FR BGP

5/27/2010
BGP
Border Gateway Protocol
BGP4
David LOPOI
RAPPEL
Adressage
Filtrage des adresses locales:
- Ne pas transmettre
- Bloquer la rception
RFC 1918
-
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
RFC 3927
-
169.254.0.0 /16
David LOPOI
5/27/2010
RAPPEL
Mthodes de filtrage
Prefix-list
-
Ip prefix-list local seq 10 deny 10.0.0.0/8 le 32
Ip prefix-list local seq 15 deny 192.168.0.0/12 le 32
..
Ip prefix-list local seq n permit 0.0.0.0 le 32
routage vers null 0

-
Ip route 10.0.0.0 255.0.0.0 null 0

..
David LOPOI
RAPPEL
Scurisation de laccs a vos router
Telnet
Ssh
Server radius
David LOPOI
5/27/2010
RAPPEL
Scuriser laccs Telnet
1. Crer une access-list pour autoriser des rseaux
Ex : access-list 101 permit
2. Applique aux accs line vty
Line vty 0 15
transport input telnet
David LOPOI
RAPPEL
utilisation de ssh
1. Crer un utilisater
Username toto password tata
2. Configurer le nom de domain
Ip domain-name lopoi.com
3. Activer la cl de cryptage
crypto key generate rsa
4. Configurer les accs line vty
Line vty 0 15
Transport input ssh
Login local
Nb: ssh l username cible pour se connecter
partir dun autre router
David LOPOI
5/27/2010
RAPPEL
Utilisation dun Server radius
1. Activer aaa authentication
aaa new-model
2. Configurer la methode aaa dauthentification
aaa authentication login default none
aaa authentication login secure group radius
Radius-server host xxxx auth-port xx key xxx
Line vty 0 15
Login authentication secure
David LOPOI
RAPPEL
Limitation de dbit sur un lien
policy-map
CAR
Trafic shaping
David LOPOI
5/27/2010
RAPPEL
Limitation de dbit sur un lien
policy-map
1. crer la policy-map
policy-map client1
class default-class
police rate xxxx
Conforme-action transmit
Exced-action drop
2. Applique linterface
service-policy input client
David LOPOI
RAPPEL
Utilisation dun Server radius
1. Activer aaa authentication
aaa new-model
2. Configurer la methode aaa dauthentification
aaa authentication login default none
aaa authentication login secure group radius
Radius-server host xxxx auth-port xx key xxx
Line vty 0 15
Login authentication secure
David LOPOI
5/27/2010
BGP
Principes de base et vocabulaires
Systme autonome (AS)
AS 100
o
o
Ensemble de rseaux partageant la mme politique de

routage
Gnralement sous une gestion administration unique
Utilisation dun IGP au sein dun mme AS
5/27/2010
Systme autonome (AS)...

o
o

Caractris par un numro dAS

Il existe des numros dAS privs et publics
1-64511 & 64512-65535:
Utilisation
o Prestataire de services Internet
o Clients raccords plusieurs prestataires
o Quiconque souhaite tablir une politique de routage
spcifique
Sessions BGP - Externe

A
AS 101
AS 100
220.220.16.0/24
220.220.8.0/24
Routeurs BGP appels

peers (voisins)
Session entre 2 AS
diffrents = External BGP
AS 102
220.220.32.0/24
Connexion TCP/IP
eBGNote: les voisins eBGP doivent tre directements raccords.
5/27/2010
Sessions BGP - Interne

A
AS 101
AS 100
220.220.16.0/24
220.220.8.0/24
Les voisins dun mme AS

sont appels des voisins
internes (internal peers)
AS 102
220.220.32.0/24
Connexion TCP/IP
iBGP
Note: les voisins iBGP peuvent ne pas tre directement connects.
Sessions BGP Echange de routes

A
AS 101
AS 100
220.220.16.0/24
220.220.8.0/24
Les voisins BGP schangent des messages

contenant des prfixes
AS 102
220.220.32.0/24
Message de mise
jour BGP
5/27/2010
BGP
Configurations de base
Commandes BGP de base(1)
Configuration
router bgp <AS-number-local>
neighbor <ipv4 address> remote-as
<as-number>
<as-number> = <AS-number-local> pour les sessions IBGP

