IMPLEMENTING CISCO IP ROUTING (ROUTE) GRUPO ACADEMIA POSTAL Objetivos Terminologa BGP, Conceptos y Funcionamiento Configuracin de BGP Verificacin y Resolucin de Problemas Manipulacin de Rutas en BGP utilizando route Maps Filtrado de Rutas en BGP Filtrado de Rutas en BGP GRUPO ACADEMIA POSTAL Terminologa, Conceptos y Funcionamiento BGP GRUPO ACADEMIA POSTAL Introduccin Enrutamiento Tipos de enrutamiento: Enrutamiento esttico Enrutamiento dinmico Clasificacin de los protocolos de enrutamiento: Protocolos de enrutamiento aplicados dentro de la propia organizacin: IGP. RIP, OSPF, IGRP, EIGRP... Protocolos de enrutamiento entre organizaciones, como por ejemplo, ISPs: EGP. BGP4. Concepto de Sistema Autnomo Interconexin de Sistemas Autnomos: Rutas por defecto: Entre clientes e ISPs (habitualmente) BGP: Entre ISPs de diferentes niveles GRUPO ACADEMIA POSTAL Sistemas Autnomos Internet es una coleccin de Sistemas Autnomos que se interconectan, facilitando el intercambio de informacin entre dichos SAs. BGP l t l it i t bi i f i d t i t t SA BGP es el protocolo que permite intercambiar informacin de enrutamiento entre SA diferentes Versin actual BGP 4 (RFC 4271) El RFC 4760 define extensiones para BGP dando lugar a BGP+o MultiProtocol BGP El RFC 4760 define extensiones para BGP, dando lugar a BGP+ o MultiProtocol BGP. Entre otras aportaciones permite que BGP d soporte a IPv6 Un Sistema Autnomo es un conjunto de redes bajo una sola autoridad de administracin tcnica, que utiliza un IGP y mtricas comunes para enrutar paquetes dentro del propio SA tcnica, que utiliza un IGP y mtricas comunes para enrutar paquetes dentro del propio SA y utiliza un protocolo de enrutamiento inter Sistema Autnomo (EGP) para enrutar como enviar los paquetes fuera del Sistema Autnomo Pueden utilizarse varios IGPs Cada organizacin (p.ej. ISP) tiene autonoma y puede administrar de forma autnoma su propio conjunto de redes: Plan de enrutamiento interior coherente Polticas de enrutamiento Polticas de seguridad GRUPO ACADEMIA POSTAL Sistemas Autnomos Cada SA tiene un nmero identificador asignado por la IANA, la Regional Internet Registry que corresponda, que en caso de Europa es realizado por el RIPE, o bien por un ISP. El RFC 1930 d fi l d SA d 16 bit El RFC 1930 define que el n de SA es un n de 16 bits El rango va desde 1 a 65.535. Desde el 64.512 al 65.535 se reservan para uso privado (igual que las direcciones IP privadas) IP privadas). Debido a que existe un nmero muy limitado de nmeros de SA es necesario justificar de forma razonada la solicitud de un nmero de SA pblico. Se est promoviendo la asignacinde nmeros privados desde los ISP a sus clientes Se est promoviendo la asignacin de nmeros privados desde los ISP a sus clientes, de tal forma que el conjunto de las redes del ISP y las de sus clientes se vern desde el exterior como un nico SA despus del proceso de traduccin. El RFC 4893 ampli el tamao de los ns de SA de 16 a 32 bits p EGP3 (protocolo especfico) fue el primer EGP (protocolo de pasarela exterior) que se utiliz de forma generalizada. BGP4 es actualmente el protocolo EGP utilizado como estndar de facto en Internet. GRUPO ACADEMIA POSTAL Enrutamiento BGP entre Sistemas Autnomos Objetivo de BGP Intercambiar informacin entre SA, garantizando rutas libres de bucles. G f d SA l h d l t ( t ib t AS PATH) Grafo de SA por los que ha pasado la ruta (atributo AS_PATH). BGP4 es la primera versin de BGP que soporta enrutamiento classless CIDR y VLSM. La nica implementacin actual soportada es BGP4 con sus extensiones H itid d i l t d l t bl d t i t d l t d Ha permitido reducir el tamao de las tablas de enrutamiento de los routers core de Internet de 2.000.000 de entradas a 300.000 bloques CIDR GRUPO ACADEMIA POSTAL Enrutamiento entre Sistemas Autnomos Diferencias con los IGPs: Es un protocolo de enrutamiento exterior frente a los protocolos de enrutamiento i t i interiores Es un protocolo de tipo vector-distancia mejorado (enrutamiento vector-ruta) No requiere diseo jerrquico P i t d l t bilid d f t l id Prima, todava ms, la estabilidad frente a la rapidez El enrutamiento en BGP no se basa en mtricas, sino en polticas (o directivas) definidas en funcin de los atributos de la ruta. Utiliza el puerto TCP 179 Se necesita conectividadIP Establecer relaciones de Utiliza el puerto TCP 179 Se necesita conectividad IP Establecer relaciones de vecindad entre routers. BGP es orientado a la conexin y utiliza un servicio de capa de transporte fiable. GRUPO ACADEMIA POSTAL Comparativa entre BGP y los IGPs Protocol Interior or Exterior Type Hierarchy Required? Metric q RIP Interior Distance vector No Hop count OSPF Interior Link state Yes Cost IS-IS Interior Link state Yes Metric EIGRP Interior Advanced di t No Composite EIGRP Interior distance vector No Composite BGP Exterior Path vector No Path vectors (attributes) GRUPO ACADEMIA POSTAL Conectar Redes Corporativas a un ISP Las redes corporativas modernas se conectan a Internet de diferentes modos, en funcin de sus requisitos, que pueden ser: Espacio de direccionamiento IP pblico: Conexin unidireccional: Direccionamiento Privado + NAT Conexinbidireccional: Direccionamiento Pblico +Privado Conexin bidireccional: Direccionamiento Pblico Privado Tipo de conexin y ancho de banda entre la empresa y el ISP Redundancia de las conexiones P t l d t i t Protocolo de enrutamiento GRUPO ACADEMIA POSTAL Espacio de Direccionamiento IP Pblico Se utiliza espacio de direccionamiento pblico si: Los clientes internos acceden a Internet utilizando NAT Hacer accesibles los servidores desde Internet utilizando NAT esttico Las direcciones IP pblicas se pueden obtener desde un ISP o desde un RIR: Muchas organizaciones obtienen sus direcciones IP y sus AS de sus ISPs Muchas organizaciones obtienen sus direcciones IP y sus AS de sus ISPs Grandes empresas puede desear obtener sus direcciones IP y un n de AS de los RIR directamente GRUPO ACADEMIA POSTAL Preguntas a plantear sobre la Conexin y el Enrutamiento Qu opciones de conexin ofrece el ISP? Qu opciones de enrutamiento ofrece el ISP Estar la red corporativa conectada a mltiples ISPs? Es necesario que el enrutamiento soporte un enlace a un ISP, un enlace a mltiples ISPs o mltiples enlaces a mltiples ISPs? mltiples ISPs o mltiples enlaces a mltiples ISPs? Se requiere balanceo de carga sobre mltiples enlaces? Cunta informacin de enrutamiento es necesario intercambiar con el ISP? E i l t i t d l bi t l Es necesario que el enrutamiento responda a los cambio se topologa, como cuando se pierde un enlace? GRUPO ACADEMIA POSTAL Ejemplo de Rutas Estticas Las rutas estticas son el modo ms simple de implementar el enrutamiento con un ISP Normalmente, el cliente tiene una sola conexin al ISP y el cliente utiliza una ruta por d f t h i l ISP l ISP tili t tti t li t defecto hacia el ISP y el ISP utiliza rutas estticas para conectarse con sus clietnes R1( conf i g) # router eigrp 110 R1( conf i g- r out er ) # network 10.0.0.0 ( g ) R1( conf i g- r out er ) # exit R1( conf i g) # ip default-network 0.0.0.0 R1( conf i g) # ip route 0.0.0.0 0.0.0.0 serial 0/0/0 Company A Internet PE R1 10.0.0.0 172.16.0.0 ISP PE( conf i g) # ip route 10.0.0.0 255.0.0.0 serial 0/0/1 PE R1 S0/0/1 172.17.0.0 S0/0/0 PE( conf i g) # ip route 172.16.0.0 255.255.0.0 serial 0/0/1 PE( conf i g) # ip route 172.17.0.0 255.255.0.0 serial 0/0/1 GRUPO ACADEMIA POSTAL Ejemplo de Emulacin de un Circuito de Capa 2 Los proveedores de servicio suelen ofrece VPNs MPLS de capa 2 para conectar diferentes sitios de una misma empresa L VPN i i i d 2 t d l b kb d l ISP l t La VPN proporciona un servicio de capa 2 a travs del backbone del ISP y los routers borde de la empresa A se conectan a travs de la misma subred No hay enrutamiento entre el ISP y la empresa A GRUPO ACADEMIA POSTAL Ejemplo de VPN sobre MPLS en Capa 3 Los proveedores de serivicos tambin suelen ofrecer VPNs sobre MPLS en capa 3 Las VPN proporciona un servicio de capa 3 a travs del ncleo del IPS y los routers borde de la empresa A, que se conectan a los routers borde del ISP utilizando diferentes subredes Se necesita enrutamiento entre el cliente y el proveedor GRUPO ACADEMIA POSTAL Uso de BGP BGP se puede utilizar para intercambiar informacin dinmicamente BGP puede reaccionar ante cambios en la topologa ms all de la conexin cliente - ISP Company A AS 65010 Internet ISP AS 65020 Internet PE R1 S0/0/1 S0/0/0 GRUPO ACADEMIA POSTAL Redundancia de Conexiones La redundancia de conexiones puede conseguirse mediante enlaces redundantes, utilizando dispositivos redundantes y usando componentes d d t t redundantes en un router Las conexiones a un ISP tambin pueden ser redundantes Cuando un cliente se conecta a un solo ISP, la conexin se define como single- homed o dual-homed Cuando un cliente se conecta a mltiples ISPs, la conexin se denomina multihomed or dual-multihomed GRUPO ACADEMIA POSTAL Redundancia de Conexiones Multihomed Single-homed Connecting to Two or more ISPs Connecting to One ISP g Dual-multihomed Dual-homed GRUPO ACADEMIA POSTAL Conexin a un ISP: Single-Homed El tipo de conexin depende de la oferta de ISP y el fallo del enlace provoca la prdida de servicio La figura muestra dos opciones La figura muestra dos opciones Opcin 1: Rutas estticas, donde se utiliza una ruta esttica por defecto en el cliente hacia el ISP y una ruta esttica desde el ISP al cliente Opcin 2: Cuando se usa BGP el cliente puede publicar dinmicamente sus redes Opcin 2: Cuando se usa BGP, el cliente puede publicar dinmicamente sus redes pblicas al ISP y ste propaga una ruta por defecto al cliente O ti 1 Company A ISP Static Route(s) Default Route Option 1: Company A AS 65010 Internet PE R1 S0/0/1 ISP AS 65020 S0/0/0 BGP Option 2: GRUPO ACADEMIA POSTAL Conexin a un ISP: Dual-Homed La figura muestra dos opciones: Opcin 1: Ambos enlaces se conecta al mismo router del cliente Opcin 2: Para mejorar la tolerancia a fallos los 2 enlaces finalizan en routers Opcin 2: Para mejorar la tolerancia a fallos, los 2 enlaces finalizan en routers separados en la red del cliente Company A Internet ISP Option 1: PE R1 PE R1 Company A Internet ISP Option 2: PE R1 R2 GRUPO ACADEMIA POSTAL Conexin a un ISP: Dual-Homed Las opciones de enrutamiento incluyen: Un enlace primario y otro de backup en caso de que el enlace primario falle Balanceo de carga utilizando CEF Balanceo de carga utilizando CEF Se puede utilizar tanto enrutamiento dinmico como esttico Company A Internet ISP Option 1: PE R1 PE R1 Company A Internet ISP Option 2: PE R1 R2 GRUPO