcter
*Coincidircualquiernmerodelaexpresinanterior
+Coincidiralmenosunnmerodelaexpresinanterior
^Iniciodelalnea
$Findelnea
\ Escaparuncarcterdeexpresinregular
_Inicio,final,espacioenblanco
|O
()Entreparntesisparacontenerlaexpresin
[]Corchetesparacontenerseriesdenmeros
Ejemplosexpresionesregulares
.*Igualanada
^$CorrespondenrutaslocalesaesteASN(AS_PATH
estvaco)
_65536$Originadopor65.536(AS_PATHtermina
con65.536)
^65536_Recibidaspor65.536(AS_PATHempiezacon
65.536)
_65536_65536estenalgnlugarenAS_PATH
_65536_65537_Pasandodesde65.537por65.536
MasEjemplos
^[0 9]+$coincidirlongituddeunAS_PATH
^[09]+_[09]+$coincidirlongituddedosAS_PATH
^[0 9]_*[0 9]+$AS_PATHcoincidenteconlalongitudde
unoodos
^[09]*_[0 9]*$coincidirAS_PATHduracindeunoodos
(tambinpuedecoincidirconcero)
^[09]+_[0 9]+_[09]+$coincidirlongituddetres
AS_PATH
_(65536|65537)_coincidircualquiercosaquehapasado
porAS65536oAS65537
_65536(_.+_)65537$correspondeanadadelorigen
AS65536ypasaatravsdeAS65537
Listadefiltros
LasrutasdefiltrobasadoenAS_PATH,entranteosaliente
router bgp 65537
network 10.7.0.0mask 255.255.0.0
neighbor10.10.1.1filterlist5out
neighbor10.10.1.1filterlist6in
!
ip aspathaccesslist5permit^65536$
ip aspathaccesslist6permit^65539$
Mapasderutas
Unasecuenciadeinstrucciones
Tienenmerosde"lnea",cadalneaesuna
condicin/accinseparada
If matchthen doexpression andexit
else
If matchthen doexpression andexit
else etc
Rutade"continuar"seaplicaaaplicavarias
condicionesyaccionesenunahojaderuta
Ejemplosmapasderutas
routemap sample permit 10
matchip addressprefixlistlistone
!
matchip addressprefixlistlisttwo
!
Controldeltrficoentrante
Laprimerareglaparacontrolareltrficodeentrada
o Ustednotieneelcontrolfinaldecmoeltrfico
entraensuAS
o Suscompaerospuedentenerpolticassalientes
queanularntodossusintentosdeinfluirenel
trficodeentrada
Porlotanto,qupuedehacer?
o Fugasenrutasespecficas
o MED
o AnteponiendoASPATH
AnteponiendoASPath
UtiliceanteponiendosupropionmerodeASNdelo
contrarioBGPdetectarabuclesquepuedencausar
desconexiones.
router bgp 65535
neighbor2001:cafe::1remoteas65536
addressfamily ipv6
neighbor2001:cafe::1routemapSETPATHout
!
routemap SETPATHpermit 10
setaspathprepend6553565535
Comunidadnoexport
router bgp 65536

neighbor2001:cafe::1remoteas65537
addressfamily ipv6
neighbor2001:cafe::1routemapset_community out
exitaddressfamily
!
routemap set_community permit 10
matchip addressprefixlistNOEXPORT
setcommunity noexport
!
!
ipv6prefixlist NOEXPORTpermit 2001:db8:100:/40
Ordendeaplicacindelapoltica
Paraactualizacionesentrantes:
o Mapadelaruta
o Listadefiltros
o Listadeprefijo
Paralasactualizacionesdesalida:
o Listadeprefijo
o Listadefiltros
o Mapadelaruta
Reflectoresderuta
BGPnopuedeanunciaruncaminodeuniBGP aotro.
iBGP notieneformadedetectarbucles(opuestamente
eBGP queutilizaASPATH)
iBGP requieresunamallacompleta,peronoescala
Losreflectoresderutasonpuntoscentralesparala
distribucinderutasentreparesiBGP
Loopbacks
Loopback controladopromuevelaestabilidad
Silarelacinentredosvecinosfalla:
o SinLoopback ,mirandoalaIPdelainterfazprovocara
undescensodelasesinBGP
o Conloopback,mirandoaunbucle,lasesinpuede
permanecerhasta
Seutilizaparacargareltrficodeequilibrioatravsde
mltiplesenlaces
EniBGP asegresedequehayunarutaIGPparaloopbacks
Router bgp 65536

