Escolar Documentos
Profissional Documentos
Cultura Documentos
Avanado
Leandro Bertholdo
Liane Tarouco
Rio de Janeiro
Escola Superior de Redes
2016
Sumrio
BGP4 Reviso de conceitos ............................................................................................................... 5
Sumrio ............................................................................................................................................................................. 5
Objetivos dos protocolos de roteamento ........................................................................................................... 6
Discernimento ............................................................................................................................................................... 6
Simplicidade ................................................................................................................................................................... 6
Robustez e estabilidade ............................................................................................................................................. 6
Rpida convergncia ................................................................................................................................................... 7
Flexibilidade ................................................................................................................................................................... 7
Tipos de algoritmos de roteamento ..................................................................................................................... 7
Esttico ou dinmico ................................................................................................................................................... 8
Caminho nico ou multicaminho .......................................................................................................................... 8
Plano ou hierrquico ................................................................................................................................................... 8
Estado de enlace ou vetor distncia ................................................................................................................... 11
As mtricas dos protocolos de roteamento .................................................................................................... 13
Tamanho do caminho (distncia) ....................................................................................................................... 13
Confiabilidade .............................................................................................................................................................. 13
Atraso ou delay ............................................................................................................................................................ 14
Largura de banda ........................................................................................................................................................ 14
Carga do enlace ........................................................................................................................................................... 14
Custo de comunicao .............................................................................................................................................. 14
Protocolos de roteamento: IGP e EGP ............................................................................................................... 15
BGP Border Gateway Protocol .......................................................................................................................... 17
Os sistemas autnomos (AS) ................................................................................................................................. 19
A sesso BGP ................................................................................................................................................................. 20
A mquina de estados do BGP .............................................................................................................................. 21
Tipos de mensagens BGP ........................................................................................................................................ 24
BGP Avanado
Tipos de mensagens BGPOPEN .......................................................................................................................... 25
Tipos de mensagens BGPNOTIFICATION ...................................................................................................... 26
Tipos de mensagens BGP: KEEPALIVE ............................................................................................................. 28
Tipos de mensagens BGP: UPDATE .................................................................................................................... 29
Tipos de mensagens BGP: ROUTEREFRESH ................................................................................................. 30
A extenso MPBGP (Multiprotocol BGP) ........................................................................................................ 30
iBGP e eBGP .................................................................................................................................................................. 32
Roteamento Explcito versus Rota Default ..................................................................................................... 35
Configurao bsica do BGP .................................................................................................................................. 38
Habilitao do roteamento BGP ........................................................................................................................... 39
Configurao de vizinhos BGP .............................................................................................................................. 39
Reset das conexes BGP .......................................................................................................................................... 39
Configurao da interao com IGPs ................................................................................................................. 39
Configurao da filtragem de rotas pelo vizinho .......................................................................................... 40
Exemplo de configurao ........................................................................................................................................ 41
Atributos e Polticas de Roteamento ............................................................................................. 45
Sumrio ........................................................................................................................................................................... 45
Polticas de Roteamento .......................................................................................................................................... 48
Algoritmo de seleo de caminhos do BGP ..................................................................................................... 56
Controlando o Trfego de entrada do AS ......................................................................................................... 57
Uso de prefixos BGP mais especficos e rotas agregadas para balanceamento de trfego ........ 65
Explorando o uso de comunidades ..................................................................................................................... 68
BGP Communities ....................................................................................................................................................... 69
Boas prticas na operao de um Sistema Autnomo ............................................................. 75
Cuidados gerais ........................................................................................................................................................... 75
Por que se tornar um Sistema Autnomo ....................................................................................................... 76
Backbone IPv4 e IPv6 ............................................................................................................................................... 79
Uso de IGP e de EGP no AS ..................................................................................................................................... 80
Separao de iBGP e eBGP ...................................................................................................................................... 81
Table History .......................................................................................................................................................... 82
Peer Groups................................................................................................................................................................... 84
2
BGP Avanado
BGP Avanado
BGP Avanado
1
BGP4 Reviso de conceitos
Objetivos
Conhecer as caractersticas dos protocolos de roteamento; Estudar os tipos de protocolos de
roteamento; Entender a diferena entre protocolos IGP e EGP; Conhecer o protocolo BGP;
Aprender sobre a configurao bsica do protocolo BGP.