ACADEMIA POSTAL Conexin a mltiples ISPs: Multihomed Las conexiones desde los diferentes ISP terminan en el mismo router o en routers diferentes para proporcionar una mayor tolerancia a fallos El t i t d b d i l bi di i ll d l El enrutamiento debe ser capaz de reaccionar a los cambios dinmicos ms all de los enlaces directamente conectados. Este comportamiento se consigue habitualmente con BGP ISP 1 Company A PE Internet R1 R2 ISP 2 R2 PE GRUPO ACADEMIA POSTAL Conexin a mltiples ISPs: Multihomed Las ventajas de multihomed incluyen: Proporciona una solucin independiente del ISP Escalabilidad en la solucin, ms all de los 2 ISPs Resistencia a fallos en un ISP Balanceo de carga a diferentes destinos a travs de los 2 ISPs g ISP 1 Company A PE Internet R1 R2 ISP 2 R2 PE GRUPO ACADEMIA POSTAL Conexin a mltiples ISPs: Dual-Multihomed Dual-Multihomde incluye todas las ventajas de la conectividad multihomed con tolerancia a fallos mejorada La configuracin tpica tiene mltiples routers borde, uno por ISP, y utiliza BGP g p p , p , y ISP 1 Company A PE Internet R1 R2 ISP 2 R2 PE GRUPO ACADEMIA POSTAL BGP en Redes Corporativas BGP puede ejecutarse para intercambiar informacin de enrutamiento entre routers que pertenecen a un mismo SA (IBGP) o entre routers que pertenecen a SAs diferentes (EBGP) Ej l Ejemplo: Como se puede observar un SA es un conjunto de redes sobre los que se aplica una administracin comn. Desde el interior del SA este puede ser considerado un conjunto de redes que Desde el interior del SA, este puede ser considerado un conjunto de redes que intercambian informacin por medio de IGPs. Desde el exterior, se ve al SA como una unidad, que intercambia con los dems unidad , que intercambia con los dems SA informacin de enrutamiento mediante EGPs, en este caso BGP. IBGP IBGP EBGP EBGP IBGP IBGP IBGP EBGP GRUPO ACADEMIA POSTAL BGP en Redes Corporativas Ejemplo: El SA 65000 aprende rutas tanto desde el ISP-A como desde el ISP-B Adems, los routers del SA 65000 establecen relaciones de vecindad BGP tanto con routers de otros SAs como entre ellos IBGP EBGP EBGP Los routers del SA 65000 aprenden rutas y eligen cul es el mejor camino para alcanzar el destino en base a su alcanzar el destino, en base a su configuracin y a las rutas aprendidas El control de la informacin de enrutamiento es crtica en BGP Pueden darse casos en los que el trfico entre proveedores circule a travs de un cliente GRUPO ACADEMIA POSTAL Opciones de BGP Homing Se dice que un SA autnomo es multihoming cuando tiene ms de una conexin a Internet, por medio de uno o ms ISPs I t l fi bilid d d l i I t t Incrementar la fiabilidad de la conexin a Internet Mejorar el rendimiento de la conexin U i i d i l t ltih i dif t d d t Una organizacin puede implementar multihoming con diferentes proveedores de tres modos diferentes: Cada ISP pasa solamente una ruta por defecto al SA: La ruta por defecto se pasa a los routers internos routers internos Cada ISP pasa solamente la ruta por defecto y las rutas especficas del proveedor al SA Cada ISP pasa todas las rutas al SA Cada ISP pasa todas las rutas al SA GRUPO ACADEMIA POSTAL Opcin1: Rutas por defecto desde todos los proveedores Recibir una ruta por defecto desde todos los proveedores requiere menos recursos para el enrutamiento dentro del SA. S tili t d f t l t d l d t Se utilizan rutas por defecto para alcanzar todas las redes externas Se elige como ruta por defecto en los routers internos, aqulla que tenga un menor coste, segn la mtrica del IGP que se haya utilizado para propagarla por el SA. El SA publica todas sus rutas a sus proveedores que las propagarn hacia Internet El SA publica todas sus rutas a sus proveedores, que las propagarn hacia Internet Define como su ISP se enviar los paquetes desde Internet al SA local, en funcin de la informacin propagada por el cliente al ISP Habitualmente los ISPs tienen conexiones con mltiples ISPs de nivel superior Habitualmente, los ISP s tienen conexiones con mltiples ISP s de nivel superior . Los ISPs regionales no suelen manipular los atributos de las rutas, pero utilizan BGP para facilitar el intercambio de informacin con los ISPs de nivel superior Limitaciones: Limitaciones: Los atributos de las rutas no pueden ser manipulados individualmente Es difcil realizar distribucin de carga por mltiples ISPs Se complica la distribucin del ancho de banda Se complica la distribucin del ancho de banda GRUPO ACADEMIA POSTAL Opcin1: Rutas por defecto desde todos los proveedores Ejemplo: GRUPO ACADEMIA POSTAL Opcin 2: Rutas por defecto y Actualizaciones Parciales Los ISPs pasan rutas por defecto y rutas especficas concretas al SA Una empresa que ejecuta EBGP con un ISP que enva actualizaciones parciales de la t bl d t i t tabla de enrutamiento Rutas del propio ISP Rutas de otros clientes del ISP L di t ib t t li i i l t t i t La empresa redistribuye estas actualizaciones parciales entre sus routers internos, redistribuyendo la informacin de BGP en sus IGPs La toma de decisiones para estas rutas se puede hacer en base a criterios especficos en lugar de aplicar los criterios genricos de la ruta por defecto especficos en lugar de aplicar los criterios genricos de la ruta por defecto GRUPO ACADEMIA POSTAL Opcin 2: Rutas por defecto y Actualizaciones Parciales Ejemplo GRUPO ACADEMIA POSTAL Opcin 3: Todas las rutas desde todos los proveedores Todos los ISPs publican todas sus rutas al ISP Todos los routers de la organizacin ejecutan IBGP en todos los routers de trnsito Consume muchos recursos de enrutamiento GRUPO ACADEMIA POSTAL Funcionalidad Vector-Distancia BGP no publica destinos por medio de direccin de red y mscara de subred, utiliza NLRI. NLRI es un conjunto de pares formados por un prefijo de red, la longitud del prefijo y los t ib t d l t atributos de la ruta El prefijo representa el destino alcanzable. Longitud representan el nmero de bits del prefijo que identifican al destino. Ej l P 10 1 1 0 255 255 255 0 P fij 10 1 1 0 L it d 24 Ejemplo: Para 10.1.1.0 255.255.255.0. Prefijo 10.1.1.0. Longitud 24. <24, 10.1.1.0> Entre los atributos se puede encontrar: Lista de SAs que se han de atravesar para alcanzar el destino (AS_PATH) Next-hop: IP del SA vecino al que se ha de enviar el paquete para alcanzar el destino O i i C h i t d id l i f i d t i t BGP Origin: Como se ha introducido la informacin de enrutamiento en BGP Esta informacin permite construir un grafo de SAs BGP ve a Internet como un grafo de SAs autnomos libre de bucles (rbol) GRUPO ACADEMIA POSTAL Polticas de Enrutamiento en BGP BGP permite que las decisiones de enrutamiento a nivel de Sistema Autnomo sean manipuladas, mediante polticas o directivas BGP puede publicar a sus SAs vecinos solamente aquellas rutas que utilice el mismo Paradigma del enrutamiento salto a salto No permite aplicar cualquier tipo de directivas: No se puede determinar estrictamente como los SAs vecinos van a enviar informacin al propio SA enviar informacin al propio SA S se puede determinar como el trfico propio trfico propio alcanza los SAs vecinos GRUPO ACADEMIA POSTAL Funcionalidades de BGP: Cuando usar BGP Un SA multi-homed tiene ms de una conexin a otros SA, bien con un proveedor o con varios proveedores. Si este SA pertenece a una organizacin consumidora de servicios de Internet (cliente final) no le interesar enrutar trfico que tenga como origen y destino rutas Internet (cliente final) no le interesar enrutar trfico que tenga como origen y destino rutas que no pertenezcan al propio SA. No permite pasar el trfico a travs de l mismo. Solamente publica sus propias rutas al resto de SA de esta forma se asegura que Solamente publica sus propias rutas al resto de SA, de esta forma se asegura que ISP1 no enve a ISP2 a travs del AS24. Para evitar que los ISPs utilicen una ruta por defecto para enviar el trfico a travs de l se puede usar filtros para el trfico entrante. p p No necesitan obligatoriamente ejecutar BGP4, aunque es recomendable si los puntos de salida van a ISP diferentes, debido a que BGP4 proporciona: Control del enrutamiento. Filtrado de actualizaciones de enrutamiento. GRUPO ACADEMIA POSTAL Funcionalidades de BGP: Cuando usar BGP Un SA que tiene ms de una conexin al exterior y que puede ser utilizado como rea de trnsito entre otros 2 SA, se define habitualmente como SA transit multi-homed S d fi t fi d t it l ti i d ti d Se define como trfico de trnsito aquel que tiene como origen y destino redes que no pertenecen al propio SA. La informacin de enrutamiento entre los Routers de borde se intercambia a travs del propio SA pudiendo utilizar para ello BGP del propio SA, pudiendo utilizar para ello BGP. Cuando BGP sirve para intercambiar informacin entre routers que pertenecen al mismo SA se denomina IBGP (Internal BGP). Cuando BGP se utiliza para pasar informacin de enrutamiento entre 2 SA diferentes se Cuando BGP se utiliza para pasar informacin de enrutamiento entre 2 SA diferentes se denomina EBGP (External BGP). GRUPO ACADEMIA POSTAL Funcionalidades de BGP: Cuando NO usar BGP Cuando la poltica de enrutamiento sea consistente con la del ISP. Posibles situaciones: Existe una sola conexin a Internet o a otro SA. Las polticas de enrutamiento y la eleccin de rutas no es independiente en el SA Los routers no tienen capacidad suficiente para soportar BGP (RAM, procesador, IOS ) IOS) El administrador no tiene conocimientos de BGP o de filtrado de rutas. Ancho de banda bajo en la conexin entre Sas. Cuando se utilizan varias conexiones siendo una de ellas de backup y se utilizan de forma no simultnea. Solucin: Rutas estticas flotantes. GRUPO ACADEMIA POSTAL Caractersticas de BGP Utiliza TCP como protocolo de capa de transporte No necesita implementar mecanismos de retransmisin o de reconocimiento P t 179 Puerto 179 Dos routers BGP establecen una conexin TCP intercambiando mensajes Open y Keepalive para negociar los parmetros de esta conexin TCP Si la negociacintiene xito los routers pasan a ser vecinos o peers Si la negociacin tiene xito, los routers pasan a ser vecinos o peers Una vez que la conexin se ha TCP se ha establecido intercambian su tabla de enrutamiento BGP completa y, a partir de este punto, intercambiarn actualizaciones incrementales generadas por eventos incrementales generadas por eventos La relacin de vecindad se mantiene por medio paquetes Hello de BGP (60 segundos) BGP puede llegar a manejar una gran cantidad de rutas y utiliza el mecanismo de ventana deslizante proporcionado por TCP para realizar un intercambio eficiente de rutas p p p p Sinnimos