IP : Border Gateway Protocol (BGP)

Como Bloquear Uma ou Mais Redes de um Correspondente BGP

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

A filtragem de rota é a base pela qual as políticas do roteamento BGP são definidas. Há várias maneiras de filtrar uma ou várias redes de um peer BGP, incluindo a Network Layer Reachability Information (NLRI) e os atributos AS_Path e Community. Este documento discute a filtragem baseada em NLRI apenas. Para obter informações sobre como filtrar com base em AS_Path, consulte Usando expressões regulares em BGP. Para obter informações adicionais, consulte a seção Filtragem BGP de Estudos de Caso de BGP.

Pré-requisitos

Requisitos

Cisco recomenda que você tem a configuração de BGP do conhecimento do gerenciamento de recursos básicos. Para mais informação, refira Casos Práticos do BGP e BGP configurar.

Componentes Utilizados

A informação neste documento é baseada no Software Release 12.2(28) de Cisco IOS�.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Identificando e filtrando rotas com base em NLRI

Para restringir a informação de roteamento que o roteador aprende ou anuncia, você pode usar os filtros baseados em atualizações de roteamento. Os filtros consistem em uma lista de acessos ou em uma lista de prefixo, que seja aplicada às atualizações aos vizinhos e dos vizinhos. Este documento explora estas opções com este diagrama da rede:

Diagrama de Rede

/image/gif/paws/13750/22.gif

Filtragem usando lista de distribuição com uma lista de acesso padrão

O roteador 200 anuncia estas redes a seu roteador de peer 100:

  • 192.168.10.0/24

  • 10.10.10.0/24

  • 10.10.0.0/19

Esta configuração de exemplo permite o roteador 100 de negar uma atualização para a rede 10.10.10.0/24 e de permitir as atualizações das redes 192.168.10.0/24 e 10.10.0.0/19 em sua tabela de BGP:

Roteador 100
hostname Router 100
!
router bgp 100
neighbor 172.16.1.2 remote-as 200
neighbor 172.16.1.2 distribute-list 1 in
!
access-list 1 deny 10.10.10.0 0.0.0.255
access-list 1 permit any

Roteador 200
hostname Router 200
!
router bgp 200
no synchronization
network 192.168.10.0
network 10.10.10.0 mask 255.255.255.0
network 10.10.0.0 mask 255.255.224.0
no auto-summary
neighbor 172.16.1.1 remote-as 100

Esta saída do comando show ip bgp confirma as ações de roteador 100:

Router 100# show ip bgp

BGP table version is 3, local router ID is 172.16.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 10.10.0.0/19     172.16.1.2               0             0 200 i
*> 192.168.10.0/24  172.16.1.2               0             0 200 i

Filtragem utilizando a lista de distribuição com uma lista de acesso estendido

Pode ser complicada usar uma lista de acesso padrão para filtrar a super-redes. Supõe que o roteador 200 anuncia estas redes:

  • 10.10.1.0/24 a 10.10.31.0/24

  • 10.10.0.0/19 (seu agregado)

Desejos do roteador 100 para receber - somente a rede agregada, 10.10.0.0/19, e para filtrar para fora todas as redes específicas.

Uma lista de acesso padrão, tal como a licença 10.10.0.0 0.0.31.255 da lista de acesso 1, não trabalhará porque permite mais redes do que desejadas. Os olhares da lista de acesso padrão no endereço de rede somente e não podem verificar o comprimento da máscara de rede. Essa lista de acesso padrão permitirá o agregado de /19 assim como as redes mais específicas de /24.

Para permitir somente os super-rede 10.10.0.0/19, use uma lista de acesso extendida, tal como a licença IP 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0 do access-list 101. Refira a lista de acesso (IP estendido) para o formato do comando da lista de acesso extendida.

Em nosso exemplo, a fonte é 10.10.0.0 e o widlcard de origem de 0.0.0.0 é configurado para um exato - fósforo da fonte. Uma máscara de 255.255.224.0, e um máscara-convite de 0.0.0.0 são configurados para um exato - fósforo da máscara da fonte. Se nenhum deles (fonte ou máscara) não tem um exato - combine, a lista de acessos nega-a.

Isto permite o comando da lista de acesso extendida permitir um exato - fósforo do network number 10.10.0.0 da fonte com máscara 255.255.224.0 (e assim, 10.10.0.0/19). As outras redes mais específicas de /24 serão filtradas para fora.