<as-number> # <AS-number-local> pour les sessions EBGP
5/27/2010
Configuration de sessions BGP

eBGP
AS 100
AS 101
Connexion TCP eBGP
222.222.10.0/30
.2
220.220.8.0/24
.1
.2
.1
.2
220.220.16.0/24
.1
interface Serial 0
ip address 222.222.10.2 255.255.255.252
interface Serial 0
ip address 222.222.10.1 255.255.255.252
router bgp 100

network 220.220.8.0 mask 255.255.255.0
neighbor 222.
222.222.
222.10.
10.1 remote
remote-as 101
router bgp 101

network 220.220.16.0 mask 255.255.255.0
neighbor 222.222.10.2 remoteremote-as 100

iBGP
AS 101
Session TCP iBGP
.2
220.220.16.0/24
.1
interface Serial 1
ip address 220.220.16.2 255.255.255.252
interface Serial 1
ip address 222.220.16.1 255.255.255.252
router bgp 101

network 220.220.16.0 mask 255.255.255.0
router bgp 101

network 220.220.16.0 mask 255.255.255.0
10
5/27/2010

215.10.7.2
215.10.7.1
AS 100
215.10.7.3
Connexion TCP/IP
iBGP
Il est recommand dutiliser des interfaces Loopback sur les

routeurs comme extrmits des sessions iBGP
Configuration des sessions BGP

AS 100
215.10.7.2
215.10.7.1
215.10.7.3
iBGP TCP/IP
interface
loopback 0
Peer
Connection
ip address
215.10.7.1 255.255.255.255
router bgp 100
network 220.220.1.0
neighbor 215.10.7.2
neighbor 215.10.7.2
neighbor 215.10.7.3
neighbor 215.10.7.3
C
remote-as 100
update-source loopback0
updateremote-as 100
update-
11
5/27/2010

AS 100
215.10.7.2
215.10.7.1
215.10.7.3
Connexion TCP/IP
iBGP
interface loopback 0
ip address 215.10.7.2 255.255.255.255
C
router
bgp 100
network 220.220.5.0
neighbor 215.10.7.1
neighbor 215.10.7.1
neighbor 215.10.7.3
neighbor 215.10.7.3
remote-as 100
updateremote-as 100
update-

AS 100
215.10.7.2
215.10.7.1
215.10.7.3
Connexion TCP/IP
iBGP
C
interface loopback 0
ip address 215.10.7.3 255.255.255.255
router bgp 100
network 220.220.1.0
neighbor 215.10.7.1
neighbor 215.10.7.1
neighbor 215.10.7.2
neighbor 215.10.7.2
remote-as 100
updateupdate
-source loopback0
remote-as 100
update-
12
5/27/2010
Commandes BGP de base(2)

Consultation dinformation
show
show
show
show
show
ip bgp summary
ip bgp neighbors
ip bgp
ip bgp neighbors xxxx advertise-routes
ip bgp neighbors xxxx routes
Liste des attributs de chemins BGP

Origine
AS-path (chemin dAS)
Next-hop (prochain routeur)
Multi-Exit Discriminator (MED)
Local preference (prfrence locale)
BGP Community (communaut BGP)
Autres...
13
5/27/2010
AS-PATH (chemin dAS)

o
o
o
Attribut mis jour par le routeur envoyant un

message BGP, en y ajoutant son propre numro
dAS
Contient la liste des AS traverss par le message
Permet de dtecter des boucles de routage
Une
mise jour reue est ignore si elle contient son

propre numro dAS
AS-Path (chemin dAS)

Liste des AS traverss par une

route
Dtection de boucles
AS 200
AS 100
170.10.0.0/16
180.10.0.0/16
180.10.0.0/16
ignore
AS 300
AS 400
150.10.0.0/16
AS 500
180.10.0.0/16 300 200 100

170.10.0.0/16 300 200
150.10.0.0/16 300 400
14
5/27/2010
Next-Hop (prochain routeur)

Adresse de linterface
annonant la route
150.10.1.1
150.10.1.2
AS 200
150.10.0.0/16
AS 300
150.10.0.0/16 150.10.1.1
160.10.0.0/16 150.10.1.1
AS 100
160.10.0.0/16
Local Preference
Paramtre local un AS
o Permet de prfrer une sortie une autre
o Le chemin avec la prfrence locale la plus leve est
slectionn
o Obligatoire pour iBGP, non utilis dans eBGP
o Valeur par dfaut chez Cisco : 100
o
15
5/27/2010
Local Preference
AS 100
Exemple
160.10.0.0/16
AS 200
AS 300
D
500
800
A
160.10.0.0/16
> 160.10.0.0/16
500
800
AS 400
C
Multi-Exit Discriminator
Attribut optionnel non transitif
oPermet de transporter des prfrences relatives entre
points de sortie
o Si les chemins viennent du mme AS le MED peut
tre utilis pour comparer les routes
o Le chemin avec le plus petit MED est slectionn
o Le mtrique IGP peut tre choisi comme MED
16
5/27/2010
Multi-Exit Discriminator (MED)

Exemple
AS 200
C
192.68.1.0/24
Chemin choisi
2000
192.68.1.0/24
1000
B
192.68.1.0/24
AS 201
Origin (Origine de la route)

