BGP_Advanced_Routing
Apêndice B: Roteamento avançado do BGP
Este apêndice fornece uma visão geral sobre a implementação do Border Gateway Protocol (BGP) da Dell SonicWALL, como funciona e como configurá-lo para a sua rede.
Este documento contém as seguintes seções:
• Avisos
• Verificar a configuração do BGP
• BGP IPv6
As seções seguintes fornecem uma visão geral do BGP:
BGP é um protocolo de roteamento em grande escala usado para comunicar informações de roteamento entre sistemas autônomos (ASs), os quais são domínios de rede bem definidos e administrados separadamente. O suporte de BGP permite que dispositivos de segurança da Dell SonicWALL substituam um roteador BGP tradicional no limite do AS de uma rede. A implementação atual de BGP da Dell SonicWALL é mais adequada para ambientes de "provedor único/hospedagem única", onde a rede utiliza um ISP como o seu provedor de Internet e tem uma única conexão a esse provedor. O BGP da Dell SonicWALL também é capaz de suportar ambientes de "provedor único/hospedagem múltipla", onde a rede utiliza um único ISP, mas tem um pequeno número de rotas separadas para o provedor. O BGP é habilitado na página Rede > Roteamento da GUI do SonicOS e, em seguida, é totalmente configurado através da interface de linha de comando (CLI) SonicOS.
Os protocolos de roteamento não são apenas pacotes transmitidos através de uma rede, mas incluem todos os mecanismos através dos quais roteadores e grupos de roteadores descobrem, organizam e comunicam topologias de rede. Os protocolos de roteamento usam algoritmos distribuídos que dependem de cada participante que segue o protocolo tal como é especificado e são muito úteis quando as rotas em um domínio de rede mudam dinamicamente, uma vez que as ligações entre nós de rede mudam o estado.
Os protocolos de roteamento normalmente interagem com dois bancos de dados:
• Base de informações de roteamento (RIB) – utilizada para armazenar todas as informações de rota requeridas pelos próprios protocolos de roteamento.
• Base de informações de encaminhamento (FIB) – utilizada para encaminhamento de pacotes.
As melhores rotas escolhidas na RIB são usadas para preencher a FIB. A RIB e a FIB mudam dinamicamente, uma vez que as atualizações de roteamento são recebidas por cada protocolo de roteamento, ou a conectividade no dispositivo muda.
Existem duas classes básicas de protocolos de roteamento:
• Protocolos de gateway interior (IGPs) – os protocolos de gateway interior são protocolos de roteamento concebidos para comunicar rotas em redes que existem dentro de um AS. Existem duas gerações de IGPs. A primeira geração consiste em protocolos de vetor de distância. A segunda geração consiste em protocolos de estado de ligações. Os protocolos de vetor de distância são relativamente simples, mas têm problemas quando são dimensionados para um grande número de roteadores. Os protocolos de estado de ligações são mais complexos, mas têm uma capacidade de dimensionamento melhor. Os protocolos existentes de vetor de distância são o IGRP (Interior Gateway Routing Protocol – Protocolo de roteamento de gateway interior), o EIGRP (Enhanced Interior Gateway Routing Protocol – Protocolo de roteamento de gateway interior aprimorado), o RIP (Routing Information Protocol – Protocolo de informações de roteamento) e o RIPv2, uma versão aprimorada do RIP. IGRP e EIGRP são protocolos da Cisco. Os protocolos de estado de ligações em uso no momento são os protocolos OSPF (Open Shortest Path First – Abrir o caminho mais curto primeiro) e IS-IS (Intermediate System to Intermediate System – Sistema intermediário para sistema intermediário).
O SonicOS suporta os protocolos OSPFv2 e RIPv1/v2 (os dois protocolos de gateway interior de roteamento mais comuns), permitindo que os nossos clientes usem os nossos produtos nas suas redes IGP e evitem o custo adicional de um roteador tradicional separado.
• Protocolos de gateway exterior (EGPs) – o protocolo de gateway exterior padrão e generalizado é o BGP (BGP4, para maior exatidão). O BGP é um protocolo de roteamento em grande escala que comunica informações e políticas de roteamento entre domínios de rede bem definidos denominados sistemas autônomos (ASs). Um sistema autônomo é um domínio de rede administrado separadamente, independente de outros sistemas autônomos. O BGP é usado para transmitir rotas e políticas de rotas entre sistemas autônomos. Os ISPs usam frequentemente o BGP para transmitir rotas e políticas de rotas para os seus clientes, bem como para outros ISPs.
Cada sistema autônomo tem um número de 16 bits atribuído. Tal como acontece com os endereços IP, o número de um AS pode ser público ou privado. Números de AS públicos são um recurso limitado e não são fornecidos com base em vários fatores. Os clientes de ISP com redes grandes de hospedagem múltipla para dois ou mais ISPs normalmente têm um AS público, enquanto os clientes com redes menores terão um AS privado administrado pelo seu ISP.
Como os nossos produtos evoluem para suportar os requisitos ao nível corporativo, alguns clientes poderão desejar colocar os nossos produtos no limite do seu AS, em vez de um roteador tradicional de BGP. Para o suporte destas topologias, foi adicionado o BGP.
Note O SonicOS suporta BGP4+, ou suporte de IPv6 no BGP4 (RFC 2545), em plataformas que suportam BGP.
Cada sistema autônomo tem um número de 16 bits atribuído. Tal como acontece com os endereços IP, o número de um AS pode ser público ou privado. Números de AS públicos são um recurso limitado e não são fornecidos com base em vários fatores. Os clientes de ISP com redes grandes de hospedagem múltipla para dois ou mais ISPs normalmente têm um AS público, enquanto os clientes com redes menores terão um AS privado administrado pelo seu ISP.
O BGP é um protocolo de roteamento muito flexível e complexo. Como tal, os roteadores de BGP podem ser colocados em uma grande variedade de configurações de topologias, como roteadores de núcleo da Internet, roteadores de ISP intermediários, equipamentos nas instalações do cliente (CPE) de ISP ou roteadores em pequenas redes privadas de BGP. O número de rotas de BGP necessário para diferentes topologias varia entre um valor superior a 300.000 para roteadores de núcleo e 0 para os clientes de ISP que usam um único ISP e usam roteamento padrão para todos os destinos fora de seu AS. É frequentemente necessário que os clientes de ISP executem o BGP do roteador do limite (CPE) ao ISP, independentemente do número de rotas que recebem do ISP. Isso permite que os clientes de ISP controlem as redes que desejam anunciar ao mundo externo. Existe sempre o medo de que um cliente anuncie uma rede ou rede agregada que não lhe pertença, criando um buraco negro no tráfego da Internet para essas redes. Na realidade, os provedores ISP são cuidadosos a filtrar propagandas inválidas de seus clientes (um dos pontos fortes do BGP), por isso esta situação raramente acontece.
Existem três escalas básicas de redes de BGP:
• Provedor único/hospedagem única – a rede recebe uma rota única (hospedagem única) a partir de um ISP único (provedor único). O número de rotas que um cliente de ISP recebe do respectivo ISP depende da natureza de seu AS. Um cliente de ISP que usa apenas um ISP como provedor de Internet e possui uma conexão única a esse provedor (provedor único/hospedagem única) não precisa receber quaisquer rotas, pois todo o tráfego destinado para fora do AS irá para o respectivo ISP. Esses clientes ainda podem anunciar algumas ou todas as suas redes internas ao ISP.
• Provedor único/hospedagem múltipla – a rede recebe rotas múltiplas (hospedagem múltipla) de um único ISP (provedor único). Os clientes de ISP que usam um único ISP, mas têm múltiplas conexões ao ISP, podem receber apenas a rota padrão (0.0.0.0/0) em cada gateway do ISP. Se uma conexão ao ISP falhar, a rota padrão anunciada enviada do roteador CPE conectado para roteadores internos será retirada e o tráfego da Internet fluirá então para um roteador CPE que tem conectividade com o ISP. A rede interna do cliente também será anunciada ao ISP em cada gateway de roteador CPE, permitindo que o ISP use caminhos alternativos se uma conexão específica para um cliente falhar.
• Provedor múltiplo/hospedagem múltipla – os clientes de ISP que usam mais de um ISP (provedor múltiplo/hospedagem múltipla) têm um ou mais roteadores de gateway separados para cada ISP. Nesse caso, o AS do cliente deve ser um AS público e poderá ser um AS de trânsito ou não de trânsito. Um AS de trânsito receberá e encaminhará o tráfego de um ISP destinado a uma rede acessível por meio de outro ISP (o destino do tráfego não se encontra no AS do cliente). Um AS não de trânsito só deverá receber tráfego destinado ao respectivo AS e o restante tráfego será descartado. Os roteadores de BGP em um AS de trânsito recebem frequentemente uma grande quantidade (em muitos casos toda a quantidade) da tabela de encaminhamento de BGP completa de cada ISP.
