Agujero negro accionado telecontrol del IPV6 de la configuración con el IPv6 BGP
Contenido
Introducción
Este documento describe el comportamiento considerado con el agujero negro accionado telecontrol del IPV6 (RTBH). Muestra a escenario donde está intencionalmente negro el tráfico del IPv6 agujereado usando un Route Map.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- IPv6
- Border Gateway Protocol (BGP)
Componentes Utilizados
La información en este documento se basa en la versión de Cisco IOS Software Release 15.4.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Antecedentes
La filtración RTBH es una técnica empleada generalmente para prevenir el ataque de Negación de servicio (DoS). Un problema común considerado con los ataques DOS es que la red está inundada con los volúmenes enormes de tráfico indeseado/malévolo. Esto da lugar a la obstrucción del link y a otros problemas como CPU elevada el etc. Esto muere de hambre hacia fuera el tráfico legítimo y los resultados en las implicaciones serias en la red.
Según el RFC 2545, incluirán a la dirección local del link en el campo de salto siguiente si y solamente si el BGP de conversación comparte una subred común con la entidad identificada por el direccionamiento global del IPv6 llevó adentro a la dirección de red del campo de salto siguiente y están haciendo publicidad el par la ruta a. En todos los demás casos un BGP de conversación hará publicidad a su par en el campo de dirección de red solamente del direccionamiento global del IPv6 del salto siguiente.
Significa básicamente que si usted tiene una relación del vecino eBGP del IPv6 en directamente la subred conectada, después lleva el IP local del link así como el direccionamiento global del IPv6 como salto siguiente. Sin embargo, el pedido el comando (RFC) no especifica cuál debe ser preferido. Cisco prefiere a la dirección local del link porque mientras que envía el paquete es siempre la distancia más corta. Cuando usted utiliza RTBH, podría ser un problema y este documento explica cómo ocuparse de él.
Configurar
Este documento toma un caso del uso para explicar el comportamiento y los comandos usados para conseguir el funcionamiento RTBH.
Diagrama de la red
Esta imagen se utiliza como una topología de ejemplo para el resto de este documento.
- El r1 tiene relación del vecino eBGP con el r2 y el r2 tiene relación del vecino eBGP con el R3.
- El r1 del router hace publicidad de su loopback0 (FC00::192:168:1:1/128) vía el BGP al r2 y el r2 hace publicidad de él al R3.
- El R3 utiliza un route-map para fijar el salto siguiente para el prefijo del loopback R1 a un direccionamiento simulado del IPv6 esas puntas “PARA ANULAR el 0" en la tabla de ruteo.
Configuración pertinente
Esta configuración se utiliza en diverso Routers para simular una situación donde RTBH sería utilizado:
R1
interface Ethernet1/0
no ip address
ipv6 address FC00::1/126
end
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
ipv6 address FC00::192:168:1:1/128
!
router bgp 65500
bgp router-id 192.168.1.1
bgp log-neighbor-changes
neighbor FC00::2 remote-as 65501
!
address-family ipv6
network FC00::/126
network FC00::192:168:1:1/128
neighbor FC00::2 activate
R2
interface Ethernet1/0
no ip address
ipv6 address FC00::2/126
end
!
interface Ethernet1/1
no ip address
ipv6 address FC00::5/126
!
router bgp 65501
bgp router-id 192.168.1.2
bgp log-neighbor-changes
neighbor FC00::1 remote-as 65500
neighbor FC00::6 remote-as 65502
!
address-family ipv6
network FC00::/126
network FC00::4/126
neighbor FC00::1 activate
neighbor FC00::6 activate
R3
interface Ethernet1/1
no ip address
ipv6 address FC00::6/126
end
!
ipv6 prefix-list BLACKHOLE-PREFIX seq 5 permit FC00::192:168:1:1/128
!
route-map BLACKHOLE-PBR permit 10
match ipv6 address prefix-list BLACKHOLE-PREFIX
set ipv6 next-hop FC00::192:168:1:3
route-map BLACKHOLE-PBR permit 20
!
router bgp 65502
bgp router-id 192.168.1.3
bgp log-neighbor-changes
neighbor FC00::5 remote-as 65501
!
address-family ipv6
network FC00::4/126
neighbor FC00::5 activate
neighbor FC00::5 route-map BLACKHOLE-PBR in
Verificación
Caso de prueba 1
Cuando hay ningún Routing basado en políticas (PBR) configurado en el R3, en la tabla de ruteo, ruta al loopback R1 en el R3 señala a la dirección local del link FE80::A8BB:CCFF:FE00:A211 R2'.
BGP Configuration
router bgp 65502
bgp router-id 192.168.1.3
bgp log-neighbor-changes
neighbor FC00::5 remote-as 65501
!
address-family ipv6
network FC00::4/126
neighbor FC00::5 activate
BGP has both next-hops.
R3#show bgp ipv6 unicast FC00::192:168:1:1/128
BGP routing table entry for FC00::192:168:1:1/128, version 4
Paths: (1 available, best #1, table default)
Not advertised to any peer
Refresh Epoch 1
65501 65500
FC00::5 (FE80::A8BB:CCFF:FE00:A211) from FC00::5 (192.168.1.2)
Origin IGP, localpref 100, valid, external, best
rx pathid: 0, tx pathid: 0x0
Routing Table has Link Local address as the next-hop.