de vecinos BGP: BGP peers BGP neighbors G eg bo s Si un router tiene activado BGP, aunque no tenga vecinos BGP, se denomina BGP speaker GRUPO ACADEMIA POSTAL Relaciones de vecindad en BGP En BGP dos routers intercambian informacin de enrutamiento si previamente han establecido una relacin de vecindad. R i it D b t bl i t i TCP l d b h b Requisito: Debe establecerse previamente una conexin TCP, por lo que debe haber conectividad entre los dos routers a travs de IP, bien por conexin directa o travs de otros routers. Los routers vecinos intercambian mensajes para abrir y confirmar los parmetros de la Los routers vecinos intercambian mensajes para abrir y confirmar los parmetros de la conexin. Si no son compatibles los parmetros establecidos en ambos peers se envan mensajes de notificacin de error y se finaliza la conexin. j y Al establecer la primera conexin, los peer routers intercambian todas las rutas BGP candidatas. Despus de este intercambio de informacin inicial, se utilizan actualizaciones incrementales para notificar cambios (rutas nuevas y rutas que se eliminan). Los peers publican su informacin mediante mensajes update o de actualizacin: Estos mensajes contienen, entre otras, las siguientes informaciones: Prefijo de la ruta, AS_PATH, el grado de preferencia de la ruta y los dems atributos de la ruta. GRUPO ACADEMIA POSTAL Relaciones de vecindad en BGP Los routers BGP establecen relaciones de vecindad directas, de forma explcita, con sus vecinos U t BGP i t bi l t i f i i BGP Un router BGP intercambia solamente informacin con sus vecinos BGP Sinnimos de routers que ejecutan BGP: BGP neighbor BGP BGP peer BGP speaker Configuracin de una relacin de vecindad: Router(config-router)#neighbor GRUPO ACADEMIA POSTAL EBGP Cuando BGP se utiliza para establecer una conexin entre dos peers que pertenecen a SAs diferentes se dice que han establecido una sesin EBGP E t h bit l t l t t di t t t d En este caso, habitualmente los routers estn directamente conectados Para que puedan intercambiar informacin de enrutamiento estos routers deben ser capaces de: ConexinTCP La direccin IP del vecino debe ser alcanzable siempre Conexin TCP La direccin IP del vecino debe ser alcanzable siempre Red directamente conectada Rutas estticas Rutas estticas GRUPO ACADEMIA POSTAL IBGP Cuando BGP se ejecuta entre routers dentro del mismo SA, se denomina IBGP. Este tipo de sesiones permiten intercambiar informacin de enrutamiento de modo que todos los routers BGP del SA tengan la misma informacin de enrutamiento de los SAs externos routers BGP del SA tengan la misma informacin de enrutamiento de los SAs externos No tienen porqu estar directamente conectados. Solamente han de ser capaces de establecer conexiones TCP Se recomienda utilizar interfaces de loopback para establecer las relaciones de Se recomienda utilizar interfaces de loopback para establecer las relaciones de vecindad BGP GRUPO ACADEMIA POSTAL IBGP en Nontransit SAs Los Nontransit SAs son organizaciones que utilizan los servicios de dos ISPs, pero que no pasan ni rutas ni trfico de un ISP a otro E t i l i i l d i i l ISP l t i En caso contrario sera la organizacin la que dara servicio a los ISPs y no al contrario Sin embargo, todos los routers del SA necesitan tener conocimiento de todas las rutas BGP para alcanzar todos los posibles destinos de manera ptima BGP no fue diseado como un IGP Solamente garantiza que no se producen bucles de BGP no fue diseado como un IGP. Solamente garantiza que no se producen bucles de SA. No es capaz de garantizar que no se producen bucles dentro del SA Para evitar este problema se establece la siguiente norma: Las rutas aprendidas mediante IBGP nunca se publican de nuevo por IBGP (split-horinzon BGP) mediante IBGP nunca se publican de nuevo por IBGP (split horinzon BGP) Se presupone, por lo tanto, que todos los routers IBGP de un SA estn conectados en una topologa BGP full-mesh, aunque pueden no estar directamente conectados fsicamente GRUPO ACADEMIA POSTAL IBGP en Transit SAs Topologa Full-Mesh: Topologa Partial-Mesh: GRUPO ACADEMIA POSTAL Problemas de enrutamiento en SA de Trnsito Todos los routers que estn entre dos routers IBGP, se denominan camino de trnsito transit path Si i d t d SA Sincronismo dentro de un SA J ustificacin del sincronismo Desactivacin del sincronismo C fi i d t l f ll h BGP t d l t d l t it th Configuracin de una topologa full-mesh BGP en todos los routers del transit-path GRUPO ACADEMIA POSTAL Continuidad dentro de un SA con BGP. BGP NO PUBLICA LAS RUTAS APRENDIDAS DESDE UN PEER IBGP A OTROS PEERS IBGP. E t i l t i t d t d SA d t l d En caso contrario, el enrutamiento dentro de un SA podra presentar loops de enrutamiento (el control se lleva a cabo mediante el atributo AS_PATH). Para que los routers que ejecutan IBGP aprendan todas las rutas del SA debe estar conectados en topologa full-meshlgica (no hace falta que sea fsica) conectados en topologa full mesh lgica (no hace falta que sea fsica). Es necesario que los routers puedan conectarse va TCP/IP. Ejemplo de un escenario errneo: Las rutas EBGP aprendidas via San J os no se publicarna Los Angeles, porque San Francisco aprende dichas rutas desde San J os va publicarn a Los Angeles, porque San Francisco aprende dichas rutas desde San J os va IBGP y por lo tanto no las pblica a Los Angeles va IBGP. GRUPO ACADEMIA POSTAL Sincronizacin en un Sistema Autnomo BGP fue diseado para ser ejecutado en los routers borde de un SA, mientras los routers internos ignoraban los detalles acerca del enrutamiento externo Si b i t SA d T it t t fi d d SA t t SA Sin embargo, existen SA de Trnsito, que enrutan trfico desde un SA externo a otro SA externo (ISPs) En este caso, todos los routers del SA deben tener un conocimiento completo de las rutas externas rutas externas Solucin 1 Redistribucin de rutas de BGP en el IGP del SA Problemas: Carga y Escalabilidad Solucin2 IBGP +No sincronizacin Solucin 2 IBGP + No sincronizacin Sincronizacin: Cuando la sincronizacin est activada en BGP, se establece que BGP debe estar sincronizado con el IGP antes de publicar rutas de trnsito a routers externos sincronizado con el IGP antes de publicar rutas de trnsito a routers externos Este era el comportamiento por defecto en versiones anteriores IOS En las versiones actuales, este comportamiento esta desactivado por defecto Un router no publicar rutas a sus vecinos EBGP aprendidas desde vecinos Un router no publicar rutas a sus vecinos EBGP, aprendidas desde vecinos IBGP, a no ser que dichos destinos tambin sean conocidos a travs de un IGP Garantizar la alcanzabilidad GRUPO ACADEMIA POSTAL Sincronizacin en un SA Cuando un router IBGP recibe una actualizacin desde otro router IBGP, intenta comprobar si es alcanzable a travs de un IGP, como OSPF o RIP. Si l t IBGP d t l d d d ti l t bl d Si el router IBGP no es capaz de encontrar la red de destino en la tabla de enrutamiento IBGP, no publicar la ruta a ningn vecino BGP (lo cual incluye tanto a los vecinos IBGP como a los EBGP). Si la ruta no es alcanzable mediante un protocolo IGP en el SA los routers que no Si la ruta no es alcanzable mediante un protocolo IGP en el SA, los routers que no sean BGP no sern capaces de entregar la informacin al destino. Si se publicasen, los routers EBGP podran enviar informacin al SA y una vez all la informacin no podra ser entregada de forma adecuada. p g Si el router IBGP tiene una ruta hacia el destino mediante un IGP se dice que la ruta est sincronizada, y el router la publicar a sus vecinos. GRUPO ACADEMIA POSTAL Ejemplo de sincronizacin en un SA ISP1 e ISP2 estn utilizando ISP3 como SA de trnsito. ISP3 tiene mltiples routers en su SA, pero solamente ejecuta BGP en sus border routers. Aunque RTB y RTDse utilicen para enviar trfico de trnsito, en estos routers no se Aunque RTB y RTD se utilicen para enviar trfico de trnsito, en estos routers no se configura BGP. ISP3 utiliza un protocolo de tipo IGP para conseguir conectividad dentro del SA. RTA y RTB no estn fsicamente conectados, establecen una sesin TCP a travs de y , RTD y RTB. ISP1 publica la red 192.213.1.0/24 al SA ISP3. Debido a que RTA y RTC son vecinos IBGP, RTA enva a RTC la ruta 192.213.1.0/24. Conexin lgica. No conexin fsica. GRUPO ACADEMIA POSTAL Ejemplo de sincronizacin en SA II Los routers RTD y RTB no estn ejecutando BGP y por lo tanto no conocen la ruta 192.213.1.0/24 (no hemos definido redistribucin tampoco). E t it i i RTC ISP2 t li i bli d l t 192 213 1 0/24 En esta situacin, si RTC enva a ISP2 una actualizacin publicando la ruta 192.213.1.0/24, desde ISP2 empezar a enviarse el trfico con destino 192.213.1.0/24 a RTC. RTC inicia una bsqueda recursiva en su tabla de enrutamiento y decide enviar el trfico a RTB RTB. RTB cuando recibe paquetes con destino 192.213.1.0/24 no sabe a donde enviarlos puesto que no conoce la ruta. BGP y el IGP no estn sincronizados. GRUPO ACADEMIA POSTAL Sincronizacin en un SA. Conclusiones La regla de sincronizacin en BGP establece que un router BGP no debe publicar a sus vecinos externos ninguna ruta que haya aprendido mediante IBGP, a no ser que sea capaz de alcanzar la citada ruta tambin a travs del IGP. Si el router conoce dicha ruta va IGP asume que esa ruta ha sido inyectada en el SA, y que la alcanzabilidad interna est garantizada. Inyectar rutas externas en un SA tiene un coste asociado importante, debido a que di t ib i t t l SA b d t b j l t redistribuir rutas externas en el SA generar una sobrecarga de trabajo al tener que manejar ms rutas de las que, en un principio, seran necesarias. Esta opcin solo es deseable si el SA es transit multi-homed. En caso contrario puede ser ms interesante trabajar con rutas por defecto aunque las En caso contrario puede ser ms interesante trabajar con rutas por defecto, aunque las rutas no tendran porque ser las mejores. Cisco IOS ofrece una alternativa: no synchronization. Este comando permite ignorar la necesidad de cumplir el requisito de sincronizacin Este comando permite ignorar la necesidad de cumplir el requisito de sincronizacin para publicar las rutas a los vecinos externos. Existen dos situaciones en la que es seguro utilizar este comando: Cuando todos los routers de trnsitoen el SA estn configurados en topologa Cuando todos los routers de trnsito en el SA estn configurados en topologa full-mesh. Cuando un SA no es de trnsito. GRUPO ACADEMIA POSTAL Bases de Datos BGP Tabla de vecinos: Las relaciones de vecindad se configuran de forma explcita Conexiones a nivel de transporte TCP 179: Se