• Mesmo que você não tenha uma rede grande na Internet, o BGP é o padrão para hospedagem múltipla, balanceamento de carga e redundância:
– Provedor único/hospedagem única – não é normalmente um forte candidato ao BGP, mas pode ainda usá-lo para anunciar redes ao ISP. As redes de hospedagem única não são elegíveis para um AS público de RIRs.
– Provedor único/hospedagem múltipla – é comum seguir a sugestão de RFC2270 para usar um AS privado único (64512 a 65535) para obter o benefício de BGP preservando o ASN público.
– Provedor múltiplo/hospedagem múltipla – altamente redundante, normalmente com roteadores dedicados para cada ISP. Requer ASN público. Grande volume de memória
• O resumo da rota torna o roteamento escalável.
O BGP utiliza a porta TCP 179 para comunicação. O BGP é considerado um protocolo de vetor de caminho, contendo descrições de destinos de caminho completo. Os vizinhos do BGP podem ser internos (iBGP) ou externos (eBGP):
• iBGP – o vizinho encontra-se no mesmo AS.
• eBGP – o vizinho encontra-se em um AS diferente.
Os caminhos são anunciados em mensagens de ATUALIZAÇÃO que são marcadas com vários atributos de caminho. AS_PATH e NEXT_HOP são os dois atributos mais importantes que descrevem o caminho de uma rota em uma mensagem de atualização de BGP.
• AS_PATH: Indica aos ASs que a rota está viajando de uma determinada origem para um determinado destino. No exemplo abaixo, o AS_PATH é proveniente do AS 7675 para o AS 12345. Relativamente ao BGP interno, o AS_PATH especifica o mesmo AS para a origem e para o destino.
• NEXT_HOP: Indica o endereço IP do roteador seguinte para o qual o caminho viaja. Os caminhos anunciados nos limites do AS herdam o endereço NEXT_HOP do roteador de limite. O BGP depende dos protocolos de roteamento internos para chegar aos endereços NEXT_HOP.
Máquina de estado finito de BGP
O RFC 1771, que define o BGP, descreve a operação do BGP em termos da máquina de estado seguinte. A tabela a seguir ao diagrama apresenta informações adicionais sobre os vários estados.
Figure 99:29 Máquina de estado finito de BGP
|
A comunicação de BGP inclui os seguintes tipos de mensagens
• Abrir – a primeira mensagem entre os pares de BGP após o estabelecimento da sessão TCP. Contém as informações necessárias para estabelecer uma sessão de troca de tráfego, por exemplo, ASN, tempo de espera e recursos como extensões de vários produtos e atualização de rota.
• Atualizar – essas mensagens contêm informações de caminho, como avisos de rota ou retiradas.
• Keepalive – mensagens periódicas para manter a camada TCP ativa e para anunciar a atividade.
• Notificação – uma solicitação para terminar a sessão de BGP. Notificações não fatais contêm o código de erro "cease" (cessar). Os subcódigos fornecem mais detalhes:
|
• Atualização de rota – uma solicitação para o par reenviar as suas rotas.
As mensagens de atualização de BGP podem incluir os seguintes atributos:
|
Para obter mais informações sobre os atributos de BGP, consulte:
http://www.iana.org/assignments/bgp-parameters/bgp-parameters.xml
• Escala – atualmente o SonicOS oferece suporte de rotas baseadas em políticas (PBRs) de 512 a 2048. Isso não é suficiente para a totalidade ou mesmo parte das tabelas de roteamento. O número de rotas que existe na RIB poderá ser superior ao número instalado na PBR (que é a FIB). Isso ocorre quando várias rotas concorrentes foram recebidas através de protocolos de roteamento. Para cada caso em que a RIB contém rotas concorrentes rotas em um destino de rede específico, apenas uma dessas rotas é escolhida para ser instalada na FIB.
Atualmente, a nossa implementação é mais adequada para os clientes de provedor único/hospedagem única. As instalações de provedor único/hospedagem múltipla também poderão ser adequadas quando a rota padrão está sendo recebida pelo ISP ou quando um número muito pequeno de rotas específicas de ISP é recebido pelo cliente. A última situação permite que roteadores internos optem pelo caminho ideal para destinos fora do AS, mas ainda no domínio da rede do ISP (isto é denominado rotas parciais).
• Balanceamento de carga – não existe atualmente suporte para múltiplos caminhos no SonicOS ou Zebos (o recurso "caminhos máximos"). Isto impossibilita o balanceamento de carga sem dividir redes.
• Loopback – não existe atualmente nenhum suporte de interface de loopback.
• NAT – o BGP destina-se a roteamento. Não coexiste satisfatoriamente com NAT.
• Atualizações de VPN – as atualizações de BGP por meio de VPN não estão funcionando atualmente.
• Caminhos assimétricos – o firewall estável não tratará atualmente caminhos assimétricos, especialmente em vários firewalls.
As seções a seguir descrevem como configurar o roteamento avançado do BGP do SonicOS:
• Processo de seleção de caminho do BGP
• Multiple Exit Discriminator (MED)
• Sincronização e resumo automático
• Impedir um AS de trânsito acidental
• Usar BGP de hospedagem múltipla para compartilhamento de carga
O BGP transmite pacotes sem codificação. Portanto, para uma segurança forte, a Dell SonicWALL recomenda configurar um túnel IPSec para usar em sessões de BGP. As configurações do túnel IPSec e de BGP são independentes entre si. O túnel IPSec é totalmente configurado na seção de configuração de VPN da GUI do SonicOS e o BGP é habilitado na página Rede > Roteamento e depois configurado na interface de linha de comando do SonicOS. Ao configurar o BGP em IPSec, configure primeiro o túnel IPSec e verifique a conectividade no túnel antes de configurar o BGP.
O procedimento a seguir mostra um exemplo de configuração IPSec entre a Dell SonicWALL e um par de BGP remoto, em que a Dell SonicWALL está configurada para 192.168.168.75/24 na rede X0 e o par remoto está configurado para 192.168.168.35/24 na rede X0.
1. Navegue até a página VPN > Configurações e clique no botão Adicionar na seção Políticas de VPN. A janela Políticas de VPN será exibida.
2. No menu suspenso Tipo de política, certifique-se de que a opção Site a site seja selecionada.
Note Um túnel VPN site a site deve ser usado para BGP através de IPSec. As interfaces de túnel não funcionarão para BGP.
3. Selecione o Método de autenticação desejado. Neste exemplo, estamos usando IKE usando segredo previamente compartilhado.
4. Insira um Nome para a política de VPN.
5. No campo Nome ou endereço de gateway primário IPsec, digite o endereço IP do par remoto (neste exemplo: 192.168.168.35).
6. No campo Nome ou endereço de gateway secundário IPsec, digite 0.0.0.0.
7. Insira um Segredo compartilhado e confirme-o.
8. No campo ID de IKE local, digite o endereço IP do Dell SonicWALL (neste exemplo: 192.168.168.75)
9. No campo ID de IKE par, digite o endereço IP do par remoto (192.168.168.35).
10. Clique na guia Rede.
11. Para a rede local, selecione X0 IP no menu suspenso Escolher rede local na lista.
12. Para a rede remota, selecione o endereço IP do par remoto no menu suspenso Escolher rede de destino na lista que é, neste exemplo, 192.168.168.35. Se o endereço IP remoto não estiver listado, selecione Criar novo objeto de endereço para criar um objeto de endereço para o endereço IP.
13. Clique na guia Propostas. Você pode usar as propostas IPSec padrão ou personalizá-las como achar adequado.
14. Clique na guia Avançado.
15. Marque a caixa de seleção Habilitar keep alive.
16. Clique em OK.
A política de VPN está agora configurada no dispositivo Dell SonicWALL. Conclua agora a configuração de IPSec correspondente no par remoto. Quando estiver concluída, retorne à página VPN > Configurações e marque a caixa de seleção Habilitar para a política de VPN iniciar o túnel IPSec.
Use o diagnóstico de ping no Dell SonicWALL para fazer ping ao endereço IP do par de BGP e usar o Wireshark para garantir que a solicitação e a resposta estão sendo encapsuladas em pacotes ESP.