R3#show ipv6 route FC00::192:168:1:1
Routing entry for FC00::192:168:1:1/128
Known via "bgp 65502", distance 20, metric 0, type external
Route count is 1/1, share count 0
Routing paths:
FE80::A8BB:CCFF:FE00:A211, Ethernet1/1
MPLS label: nolabel
Last updated 00:02:45 ago
Destination is reachable
R3#ping ipv6 FC00::192:168:1:1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FC00::192:168:1:1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Caso de prueba 2
Cuando hay PBR configurado usando el route-map BLACKHOLE-PBR en el R3, se observa que para FC00::192:168:1:1/128 (loopback R1), el Next-Hop en la tabla de ruteo todavía señala a la dirección local del link FE80::A8BB:CCFF:FE00:A211 R2'. Por lo tanto, el tráfico nunca es haber agujereado negro y en lugar de otro ruteado usando las direcciones locales del link.
BGP Configuration
ipv6 prefix-list BLACKHOLE-PREFIX seq 5 permit FC00::192:168:1:1/128
!
route-map BLACKHOLE-PBR permit 10
match ipv6 address prefix-list BLACKHOLE-PREFIX
set ipv6 next-hop FC00::192:168:1:3
!
route-map BLACKHOLE-PBR permit 20
!
router bgp 65502
bgp router-id 192.168.1.3
bgp log-neighbor-changes
neighbor FC00::5 remote-as 65501
!
address-family ipv4
no neighbor FC00::5 activate
exit-address-family
!
address-family ipv6
network FC00::4/126
neighbor FC00::5 activate
neighbor FC00::5 route-map BLACKHOLE-PBR in
Next-hop in BGP changes to the one defined in route-map.
R3#show bgp ipv6 unicast FC00::192:168:1:1/128
BGP routing table entry for FC00::192:168:1:1/128, version 4
Paths: (1 available, best #1, table default)
Not advertised to any peer
Refresh Epoch 1
65501 65500
FC00::192:168:1:3 (FE80::A8BB:CCFF:FE00:A211) from FC00::5 (192.168.1.2)
Origin IGP, localpref 100, valid, external, best
rx pathid: 0, tx pathid: 0x0
New next-hop is not reachable and points to Null 0
R3#show ipv6 route FC00::192:168:1:3
Routing entry for FC00::192:168:1:3/128
Known via "static", distance 1, metric 0
Route count is 1/1, share count 0
Routing paths:
directly connected via Null0
Last updated 00:19:23 ago
Routing table still uses Link Local address as next-hop.
R3#show ipv6 route FC00::192:168:1:1
Routing entry for FC00::192:168:1:1/128
Known via "bgp 65502", distance 20, metric 0, type external
Route count is 1/1, share count 0
Routing paths:
FE80::A8BB:CCFF:FE00:A211, Ethernet1/1
MPLS label: nolabel
Last updated 00:00:41 ago
Destination is still reachable.
R3#ping ipv6 FC00::192:168:1:1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FC00::192:168:1:1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Caso de prueba 3
Para superar este comportamiento, utilice el neutralización-conectar-control del comando configuration del vecino BGP en el R3. el Neutralización-conectar-control se utiliza para asumir que el direccionamiento del IPv6 del vecino es solamente una manera del salto. El scernario más común donde se utiliza este comando está cuando la relación del vecino eBGP se establece en los loopback para directamente los routeres conectados. En este caso, el comando da una impresión que el Routers está construyendo la relación del vecino eBGP y no está en la subred común. La vecindad podría estar a través de los loopback y por lo tanto, router mientras que hace publicidad del prefijo que no lleva la dirección local del link sino solamente el direccionamiento global del IPv6.
Una vez que se agrega este comando, usted puede ver que ruta para el loopback 192:168:1:1/128 R1 en la tabla de ruteo de R3, las puntas al salto siguiente en el route-map del acuerdo que es FC00::192:168:1:3. Ahora, puesto que FC00::192:168:1:3 tiene una ruta que señala al null0, por lo tanto, el tráfico es negro agujereado.
BGP Configuration
ipv6 prefix-list BLACKHOLE-PREFIX seq 5 permit FC00::192:168:1:1/128
!
route-map BLACKHOLE-PBR permit 10
match ipv6 address prefix-list BLACKHOLE-PREFIX
set ipv6 next-hop FC00::192:168:1:3
!
route-map BLACKHOLE-PBR permit 20
!
router bgp 65502
bgp router-id 192.168.1.3
bgp log-neighbor-changes
neighbor FC00::5 remote-as 65501
neighbor FC00::5 disable-connected-check
!
address-family ipv4
no neighbor FC00::5 activate
exit-address-family
!
address-family ipv6
network FC00::4/126
neighbor FC00::5 activate
neighbor FC00::5 route-map BLACKHOLE-PBR in
Next-hop in BGP changes to the one defined in route-map. There is no Link Local Address.
R3#show bgp ipv6 unicast FC00::192:168:1:1/128
BGP routing table entry for FC00::192:168:1:1/128, version 4
Paths: (1 available, best #1, table default)
Not advertised to any peer
Refresh Epoch 1
65501 65500
FC00::192:168:1:3 from FC00::5 (192.168.1.2)
Origin IGP, localpref 100, valid, external, best
rx pathid: 0, tx pathid: 0x0
Routing table uses the new next-hop.
R3#show ipv6 route FC00::192:168:1:1
Routing entry for FC00::192:168:1:1/128
Known via "bgp 65502", distance 20, metric 0, type external
Route count is 1/1, share count 0
Routing paths:
FC00::192:168:1:3
MPLS label: nolabel
Last updated 00:00:37 ago
New next-hop is pointed to Null 0. Traffic will be dropped.
R3#show ipv6 route FC00::192:168:1:3
Routing entry for FC00::192:168:1:3/128
Known via "static", distance 1, metric 0
Route count is 1/1, share count 0
Routing paths:
directly connected via Null 0
Last updated 02:18:03 ago
Destination is not reachable
R3#ping ipv6 FC00::192:168:1:1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FC00::192:168:1:1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Troubleshooting
No hay actualmente información específica acerca de Troubleshooting disponible para este documento.
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)