Nota: Ao configurar curingas, 0 significam que é um exato - combinam o bit e 1 é um fazer-não-cuidado-bit.

Esta é a configuração no roteador 100:

Roteador 100
hostname Router 100
  !
  router bgp 100

!--- Output suppressed.

   neighbor 172.16.1.2 remote-as 200
   neighbor 172.17.1.2 distribute-list 101 in
  !
  !
  access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0

A saída do comando show ip bgp do roteador 100 confirma que a lista de acessos está trabalhando como esperado.

Router 100# show ip bgp

BGP table version is 2, local router ID is 172.16.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 10.10.0.0/19     172.16.1.2               0             0 200 i

Como visto nesta seção, as listas de acesso extendida são mais convenientes de usar-se quando algumas redes devem ser permitidas e alguns recusadas, dentro da mesma rede principal. Estes exemplos fornecem mais introspecção em como uma lista de acesso extendida pode ajudar em algumas situações:

  • licença IP 192.168.0.0 0.0.0.0 255.255.252.0 0.0.0.0 do access-list 101

    Esta lista de acesso permite somente os super-rede 192.168.0.0/22.

  • licença IP 192.168.10.0 0.0.0.255 255.255.255.0 0.0.0.255 da lista de acesso 102

    Esta lista de acesso permite todas as sub-redes de 192.168.10.0/24. Ou seja permitirá 192.168.10.0/24, 192.168.10.0/25, 192.168.10.128/25, e assim por diante: algumas das redes 192.168.10.x com uma máscara que varie de 24 a 32.

  • licença IP 0.0.0.0 255.255.255.255 255.255.255.0 0.0.0.255 da lista de acesso 103

    Esta lista de acessos permite todo o prefixo de rede com uma máscara que varie de 24 a 32.

Filtrando com o comando ip prefix-list

O roteador 200 anuncia estas redes a seu roteador de peer 100:

  • 192.168.10.0/24

  • 10.10.10.0/24

  • 10.10.0.0/19

As configurações de amostra nesta seção usam o comando ip prefix-list, que permite o roteador 100 de fazer duas coisas:

  • Permita atualizações para toda a rede com um comprimento da máscara do prefixo inferior ou igual a 19.

  • Negue todas as atualizações da rede com um comprimento da máscara de rede maior de 19.

Roteador 100
hostname Router 100
  !
  router bgp 100
   neighbor 172.16.1.2 remote-as 200
   neighbor 172.16.1.2 prefix-list cisco in
  !

ip prefix-list cisco seq 10 permit 0.0.0.0/0 le 19

Roteador 200
hostname Router 200
!
router bgp 200
no synchronization
network 192.168.10.0
network 10.10.10.0 mask 255.255.255.0
network 10.10.0.0 mask 255.255.224.0
no auto-summary
neighbor 172.16.1.1 remote-as 100

A saída do comando show ip bgp confirma que a lista de prefixo está trabalhando como esperado no roteador 100.

Router 100# show ip bgp

BGP table version is 2, local router ID is 172.16.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 10.10.0.0/19     172.16.1.2               0             0 200 i

Em conclusão, o uso das listas de prefixo é a maioria de maneira conveniente filtrar redes no BGP. Em alguns casos, porém — por exemplo, quando você quiser filtrar impar e mesmo redes quando você igualmente controlar o comprimento da máscara — as listas de acesso extendida lhe oferecerão a maior flexibilidade e a controlarão do que listas de prefixo.

Rotas padrão de filtração dos bgp peer

Você pode filtrar ou obstruir uma rota padrão, tal como 0.0.0.0/32 que estão sendo anunciados pelo bgp peer, usando o comando da lista de prefixos. Você pode ver a entrada de 0.0.0.0 disponível usando o comando show ip bgp.

Router 100#show ip bgp
BGP table version is 5, local router ID is 172.16.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 0.0.0.0          172.16.1.2             0             0 200 i

A configuração de exemplo nesta seção é executada no roteador 100 usando o comando ip prefix-list.

Roteador 100
hostname Router 100
  !
  router bgp 100
   neighbor 172.16.1.2 remote-as 200
   neighbor 172.16.1.2 prefix-list deny-route in
  !

ip prefix-list deny-route seq 5 deny 0.0.0.0/32
ip prefix-list deny-route seq 10 permit 0.0.0.0/0 le 32

Se você BGP da mostra IP do perfom após esta configuração, você não verá a entrada de 0.0.0.0, que estava disponível nas saídas BGP IP precedentes da mostra.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13750