Beruflich Dokumente
Kultur Dokumente
BGP
Border Gateway Protocol
BGP4
David LOPOI
RAPPEL
Adressage
Filtrage des adresses locales:
- Ne pas transmettre
- Bloquer la rception
RFC 1918
-
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
RFC 3927
-
169.254.0.0 /16
David LOPOI
5/27/2010
RAPPEL
Mthodes de filtrage
Prefix-list
-
..
Ip prefix-list local seq n permit 0.0.0.0 le 32
David LOPOI
RAPPEL
Scurisation de laccs a vos router
Telnet
Ssh
Server radius
David LOPOI
5/27/2010
RAPPEL
Scurisation de laccs a vos router
Scuriser laccs Telnet
1. Crer une access-list pour autoriser des rseaux
Ex : access-list 101 permit
2. Applique aux accs line vty
Line vty 0 15
transport input telnet
David LOPOI
RAPPEL
Scurisation de laccs a vos router
utilisation de ssh
1. Crer un utilisater
Username toto password tata
2. Configurer le nom de domain
Ip domain-name lopoi.com
3. Activer la cl de cryptage
crypto key generate rsa
4. Configurer les accs line vty
Line vty 0 15
Transport input ssh
Login local
Nb: ssh l username cible pour se connecter
partir dun autre router
David LOPOI
5/27/2010
RAPPEL
Scurisation de laccs a vos router
Utilisation dun Server radius
1. Activer aaa authentication
aaa new-model
2. Configurer la methode aaa dauthentification
aaa authentication login default none
aaa authentication login secure group radius
Radius-server host xxxx auth-port xx key xxx
3. Configurer les accs line vty
Line vty 0 15
Login authentication secure
David LOPOI
RAPPEL
Limitation de dbit sur un lien
policy-map
CAR
Trafic shaping
David LOPOI
5/27/2010
RAPPEL
Limitation de dbit sur un lien
policy-map
1. crer la policy-map
policy-map client1
class default-class
police rate xxxx
Conforme-action transmit
Exced-action drop
2. Applique linterface
service-policy input client
David LOPOI
RAPPEL
Scurisation de laccs a vos router
Utilisation dun Server radius
1. Activer aaa authentication
aaa new-model
2. Configurer la methode aaa dauthentification
aaa authentication login default none
aaa authentication login secure group radius
Radius-server host xxxx auth-port xx key xxx
3. Configurer les accs line vty
Line vty 0 15
Login authentication secure
David LOPOI
5/27/2010
BGP
Principes de base et vocabulaires
AS 100
o
o
5/27/2010
AS 101
AS 100
220.220.16.0/24
220.220.8.0/24
AS 102
220.220.32.0/24
Connexion TCP/IP
eBGNote: les voisins eBGP doivent tre directements raccords.
5/27/2010
AS 101
AS 100
220.220.16.0/24
220.220.8.0/24
AS 102
220.220.32.0/24
Connexion TCP/IP
iBGP
Note: les voisins iBGP peuvent ne pas tre directement connects.
AS 101
AS 100
220.220.16.0/24
220.220.8.0/24
AS 102
220.220.32.0/24
Message de mise
jour BGP
5/27/2010
BGP
Configurations de base
Configuration
router bgp <AS-number-local>
neighbor <ipv4 address> remote-as
<as-number>
5/27/2010
AS 101
222.222.10.0/30
.2
220.220.8.0/24
.1
.2
.1
.2
220.220.16.0/24
.1
interface Serial 0
ip address 222.222.10.2 255.255.255.252
interface Serial 0
ip address 222.222.10.1 255.255.255.252
AS 101
Session TCP iBGP
.2
220.220.16.0/24
.1
interface Serial 1
ip address 220.220.16.2 255.255.255.252
interface Serial 1
ip address 222.220.16.1 255.255.255.252
10
5/27/2010
AS 100
215.10.7.3
Connexion TCP/IP
iBGP
215.10.7.2
215.10.7.1
215.10.7.3
iBGP TCP/IP
interface
loopback 0
Peer
Connection
ip address
215.10.7.1 255.255.255.255
router bgp 100
network 220.220.1.0
neighbor 215.10.7.2
neighbor 215.10.7.2
neighbor 215.10.7.3
neighbor 215.10.7.3
C
remote-as 100
update-source loopback0
updateremote-as 100
update-source loopback0
update-
11
5/27/2010
215.10.7.2
215.10.7.1
215.10.7.3
Connexion TCP/IP
iBGP
interface loopback 0
ip address 215.10.7.2 255.255.255.255
C
router
bgp 100
network 220.220.5.0
neighbor 215.10.7.1
neighbor 215.10.7.1
neighbor 215.10.7.3
neighbor 215.10.7.3
remote-as 100
update-source loopback0
updateremote-as 100
update-source loopback0
update-
215.10.7.2
215.10.7.1
215.10.7.3
Connexion TCP/IP
iBGP
C
interface loopback 0
ip address 215.10.7.3 255.255.255.255
router bgp 100
network 220.220.1.0
neighbor 215.10.7.1
neighbor 215.10.7.1
neighbor 215.10.7.2
neighbor 215.10.7.2
remote-as 100
updateupdate
-source loopback0
remote-as 100
update-source loopback0
update-
12
5/27/2010
ip bgp summary
ip bgp neighbors
ip bgp
ip bgp neighbors xxxx advertise-routes
ip bgp neighbors xxxx routes
Origine
AS-path (chemin dAS)
Next-hop (prochain routeur)
Multi-Exit Discriminator (MED)
Local preference (prfrence locale)
BGP Community (communaut BGP)
Autres...