Conceitos
Sumrio
BGP Avanado
Discernimento
Referese capacidade do algoritmo de roteamento selecionar a melhor rota. Note que
melhor rota um conceito que depende das mtricas e as ponderaes utilizadas para
fazer um clculo; nesse caso, um algoritmo de roteamento pode, por exemplo, fazer uso de
uma mtrica derivada de outras como o nmero de hops e atraso (delay), dando um peso
maior ao delay no clculo. Cada protocolo de roteamento deve, naturalmente, definir em
seus algoritmos de clculo uma mtrica estrita, sem interpretaes dbias.
Simplicidade
Robustez e estabilidade
Para cumprir esse objetivo, os algoritmos devem ser robustos. Em outras palavras, eles devem
executar corretamente face a circunstncias no previstas ou adversas, tais como falhas de
hardware, condies de congestionamento, e at mesmo implementaes incorretas. Como os
roteadores esto localizados em pontos de junes de redes, eles podem causar problemas
considerveis quando falham, e os melhores algoritmos de roteamento so aqueles que tm
suportado o teste do tempo e se provado estveis mesmo sob uma variedade de condies de
rede. Um roteador robusto costuma realizar seu trabalho durante anos sem apresentar falhas
de software ou hardware que exijam seu desligamento ou reincio.
BGP Avanado
Rpida convergncia
Convergncia o processo de concordncia, por todos os roteadores, de quais so as rotas
timas. A cada evento de queda ou retorno de um circuito de dados, determinados caminhos
se tornam indisponveis ou um melhor caminho aparece. Para que esses caminhos sejam
oferecidos ou retirados das tabelas de melhores caminhos para a rede, necessrio que os
roteadores troquem uma srie de mensagens de atualizao de roteamento. Essas
mensagens permeiam a rede, estimulando um novo clculo das rotas timas e
eventualmente levando todos os roteadores a concordarem com essas rotas. Algoritmos de
roteamento que demoram para repassar essas mensagens e portanto que convergem
lentamente podem causar loops ou indisponibilidade na rede. Por esse motivo, bons
algoritmos de roteamento convergem rapidamente todos os seus roteadores para as mesmas
informaes de roteamento aps uma mudana na topologia da rede.
Flexibilidade
No que tange ao tipo de algoritmo de roteamento, estes podem ser classificados em:
Estticos ou dinmicos.
Intradomnio ou Interdomnio.
BGP Avanado
Esttico ou dinmico
Algoritmos de roteamento dinmico podem ser suplantados por rotas estticas, onde
apropriado. Por exemplo, um roteador considerado de ltima tentativa (last resort ou
gateway da rede), ou seja, um roteador para aonde todos os pacotes no roteveis so
enviados pode ser designado estaticamente. Esse roteador vai atuar como um ltimo recurso
para todos os pacotes no roteveis, garantindo que todas as mensagens sero, pelo menos,
tratadas de alguma maneira.
Alguns exemplos de protocolos capazes de trabalhar com roteamento dinmico so:
Interior Gateway Protocol (IGP): RIP, IGRP, EIGRP, OSPF e ISIS;
Exterior Gateway Protocol (EGP): BGP.
Plano ou hierrquico
BGP Avanado
Na internet global, que possui cerca de 600 mil redes fracamente coordenadas, no vivel
roteamento global, plano, e 100% timo. Assim, o funcionamento da internet uma soluo
subtima, pois no h como fazer de outro modo.
A internet no e nunca ser uma nica rede, e sim um conjunto interconectado de redes
organizadas em diferentes domnios, um conjunto de AS que se comunicam diretamente ou
indiretamente (atravs de outros AS).
Intradomnio ou interdomnio
Alguns algoritmos de roteamento somente funcionam dentro de domnios (IGP Interior
Gateway Protocol); outros funcionam dentro e entre domnios (EGP External Gateway
Protocol). A natureza desses dois tipos de algoritmos diferente, fazendo que um algoritmo
de roteamento interno timo no seja, necessariamente, um timo algoritmo para
roteamento entre domnios.
As caractersticas dos protocolos de roteamento intraAS ou intradomnio incluem:
Usados para roteamento local, ou intraAS, ou intradomnio;
Enfoque sobretudo tcnico:
Redundncia (Confiabilidade);
Otimizao de caminhos;
Balanceamento de trfego;
Dinmica de reconfigurao.
10
BGP Avanado
Redundncia limitada;
Entre os protocolos intradomnio, ainda possvel uma subclassificao pela forma como as
informaes de roteamento circulam pelos nodos:
Estado de enlace: inundam todos os nodos da rede com informao de roteamento
referente descrio de seus prprios enlaces;
Vetor distncia: cada roteador envia toda ou parte da sua tabela, mas somente para
os roteadores vizinhos.