Indique lorigine du prfixe

Trois valeurs
IGP
- prfixe obtenu avec une clause network
exemple : network 35.0.0.0
EGP
- Redistribu par un EGP

Incomplete - Redistribu par un IGP
exemple : redistribute ospf
IGP < EGP < INCOMPLETE
17
5/27/2010
Communauts BGP
o
o
Transitives, attribut facultatif

Permettent de crer des groupes de
destinations
Chaque destination peut appartenir plusieurs
communauts
Attribut trs flexible, car il permet de faire des
choix avec des critres inter ou intra-AS
Communauts BGP
Exemple
FAI AS 200
C
Communaut:201:110
Communaut:201:120
192.68.1.0/24
Client AS 201
18
5/27/2010
Poids (Weight)
Attribut spcifique Cisco utilis lorsquil y a plus
dune route vers la mme destination
Attribut local un routeur (non propag ailleurs)
Valeur par dfaut 32768 pour les chemins dont
lorigine est le routeur et 0 pour les autres
Lorsquil y a plusieurs choix, on prferra la route
dont le poids est le plus lev.
o
o
Distance administrative
NB: Les routes peuvent tre apprises par plusieurs

protocoles de routage
il
faut les classifier pour faire un choix
La route issue du protocole avec la plus faible distance

est installe dans la table de routage
Distances par dfaut en BGP:

iBGP : 200
eBGP : 20
19
5/27/2010
Configuration de base
Table de routage BGP
Ajout de prfixes dans la table BGP
20
5/27/2010
Ajout de prfixes dans la table BGP
Deux grandes manire:
- Utilisation de la commande network
-Par redistribute (redistribuer les routes statiques

ou Dynamique )
La command Network
network <ipaddress> mask <netmask>

NB: Il faut que la route soit prsente dans la table
de routage du routeur pour quelle soit insre
dans la table BGP
21
5/27/2010
Redistribution
Redistribute <protocol name>
redistribute <protocole> signifie que toutes les
routes du <protocole> seront transfrs dans le
protocole courant
NB: Lorigine de la route sera incomplete, mais il est

possible de le changer avec une route-map
A utiliser avec prudence !
Utilisation de redistribute
Attention avec les redistributions

redistribute
<protocole> signifie que toutes les routes

du <protocole> seront transfres dans le protocole
courant
cette solution doit tre contrle (volumtrie)
viter dans la mesure du possible
prfrer lutilisation de route-maps pour controler
les routes redistribue
22
5/27/2010
Slection de la meilleure route

BGP (bestpath)
Critre de choix
La route doit tre synchronise
Cest dire tre dans la table de routage
Le Next-hop doit tre joignable

Il se trouve dans la table de routage
Prendre la valeur la plus leve pour le poids (weight)

Critre spcifique Cisco et local au routeur
Choisir la prfrence locale la plus leve

Appliqu pour lensemble des routeurs de lAS
La route est dorigine locale

Via une commande BGP redistribute ou network
23
5/27/2010
Critre de choix
Choisir le plus court chemin dAS
en comptant le nombre dAS dans lattribut AS-Path
Prendre lorigine de valeur la plus faible

IGP < EGP < INCOMPLETE
Choisir le plus petit MED

pour des chemins en provenance dun mme AS
Prfrer une route Externe sur une route Interne

prendre la sortie la plus proche
Choisir le next-hop le plus proche

Plus faible mtrique IGP, donc plus proche de la sortie de lAS
Plus petit Router-ID

Adresse IP du voisin la plus petite
Politique de routage - Liste de

prfixes, Route Maps et Listes de
distribution (distribute lists)
24
5/27/2010
Politique de routage
Pourquoi ?
Pour envoyer le trafic vers des routes

choisies
Filtrage de prfixes en entre et sortie
Pour forcer le respect des accords ClientISP
Comment ?
Filtrage bas sur les AS - filter list

Filtrage bas sur les prfixes - distribute
list
Modification dattributs BGP - route maps
Filtrage par - prfix-List

Router(config)# ip prefix-list list-name [seq

seq-value] deny | permit network/len [ge gevalue] [le le-value]
25
5/27/2010

Naccepter la route par dfaut
Autoriser le prfixe 35.0.0.0/8
ip prefix-list Exemple permit 35.0.0.0/8
Interdire le prfixe 172.16.0.0/12
ip prefix-list Exemple deny 0.0.0.0/0
ip prefix-list Exemple deny 172.16.0.0/12
Dans 192/8 autoriser jusquau /24
ip prefix-list Exemple permit 192.0.0.0/8 le 24
Ceci
autorisera toute route dans 192.0.0.0/8, sauf les

/25, /26, /27, /28, /29, /30, /31 and /32

Dans 192/8 interdire /25 et au-del
ip prefix-list Exemple deny 192.0.0.0/8 ge 25
Ceci
interdit les prfixes de taille /25, /26, /27, /28, /29,