Note Como configurado neste exemplo, o tráfego roteado não percorrerá o túnel IPSEC usado para o BGP. O tráfego é enviado e recebido sem codificação, o que provavelmente será o comportamento desejado, pois o objetivo é proteger o BGP e não todo o tráfego de rede roteado.
Para obter informações detalhadas sobre a configuração de IPSec, consulte os capítulos VPN no Guia do administrador do SonicOS.
Para configurar o BGP em um dispositivo de segurança Dell SonicWALL, execute as seguintes tarefas:
1. Na GUI do SonicOS, navegue até a página Rede > Roteamento.
2. No menu suspenso Modo de roteamento, selecione Roteamento avançado.
3. No menu suspenso BGP, selecione Habilitado (Configurar com CLI).
Note A licença expandida do SonicOS é necessária para o BGP. Consulte a página Sistema > Licenças para gerenciar suas licenças.
Após o BGP ter sido habilitado através da GUI, as especificidades da configuração do BGP são executadas usando a interface de linha de comando (CLI) do SonicOS. Para obter informações detalhadas sobre como realizar a conexão à CLI do SonicOS, consulte o Guia da interface de linha de comando do SonicOS em:
http://www.SonicWALL.com/us/support/230_3623.html
4. Efetue o login na CLI do SonicOS através da interface do console.
5. Entre no modo de configuração digitando o comando configure.
6. Entre na CLI do BGP digitando o comando route ars-bgp. Você verá o seguinte prompt:
ZebOS version 7.7.0 IPIRouter 7/2009
ARS BGP>
7. Agora você está no modo de não configuração do BGP. Digite ? para ver uma lista de comandos de não configuração.
8. Digite show running-config para ver a configuração atual em execução do BGP.
9. Para entrar no modo de configuração do BGP, digite o comando configure terminal. Digite ? para ver uma lista de comandos de configuração.
10. Quando você tiver concluído a sua configuração, digite o comando write file. Se a unidade fizer parte de um par ou cluster de alta disponibilidade, as alterações de configuração serão automaticamente transmitidas para a outra unidade ou unidades.
Processo de seleção de caminho do BGP
Os seguintes atributos podem ser usados para configurar o processo de seleção de caminho do BGP.
|
O comando de peso atribui um valor de peso, por família de endereços, a todas as rotas aprendidas de um vizinho. A rota com o peso mais alto obtém preferência quando o mesmo prefixo é aprendido a partir de mais de um par. O peso é relevante apenas para o roteador local.
Os pesos atribuídos usando o comando set weight substituem os pesos atribuídos com este comando.
Quando o peso está definido para um grupo de pares, todos os membros deste grupo terão o mesmo peso. O comando também pode ser usado para atribuir um peso diferente a um membro de um grupo de pares específico.
O exemplo a seguir mostra a configuração de peso:
router bgp 12345
neighbor 12.34.5.237 remote-as 12345
neighbor 12.34.5.237 weight 60
router bgp 12345
neighbor group1 peer-group
neighbor 12.34.5.237 peer-group group1
neighbor 67.78.9.237 peer-group group1
neighbor group1 weight 60
O atributo de preferência de local é usado para indicar o grau de preferência de cada rota externa na tabela de roteamento de um dispositivo. O atributo de preferência de local está incluído em todas as mensagens de atualização enviadas para dispositivos no mesmo AS. A preferência de local não é comunicada para fora do AS. A figura seguinte mostra um exemplo de topologia ilustrando como a preferência do local afeta as rotas entre os ASs vizinhos.
Figure 99:30 Topologia de preferência de local do BGP
As seguintes configurações de BGP são inseridas em SNWL1 e SNWL2. A preferência de local maior em SNWL2 faz com que SNWL2 seja a rota preferida anunciada pelo AS 12345 (o AS do Dell SonicWALL) para fora de ASs.
|
Preferência de local usada com mapas de rotas
Os mapas de rotas são semelhantes a listas de controle de acesso. Eles consistem em uma série de declarações de permissão e/ou negação que determinam como o dispositivo processa as rotas. Os mapas de rotas são aplicados a tráfego de entrada e não a tráfego de saída. O diagrama a seguir mostra um exemplo de topologia que usa um mapa de rotas para configurar a preferência de local.
Figure 99:31 Topologia de preferência de local do BGP com mapas de rotas
As seguintes configurações de BGP são inseridas em SNWL1 e SNWL2.
|
O mapa de rotas configurado em SNWL2 (rmap1) está configurado para ser aplicado a rotas de entrada do vizinho 10.1.1.1. Ele possui duas condições de permissão:
• route-map rmap1 permit 10: Esta condição de permissão corresponde à lista de acesso 100 que está configurada para permitir tráfego do AS 8888 e definir rotas do AS 8888 para uma preferência de local de 200.
• route-map rmap1 permit 10: Esta condição de permissão define o restante tráfego que não corresponde à lista de acesso 100 (ou seja, o tráfego proveniente do ASs que não 8888) para uma preferência de local de 150.
A precedência de AS_Path é a prática de adicionar mais números ao AS no início da atualização de um caminho. Isso torna o caminho desta rota maior e, portanto, diminui a sua preferência.
A precedência de AS_Path pode ser aplicada a caminhos de entrada ou de saída. A precedência de AS_Path poderá não ser considerada se for rejeitada por um vizinho.
|
Esta configuração faz com que uma rota seja instalada no vizinho 10.50.165.233 com a precedência de AS_Path como 12345 12345. Esta pode ser visualizada digitando o comando show ip bgp.
ARS BGP>show ip bgp
BGP table version is 98, local router ID is 10.50.165.228
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, l - labeled
S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 12.34.5.0/24 10.50.165.233 0 0 12345 12345 12345 i
*> 7.6.7.0/24 0.0.0.0 100 32768 i
Total number of prefixes 2
Multiple Exit Discriminator (MED)
O comando set metric pode ser usado em um mapa de rotas para tornar os caminhos mais ou menos preferíveis:
router bgp 7675
network 7.6.7.0/24
neighbor 10.50.165.233 remote-as 12345
neighbor 10.50.165.233 route-map highmetric out
!
route-map highmetric permit 10
set metric 300
O Multi Exit Discriminator (MED) é um atributo opcional que pode ser usado para influenciar a preferência do caminho. Ele é não transitivo, o que significa que está configurado em um único dispositivo e não é anunciado a vizinhos em mensagens de atualização. Nesta seção iremos considerar as utilizações dos comandos bgp always-compare-med ou bgp deterministic-med.
Comando bgp always-compare-med
O comando bgp always-compare-med permite a comparação dos valores de MED de caminhos de diferentes ASs para seleção do caminho. Um caminho com um MED inferior é preferido.
Por exemplo, considere as seguintes rotas na tabela do BGP e que o comando always-compare-med está habilitado:
Route1: as-path 7675, med 300
Route2: as-path 200, med 200
Route3: as-path 7675, med 250
Route2 seria o caminho selecionado porque tem o MED mais baixo.
Se o comando always-compare-med for desabilitado, o MED não será considerado ao comparar a Route1 e a Route2, pois possuem diferentes caminhos de AS. O MED seria comparado apenas para Route1 e Route3.
Comando bgp deterministic-med
A rota selecionada também é afetada pelo comando bgp deterministic-med, o qual compara o MED ao escolher entre rotas anunciadas por pares diferentes no mesmo sistema autônomo.
Quando o comando bgp deterministic-med está habilitado, as rotas do mesmo AS são agrupadas e as melhores rotas de cada grupo são comparadas. Se a tabela do BGP mostrar:
Route1: as-path 200, med 300, internal
Route2: as-path 400, med 200, internal
Route3: as-path 400, med 250, external
O BGP teria um grupo de Route1 e um segundo grupo de Route2 e Route3 (o mesmo AS).
A melhor de cada grupo é comparada. Route1 é a melhor do seu grupo, pois é a única rota do AS 200.
Route1 é comparada à Route2, a melhor do grupo AS 400 (o MED inferior).
Uma vez que as duas rotas não são do mesmo AS, o MED não é considerado na comparação. A rota do BGP externo é a preferida comparativamente à rota do BGP interno, fazendo com que a Route3 seja a melhor rota.