hace un seguimiento de la conexin mediante mensajes BGP keepalive (60 segs por defecto) Despus de establecer adyacencia, los routers intercambian las rutas BGP que estn en la tabla de enrutamiento en la tabla de enrutamiento Obtenida de otros vecinos BGP Obtenida mediante otros mtodos Tabla BGP (tabla topolgica o base de datos de envo) Tabla BGP (tabla topolgica o base de datos de envo) Contiene todas las rutas aprendidas por BGP Se seleccionan las mejores rutas BGP (BGP route selection process) y se ofrecen a la tabla de enrutamiento tabla de enrutamiento Tabla de enrutamiento: Las rutas BGP compiten con las de los dems mecanismos de enrutamiento (distancia administrativa): EBGP (20) e IBGP (200) administrativa): EBGP (20) e IBGP (200) GRUPO ACADEMIA POSTAL Tipos de Mensajes BGP Despus de establecer una conexin TCP, el primer mensaje que intercambian los peers BGP es de tipo open Si d t l di i t bl id di h j l t d Si se pueden aceptar las condiciones establecidas en dicho mensaje, el receptor de dicho mensaje lo confirma con un mensaje de tipo keepalive que confirma la recepcin y aceptacin del mensaje open A continuacin se establece una conexin BGP sobre TCP A continuacin se establece una conexin BGP, sobre TCP Los peers intercambiaran a continuacin mensajes de tipo update, keepalive y notification Estructura de la cabecera de los mensajes de control en BGP: Estructura de la cabecera de los mensajes de control en BGP: Marker field (16 bytes) Sincronizacin y autenticacin. Longitud (2 bytes) Indica la longitud total del mensaje (incluyendo la cabecera). Tamao mnimo: 19 bytes Tamao mnimo: 19 bytes. Tamao mximo: 4096 bytes. Tipo (1 byte) Puede tomar cuatro valores (1-4): GRUPO ACADEMIA POSTAL Tipos de Mensajes BGP II Open Establecer conexiones con sus peers. Incluye los siguientes campos: Versin de BGP. Nmero de SA. Hold time: Se selecciona el valor ms pequeo establecido en cualquiera de los 2 extremos (por defecto 180 s) IDd l t (Mi i d l i OSPF) ID del router (Mismo mecanismo de eleccin que en OSPF) Keepalive Se enva peridicamente para mantener las conexiones con los peers. (Si el valor es 0 no se envan) Solamente lleva la informacin de cabecera 19 bytes Solamente lleva la informacin de cabecera 19 bytes. El perodo de envo debe ser 1/3 del hold time. Notification Informar al receptor de que se han producido errores. I l di d Incluye campos para cdigos de error. Update Contienen la informacin de redes necesaria para construir rutas libres de bucles. Se construye un mensaje por camino. Network Layer Reachability Information (NLRI) Network Layer Reachability Information (NLRI). Atributos de ruta. Withdrawn routes. GRUPO ACADEMIA POSTAL Atributos de Ruta Todo el trabajo de configuracin de BGP se centra en los path attributes. Cada ruta tiene su propio conjunto de atributos definidos, como pueden ser: local- f t h preference, next-hop, ... Los administradores tienen que utilizar estos valores para configurar las polticas de enrutamiento. Filtrar informacin de enrutamiento Filtrar informacin de enrutamiento. Marcar preferencias en las rutas. ... Cada mensaje de actualizacincontiene una secuencia de longitud variable de: Cada mensaje de actualizacin contiene una secuencia de longitud variable de: <tipo de atributo, longitud, valor> NO todos los fabricantes implementan los mismos atributos. Para asegurar la compatibilidadse agrupan en: compatibilidad se agrupan en: Well-known Mandatory Well-known Discretionary Optional transitive: Pueden ser etiquetados como parciales Optional transitive: Pueden ser etiquetados como parciales Optional nontransitive GRUPO ACADEMIA POSTAL Atributos de ruta II Well-knownMandatory: AS_PATH, Next Hop, Origin Es un atributo estndar que tiene que existir obligatoriamente en un paquete de actualizacin BGP. Si falta se produce una Notificacin de Error. Asegura que todas las implementaciones de BGP utilicen estos atributos. Well-knownDiscretionary: LOCAL_PREF, Atomic Aggregate Es un atributo estndar que es reconocido por todas las implementaciones de BGP, sin embargo no es obligatorio que sea enviado en un paquete de actualizacin. Optional transitive: Aggregator, Community No es necesario que sea reconocido por todas las implementaciones de BGP. Al ser transitivo, este atributo es publicado de nuevo, aunque no se conozca su significado. En este caso, se marca como parcial Optional nontransitive: Multi Exit Discriminator (MED) No es necesario que sea reconocido por todas las implementaciones de BGP. Si se recibe un atributo nontransitive, no se publica a los vecinos BGP. GRUPO ACADEMIA POSTAL Atributos de ruta III GRUPO ACADEMIA POSTAL Atributos en BGP. Control del enrutamiento mediante atributos El trfico de usuario entra y sale de un SA siempre en funcin de una planificacin preestablecida mediante rutas. M difi l t ti d l t C bi l t i t d l t fi Modificar las caractersticas de las rutas Cambia el comportamiento del trfico. Proceso de Toma de Decisiones en BGP. Cuando un router BGP recibe actualizaciones desde mltiples SAs que proporcionan diferentes caminos a un destino es necesario seleccionar cual es el mejor camino para diferentes caminos a un destino, es necesario seleccionar cual es el mejor camino para alcanzar el destino. Una vez seleccionada la mejor ruta (en BGP), sta es propagada a los vecinos (BGP), mediante las actualizaciones BGP. mediante las actualizaciones BGP. La decisin de cul es la mejor ruta se toma en funcin de los valores de los atributos de la actualizacin y otros factores configurables de BGP. GRUPO ACADEMIA POSTAL Atributo AS_PATH. Es una atributo estndar obligatorio. Es la secuencia de nmeros de SA que la ruta ha cruzado desde el destino. El SA que origina la ruta coloca su propio nmero de SA cuando publica la ruta a travs El SA que origina la ruta coloca su propio nmero de SA cuando publica la ruta a travs de alguna sesin EBGP. Posteriormente, cada SA que recibe la actualizacin, antepone su nmero de SA a todos los que hayan sido incluidos, al pasarla a otro SA. todos los que hayan sido incluidos, al pasarla a otro SA. La lista final contiene todos los nmeros de SA que ha atravesado la ruta, con el nmero del SA que la gener al final de la lista. Los nmeros de SA estn ordenados secuencialmente. Este atributo se utiliza como parte de los paquetes de actualizacin para determinar si se ha producido o se va a producir un loop de enrutamiento. Cuando se publica una ruta a un vecino IBGP el atributo AS_PATH permanece intacto. La informacin proporcionada por el AS_PATH es uno de los atributos que se tiene en cuenta para determinar el mejor camino hacia un determinado destino. Si se comparan dos o ms rutas hacia un mismo destino, se elige aquella que tenga un AS_PATH ms corto. GRUPO ACADEMIA POSTAL Ejemplo de Atributo AS_PATH GRUPO ACADEMIA POSTAL AS_PATH y los AS privados Para no dilapidar los nmeros de SA, a los clientes cuyas polticas de enrutamiento sean las mismas que las de sus proveedores se les asigna un nmero de SA privado. Si l li t i l h d lti h d l i d l t l Si el cliente es sigle-homed o multi-homed al mismo proveedor, generalmente el proveedor le proporcionar al cliente un nmero de SA privado (64.512 a 65.535). Las actualizaciones BGP que proceden del cliente contendrn nmeros de SA no vlidos para ser transportados a travs de Internet vlidos para ser transportados a travs de Internet. Los nmeros de SAs privados deben ser eliminados del AS_PATH antes de ser transmitidos a Internet. BGP debe eliminar los nmeros de SAs privados cuando enva actualizaciones a vecinos BGP debe eliminar los nmeros de SAs privados cuando enva actualizaciones a vecinos externos. Esta accin debe ser configurada en la relacin de vecindad. Solamente se ejecuta si todos los nmeros de SA son privados. j p Si una ruta tiene en su AS_PATH una mezcla de nmeros de SA pblicos y privados, es debido a un fallo de diseo. GRUPO ACADEMIA POSTAL Ejemplo de AS_PATH y SA privados RTB(config)#router bgp 1 RTB(config-router)#neighbor 172.16.20.2 remote-as 65001 RTB(config router)#neighbor 192 168 6 3 remote as 7 RTB(config-router)#neighbor 192.168.6.3 remote-as 7 RTB(config-router)#neighbor 192.168.6.3 remove-private-as GRUPO ACADEMIA POSTAL Manipulacin del atributo AS_PATH La longitud del AS_PATH es utilizada en el proceso de decisin para determinar cual es la mejor ruta a un destino. Si l l it d d l AS PATH d bi l t f id Si se vara la longitud del AS_PATH se puede cambiar la ruta preferida. Para varia la longitud del atributo AS_PATH se incluyen nmeros de SA dummy. IOS permite que el usuario pueda introducir nmeros de SA al principio del AS_PATH para hacerlo mayor hacerlo mayor. Debido a que las rutas preferidas son aquellas que tengan la menor longitud, para modificar el comportamiento del trfico, se incrementar el tamao de los AS_PATH correspondientes a las rutas que NO queramos utilizar. correspondientes a las rutas que NO queramos utilizar. GRUPO ACADEMIA POSTAL Ejemplo de manipulacin de atributo AS_PATH RTX(config)#router bgp 100 RTX(config-router)#neighbor 172.16.20.2 remote-as 300 RTX(config router)#neighbor 172 16 20 2 route map AddASnumbers out RTX(config-router)#neighbor 172.16.20.2 route-map AddASnumbers out RTX(config-router)#exit RTX(config)#route-map AddASnumbers permit RTX(config-route-map)#set as-path prepend 100 100 GRUPO ACADEMIA POSTAL The Next Hop attribute El atributo Next-Hop es un atributo estndar y obligatorio (Cdigo tipo 3). El next hop (desde el punto de vista de un IGP) para alcanzar un destino es la direccin IP d l t h i d l t del router que ha anunciado la ruta. En BGP este concepto es ms complejo: Sesin EBGP: Next hop = Direccin IP del vecino que ha anunciado la ruta. S i IBGP Sesin IBGP: Cuando las rutas se generan dentro del SA: Next hop = Direccin IP del router que ha anunciado la ruta. Cuando las rutas se han inyectado en el SA va una sesion EBGP el atributo Next Cuando las rutas se han inyectado en el SA va una sesion EBGP, el atributo Next Hop se transmite sin ser alterado dentro del SA. Es decir, permanece como Next Hop la direccin IP del vecino externo que ha publicado la ruta. Cuando la ruta es publicada sobre un medio multiacceso(Ethernet o Frame-Relay) la Cuando la ruta es publicada sobre un medio multiacceso (Ethernet o Frame Relay), la direccin IP es la de la interfaz del router que ha la publicado. GRUPO ACADEMIA POSTAL Atributo Atomic Aggregate. Es un atributo estndar opcional. Se puede configurar a verdadero o a falso. Si es verdadero, este atributo alerta a los routers BGP que se