/30, /31 and /32 dans le bloc 192.0.0.0/8
Trs ressemblant au prcdent exemple
Dans 192/8 autoriser les prfixes entre /12 et /20
ip prefix-list Exemple permit 192.0.0.0/8 ge 12 le 20
Ceci
interdit les prfixes de taille /8, /9, /10, /11, /21, /22
et au-del dans le bloc 192.0.0.0/8
Autoriser tous les prfixes
ip prefix-list Exemple 0.0.0.0/0 le 32
26
5/27/2010

Exemple de configuration
router bgp 200
network 215.7.0.0
neighbor 220.200.1.1 remote-as 210
neighbor 220.200.1.1 prefix-list PEER-IN in
neighbor 220.200.1.1 prefix-list PEER-OUT out
!
ip prefix-list PEER-IN deny 218.10.0.0/16
ip prefix-list PEER-OUT permit 215.7.0.0/16
Tout accepter du voisin, sauf nos rseaux

Envoyer uniquement nos rseaux au voisin
Filtrage avec des expressions

rgulires

Lexpression rgulire en BGP, est utilis pour

comparer lattribut AS-Path
Exemple : _3561$
Grande flxibilit qui permet de gnrer des
expression complexes
27
5/27/2010
Filtrage avec des expressions

rgulires
ip as-path access-list 1 permit 3561
ip as-path access-list 2 deny 35
ip as-path access-list 2 permit .*
router bgp
neighbor
neighbor
neighbor
100
171.69.233.33 remote-as 33
171.69.233.33 filter-list 1 in
171.69.233.33 filter-list 2 out
Accepter les routes dorigine AS 3561. Tout le reste est rejet en entre (deny
implicite).
Ne pas annoncer les routes de lAS 35, mais tout le reste est envoy (en sortie).
Route Maps
router bgp 300
neighbor 2.2.2.2 remote-as 100
neighbor 2.2.2.2 route-map SETCOMMUNITY out
!
route-map SETCOMMUNITY permit 10
match ip address 1
match community 1
set community 300:100
!
access-list 1 permit 35.0.0.0
ip community-list 1 permit 100:200
28
5/27/2010
Route-map : clauses match & set

Match Clauses

AS-path
Community
IP address
Set Clauses

AS-path prepend
Community
Local-Preference
MED
Origin
Weight
Autres...
29

FR BGP

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

FR BGP

Hochgeladen von

Copyright:

Verfügbare Formate

5/27/2010

Ip prefix-list local seq 10 deny 10.0.0.0/8 le 32

Ip prefix-list local seq 15 deny 192.168.0.0/12 le 32

routage vers null 0

Ip route 10.0.0.0 255.0.0.0 null 0

Systme autonome (AS)

Ensemble de rseaux partageant la mme politique de

Systme autonome (AS)...

Caractris par un numro dAS

Sessions BGP - Externe

Routeurs BGP appels

Sessions BGP - Interne

Les voisins dun mme AS

Sessions BGP Echange de routes

Les voisins BGP schangent des messages

Commandes BGP de base(1)

<as-number> = <AS-number-local> pour les sessions IBGP

Configuration de sessions BGP

Connexion TCP eBGP

router bgp 100

router bgp 101

Configuration de sessions BGP

router bgp 101

router bgp 101

Configuration de sessions BGP

Il est recommand dutiliser des interfaces Loopback sur les

Configuration des sessions BGP

Configuration des sessions BGP

Configuration des sessions BGP

Commandes BGP de base(2)

Liste des attributs de chemins BGP

AS-PATH (chemin dAS)

Attribut mis jour par le routeur envoyant un

mise jour reue est ignore si elle contient son

AS-Path (chemin dAS)

Liste des AS traverss par une

180.10.0.0/16 300 200 100

Next-Hop (prochain routeur)

Multi-Exit Discriminator (MED)

Origin (Origine de la route)

Indique lorigine du prfixe

- prfixe obtenu avec une clause network

exemple : network 35.0.0.0

- Redistribu par un EGP

exemple : redistribute ospf

IGP < EGP < INCOMPLETE

Transitives, attribut facultatif

NB: Les routes peuvent tre apprises par plusieurs

faut les classifier pour faire un choix

La route issue du protocole avec la plus faible distance

Table de routage BGP

Ajout de prfixes dans la table BGP

Ajout de prfixes dans la table BGP

Deux grandes manire:

- Utilisation de la commande network

-Par redistribute (redistribuer les routes statiques

network <ipaddress> mask <netmask>

NB: Lorigine de la route sera incomplete, mais il est

Attention avec les redistributions

<protocole> signifie que toutes les routes

Slection de la meilleure route

Le Next-hop doit tre joignable

Prendre la valeur la plus leve pour le poids (weight)