13
5/27/2010
o
o
AS 200
AS 100
170.10.0.0/16
180.10.0.0/16
180.10.0.0/16
ignore
AS 300
AS 400
150.10.0.0/16
AS 500
14
5/27/2010
Adresse de linterface
annonant la route
150.10.1.1
150.10.1.2
AS 200
150.10.0.0/16
AS 300
150.10.0.0/16 150.10.1.1
160.10.0.0/16 150.10.1.1
AS 100
160.10.0.0/16
Local Preference
Paramtre local un AS
o Permet de prfrer une sortie une autre
o Le chemin avec la prfrence locale la plus leve est
slectionn
o Obligatoire pour iBGP, non utilis dans eBGP
o Valeur par dfaut chez Cisco : 100
o
15
5/27/2010
Local Preference
AS 100
Exemple
160.10.0.0/16
AS 200
AS 300
D
500
800
A
160.10.0.0/16
> 160.10.0.0/16
500
800
AS 400
C
Multi-Exit Discriminator
Attribut optionnel non transitif
oPermet de transporter des prfrences relatives entre
points de sortie
o Si les chemins viennent du mme AS le MED peut
tre utilis pour comparer les routes
o Le chemin avec le plus petit MED est slectionn
o Le mtrique IGP peut tre choisi comme MED
16
5/27/2010
C
192.68.1.0/24
Chemin choisi
2000
192.68.1.0/24
1000
B
192.68.1.0/24
AS 201
EGP
17
5/27/2010
Communauts BGP
o
o
Communauts BGP
Exemple
FAI AS 200
C
Communaut:201:110
Communaut:201:120
192.68.1.0/24
Client AS 201
18
5/27/2010
Poids (Weight)
Attribut spcifique Cisco utilis lorsquil y a plus
dune route vers la mme destination
Attribut local un routeur (non propag ailleurs)
Valeur par dfaut 32768 pour les chemins dont
lorigine est le routeur et 0 pour les autres
Lorsquil y a plusieurs choix, on prferra la route
dont le poids est le plus lev.
o
o
Distance administrative
iBGP : 200
eBGP : 20
19
5/27/2010
Configuration de base
20
5/27/2010
La command Network
21
5/27/2010
Redistribution
Redistribute <protocol name>
redistribute <protocole> signifie que toutes les
routes du <protocole> seront transfrs dans le
protocole courant
Utilisation de redistribute
22
5/27/2010
Critre de choix
La route doit tre synchronise
Cest dire tre dans la table de routage
23
5/27/2010
Critre de choix
Choisir le plus court chemin dAS
en comptant le nombre dAS dans lattribut AS-Path
24
5/27/2010
Politique de routage
Pourquoi ?
Comment ?
25
5/27/2010
Ceci
Ceci
Ceci
interdit les prfixes de taille /8, /9, /10, /11, /21, /22
et au-del dans le bloc 192.0.0.0/8
26
5/27/2010
Exemple de configuration
router bgp 200
network 215.7.0.0
neighbor 220.200.1.1 remote-as 210
neighbor 220.200.1.1 prefix-list PEER-IN in
neighbor 220.200.1.1 prefix-list PEER-OUT out
!
ip prefix-list PEER-IN deny 218.10.0.0/16
ip prefix-list PEER-OUT permit 215.7.0.0/16
27
5/27/2010
100
171.69.233.33 remote-as 33
171.69.233.33 filter-list 1 in
171.69.233.33 filter-list 2 out
Accepter les routes dorigine AS 3561. Tout le reste est rejet en entre (deny
implicite).
Ne pas annoncer les routes de lAS 35, mais tout le reste est envoy (en sortie).
Route Maps
router bgp 300
neighbor 2.2.2.2 remote-as 100
neighbor 2.2.2.2 route-map SETCOMMUNITY out
!
route-map SETCOMMUNITY permit 10
match ip address 1
match community 1
set community 300:100
!
access-list 1 permit 35.0.0.0
ip community-list 1 permit 100:200
28
5/27/2010
AS-path
Community
IP address
Set Clauses
AS-path prepend
Community
Local-Preference
MED
Origin
Weight
Autres...
29