han agrupado mltiples Si es verdadero, este atributo alerta a los routers BGP que se han agrupado mltiples destinos en una sola actualizacin. Es decir, que el router posee otra ruta ms especfica para alcanzar el destino pero no la ha enviado. Esto podra acarrear problemas de enrutamiento, con lo que se est comunicando que esta no es la mejor informacin de enrutamiento disponible. Este atributo se coloca a verdadero cuando se enva informacin sumarizada. La sumarizacin se puede configurar manualmente en BGP por medio del comando aggregate-address. Usar aggregate-address sin argumentos crear una entrada agregada en la tabla de t i t BGP t li h t l t fi l i enrutamiento BGP, tan amplia como para que hasta la ruta menos especfica que el propio router conozca pertenezca a esa red citada. La ruta agregada ser publicada como proveniente del SA que la ha generado si y tendr el atributo Atomic Aggregate configurado como verdadero atributo Atomic Aggregate configurado como verdadero. Si se utilizar la opcin as-set se crea una entrada agregada pero se publicar la informacin de todos los SA por los que ha pasado todas las rutas agregadas. GRUPO ACADEMIA POSTAL Atributo Atomic Aggregate II. Por defecto, se publicar la ruta agregada y las rutas contenidas en la misma de forma individual. Si se desea publicar nicamente la ruta agregada se deber utilizar la clusula summary-only. y y Ejemplo I: RTA(config)# router bgp 300 RTA(config-router)# neighbor 3.3.3.3 remote-as 200 RTA( fi t )# i hb 2 2 2 2 t 100 RTA(config-router)# neighbor 2.2.2.2 remote-as 100 RTA(config-router)# network 160.10.0.0 RTA(config-router)# aggregate-address 160.0.0.0 255.0.0.0 Ejemplo II: RTA(config)# router bgp 300 RTA(config-router)# neighbor 3.3.3.3 remote-as 200 RTA(config router)# neighbor 2 2 2 2 remote as 100 RTA(config-router)# neighbor 2.2.2.2 remote-as 100 RTA(config-router)# network 160.10.0.0 RTA(config-router)# aggregate-address 160.0.0.0 255.0.0.0 summary-only GRUPO ACADEMIA POSTAL Atributo Aggregator. Es un atributo estndar opcional Cuando se configura la agregacin de direcciones, se puede configurar el router para que i l ID d l t d SA l l l t d incluya ID del router y su nmero de SA local con la ruta agregada. Este atributo permite a los administradores determinar cual es el router responsable de una ruta agregada GRUPO ACADEMIA POSTAL Atributo Local Preference. Es un atributo estndar opcional. Es el grado de preferencia que se le asigna a una ruta en comparacin con otras que d i ti l i d ti puedan existir al mismo destino. Se prefiere el Local Prefence ms alto. Este atributo es local al sistema autnomo y solamente se intercambia entre routers IBGP, es decir cuando la ruta sale del sistema autnomo vuelve a tener el valor por defecto es decir cuando la ruta sale del sistema autnomo vuelve a tener el valor por defecto. Los routers borde en un SA autnomo multihomed pueden aprender diferentes rutas para un mismo destino Podran existir diferentes salidas del sistema autnomo para llegar a un mismo destino Podran existir diferentes salidas del sistema autnomo para llegar a un mismo destino. LOCAL_PREF fuerza a que los routers en el SA elijan un determinado punto de salida. Como este atributo se transmite en las actualizaciones va IBGP todos los routers del Como este atributo se transmite en las actualizaciones va IBGP, todos los routers del SA tendrn la misma visin de la ruta. GRUPO ACADEMIA POSTAL Ejemplo de utilizacin de Local Preference. GRUPO ACADEMIA POSTAL Manipulacin del atributo Local-Preference. RTC(config)#router bgp 256 RTC(config-router)#neighbor 1.1.1.1 remote-as 100 RTC(config router)#neighbor 128 213 11 2 remote as 256 RTC(config-router)#neighbor 128.213.11.2 remote-as 256 RTC(config-router)#bgp default local-preference 150 RTD(config)#router bgp 256 RTD(config-router)#neighbor 3.3.3.4 remote-as 300 RTD(config-router)#neighbor 128.213.11.1 remote-as 256 RTD(config-router)#bgp default local-preference 200 GRUPO ACADEMIA POSTAL Atributo Weight Es un atributo propietario de Cisco. Es un atributo muy similar a Local Preference, pero solamente tiene validez de forma local t en un router. Este valor no se intercambia entre BGP peers. Tiene sentido solamente si un router tiene establecidas varias sesiones EBGP. E l t ib t i id l d l i d t Es el atributo que primero se considera en el proceso de seleccin de rutas. Se prefieren las rutas que tengan asignado un valor mayor en weight. GRUPO ACADEMIA POSTAL Atributo Multi Exit Discriminator. Es un atributo opcional no transitivo. Informa a los vecinos externos de nuestras preferencias a la hora de recibir trfico de ellos ( l t d L l P f) (complemento de Local Pref). MED se intercambia entre sistemas autnomos (directamente conectados). Cuando la ruta es generada por el propio SA el valor de MED se basa en la mtrica IGP de la ruta Es til cuando un cliente tiene mltiples conexiones al mismo proveedor la ruta. Es til cuando un cliente tiene mltiples conexiones al mismo proveedor. El IGP refleja lo cerca o lejos que se est de un determinado punto de salida, con lo cual la menor MED determina la ruta preferida. GRUPO ACADEMIA POSTAL Ejemplo de configuracin MED. RTB(config)#route-map setmedout permit 10 RTB(config-route-map)#set metric 50 RTB(config)#router bgp 400 RTB(config)#router bgp 400 RTB(config-router)#neighbor 4.4.4.4 route-map setmedout out GRUPO ACADEMIA POSTAL Atributo Origin Es un atributo well-known mandatory Puede tomar tres valores: IGP: Interno, generado mediante un comando network. EGP: Externo, aprendido va EGP, el protocolo de pasarela exterior antiguo que no soportaba ni VLSM ni CIDR. I l t A did l t di t di t ib i Incomplete: Aprendido normalmente mediante redistribucin. GRUPO ACADEMIA POSTAL Proceso de decisin en BGP. 1. Si el Next Hop es inaccesible, la ruta es ignorada. 2. Se examina el atributo Weight Se selecciona la ruta con mayor Weight. 3. En caso de empate, se examina el atributo Local Preference Se selecciona la ruta con mayor valor. 4. En caso de empate, se comprueba si la ruta ha sido generada por el propio router. Si es as es seleccionada es seleccionada. 5. Si persiste el empate, se selecciona la ruta con el AS_PATH ms corto. 6. En caso de empate, se comprueba el atributo Origin. Las prerencias son, de mayor a menor IGP EGP e Incomplete menor, IGP, EGP e Incomplete. 7. En caso de igualdad, se selecciona la ruta con MED ms bajo. 8. A continuacin se discrimina por: ruta aprendida por EBGP, ruta aprendida desde una confederacin externa y ruta aprendida va IBGP confederacin externa y ruta aprendida va IBGP. 9. A continuacin se procede a seleccionar por la proximidad del siguiente salto, segn el IGP. 10. Si an as persiste el empate, se utiliza el ID del router para deshacer el empate. Se prefiere la ruta proporcionada por el vecino con el IDms bajo Se prefiere la ruta proporcionada por el vecino con el ID ms bajo. ID = IP ms alta o Loopback (si hay varias, la IP ms alta). GRUPO ACADEMIA POSTAL Configuracin BGP bsica La configuracin parece similar a la de cualquier IGP, sin embargo los comandos pueden tener significados distintos. P l d t i t Para comenzar el proceso de enrutamiento: Router(config)#router bgp AS-number AS-number: Es un n entero entre 1 65.535 Ci IOS S l t it BGP l i ti l t Cisco IOS Solamente permite un proceso BGP al mismo tiempo, con lo que un router solamente podr pertenecer a un SA. Debe introducirse como mnimo un subcomando dentro del modo config-router para activar el proceso de enrutamiento activar el proceso de enrutamiento GRUPO ACADEMIA POSTAL Configuracin BGP Bsica II Para establecer relaciones de vecindad con otros routers BGP es necesario configurarlo de forma especfica. neighbor {ip-address | peer-group-name} remote-as autonomous- neighbor {ip address | peer group name} remote as autonomous system Este comando sirve para identificar la direccin IP de la interfaz del peer a travs de la cual vamos a realizar la conexin y para indicar si el router remoto pertenece al mismo cual vamos a realizar la conexin y para indicar si el router remoto pertenece al mismo SA o a otro EBGP o IBGP. GRUPO ACADEMIA POSTAL Desactivacin de una relacin de vecindad Para evitar eliminar la configuracin de una relacin de vecindad, as como para evitar tirar una intefaz fsicamente, si se pretende reiniciar una relacin de i d dd b tili l d vecindad debe utilizarse el comando: GRUPO ACADEMIA POSTAL Consideraciones de configuracin en BGP El comando neighbor informa al router de la direccin IP de destino que debe coloca en cada paquete update L di i IP i l t l d l i t f i l La direccin IP origen que pone en el paquete ser la de la interfaz ms prxima a la router destino, es decir, utilizar la direccin IP de la interfaz que enva el paquete update Es obligatorio que la direccinIP que se pone como direccin IP origen en el paquete Es obligatorio que la direccin IP que se pone como direccin IP origen en el paquete coincida con la IP que el otro router ha configurado en su comando neighbor para establecer la relacin de vecindad En caso contrario, no se establece relacin de vecindad GRUPO ACADEMIA POSTAL Aspectos relacionados con el peering IBGP Utilizacin de la interfaz de loopback para el establecimiento de relaciones de vecindad Configuracin: neighbor <ip-vecino> remote-as <as-vecino> update-source loopback 0 GRUPO ACADEMIA POSTAL Comando update-source GRUPO ACADEMIA POSTAL Aspecto relacionado con las relaciones de vecindad EBGP Si se desea configurar una interfaz de loopback para establecer una relacin de vecindad EBGP, hay que tener especial cuidado puesto que para EBGP parte de la suposicin de que los dos vecinos estn directamente conectados que los dos vecinos estn directamente conectados. Para indicar que los vecinos EBGP no estn directamente conectados se utiliza el comando ebgp-multihop <n de saltos> GRUPO ACADEMIA POSTAL EBGP Multihop Caracterstica proporcionada por Cisco IOS. Ejemplo de configuracin: RTW(config)#router bgp 200 RTW(config-router)#neighbor 1.1.1.2 remote-as 300 RTW(config-router)#neighbor 1.1.1.2 ebgp-multihop 2 RTU( fi )# t b 300 RTU(config)#router bgp 300 RTU(config-router)#neighbor 2.2.2.1 remote-as 200 RTU(config-router)#neighbor 2.2.2.1 ebgp-multihop 2 GRUPO ACADEMIA POSTAL Comportamiento de Next-hop En las relaciones de vecindad EBGP, cuando se publica una ruta, el next-hop asociado es la direccin IP del router que ha enviado dicha actualizacin E l l i d i d d IBGP d bli t l t h En las relaciones de vecindad IBGP, cuando se publica una ruta, el next-hop permanece