Uma comunidade é um grupo de prefixos que compartilham algumas propriedades comuns e podem ser configurados com um atributo de comunidade de BGP transitivo. Um prefixo pode ter mais de um atributo de comunidade. Os roteadores podem atuar em um, alguns ou todos os atributos. As comunidades de BGP podem ser consideradas uma forma de marcação. Veja a seguir um exemplo de uma configuração de comunidades de BGP.
router bgp 12345
bgp router-id 10.50.165.233
network 12.34.5.0/24
network 23.45.6.0/24
neighbor 10.50.165.228 remote-as 7675
neighbor 10.50.165.228 send-community
neighbor 10.50.165.228 route-map comm out
!
access-list 105 permit 12.34.5.0/24
access-list 110 permit 23.45.6.0/24
!
route-map comm permit 10
match ip address 105
set community 7675:300
!
route-map comm permit 20
match ip address 110
set community 7675:500
!
router bgp 7675
bgp router-id 10.50.165.228
network 7.6.7.0/24
neighbor 10.50.165.233 remote-as 12345
neighbor 10.50.165.233 route-map shape in
!
ip community-list 1 permit 7675:300
ip community-list 2 permit 7675:500
!
route-map shape permit 10
match community 1
set local preference 120
route-map shape permit 20
match community 2
set local preference 130
Sincronização e resumo automático
A configuração de sincronização controla se o roteador anuncia ou não rotas aprendidas de um vizinho iBGP com base na presença dessas rotas no respectivo IGP. Quando a sincronização está habilitada, o BGP somente anuncia rotas que estão acessíveis através de OSPF ou RIP (os protocolos de gateway exterior, em oposição ao BGP, o protocolo de gateway exterior). A sincronização é uma causa comum de problemas no anúncio de rotas de BGP.
A configuração de resumo automático controla se as rotas são ou não anunciadas com classes. O resumo automático é outra causa comum de problemas na configuração de BGP.
Por padrão, o resumo automático e a sincronização estão desabilitados no Zebos.
Impedir um AS de trânsito acidental
Tal como foi discutido anteriormente, um par de AS pode ser um par de trânsito (permitindo tráfego de um AS externo para outro AS externo) ou um par de não trânsito (requerendo que todo o tráfego tenha origem ou termine no respectivo AS). Os pares de trânsito terão tabelas de roteamento substancialmente maiores. Geralmente, você não precisa configurar um dispositivo de segurança Dell SonicWALL como um par de trânsito.
Figure 99:32 Pares de trânsito vs. pares de não trânsito
Para impedir que seu dispositivo se torne um par de trânsito de forma inadvertida, você precisará configurar filtros de entrada e de saída, como apresentado a seguir:
Filtros de saída
Permitir apenas rotas com origem no AS local externo:
ip as-path access-list 1 permit ^$
router bgp 12345
bgp router-id 10.50.165.233
network 12.34.5.0/24
neighbor 10.50.165.228 remote-as 7675
neighbor 10.50.165.228 filter-list 1 out
neighbor 172.1.1.2 remote-as 9999
neighbor 10.50.165.228 filter list 1 out
Permitir somente a saída de prefixos de propriedade:
ip prefix-list myPrefixes seq 5 permit 12.34.5.0/24
ip prefix-list myPrefixes seq 10 permit 23.45.6.0/24
router bgp 12345
bgp router-id 10.50.165.233
network 12.34.5.0/24
network 23.45.6.0/24
neighbor 10.50.165.228 remote-as 7675
neighbor 172.1.1.2 remote-as 9999
neighbor 10.50.165.228 prefix-list myPrefixes out
neighbor 172.1.1.2 prefix-list myPrefixes out
Filtros de entrada
Descartar todos os prefixos de entrada de propriedade e privados
ip prefix-list unwantedPrefixes seq 5 deny 12.34.5.0/24 le 32
ip prefix-list unwantedPrefixes seq 10 deny 23.45.6.0/24 le 32
ip prefix-list unwantedPrefixes seq 20 deny 10.0.0.0/8 le 32
ip prefix-list unwantedPrefixes seq 21 deny 172.16.0.0/12 le 32
ip prefix-list unwantedPrefixes seq 22 deny 192.168.0.0/16 le 32
ip prefix-list unwantedPrefixes seq 30 permit 0.0.0.0/0 le 32
router bgp 12345
bgp router-id 10.50.165.233
network 12.34.5.0/24
network 23.45.6.0/24
neighbor 10.50.165.228 remote-as 7675
neighbor 172.1.1.2 remote-as 9999
neighbor 10.50.165.228 prefix-list unwantedPrefixes in
neighbor 172.1.1.2 prefix-list unwantedPrefixes in
Usar BGP de hospedagem múltipla para compartilhamento de carga
A topologia a seguir mostra um exemplo de um dispositivo de segurança Dell SonicWALL que usa uma rede BGP de hospedagem múltipla para compartilhamento de carga entre dois ISPs.
Figure 99:33
Topologia de BGP de hospedagem múltipla para compartilhamento de carga
O dispositivo de segurança Dell SonicWALL está configurado da seguinte forma:
router bgp 12345
bgp router-id 10.50.165.233
network 12.34.5.0/24
neighbor 10.50.165.228 remote-as 7675
neighbor 10.50.165.228 route-map ISP1 out
neighbor 172.1.1.2 remote-as 9999
neighbor 10.50.165.228 route-map ISP2 out
!
route-map ISP1 permit 10
match ip address 1
set weight 100
route-map ISP1 permit 20
match ip address 2
route-map ISP2 permit 10
match ip address 1
route-map ISP2 permit 20
match ip address 2
set weight 100
access-list 1 permit 12.34.5.0/25
access-list 2 deny 12.34.5.0/25
access-list 2 permit any
Verificar a configuração do BGP
As seções a seguir descrevem métodos de verificação de uma configuração de BGP:
• Configurar o registro do BGP
O gráfico abaixo mostra uma topologia básica de BGP de um dispositivo de segurança Dell SonicWALL que está configurado para o BGP se conectar a dois roteadores em dois ASs diferentes.
As rotas na FIB desta rede podem ser visualizadas na GUI do SonicOS ou usando a CLI.
Visualizar rotas da FIB na GUI
Pode ser visualizado um resumo da configuração do BGP na GUI do SonicOS através da página Rede > Roteamento clicando no botão Status de BGP localizado na parte superior da página junto ao menu suspenso do modo de roteamento. A janela Status de BGP exibe a saída dos comandos show ip bgp summary ou show ip bgp neighbor.
As rotas do BGP na FIB também podem ser visualizadas na GUI do SonicOS na tabela Políticas de roteamento na página Rede > Roteamento.
Visualizar rotas da FIB na CLI
Para visualizar as rotas da FIB na CLI, execute os seguintes comandos:
SonicWALL> configure
(config[SonicWALL])> route ars-nsm
ZebOS version 7.7.0 IPIRouter 7/2009
ARS NSM>show ip route
Códigos: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
B 7.6.7.0/24 [20/0] via 10.50.165.228, X1, 05:08:31
B 199.199.0/16 [20/0] via 10.50.165.237, X1, 05:08:31
C 10.50.165.192/26 is directly connected, X1
C 127.0.0.0/8 is directly connected, lo0
C 12.34.5.0/24 is directly connected, X0
Visualizar rotas da RIB na CLI
Para visualizar as rotas da RIB na CLI, digite o comando IP show ip bgp:
ARS BGP>show ip bgp
BGP table version is 98, local router ID is 10.50.165.233
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, l - labeled
S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 7.6.7.0/24 10.50.165.228 0 0 7675 i
*> 12.34.5.0/24 0.0.0.0 100 32768 i
*> 199.199.0.0/16 10.50.165.228 0 0 7675 9999 i
Total number of prefixes 3
Note A última rota é o caminho para o AS9999 que foi aprendido através do AS7675.
O BGP da Dell SonicWALL oferece uma seleção abrangente de comandos de depuração para exibir eventos de registro relacionados com o tráfego do BGP. O registro do BGP pode ser configurado na CLI usando o comando debug bgp, seguido das seguintes palavras-chave:
|
Para desabilitar a depuração do BGP, digite a forma "no" (não) do comando. Por exemplo, para desabilitar a depuração do evento, digite o comando no debug events.
As mensagens de registro do BGP também podem ser visualizadas na GUI do SonicOS na página Log > Visualizar. As mensagens do BGP são exibidas como parte da categoria Roteamento avançado de mensagens de registro.
A mensagem acima indica que foi negada uma atualização na RIB de saída porque o roteador a partir do qual foi recebida a atualização não estava diretamente conectado ao dispositivo.
Para permitir pares do BGP que não estiverem diretamente conectados, use a palavra-chave ebgp-multihop com o comando neighbor. Por exemplo:
neighbor 10.50.165.228 ebgp-multihop
O BGP (Border Gateway Protocol) IPv6 comunica informações de roteamento IPv6 entre sistemas autônomos (ASs). Um dispositivo de segurança Dell SonicWall com suporte IPv6 BGP pode substituir um roteador BGP tradicional no limite do AS de uma rede.