Bgp logneighborchanges
Nobgp defaultipv4unicast
Bgp routerid192.168.99.70
!
Neighbor 2001:db8:1::10remoteas65537
Neighbor 2001:db8:1::10updatesource Loopback0
!
addressfamily ipv6
Neighbor 2001:db8:1::10activate
NosynchronizaHon
Network2001:db8:100::/40
Network2001:db8:200::/40
exitaddressfamily
Crecimientodelatabladeenrutamiento
http://bgp.potaroo.net/
Desagregacin
2001:db8::/40
2001:db8:100::/40
Agregacin
Sloanunciarelagregadodesuscompaeros
Utilicelistadeprefijosparacontrolarloquese
salgadesuredyloqueseponealamisma.
Utilicecomunidadnoexport
Tratedeevitaradesglosarlomsposible
Ejemplo
router bgp 65536

network 10.10.0.0mask 255.255.0.0
network 10.108.0.0mask 255.255.0.0
network 10.0.0.0mask 255.0.0.0
neighbor 10.108.10.1routemap set_community out
neighbor 10.108.11.1prefixlist ANNOUCEOUTout
!
matchip address prefixlist NOEXPORT
setcommunity noexport
!
!
ip prefixlist NOEXPORTpermit 10.10.0.0/16
ip prefixlist NOEXPORTpermit 10.108.0.0/16
!
ip prefixlist ANNOUNCEOUTpermit 10.0.0.0/8
!
ip route 10.0.0.0255.0.0.0null 0
Aplicarnoexport aestevecino
Aestoseacabadeanunciaraggragate
Recepcinyprefijosderecepcin
Siempreapliquefiltrosdesalidaparaanunciar
solamentesusprefijosylosdesusclientes
Siempreapliquefiltrosdeentrada,nuncasesabelo
quepuedevenirdesuspares
NohacerestoproduceproblemastalescomoRoute
hijacking yRouteleaks
FiltradoespecialdedireccionesIPv4/IPv6
Puedeaadirestasdireccionesasusfiltrosde
entradaparaevitarrecibiranunciaciones
invalidas
Ejemplosdeestosprefijosson10.0.0.0/8,
192.168.0.0/16,2001:db8::/32
CompruebeRFC6890paramsdetalles
Cisco,JuniperyotrasplantillasdeACLen:
http://www.teamcymru.org/Services/Bogons/changelog.html
Direcciones especialesIPv6
ipv6prefixlist IPv6BOGUSdeny 2001:db8::/32le128
ipv6prefixlist IPv6BOGUSpermit 2002::/16
ipv6prefixlist IPv6BOGUSdeny fe00::/9le128
ipv6prefixlist IPv6BOGUSdeny ff00::/8le128
ipv6prefixlist IPv6BOGUSpermit0::/0le48
ipv6prefixlist IPv6BOGUsdeny 0::/0le128
PrefijosEstables
Uselasrutasestticasparamantenersusrutas
estableseindependientesdeloscambiosenla
interfaz
Utilicebuclesparamirarconsusvecinos
o ConiBGP utilizarlosconnexthop,seevita
realizarrutasexternasenelIGP
o ConeBGP queaumentalaestabilidad
INTERNETEXCHANGEPOINTS(IXP)
RECORDAR
TRNSITO
PEERING
Trnsito yPeering
Trnsito
o TrficoyprefijosprocedentesdeunASNserealizanatravsde
unASNintermedioparallegarasudestinoASN
o Generalmenteseusaunacuota
Peering
o InterconexinprivadaentredosASN
o Generalmentenousacuota
Peering enunInternetExchangePoint(IXP)
InternetExchangePoint(IXP)
UbicacincomndeinterconexindondevariosASNintercambian
informacindeenrutamientoyeltrfico
RecomendacionesyBuenasPrcticas
Sloanunciarsusagregadosysusclientes
agregadosalIXP
Aceptesolamentelosagregadosqueelpartiene
derechoaproceder
Nuncacargueunarutapredeterminadaenun
IXP(oprivado)mirandohaciaelenrutador
Nohacerlodalugarasecuestrosderutayfugas
Route Hijacking
Estoocurrecuandounparticipanteanunciaunarutaen
Internetconunprefijoparaelquenotieneautoridad
Malintencionadosodeerroresoperacionales
Loscasosmsconocidos:
o
o
o
o
PakistnTelecomvsYouTube(2008)
ChinaTelecom(2010)
GoogleenEuropadelEste(variosAS,2010)
CasosIberoamericanos(inicio2011)
Fugas
Noexisteunadefinicinestndardefugas
SucedecuandounASNse"fuga"pornoclienteso
porcuentapropiaoriginandorutasaotros
compaeros.
Losefectosesdarpasoalasredesdelosparesdel
ASN
Topologasimple
EstruturaCapa2
RelacionesN^NBGP
Ruta servidor
PermiteescalarlamallaBGP
Todoslosprefijosenviadosaunservidordelaruta
sesuelendistribuiratodoslosASNs queasoman
conelServidordeRuta
ConfiguracindeBGPparamirarconunservidor
derutaeselmismoqueparacualquierotropar
ordinaria
Noseolvidedelosfiltrosdeentradaysalida
TopologaRuta servidor
SERGIOGLVEZMORALES
SergioGlvezMorales
sgalvez2005@gmail.com
SERGIOGLVEZMORALES

Taller BGP Sergio PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Taller BGP Sergio PDF

Uploaded by

Copyright:

Available Formats

SergioGlvezMorales2013

Autonomous System Numbers (ASN)

Border GatewayProtocol (BGP)

router bgp xxxx

MultiExit Discriminator (MED)

router bgp 65535

router bgp 65536

Router bgp 65536

router bgp 65536

You might also like