intacto Este comportamiento se puede cambiar utilizando el comando neighbor next-hop- self self Sintaxis: Rout er ( conf i g- r out er ) # neighbor {ip-address | neighbor {ip address | peer-group-name} next-hop-self GRUPO ACADEMIA POSTAL Ejemplo de Next-Hop-Self AS 65102 AS 65100 R1 R4 192.168.1.1 172.16.1.1 R2 R3 10.1.1.0/24 .1 .2 AS 65101 EIGRP R1 R4 Lo0 192.168.2.2 .1 R2 R3 10.2.2.0/24 .2 Lo0 192.168.3.3 R2( conf i g) # router bgp 65101 R2( conf i g- r out er ) # neighbor 172.16.1.1 remote-as 65100 R2( conf i g- r out er ) # neighbor 192.168.3.3 remote-as 65101 R2( conf i g- r out er ) # neighbor 192.168.3.3 update-source loopback0 R2( conf i g- r out er ) # neighbor 192.168.3.3 next-hop-self R2( conf i g- r out er ) # exit R2( conf i g) # router eigrp 1 R2( conf i g- r out er ) # network 10.0.0.0 R2( conf i g- r out er ) # network 192.168.2.0 R2( conf i g r out er ) # network 192.168.2.0 R2( conf i g- r out er ) # GRUPO ACADEMIA POSTAL Ejemplo de Atributo Next Hop. RTC mantiene una sesin IBGP con RTZ y una IBGP con RTA. RTC aprende la ruta 128.213.1.0/24 mediante una actualizacin desde RTZ, y adems i t di h t l SA inyecta dicha ruta en el SA. RTA aprende la ruta 128.213.1.0/24 va el router RTC desde la interfaz 2.2.2.2, as que la 2.2.2.2 ser el siguiente salto para que desde RTA se alcance la red 128.213.1.0/24. RTC aprende la ruta desde la interfaz 1 1 1 1 de RTZ teniendo como atributo Next Hop RTC aprende la ruta desde la interfaz 1.1.1.1 de RTZ, teniendo como atributo Next Hop 1.1.1.1. Cuando RTC pase a RTA una actualizacin con dicha ruta, RTC mantendr el atributo Next Hop sin modificar, es decir, RTA ver que el atributo Next Hop para alcanzar el destino ser Hop sin modificar, es decir, RTA ver que el atributo Next Hop para alcanzar el destino ser 1.1.1.1. GRUPO ACADEMIA POSTAL Atributo Next Hop. Conclusiones. Next Hop no tiene por qu corresponder a la direccin IP de un dispositivo que est directamente conectado, como en el caso de RTA. L t l d N t H bli l t h b d i l t bl La naturaleza de Next Hop obliga a que el router haga una bsqueda recursiva en la tabla de enrutamiento para determinar a dnde a de enviar el paquete. En este caso, para alcanzar la red destino desde RTA, primero es necesario encontrar como llegar al Next Hop consultando la tabla de enrutamiento IGP como llegar al Next Hop, consultando la tabla de enrutamiento IGP. Esta bsqueda se hace de forma recursiva hasta que es capaz de asociar una interfaz de salida al Next Hop. Si no podemos alcanzar el Next Hop a travs de un IGP, la red de destino correspondiente Si no podemos alcanzar el Next Hop a travs de un IGP, la red de destino correspondiente ser inalcanzable. GRUPO ACADEMIA POSTAL Next Hop en entornos multiacceso. Un conexin se considera de multiacceso si ms se pueden conectar ms de 2 dispositivos. T d l di iti d b ti l i b d Todos los dispositivos deben compartir la misma subred. Todos los dispositivos conectados son directamente alcanzables. Ejemplos: Ethernet, Frame Relay y ATM. U t BGP d b bli i l f t t l d l t i l f t ( d i l Un router BGP deber publicar siempre la fuente actual de la ruta si la fuente (es decir el origen de la ruta) est en la misma subred. Este comportamiento funciona de forma correcta en las redes multiacceso con broadcast. En las redes NBMA podran surgir complicaciones En las redes NBMA podran surgir complicaciones. GRUPO ACADEMIA POSTAL Ejemplo de Next Hop en redes multiacceso (con broadcast) RTA, RTB y RTC comparten el mismo medio multiacceso. RTA y RTC ejecutan entre s una sesin EBGP; RTC y RTB son vecinos OSPF. RTC d l t 11 11 11 0/24 d d RTB C RTC l bli di h t RTA RTC aprende la ruta 11.11.11.0/24 desde RTB. Como RTC le publica dicha ruta a RTA va EBGP, se podra pensar que RTC coloca como atributo Next Hop a la ruta la direccin IP 10.10.10.2 (su propia ruta) Esto introducira un salto innecesario para alcanzar la red 11.11.11.0/24. En lugar de hacer esto RTC publica la ruta a RTA dejando como siguiente salto la direccin 10.10.10.3 como Next Hop, al compartir el mismo medio fsico multiacceso. GRUPO ACADEMIA POSTAL Next Hop sobre NBMA En las redes NBMA existen conexiones multipunto, pero no se garantiza conectividad directa entre todos los dispositivos, a no ser que haya circuitos virtuales configurados entre todos los routers conectados. Es necesario tener en cuenta que una de las topologas ms implementadas es hub & spoke, donde no se establecen circuitos virtuales entre los spokes. La diferencia fundamental con el caso anterior, es que si RTC coloca como atributo Next H l di i 10 0 0 3 d l t li i RTA RTA d l Hop la direccin 10.0.0.3 cuando enva la actualizacin a RTA, RTA no podr alcanzar 10.0.0.3, puesto que carece de un CV para llegar a esa IP. Cisco IOS soluciona este problema por medio de la opcion next-hop-self, que fuerza a que el router RTC se coloque a s mismo como Next Hop cuando enva informacin a un el router RTC se coloque a s mismo como Next Hop cuando enva informacin a un determinado destino. Router(config-router)#neighbor ip-address next-hop-self RTC(config-router)#neighbor 10.10.10.1 next-hop-self RTC(config router)#neighbor 10.10.10.1 next hop self GRUPO ACADEMIA POSTAL Inyeccin de informacin de enrutamiento en BGP El comando network se utiliza en los IGP para dos funciones: Activar las interfaces por las que se van a enviar y recibir las actualizaciones. Definir las redes directamente conectadas que se van a publicar. El comando network en BGP se utiliza nica y exclusivamente para indicar que rutas did l l t bli ( t t l t bl d t i t ) N aprendidas localmente se van a publicar (rutas presentes en la tabla de enrutamiento). No establece relaciones de vecindad. Pueden ser rutas directamente conectadas, rutas estticas o rutas aprendidas mediante un IGP mediante un IGP. Estas redes debe existir en la tabla de enrutamiento local antes de poder ser publicadas. Router(config-router)#network network-number [mask network-mask] Router(config router)#network network number [mask network mask] [route-map tag] Problemas con los resmenes de rutas que exceden las redes de clase: Solucin rutas estticas null0 En las versiones anteriores a IOS 12.2(8)T el auto-resumen (autosummary) estaba activado por defecto en BGP. En las versiones actuales est desactivado. GRUPO ACADEMIA POSTAL Inyeccin de informacin de enrutamiento en BGP Router(config-router)#network network-number [mask network-mask] [route-map tag] L it fi b d La mscara permite configurar subredes Deben especificarse todas las redes que deban ser publicadas, tanto las directamente conectadas como las configuradas estticamente o aprendidas mediante un protocolo de estticamente o aprendidas mediante un protocolo de enrutamiento Si no se especifica mscara de subred, se publica la red de clase siempre que el router posea, como mnimo, una subred perteneciente a la red de clase. Si se usa mscara de subred, la ruta que se especifica debe existir exactamente en la tabla de enrutamiento: debe i idi l fij ifi d l coincidir tanto el prefijo especificado como la mscara GRUPO ACADEMIA POSTAL Configuracin de mecanismos de autenticacin Configuracin de mecanismos de autenticacin en BGP: Se utiliza autenticacin de vecinos basada en MD5 Si los vecinos no son capaces de autenticarse, no establecen relacin de vecindad GRUPO ACADEMIA POSTAL Negociacin de Vecinos BGP. La negociacin de vecinos BGP es un proceso que pasa a travs de varios pasos definidos por una mquina de estados finitos. U fi d l d i h BGP i b l t bl d Una vez configurado el comando neighgor, BGP comienza a buscar en la tabla de enrutamiento un camino para alcanzar al vecino especificado en el comando GRUPO ACADEMIA POSTAL Negociacin de vecinos BGP II Idle: Es el estado de partida para una conexin BGP. Se est buscando un camino para alcanzar al vecino/s configurados. Cuando se encuentra dicha ruta: S i t t t bl i TCP di t l d d SYN ACK Se intenta establecer una conexin TCP mediante el envo de un comando SYN ACK Si una relacin de vecindad permanece en este estado quiere decir que: No hay ruta esttica o directamente conectada, en caso de EBGP El IGP b l l i d IBGP El IGP no sabe como alcanzar al vecino, en caso de IBGP Razones: Comando neighbor mal configurado Connect: Si se completa la conexin TCP se pasa al estado OpenSent (paquete Open) Si la conexin TCP falla se pasa al estado Idle. Active: En este estado se reintentan la conexin TCP. Si se consigue establecer OpenSent / Connect Si expira el temporizador de conexin TCP, se reinica y se vuelve al estado Connect. Si se produce algn evento errneo Idle. Razn habitual para permanecer en este estado: El otro peer no es capaz de alcanzar la IP que estamos utilizando para establecer la relacin de vecindad BGP o bien no tiene configurado el comando neighbor GRUPO ACADEMIA POSTAL Negociacin de vecinos BGP III Opensent: BGP est esperando una respuesta a un mensaje de tipo open enviado o ha recibido un mensaje de tipo open. S h l i f i d l j i d l Se chequea la informacin del mensaje open enviado por el peer. Si se produce alguna incompatibilidad (p.ej. Nmero de versin) se utilizan un mensaje de tipo Notificacin para indicar que se ha producido un error Idle. Si no hay errores los peersBGP empiezan a enviar mensajes keepalivey se Si no hay errores, los peers BGP empiezan a enviar mensajes keepalive y se resetea el temporizador de keepalive OpenConfirm Se negocia el hold timer y se elige el ms pequeo de los dos. En caso de que sea 0 no se utilizan mensajes keepalive En caso de que sea 0 no se utilizan mensajes keepalive. En este estado se determina si el peer est en el mismo SA o en otro EBGP o IBGP. Si se pierde la conexinTCP se pasa al estado Active Si se pierde la conexin TCP se pasa al estado Active. GRUPO ACADEMIA POSTAL Negociacin de vecinos BGP IV OpenConfirm: Se est a la espera de un paquete keepalive o de un mensaje de notificacin de error. Si ib k li ( d t )E t bli h d (N i i l t ) Si se recibe keepalive (o un update)Established. (Negociacin completa). Se resetea el hold timer. Se envan peridicamente mensajes keepalive. Si ib tifi i Idl Si se recibe notificacin Idle. Established: Es el estado final de la negociacin. Se envan updates, al conectar y cuando se producen cambios en las rutas. Se envan mensajes keepalive para mantener el enlace. Cuando se reciben mensajes update o keepalive se resetea el hold timer. Excepcin: Hold timer = 0. Los mensajes se chequean y si se producen errores se genera una Notificacin de Error y se enva al vecino. En caso de recibir una Notificacin de