O BGP IPv6 é ativado na página Rede > Roteamento, mas deve ser configurado na Interface de Linha de Comando (CLI) SonicOS.
As seguintes restrições aplicam-se ao SonicOS 5.9.0.2:
• BGP IPv6 é suportado somente nas plataformas NSA.
• O BGP IPv6 depende das funções IPv6 e ZebOS (Zebra OS).
• O MPLS/VPN e a difusão seletiva não são suportados no BGP IPv6.
Configurar vários sistemas autônomos
Se um sistema autônomo (AS) não tiver vários roteadores BGP, o AS pode servir como um serviço de trânsito para outros ASs. Quando o BGP funcionar entre roteadores em ASs diferentes, este usa BGP exterior (eBGP). Quando o BGP funcionar entre roteadores no mesmo AS, este usa BGP interior (iBGP).
No diagrama seguinte, o AS 200 é um AS de trânsito para o AS 100 e AS 300.
Para configurar vários ASs como mostrado no diagrama acima, configure os roteadores RTA, RTB e RTC da seguinte forma:
No RTA:
router bgp 100
neighbor 129.213.1.1 remote−as 200
address-family ipv6
redistribute connected
neighbor 129.213.1.1 activate
No RTB:
router bgp 200
neighbor 129.213.1.2 remote−as 100
neighbor 175.220.1.2 remote−as 200
address-family ipv6
redistribute connected
neighbor 129.213.1.2 activate
neighbor 175.220.1.2 activate
No RTC:
router bgp 200
neighbor 175.220.212.1 remote−as 200
address-family ipv6
neighbor 175.220.212.1 activate
neighbor 175.220.212.1 activate
Configurar o BGP básico por IPv6
Um roteador de par BGP IPv6 pode ser configurado para transmitir informações da rota IPv4 ou IPv6 por uma família de endereços IPv6 ou uma família de endereços IPv4.
Para configurar o BGP por IPv6, configure os roteadores R1 e R2 da seguinte forma:
No R1:
router bgp 6501
bgp router−id 1.1.1.1
neighbor 2011:11:11:11::2 remote−as 6502
address−family ipv6
neighbor 2011:11:11:11::2 activate
exit−address−family
No R2:
router bgp 6502
bgp router−id 2.2.2.2
neighbor 2011:11:11:11::1 remote−as 6501
address−family ipv6
network 1010::1/128
network 2020::1/128
neighbor 2011:11:11:11::1 activate
Configurar o EBGP Multihop
O EBGP Multihop permite estabelecer uma conexão vizinha entre dois pares externos que não estão diretamente conectados. O multihop está disponível somente para o eBGP e não está disponível para o iBGP. Quando o firewall tiver um vizinho externo que não tem uma conexão direta, é possível usar o comando ebgp−multihop para estabelecer uma conexão vizinha.
Para configurar o EBGP Multihop, configure os roteadores R1 e R2 da seguinte forma:
No R1:
router bgp 6501
bgp router−id 1.1.1.1
neighbor 2011:11:11:11::2 remote−as 6502
neighbor 2011:11:11:11::2 ebgp−multihop
address−family ipv6
neighbor 2011:11:11:11::2 activate
exit−address−family
No R2:
router bgp 6502
bgp router−id 2.2.2.2
neighbor 2011:11:11:11::1 remote−as 6501
neighbor 2011:11:11:11::1 ebgp−multihop
address−family ipv6
network 1010::1/128
network 2020::1/128
neighbor 2011:11:11:11::1 activate
Configurar o ORF do BGP IPv6
O ORF (Outbound Route Filter) do BGP IPv6 pode ser usado para minimizar o número de atualizações do BGP enviadas entre os roteadores dos pares filtrando atualizações de roteamento não desejadas na fonte.
Para configurar o ORF do BGP IPv6, configure os roteadores R1 e R2 da seguinte forma:
No R1:
router bgp 6501
bgp router−id 1.1.1.1
neighbor 2011:11:11:11::2 remote−as 6502
address−family ipv6
redistribute connected
neighbor 2011:11:11:11::2 activate
neighbor 2011:11:11:11::2 prefix-list pref1 in
neighbor 2011:11:11:11::2 prefix-list pref2 out
exit−address−family
ipv6 prefix-list pref1 seq 10 deny 1010::1/128
ipv6 prefix-list pref1 seq 20 permit any
ipv6 prefix-list pref2 seq 10 deny 1111::1/128
ipv6 prefix-list pref2 seq 20 permit any
No R2:
router bgp 6502
bgp router−id 2.2.2.2
neighbor 2011:11:11:11::1 remote−as 6501
address−family ipv6
redistribute connected
neighbor 2011:11:11:11::1 activate
Para verificar as rotas no R1 e R2, use o comando show bgp ipv6 unicast.
A rota no R1 deve ter o endereço IPv6 1010::1/128.
A rota no R2 deve ter o endereço IPv6 1111::1/128.
No R1:
R1> show bgp ipv6 unicast
No R2:
R2> show bgp ipv6 unicast
Configurar a lista de distribuição do BGP IPv6
A lista de distribuição do BGP IPv6 pode ser usada para minimizar o número de atualizações do BGP enviadas entre os roteadores dos pares filtrando atualizações de roteamento não desejadas na fonte.
Para configurar a lista de distribuição do BGP IPv6, configure os roteadores R1 e R2 da seguinte forma:
No R1:
router bgp 6501
bgp router−id 1.1.1.1
neighbor 2011:11:11:11::2 remote−as 6502
address−family ipv6
redistribute connected
neighbor 2011:11:11:11::2 activate
neighbor 2011:11:11:11::2 distribute-list acl1 in
neighbor 2011:11:11:11::2 distribute-list acl2 out
exit−address−family
ipv6 access-list acl1 deny 1010::1/128
ipv6 access-list acl1 permit any
ipv6 access-list acl2 deny 1111::1/128
ipv6 access-list acl2 permit any
No R2:
router bgp 6502
bgp router−id 2.2.2.2
neighbor 2011:11:11:11::1 remote−as 6501
address−family ipv6
redistribute connected
neighbor 2011:11:11:11::1 activate
Para verificar as rotas no R1 e R2, use o comando show bgp ipv6 unicast.
A rota no R1 deve ter o endereço IPv6 1010::1/128.
A rota no R2 deve ter o endereço IPv6 1111::1/128.
No R1:
R1> show bgp ipv6 unicast
No R2:
R2> show bgp ipv6 unicast
Mapa de rotas BGP IPv6
O mapa de rotas do BGP IPv6 pode ser usado para minimizar o número de atualizações do BGP enviadas entre os roteadores dos pares filtrando atualizações de roteamento não desejadas na fonte.
Para configurar o mapa de rotas do BGP IPv6, configure os roteadores R1 e R2 da seguinte forma:
No R1:
router bgp 6501
bgp router−id 1.1.1.1
neighbor 2011:11:11:11::2 remote−as 6502
address−family ipv6
redistribute connected
neighbor 2011:11:11:11::2 activate
neighbor 2011:11:11:11::2 route-map map1 in
neighbor 2011:11:11:11::2 route-map map2 out
exit−address−family
ipv6 access-list acl1 deny 1010::1/128
ipv6 access-list acl1 permit any
ipv6 access-list acl2 deny 1111::1/128
ipv6 access-list acl2 permit any
!
route-map map1 permit 1 match ipv6 address acl1
!
route-map map2 permit 1 match ipv6 address acl2
!
No R2:
router bgp 6502
bgp router−id 2.2.2.2
neighbor 2011:11:11:11::1 remote−as 6501
address−family ipv6
redistribute connected
neighbor 2011:11:11:11::1 activate
Para verificar as rotas no R1 e R2, use o comando show bgp ipv6 unicast.
No R1:
R1> show bgp ipv6 unicast
A rota no R1 deve ter o endereço IPv6 1010::1/128.
No R2:
R2> show bgp ipv6 unicast
A rota no R2 deve ter o endereço IPv6 1111::1/128.
Configurar uma expressão comum do AS
É possível configurar expressões comuns que podem ser combinadas e usadas para negar ou permitir endereços a partir do AS.
O RTB anuncia estas rotas:
• 2004::/64
• 2003::/64
• 2002::/64
O RTC anuncia estas rotas:
• 5000::/64
• 6666::6/128
• 7777::7/128
Para verificar as rotas no roteador RTA, use o comando show bgp ipv6 unicast.
No RTA:
RTA> show bgp ipv6 unicast
BGP table version is 4, local router ID is 10.0.1.2
Status codes: s suppressed, d damped, h history, * valid, > best,
i - internal, l - labeled
S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
|
Para configurar as expressões comuns do AS no RTA e negar todas as rotas no AS100:
router bgp 200
neighbor 10.0.1.1 remote-as 100
neighbor 10.0.1.1 update-source X2
neighbor 2004::1 remote-as 100
neighbor 2004::1 update-source X2
!
address-family ipv6
neighbor 10.0.1.1 activate
neighbor 10.0.1.1 filter-list 1 in
neighbor 2004::1 activate
exit-address-family
ip as-path access-list 1 deny ^100$
ip as-path access-list 1 permit .*
Para verificar as rotas no roteador RTA, use o comando show bgp ipv6 unicast.
No RTA:
RTA> show bgp ipv6 unicast
BGP table version is 4, local router ID is 10.0.1.2
Status codes: s suppressed, d damped, h history, * valid, > best,
i - internal, l - labeled
S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
|
Total number of prefixes 3
Para modificar o caminho do AS para negar todas as rotas aprendidas de AS100:
No RTA:
router bgp 200
neighbor 10.0.1.1 remote-as 100
neighbor 10.0.1.1 update-source X2
neighbor 2004::1 remote-as 100
neighbor 2004::1 update-source X2
!
address-family ipv6
neighbor 10.0.1.1 activate
neighbor 10.0.1.1 filter-list 1 in
neighbor 2004::1 activate
exit-address-family
ip as-path access-list 1 deny _100_
ip as-path access-list 1 permit .*
Para verificar as rotas no roteador RTA, use o comando show bgp ipv6 unicast.
No RTA:
RTA> show bgp ipv6 unicast
Seleção de rotas do EBGP
As rotas são selecionadas com base na distância administrativa do protocolo de roteamento em execução nessa rota. Os protocolos de roteamento com distâncias administrativas inferiores têm prioridade sobre os protocolos de roteamento com distâncias administrativas superiores. O EBGP tem uma distância administrativa de 20. O OSPF tem uma distância administrativa de 110.
Este diagrama mostra três ASs e os protocolos de roteamento usados por roteadores BGP.
O roteador RTC no AS300 anuncia a rota 1000::/64 para o AS100 e o AS200.
A rota do RTC (AS300) para RTA (AS100) executa o OSPF.
A rota do RTC (AS300) para RTB (AS200) executa o eBGP.
A rota do RTA (AS100) para RTB (AS200) executa o eBGP.
O RTA (AS100) recebe atualizações sobre a rota 1000::/64 do OSPF e do eBGP. A rota aprendida do eBGP é selecionada e adicionada à tabela de roteamento do RTA, porque a distância administrativa do eBGP é menor que a distância administrativa do OSPF.
No RTA:
router bgp 100
neighbor 3001::1 remote-as 200
!
address-family ipv6
distance bgp 150 150 150
neighbor 3001::1 activate
exit-address-family
No RTB:
router bgp 200
bgp log-neighbor-changes
neighbor 1001::1 remote-as 300
neighbor 2003::1 remote-as 100
address-family ipv6
network 6666::6/128
neighbor 1001::1 activate
neighbor 2003::1 activate
exit-address-family
No RTC:
router bgp 300
neighbor 3002::1 remote-as 200
!
address-family ipv6 network 1000::/64
neighbor 3002::1 activate
exit-address-family
Para verificar as rotas no roteador RTA, use o comando show ipv6 route.
RTA> show ipv6 route
IPv6 Routing Table
Códigos: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, I - IS-IS, B - BGP
Timers: Tempo de operação
B 1000::/64 [20/0] via fe80::204:27ff:fe0c:b006, X1, 00:01:07
C 2003::/64 via ::, X1, 00:30:50
B 6666::6/128 [20/0] via fe80::204:27ff:fe0c:b006, X1, 00:01:07
C fe80::/64 via ::, X1, 00:30:53
Uma vez que o RTC está diretamente conectado ao RTA, a rota do OSPF é realmente uma melhor rota que a rota aprendida pelo BGP. Para garantir que a rota entre RTA e RTC é selecionada para a tabela de roteamento, é possível usar o comando distance para alterar a distância administrativa padrão da rota BGP para uma distância administrativa maior que a rota OSPF. Por exemplo:
distance bgp 150 150 150
Também é possível usar o comando backdoor neighbor para definir a rota BGP como a rota preferida. Por exemplo:
No RTA:
router bgp 100
neighbor 3001::1 remote-as 200
!
address-family ipv6
network 1000::/64
backdoor neighbor 3001::1 activate
exit-address-family
Para verificar as rotas no roteador RTA, use o comando show ipv6 route.
RTA> show ipv6 route
IPv6 Routing Table
Códigos: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, I - IS-IS, B - BGP
Timers: Tempo de operação
O 1000::/64 [110/2] via fe80::217:c5ff:feb4:57f2, X4, 00:30:53
C 2003::/64 via ::, X1, 00:31:18
B 6666::6/128 [20/0] via fe80::204:27ff:fe0c:b006, X1, 00:00:03
C fe80::/64 via ::, X1, 00:31:21
Sincronização do BGP IPv6
A sincronização do BGP IPv6 mantém todos os roteadores BGP atualizados com os endereços IPv6 de todas as rotas e redes disponíveis.
Na sincronização do BGP, se um AS (AS100) passar tráfego de outro AS (AS300) para um terceiro AS (AS400), o BGP não anuncia essa rota até que todos os roteadores no AS100 tenham aprendido essa rota do IGP. Neste caso, o IGP é iBGP. O AS100 deve aguardar até que o iBGP propague essa rota para todos os roteadores no AS100. Então, o eBGP anuncia a rota ao ASs externo.
Neste exemplo, após o RTB aprender o endereço 6666::6/128 via iBGP, este anuncia o endereço ao RTD.
Note Poderá fazer com que o RTB pense que o IGP já propagou as informações da rota adicionando uma rota estática ao 6666::6/128 no RTB e certificando-se de que outros roteadores possam atingir 6666::6/128.
Neste exemplo, o RTC (AS2) anuncia o endereço 6666::6/128 ao RTA (AS100). No AS100, o RTA e RTB estão executando o iBGP, pelo que o RTB aprende o endereço 6666::6/128 e é capaz de alcançá-lo por meio do próximo salto 5.5.5.5 (RTC). O próximo salto é transmitido via iBGP. Porém, para alcançar o próximo salto (RTC), o RTB deve enviar tráfego por meio do RTE, mas o RTE não conhece o endereço IP 6666::6/128.
Se o RTB anunciar o 6666::6/128 ao RTD (AS400), o tráfego que tenta alcançar 6666::6/128 do RTD deve passar por meio do RTB e RTE no AS100. Porém, uma vez que o RTE não aprendeu o 6666::6/128, todos os pacotes serão descartados no RTE.
Para configurar a sincronização do BGP no RTB do AS100:
No RTB:
router bgp 100
neighbor 10.103.10.129 remote-as 100
neighbor 3001::1 remote-as 100
neighbor 3001::1 update-source X4
neighbor 5000::1 remote-as 400
neighbor 5000::1 update-source X2
!
address-family ipv6
synchronization
neighbor 10.103.10.129 activate
neighbor 3001::1 activate
neighbor 5000::1 activate
exit-address-family
É possível desabilitar a sincronização se não passar tráfego de um AS para outro AS por meio de um AS intermediário. Também é possível desabilitar a sincronização se todos os roteadores no AS intermediário executarem o BGP. A desabilitação da sincronização permite transmitir menos rotas no seu IGP e permite ao BGP convergir mais rapidamente.
Para desabilitar a sincronização do BGP no RTB do AS100:
No RTB:
router bgp 100
neighbor 10.103.10.129 remote-as 100
neighbor 3001::1 remote-as 100
neighbor 3001::1 update-source X4
neighbor 5000::1 remote-as 400
neighbor 5000::1 update-source X2
!
address-family ipv6
neighbor 10.103.10.129 activate
neighbor 3001::1 activate
neighbor 5000::1 activate
exit-address-family
Reflexão de rotas do BGP
Por padrão, todos os roteadores iBGP em um AS devem estar em uma configuração de malha completa. Cada roteador deve estar configurado como um par para cada outro roteador.
Com a reflexão de rotas, todos os roteadores iBGP não precisam estar totalmente entrelaçados. A reflexão de rotas elimina a necessidade de cada roteador iBGP de comunicar com qualquer outro roteador iBGP no AS. Um roteador iBGP pode ser designado como o refletor de rotas e pode passar as rotas aprendidas do iBGP para vários clientes iBGP.