error se vuelve al estado Idle. GRUPO ACADEMIA POSTAL Negociacin de vecinos BGP IV Tabla de estados BGP Informacin del estado de los vecinos GRUPO ACADEMIA POSTAL Peer groups En BGP, los routers vecinos suelen ser configurados utilizando siempre la misma poltica En Cisco IOS pueden ser agrupados en peer groups Simplificar el proceso de fi i configuracin Los miembros de un peer group comparten la configuracin Puede sobreescribirse alguno de los comportamientos por defecto, si estos afectan a las actualizaciones entrantes no a actualizaciones salientes las actualizaciones entrantes, no a actualizaciones salientes Mejoran la eficiencia: Se crea un solo mensaje de actualizacin y se enva copia a todos los vecinos El nombre del peer groupes local al router y no se intercambia con los vecinos El nombre del peer group es local al router y no se intercambia con los vecinos Sintaxis: neighbor peer-group-name peer-group Crea un peer group neighbor ip address peer group peer group name Asigna un vecino al peer group neighbor ip-address peer-group peer-group-name Asigna un vecino al peer group GRUPO ACADEMIA POSTAL Ejemplo de configuracin con peer group GRUPO ACADEMIA POSTAL Visualizacin de la tabla de vecinos GRUPO ACADEMIA POSTAL Comandos tiles para la resolucin de problemas GRUPO ACADEMIA POSTAL Reinicio de las sesiones BGP Aplicacin de directivas en BGP Mecanismos para forzar actualizaciones Hard Reset Cuando se cambia la configuracin de BGP los cambios no aparecen inmediatamente. Para forzar el borrado de la tabla BGP y resetear las sesiones BGP se utiliza: BGP se utiliza: Router#clear ip bgp * Resetea todas las sesiones con todos los routers peer : Established idle Invalida el contenido de la tabla BGP Invalida el contenido de la tabla BGP Esto se puede utilizar en un laboratorio, pero se desaconseja en un router en produccin. Si se quiere reiniciar la relacin de vecindad con un vecino en concreto se debe utilizar: Router#clear ip bgp 10 1 1 1 Router#clear ip bgp 10.1.1.1 GRUPO ACADEMIA POSTAL Borrado de la tabla BGP. Soft Reset: clear ip bgp soft out Genera un reinicio en la informacin de salida Genera nuevos paquetes update No reinicia las sesiones o relaciones de vecindad BGP Es til para le cambio de directivas salientes No tiene efecto si se cambian las directivas de modificacin de trfico entrante Neigbor [ip-address] soft-reconfiguration inbound Este comando debe utilizarse con precaucin porque consume gran cantidad de memoria GRUPO ACADEMIA POSTAL Debug ip bgp GRUPO ACADEMIA POSTAL Filtrado de rutas y Polticas de enrutamiento. El filtrado de rutas permite definir que rutas vamos a intercambiar los vecinos BGP. Es el elemento fundamental que se utiliza para definir las polticas de enrutamiento. Se puede determinar el trfico de datos que se va a aceptar filtrando en las actualizaciones salientes las rutas que se van a publicar. Se puede determinar que rutas utilizar el trfico saliente, estableciendo filtros para las actualizaciones entrantes enviadas desde los vecinos EBGP. Estos filtros permiten determinar que actualizaciones se inyectan en el SA y que actualizaciones se publican fuera del SA. Adems, estos filtros permiten manipular los atributos de las actualizaciones para establecer polticas de enrutamiento ms detalladas establecer polticas de enrutamiento ms detalladas. Los filtros se pueden aplicar entre routers, que tienen establecidas sesiones BGP, y entre protocolos de enrutamiento de un mismo router. Entre routers: Entre routers: Filtros entrantes Rutas recibidas de otros vecinos BGP. Filtros salientes Rutas que deberan ser publicadas a los vecinos. Entre protocolos de enrutamiento: Entre protocolos de enrutamiento: Filtros entrantes Rutas que se van a inyectar en el protocolo BGP. Filtros salientes Rutas que se van a redistribuir en desde BGP a otro protocolo. GRUPO ACADEMIA POSTAL Introduccin al proceso de enrutamiento en BGP. Descripcin del proceso de enrutamiento en BGP. Cmo se toman las decisiones de enrutamiento en BGP?. L t i t bi t t d j d t li i Las rutas se intercambian en routers a travs de mensajes de actualizacin. Un router BGP recibe un mensaje de actualizacin, aplica una serie de reglas y polticas al mensaje de actualizacin, y despus se pasa al resto de vecinos BGP (cumpliendo las normas vistas anteriormente) normas vistas anteriormente). La implementacin de Cisco de BGP, mantiene una tabla de informacin con todas las actualizaciones BGP en una tabla separada a la tabla de enrutamiento. En caso de que existan mltiples rutas al destino, BGP no publica todas esas rutas. En caso de que existan mltiples rutas al destino, BGP no publica todas esas rutas. Selecciona la mejor ruta y la enva a sus vecinos. El router puede generar actualizaciones de las redes que conoce por s mismo. La rutas vlidas generadas en el SA y las mejores rutas aprendidas de los vecinos La rutas vlidas generadas en el SA y las mejores rutas aprendidas de los vecinos BGP se colocan en la tabla de enrutamiento, que es el elemento que determina por donde se va a enviar la informacin. GRUPO ACADEMIA POSTAL Modelo del proceso de enrutamiento en BGP. Un router que ejecuta BGP tiene diferentes conjuntos de rutas y de motores de polticas que se aplicarn a las rutas. D i i d l d l Descripcin del modelo: Rutas recibidas de los peers: BGP recibe rutas, mediante actualizaciones. Dependiendo de la poltica de entradas, ninguna, algunas o todas estas rutas se aadirn a la tabla BGP aadirn a la tabla BGP. Motor de polticas de entrada: Aplica las reglas de filtrado de rutas y manipulacin de atributos. (AS_PATH, IP prefix, ...). El motor de polticas de entrada se utiliza para manipular los atributos de ruta e El motor de polticas de entrada se utiliza para manipular los atributos de ruta e influir en el proceso de decisin. Afecta a las rutas que se van a utilizar para alcanzar un determinado destino. Proceso de decisin: BGP aplica una serie de normas que se basan en el valor de los atributos de la ruta para determinar cual es el mejor camino hacia un destino. Rutas utilizadas: Las mejores rutas son candidatas a ser publicadas a los dems peers. Estas rutas tambin son candidatas a colocarse en la tabla de enrutamiento. GRUPO ACADEMIA POSTAL Modelo de procesamiento en BGP II. Motor de polticas de salida: Mecanismo para filtrar las rutas que se publican a los vecinos y para modificar los atributos de las mismas. Este motor se aplica las mejores rutas publicadas por los vecinos y a las generadas por el propio router antes de que se rutas publicadas por los vecinos y a las generadas por el propio router, antes de que se enven a los dems vecinos. GRUPO ACADEMIA POSTAL Implementacin de polticas con BGP. Las polticas se definen mediante route-map . Controlar y modificar la informacin de enrutamiento: atributos. Definir las rutas que son publicadas y a donde son publicadas. Router(config)#route-map map-tag [permit | deny] [sequence- number] M t Id tifi l t Map-tag Identifica al route-map. Sequence-number Indica la posicin que ocupa la sentencia dentro del route- map. GRUPO ACADEMIA POSTAL Utilizacin de filtros para la implementacin de polticas. Existen dos pasos bsicos: Identificar el prefijo (la red) y la longitud del prefijo (mscara de subred) de la ruta a la cual le queremos aplicar el filtro. Esta informacin es lo que hemos denominado NLRI q p q (Network-Layer Reachability Information), aunque muchas veces se hace referencia a l simplemente como prefijo. Determinar la poltica a aplicar. Por ejemplo: permitir/denegar la actualizacin o i l l d l t ib t manipular alguno de los atributos. Tcnicas para aplicar filtros. ROUTE-MAP: Los prefijos se pueden seleccionar en funcin de: ( f ) S S Red de destino (prefijo de destino), Nmero de AS que gener la ruta, AS_PATH... La identificacin se realiza mediante la sentencia match dentro del modo de configuracin de route-map. C d t i id l it i ifi d l t l Cuando una ruta coincide con el criterio especificado en el route-map, se le aplica la accin especificada en la sentencia set asociada. Pueden existir mltiples parejas de comandos match/set. Cuando se produce la primera coincidencia (match) finaliza el proceso de comparacin (como en la primera coincidencia (match), finaliza el proceso de comparacin (como en las ACL). El orden de las sentencias match/set es muy importante. GRUPO ACADEMIA POSTAL Utilizacin de distribute-list para el filtrado de rutas. Para restringir la informacin de enrutamiento que los routers aprenden o publican mediante BGP, se pueden aplicar filtros desde o hacia un vecino en particular, mediante el comando distribute-list distribute-list. RTD genera la ruta 192.68.10.024 y se la enva a RTF. RTF pasar la actualizacin a RTA va IBGP, el cual la propagar al AS1. Debido a esto el AS3 podra convertirse en SA de trnsito publicando la ruta Debido a esto, el AS3 podra convertirse en SA de trnsito, publicando la ruta 192.68.10.224 GRUPO ACADEMIA POSTAL Utilizacin de distribute-list para el filtrado de rutas. La configuracin de distribute-list aplicadas a comandos neighbor es efectiva cuando se trata de filtrar rutas especficas, el control de las superredes puede ser ms complicado. L di t ib t li t b l i d ACL Las distribute-list se basan en la creacin de ACLs. ACL estndar: Funcionalidad limitada En el ejemplo RTA conecta mltiples subredes del espacio de direcciones 172 16 0 0/16 172.16.0.0/16. Si se desea publicar la ruta agregada, pero no las rutas individuales, una ACL estndar no proporcionara funcionalidad suficiente. La entrada access-list 1 permit 172 16 0 0 0 0 255 255 permitir que se publique La entrada access-list 1 permit 172.16.0.0 0.0.255.255 permitir que se publique tanto la ruta agregada como las individuales. Para permitir la direccin agregada, se puede especificar una ACL extendida, que como primer parmetro comprobar la direccin de red y como segundo parmetro la p p p y g p mscara de subred. RTA(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 255.255.0.0 0.0.0.0 No se suelen utilizar las ACL extendidas para estos casos, debido a que la sintaxis del comando puede resultar confusa y a la existencia de las prefix-list, disponibles a partir de las versin 12.0 de Cisco IOS. GRUPO ACADEMIA POSTAL Utilizacin de distribute-list para el filtrado de rutas. RTA(config)#router bgp 3 RTA(config-router)#neighbor 172.16.1.1 remote-as 3 RTA(config-router)#neighbor 172.16.20.1 remote-as 1 RTA(config-router)#neighbor 172.16.20.1 distribute-list 101 out RTA(config-router)#exit RTA(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 