Se um roteador estiver configurado como um refletor de rotas, este atuará como um ponto único em que todos os outros roteadores iBGP podem obter as rotas aprendidas do iBGP. O refletor de rotas atua como um servidor, ao invés de um par, para qualquer outro roteador no AS. Todos os outros roteadores IBGP tornam-se clientes do refletor de rotas. Um roteador é um refletor de rotas desde que tenha pelo menos um cliente refletor de rotas.
Para configurar a reflexão de rotas em um AS:
No RouterA:
interface Serial0/0
ipv6 address 2011:12:12:12::1/64
ipv6 ospf 10 area 0
interface Serial0/1
ipv6 address 2011:13:13:13::1/64
ipv6 ospf 10 area 0
router bgp 100
bgp router−id 1.1.1.1
no bgp default ipv4−unicast
bgp log−neighbor−changes
neighbor 2011:22:22:22::22 remote−as 100
neighbor 2011:22:22:22::22 update−source Loopback0
neighbor 2011:33:33:33::33 remote−as 100
neighbor 2011:33:33:33::33 update−source Loopback0
!
address−family ipv6
neighbor 2011:22:22:22::22 activate
neighbor 2011:22:22:22::22 route−reflector−client
neighbor 2011:33:33:33::33 activate
neighbor 2011:33:33:33::33 route−reflector−client
exit−address−family
!
ipv6 router ospf 10
router−id 1.1.1.1
No RRClient1:
interface Loopback0
ipv6 address 2011:22:22:22::22/128
ipv6 ospf 10 area 0
!
interface Loopback10
ipv6 address 1010:10:10:10::10/128
interface Serial0/0
ipv6 address 2011:12:12:12::2/64
ipv6 ospf 10 area 0
!
router bgp 100
bgp router−id 2.2.2.2
bgp log−neighbor−changes
neighbor 2011:11:11:11::11 remote−as 100
neighbor 2011:11:11:11::11 update−source Loopback0
!
address−family ipv6
neighbor 2011:11:11:11::11 activate
network 1010:10:10:10::10/128
exit−address−family
!
ipv6 router ospf 10
router−id 2.2.2.2
RRClient2:
interface Loopback0
ipv6 address 2011:33:33:33::33/128
ipv6 ospf 10 area 0
!
interface Loopback20
ipv6 address 2020:20:20:20::20/128
!
interface Serial0/0
no ip address
ipv6 address 2011:13:13:13::2/64
ipv6 ospf 10 area 0
!
router bgp 100
bgp router−id 3.3.3.3
bgp log−neighbor−changes
neighbor 2011:11:11:11::11 remote−as 100
neighbor 2011:11:11:11::11 update−source Loopback0
!
address−family ipv6
neighbor 2011:11:11:11::11 activate
network 2020:20:20:20::20/128
exit−address−family
!
ipv6 router ospf 10
router−id 3.3.3.3
log−adjacency−changes
Para verificar as rotas, use o comando show bgp ipv6 unicast:
No RRClient1:
RRClient1> show bgp ipv6 unicast
Deverá ver a rota 2020:20:20:20::20/128.
No RRClient2:
RRClient2> show bgp ipv6 unicast
Deverá ver a rota 1010:10:10:10::10/128.
Preferência de local do BGP IPv6
A preferência de local designa uma rota para uma determinada rede como a rota de saída preferida para essa rede a partir do AS. A rota com uma preferência de local mais elevada é a rota preferida. O valor padrão da preferência de local é 100, mas isto pode ser alterado usando o comando set local-preference.
Para configurar a preferência de local de uma rota preferida em um AS:
No R1:
interface Loopback0
ipv6 address 1111:111:111:A::/64 eui−64
ipv6 ospf 10 area 0
interface FastEthernet0/0
ipv6 address AB01:CD1:123:A::/64 eui−64
ipv6 ospf 10 area 0
!
interface Serial0/0
ipv6 address AB01:CD1:123:C::/64 eui−64
!
interface FastEthernet0/1
ipv6 address AB01:CD1:123:B::/64 eui−64
ipv6 ospf 10 area 0
!
ipv6 router ospf 10 router−id 1.1.1.1 log−adjacency−changes
redistribute connected route−map CONNECTED
!
route−map CONNECTED permit 10
match interface Serial0/0
!
router bgp 123
bgp router−id 1.1.1.1
neighbor 2222:222:222:A:C602:3FF:FEF0:0 remote−as 123
neighbor 2222:222:222:A:C602:3FF:FEF0:0 update−source Loopback0
neighbor 3333:333:333:A:C603:3FF:FEF0:0 remote−as 123
neighbor 3333:333:333:A:C603:3FF:FEF0:0 update−source Loopback0
neighbor AB01:CD1:123:C:C604:16FF:FE98:0 remote−as 101
neighbor AB01:CD1:123:C:C604:16FF:FE98:0 ebgp−multihop 5
!
address−family ipv6
neighbor 2222:222:222:A:C602:3FF:FEF0:0 activate
neighbor 2222:222:222:A:C602:3FF:FEF0:0 next−hop−self
neighbor 3333:333:333:A:C603:3FF:FEF0:0 activate
neighbor 3333:333:333:A:C603:3FF:FEF0:0 next−hop−self
neighbor AB01:CD1:123:C:C604:16FF:FE98:0 activate exit−address−family
No R2:
interface Loopback0
ipv6 address 2222:222:222:A::/64 eui−64
ipv6 ospf 10 area 0
!
interface FastEthernet0/0
ipv6 address AB01:CD1:123:A::/64 eui−64
ipv6 ospf 10 area 0
!
interface FastEthernet0/1
ipv6 address AB01:CD1:123:D::/64 eui−64
ipv6 ospf 10 area 0
!
ipv6 router ospf 10 router−id 2.2.2.2 log−adjacency−changes
!
router bgp 123
bgp router−id 2.2.2.2
neighbor 1111:111:111:A:C601:3FF:FEF0:0 remote−as 123
neighbor 1111:111:111:A:C601:3FF:FEF0:0 update−source Loopback0
neighbor 3333:333:333:A:C603:3FF:FEF0:0 remote−as 123
neighbor 3333:333:333:A:C603:3FF:FEF0:0 update−source Loopback0
address−family ipv6
neighbor 1111:111:111:A:C601:3FF:FEF0:0 activate
neighbor 3333:333:333:A:C603:3FF:FEF0:0 activate
exit−address−family
No R3:
interface Loopback0
ipv6 address 3333:333:333:A::/64 eui−64
ipv6 ospf 10 area 0
!
interface FastEthernet0/0
ipv6 address AB01:CD1:123:B::/64 eui−64
ipv6 ospf 10 area 0
!
interface Serial0/0
ipv6 address AB01:CD1:123:E::/64 eui−64
!
interface FastEthernet0/1
ipv6 address AB01:CD1:123:D::/64 eui−64
ipv6 ospf 10 area 0
!
ipv6 router ospf 10
router−id 3.3.3.3
redistribute connected route−map CONNECTED
!
router bgp 123
no synchronization
bgp router−id 3.3.3.3
neighbor 1111:111:111:A:C601:3FF:FEF0:0 remote−as 123
neighbor 1111:111:111:A:C601:3FF:FEF0:0 update−source Loopback0
neighbor 2222:222:222:A:C602:3FF:FEF0:0 remote−as 123
neighbor 2222:222:222:A:C602:3FF:FEF0:0 update−source Loopback0
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 remote−as 202
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 ebgp−multihop 5
!
address−family ipv6
neighbor 1111:111:111:A:C601:3FF:FEF0:0 activate
neighbor 1111:111:111:A:C601:3FF:FEF0:0 next−hop−self
neighbor 1111:111:111:A:C601:3FF:FEF0:0 route−map LOCAL_PREF out
neighbor 2222:222:222:A:C602:3FF:FEF0:0 activate
neighbor 2222:222:222:A:C602:3FF:FEF0:0 next−hop−self
neighbor 2222:222:222:A:C602:3FF:FEF0:0 route−map LOCAL_PREF out
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 activate
exit−address−family
!
ipv6 prefix−list 10 seq 5 permit BC01:BC1:10:A::/64
!
route−map LOCAL_PREF permit 10
match ipv6 address prefix−list 10
set local−preference 500
!
route−map LOCAL_PREF permit 20
!
route−map CONNECTED permit 10
match interface Serial0/0
No R4:
interface Serial0/0
ipv6 address AB01:CD1:123:C::/64 eui−64
!
interface Loopback10
ipv6 address BC01:BC1:10:A::/64 eui−64
!
interface Loopback11
ipv6 address BC02:BC1:11:A::/64 eui−64
!
interface Loopback12
ipv6 address BC03:BC1:12:A::/64 eui−64
router bgp 101
bgp router−id 4.4.4.4
neighbor AB01:CD1:123:C:C601:3FF:FEF0:0 remote−as 123
!
address−family ipv6
neighbor AB01:CD1:123:C:C601:3FF:FEF0:0 activate
network BC01:BC1:10:A::/64 network BC02:BC1:11:A::/64
network BC03:BC1:12:A::/64 exit−address−family
No R5:
interface Serial0/0
ipv6 address AB01:CD1:123:E::/64 eui−64
clock rate 2000000
!
interface Loopback10
ipv6 address BC01:BC1:10:A::/64 eui−64
!
interface Loopback11
ipv6 address BC02:BC1:11:A::/64 eui−64
!
interface Loopback12
ipv6 address BC03:BC1:12:A::/64 eui−64
!
router bgp 202
bgp router−id 5.5.5.5
neighbor AB01:CD1:123:E:C603:3FF:FEF0:0 remote−as 123
neighbor AB01:CD1:123:E:C603:3FF:FEF0:0 ebgp−multihop 5
!
address−family ipv6
neighbor AB01:CD1:123:E:C603:3FF:FEF0:0 activate
network BC01:BC1:10:A::/64
network BC02:BC1:11:A::/64
network BC03:BC1:12:A::/64
exit−address−family
Para verificar a rota, use o comando show bgp ipv6 unicast:
No R2:
R2> show bgp ipv6 unicast
Antes de a preferência de local ser configurada, o R2 tem o R1 como o seu próximo salto para todos os endereços IPv6 aprendidos. Após configurar a preferência de local no R3 para o 500, o R2 tem uma rota de saída preferida diferente para o prefixo BC01:BC1:10:A::/64. O R2 pode agora alcançar o prefixo BC01:BC1:10:A::/64 por meio do caminho de saída do R3, que é agora designado como a preferência de local.
Políticas de atualização do grupo de pares do BGP
Um grupo de pares do BGP é um grupo de vizinhos do BGP que compartilham as mesmas políticas de atualização. As políticas de atualização são tipicamente definidas por mapas de rotas, listas de distribuição e listas de filtros.
Se definir um grupo de pares e adicionar vizinhos, todas as políticas de atualização atribuídas a esse grupo de pares aplicam-se a todos os vizinhos nesse grupo de pares. Não é necessário definir uma política para cada vizinho.
Os membros de um grupo de pares herdam todas as definições de configuração desse grupo de pares. É possível configurar determinados membros para substituir as políticas de atualização, mas somente se essas políticas forem definidas para o tráfego de entrada. Não é possível configurar membros para substituir políticas de grupo se as políticas se aplicarem ao tráfego de saída.
Para configurar um grupo de pares do BGP IPv6 e suas políticas de atualização:
No R3:
router bgp 123
no synchronization
bgp router−id 3.3.3.3
neighbor interalmap peer-group
neighbor interalmap remote-as 123
neighbor 1111:111:111:A:C601:3FF:FEF0:0 peer-group interalmap
neighbor 2222:222:222:A:C602:3FF:FEF0:0 peer-group interalmap
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 remote−as 202
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 ebgp−multihop 5
!
address−family ipv6
neighbor interalmap activate
neighbor interalmap route-map 1 out
neighbor 1111:111:111:A:C601:3FF:FEF0:0 peer-group interalmap
neighbor 2222:222:222:A:C602:3FF:FEF0:0 peer-group interalmap
exit−address−family
!
ipv6 prefix−list 10 seq 5 permit BC01:BC1:10:A::/64
!
route-map 1 permit 10
match ipv6 address prefix-list 1 set tag 333
set metric 273
set local-preference 312
Para verificar se a rota de preferência de local está configurada, use o comando show bgp ipv6 unicast:
No R3:
R3> show bgp ipv6 unicast
Verifique se o endereço IPv6 BC01:BC1:10:A::/64 passa do AS100 para o R1 e R2 e se a métrica e a preferência de local estão definidas com as configurações de mapa de rotas correspondentes.
Confederação do BGP
É possível dividir um único AS em vários ASs e atribuir estes vários ASs em uma única configuração de ASs. A implementação de uma confederação do BGP reduz o tamanho da malha iBGP do AS e a confederação pode ainda anunciar como um único AS para pares externos.
Cada AS individual em uma confederação executa o iBGP totalmente entrelaçado e cada AS individual na confederação também executa as conexões de eBGP para outros ASs dentro da confederação. Estes pares do eBGP na confederação trocam informações de roteamento como se usassem o iBGP. Desta forma, a confederação preserva as informações do próximo salto, a métrica e a preferência de local. Para o mundo exterior, a confederação parece ser um único AS.
Para configurar uma confederação do BGP:
R1:
router bgp 2000
bgp log-neighbor-changes
bgp confederation identifier 200
bgp confederation peers 1000
neighbor 2003::1 remote-as 1000
!
address-family ipv4
neighbor 2003::1 activate
exit-address-family
!
address-family ipv6
network 3002::/64
network 4000::/64
neighbor 2003::1 activate
exit-address-family
No R2:
router bgp 1000
bgp confederation identifier 200
neighbor 10.0.1.1 remote-as 1000
!
address-family ipv6
neighbor 10.0.1.1 activate
exit-address-family
No R3:
router bgp 1000
bgp confederation identifier 200
bgp confederation peers 2000
neighbor 10.0.1.2 remote-as 1000
neighbor 3001::1 remote-as 2000
neighbor 5000::1 remote-as 100
neighbor 5000::1 update-source X2
!
address-family ipv6
neighbor 10.0.1.2 activate
neighbor 3001::1 activate
neighbor 5000::1 activate
exit-address-family
No R5:
router bgp 100
bgp router-id 5.5.5.5
bgp log-neighbor-changes
neighbor 2002::1 remote-as 200
!
address-family ipv6
network 6666::6/128
network 7777::7/128
neighbor 2002::1 activate
exit-address-family
Verifique se o R1, R2 e o R3 podem aprender esta rota que é anunciada pelo R5:
6666::6/128 and 7777::7/128
Verifique se o R2 pode aprender esta rota do R1 mesmo se estes não estiverem diretamente conectados:
3002::/64 and 4000::/64
Note Os dados de configuração do BGP IPv6 e as rotas do BGP IPv6 são despejados em um arquivo Terminate and Stay Resident (TSR).
Note O BGP IPv6 usa a interface de depuração ZebOS. As configurações padrão para todos os comutadores de depuração estão fechadas. A inserção do comando debug da CLI no console abre o comutador de depuração.
ARD – domínio de roteamento autônomo – uma coleção de redes/roteadores que têm uma política de roteamento administrativa comum.
AS – sistema autônomo – um ARD ao qual foi atribuído um número de identificação, geralmente executando BGP4 no(s) roteador(es) de limite.
BGP4: – Border Gateway Protocol 4: Os EGP mais comuns.
CIDR – roteamento entre domínios sem classe, permite o anúncio eficiente de rotas através de agregação de rotas.
CPE – equipamentos nas instalações do cliente – os equipamentos no limite da rede de um cliente usados para a interface com o ISP.
EGP – protocolo de gateway exterior – qualquer protocolo (na prática, BGP4) usado para comunicar informações de roteamento entre sistemas autônomos.
Rotas completas – toda a tabela de roteamento do BGP global.
FIB – base de informações de encaminhamento – a nossa tabela de rotas existente usada para encontrar a interface de egresso e o next hop ao encaminhar pacotes.
Looking Glass * – um servidor Looking Glass (LG) é uma visualização somente de leitura de roteadores de organizações executando servidores LG. Normalmente, servidores looking glass publicamente acessíveis são executados por ISPs ou NOCs.
Hospedagem múltipla – um cliente de ISP que tem múltiplas conexões a um ou mais ISPs.
Provedor múltiplo – um cliente de ISP que usa múltiplos ISPs para estabelecer conexão com a Internet.
NSM – módulo de serviços de rede – o componente ZebOS que centraliza a interface na FIB e na RIB. Os daemons do protocolo de roteamento separado estabelecem uma interface com o NSM para todas as atualizações da RIB. O NSM atualiza a FIB com informações de melhor rota da RIB.
Rotas parciais – um subconjunto da tabela de rotas completa do BGP, normalmente específico para destinos que fazem parte de um domínio de ISP.
RIB – base de informações de rotas – um banco de dados em tempo de execução da propriedade do NSM usado para armazenar todas as informações de rotas coletadas e usado pelos protocolos de roteamento.