255.255.0.0 0.0.0.0 RTA(config)#access-list 1 permit ip access-list 1 permit 172.16.0.0 0 0 255 255 0.0.255.255 GRUPO ACADEMIA POSTAL Prefix-list. Es un comando alternativo a distribute-list. Ventajas: Mejora de rendimiento en la carga y en la bsqueda en las listas grandes. Soporta actualizaciones incrementales. Filtrar con ACL y distribute-list no las soporta. Interfaz ms manejable. Cada sentencia lleva asociado un nmero de secuencia. Mayor flexibilidad. Configuracin: Definicin de la prefix-list. Aplicacin de la prefix-list. Sintaxis: Rout er ( conf i g) # ip prefix-list nombre-de-la-lista [seq nmero-secuencia] permit|deny prefijo/longitud-prefijo [ge longitud-pefijo] [l l it d fij ] [le longitud-pefijo] GRUPO ACADEMIA POSTAL Parmetros ge y le en Prefix-list. Cada sentencia dentro de la prefix-list lleva asociado un nmero de secuencia, que se asigna de forma automtica (en incrementos de 10) o que se puede especificar manualmente con la clusula seq nmero secuencia manualmente con la clusula seq nmero-secuencia. Se utilizan para especificar un rango de longitudes de prefijo para seleccionar trfico, en lugar de seleccionar una sola combinacin de prefijo y longitud. GE: Establece un rango desde la longitud especificada en GE hasta la longitud 32 GE: Establece un rango desde la longitud especificada en GE hasta la longitud 32. LE: Establece un rango entre la longitud especificada en LE y la longitud de prefijo especificada en el parmetro de prefijo/longitud-de-prefijo. GE y LE: Establece el rango de longitudes de prefijo que se van a seleccionar. GE y LE: Establece el rango de longitudes de prefijo que se van a seleccionar. Condicin general: longitud-de-prefijo < ge-longitud-de prefijo <= le-longitud-de-prefijo <= 32 GE y LE pueden ser utilizadas en la misma sentencia GE y LE pueden ser utilizadas en la misma sentencia. GRUPO ACADEMIA POSTAL Ejemplo de configuracin de Prefix-List. En esta configuracin se define la prefix-list ELMO que deniega la publicacin de rutas por defecto y permite la publicacin de las rutas con prefijo 172.168.0.0/16, hacia un router en otro SA otro SA RTA( conf i g) #ip prefix-list ELMO deny 0.0.0.0/0 RTA( conf i g) #ip prefix-list ELMO permit 172.16.0.0/16 RTA( conf i g) #router BGP 100 RTA( conf i g) #router BGP 100 RTA( conf i g- r out er ) #neighbor 192.168.1.1 remote-as 200 RTA( conf i g- r out er ) #neighbor 192.168.1.1 prefix-list ELMO out Definicin de una prefix-list para aceptar un prefijo con longitudes de prefijo de hasta 24 bits y denegar las ms especficas. RTA( conf i g) #ip prefix-list GROVER permit 192.0.0.0/8 le 24 RTA( conf i g) #ip prefix-list GROVER deny 192.0.0.0/8 ge 25 Este comando permite todas las direcciones con el prefijo 10.0.0.0/8 y longitud de mscara entre 16 y 24 entre 16 y 24. RTA( conf i g) #ip prefix-list OSCAR permit 10.0.0.0/8 ge 16 le 24 GRUPO ACADEMIA POSTAL Normas de utilizacin de las Prefix-List Una prefix-list vaca permite todos los prefijos. Si el prefijo dado no coincide con ninguno de los especificados en la prefix list se deniega Si el prefijo dado no coincide con ninguno de los especificados en la prefix-list se deniega dicha actualizacin. Cuando mltiples entradas de una prefix-list coincidencon un determinado prefijo el Cuando mltiples entradas de una prefix-list coinciden con un determinado prefijo, el nmero de secuencia de la entrada ms bajo de la prefix-list es el utilizado. GRUPO ACADEMIA POSTAL Redundancia, Simetra y Balanceo de Carga La redundancia, simetra y balanceo de carga son tres caractersticas esenciales en una conexin a Internet de alta capacidad. Los ISP necesita controlar los puntos de salida y de entrada del trfico de sus correspondientes SA entrada del trfico de sus correspondientes SA. Redundancia: Mltiples caminos. Simetra: El trfico que deja el SA por un determinado punto retorna a l por dicho punto. Balanceo de carga: Envo del trfico a travs de mltiples enlaces Balanceo de carga: Envo del trfico a travs de mltiples enlaces. Es muy complicado alcanzar estas tres caractersticas en grado mximo en una sola red, debido a que maximizar una de ellas significa penalizar a las otras: Redundancia vs debido a que maximizar una de ellas significa penalizar a las otras: Redundancia vs Simetra. GRUPO ACADEMIA POSTAL Enrutamiento por defecto en las redes BGP. Las rutas por defecto minimizan el tamao de las tablas de enrutamiento y proporcionan mecanismos de redundancia en caso de fallo (rutas por defecto estticas flotantes, por ejemplo). Para obtener redundancia, BGP debe proporcionar rutas por defecto desde diferentes orgenes, estableciendo su importancia mediante el atributo Local_Preference: Este diseo permite que, en caso de fallo de la ruta por defecto principal, otra ruta de f respaldo entre en funcionamiento. GRUPO ACADEMIA POSTAL Enrutamiento por defecto en las redes BGP II. Es importante controlar la informacin por defecto en BGP porque una configuracin incorrecta podra causar problemas serios de enrutamiento en Internet. Ejemplo: Si router fronterizo propaga rutas por defecto de forma indiscriminada a sus j p p p g p vecinos, rpidamente empezar estar sobrecargado con el trfico por defecto de los SA circundantes. Para evitar esto, Cisco IOS proporciona un mecanismo para enviar informacin de enrutamiento por defecto a un solo vecino. RTC(config)#router bgp 3 RTC(config-router)#neighbor 172.16.20.1 remote-as 1 RTC(config-router)#neighbor 172.16.20.1 default-originate Muchos administradores filtran la informacin de rutas por defecto aprendida dinmicamente por BGP para evitar situaciones en las que el trfico deje el SA por lugares i t L i f i d l t i t d f t fi tti t no previstos. La informacin del enrutamiento por defecto se configura estticamente. GRUPO ACADEMIA POSTAL Ejemplo de Enrutamiento por defecto en las redes BGP. En el caso de querer enviar informacin por defecto a todos los vecinos, la configuracin adecuada de BGP ser: RTC( fi )# t b 3 RTC(config)#router bgp 3 RTC(config-router)#neighbor 172.16.20.1 remote-as 1 RTC(config-router)#neighbor 172.17.1.1 remote-as 2 RTC( fi t )# t k 0 0 0 0 RTC(config-router)#network 0.0.0.0 GRUPO ACADEMIA POSTAL Simetra El trfico que deja el SA por un punto de salida y retorna a l por dicho punto. Si no existe redundancia, la simetra es total. La asimetra genera problemas de variabilidad en el retardo as como otros posibles problemas de enrutamiento. Estrategia: D fi i t i i l fi di ti f l t fi fl i di h Definir una ruta principal y configurar directivas que fuercen al trfico a fluir por dicho enlace. Una ruta por defecto con una distancia administrativa baja o alta Local_Preference serviran para determinar por dnde va a salir el trfico serviran para determinar por dnde va a salir el trfico. Sin embargo es ms difcil controlar el camino de retorno (MED y filtrado de rutas). GRUPO ACADEMIA POSTAL Balanceo de carga Es la capacidad de dividir el trfico de datos sobre mltiples conexiones. Si un router BGP tiene dos rutas EBGP exactamente iguales para un prefijo desde un SA i d l i ll IDd t b j l i l j t vecino, puede seleccionar aquella con ID de router ms bajo para elegir la mejor ruta. Dicha ruta de colocar en la tabla de enrutamiento. BGP soporta balanceo de carga al mismo SA, por lo tanto no se selecciona el mejor camino se colocanvarios en la tabla de enrutamiento camino, se colocan varios en la tabla de enrutamiento. Para habilitar dicho comportamiento: Router(config-router)#maximum-paths number BGP soporta un mximo de 6 caminos por destino pero solamente si provienen del mismo BGP soporta un mximo de 6 caminos por destino, pero solamente si provienen del mismo SA. Por defecto, BGP solamente coloca un ruta en la tabla de enrutamiento. GRUPO ACADEMIA POSTAL Conexiones multihomed al mismo proveedor Aunque ejecutar BGP cuando un SA tiene mltiples conexiones a un mismo ISP no es necesario, si es generalmente recomendado. El li t i fi l t t d f t h i l d El cliente quiere configurar solamente rutas por defecto hacia el proveedor. GRUPO ACADEMIA POSTAL Conexiones multihomed a diferentes proveedores En este caso una buena estrategia es aceptar la misma red desde ambos proveedores. Manipular el atributo Local_Pref, de forma que existir una preferida. En caso de fallo se tili l d b k utilizara la de backup. GRUPO ACADEMIA POSTAL Redistribucin de rutas en BGP En BGP es necesario considerar un factor que es crucial para el buen funcionamiento de Internet: la estabilidad de las rutas. Existe una estrecha relacin entre la estabilidad de la rutas y el mtodo con el que son inyectadas en BGP rutas y el mtodo con el que son inyectadas en BGP. Dinmicamente. Redistribucin dinmica pura: Todas las rutas del IGP se redistribuyen en BGP. Comando redistribute Comando redistribute. Redistribucin semiautomtica: Solamente ciertas rutas se inyectan en BGP, por medio del comando network Se precisa un comando network por prefijo a publicar Se verifica que las rutas publicadas mediante network se han aprendido mediante Se verifica que las rutas publicadas mediante network se han aprendido mediante algn mtodo vlido IGP (Comando no synchronization). Estticamente Asegura la estabilidad de las tablas de enrutamiento. Problema: definicin manual de las rutas. GRUPO ACADEMIA POSTAL Problemas en la redistribucin de rutas dinmica en BGP El modelo semiautomtico no siempre es posible: cmo publicamos 60.000 redes? El modelo automtico presenta una serie de inconvenientes: Direcciones privadas, prefijos inadecuados La redistribucin mtua Bucles de enrutamiento. Solucin? Diseo adecuado de una estrategia de filtrado de rutas. Por ejemplo: Solamente se redistribuyen en BGP las rutas internas de los protocolos IGP que son capaces de determinar si la ruta es interna o externa (OSPF EIGRP) (OSPF, EIGRP). GRUPO ACADEMIA POSTAL Problemas en la redistribucin de rutas dinmica en BGP GRUPO ACADEMIA POSTAL Problemas en la redistribucin de rutas dinmica en BGP GRUPO ACADEMIA POSTAL Ejemplo de redistribucin en BGP. RTB(config)#router bgp 200 RTB(config-router)#neighbor 10.1.1.2 remote-as 100 RTB(config router)#neighbor 10 1 1 2 route-map BLOCK-BAD-ADDRESSES out RTB(config-router)#neighbor 10.1.1.2 route-map BLOCK-BAD-ADDRESSES out RTB(config-router)#redistribute ospf 1 match internal metric 50 RTB(config-router)#redistribute static RTB(config)#router bgp 200 RTB(config-router)#neighbor 10.1.1.2 remote-as 100 RTB(config-router)#neighbor 10.1.1.2 route-map BLOCK-BAD-ADDRESSES out RTB(config-router)#network 192.168.1.0 RTB(config-router)#network 192.168.2.0