Cada entrada na tabela contm uma rede destino, o prximo roteador no caminho e um custo
associado quela rota (que poder ser o nmero de roteadores at o destino final).
BGP Avanado
11
Periodicamente, cada roteador envia uma cpia da sua tabela para os roteadores aos quais
est ligado diretamente, ou seja, a aqueles que compartilham um mesmo meio fsico de
transmisso. O roteador que recebe a informao de roteamento compara a sua tabela
original com a recebida, examinando o destino e as distncias para cada uma das rotas; ele
vai substituir seus valores, se a nova rota recebida possuir um caminho melhor (mais curto)
para um determinado endereo, ou simplesmente incluir uma nova rota, caso no conste da
sua tabela.
Uma desvantagem desse algoritmo que ele no se comporta bem em redes extensas por
dois motivos principais:
Alguns exemplos de protocolos que utilizam o vetordistncia so: protocolo RIP, verses
antigas de DECnet e IPX (da Novell). A AppleTalk e roteadores Cisco utilizam verses
melhoradas do algoritmo vetordistncia. Nesse tipo de algoritmo, cada roteador mantm
uma entrada na tabela indexada para cada roteador na subrede. Essa entrada contm duas
partes: a rota de sada preferida para aquele destino e tempo ou distncia estimada. A
mtrica utilizada pode ser de nmero de saltos (hops), atraso, nmero total de pacotes na fila
de cada caminho etc.
O algoritmo estado do enlace (link state) distinto em alguns sentidos, entre eles, em vez de
uma tabela de rotas, cada roteador preocupase somente com os enlaces (interfaces em
redes distintas) que possui ativos, divulgando essa informao a todos os outros nodos da
rede de forma a criar um mapa topolgico da rede.
BGP Avanado
Outra vantagem desse algoritmo que as mensagens a serem trocadas entre os roteadores
so menores por transmitirem apenas o estado de enlace, isto , o tamanho da mensagem
proporcional ao nmero mdio de roteadores aos quais cada roteador est conectado
diretamente (no algoritmo de vetor distncia as informaes eram relacionadas a toda rota
que poderia tornarse um destino para um especfico roteador); assim sendo, esse algoritmo
se adapta melhor em redes extensas. Os protocolos do tipo estado de enlace convergem mais
rapidamente, j que esperado que um nodo que tenha alguma alterao em seus enlaces
comunique diretamente a todos os outros essa alterao; em compensao, a execuo desse
tipo de algoritmo exige mais CPU e memria, por sua implementao implicar na criao de
uma mapa topolgico geralmente utilizando matrizes e clculos de grafos.
Atraso ou Delay.
Banda.
Carga.
Custo da comunicao.
Confiabilidade
Geralmente se refere confiabilidade dos enlaces (medida em taxa de erros de bits), se for
computada de uma forma automtica, ou pode tambm ser atribuda pelo administrador a
cada um dos enlaces conectados em determinado nodo.
BGP Avanado
13
Atraso ou delay
Essa mtrica se refere ao perodo de tempo necessrio para mover um pacote da origem at
o destino, ou seja, a metade do que normalmente conhecido como tempo de ping (Round
Trip Time ou RTT). O atraso depende de vrios fatores, incluindo largura de banda de cada
enlace em todas as redes intermedirias, tamanho das filas das portas de sada de cada
roteador, a situao de uso e congestionamento em cada um desses enlaces, alm, claro, da
distncia fsica entre a origem e o destino.
Largura de banda
A largura de banda ou vazo de trfego de um enlace referese quantia de bits por segundo
que podem ser transportados em determinado enlace; dessa forma, quanto maior a vazo do
enlace, maior a sua capacidade de uso. Levando isso em conta, prefervel encaminhar o
trfego de pacotes por uma interface ethernet de 1Gbps em vez de uma conexo LPCD (Linha
Privativa de Comunicao de Dados) de 2 Mbps. Note que essa mtrica no se refere taxa
de utilizao de cada caminho: essa mtrica a varivel carga do enlace.
Carga do enlace
A mtrica de carga do enlace pode ser utilizada em alguns algoritmos como uma forma de
realizar um balanceamento otimizado entre circuitos de largura de banda diferentes. Em
alguns casos, enlaces com banda maior podem estar congestionados, tornando um enlace de
banda estreita uma rota melhor.
A carga do enlace pode se referir ao uso de recursos da rede como um todo, no restrita ao
enlace somente, podendo abranger informaes como o uso de filas internas do roteador,
quantidade de pacotes descartados, capacidade de processamento do nodo (CPU e pacotes
processados por segundo). comum que essa mtrica seja calculada de vrias maneiras,
dependendo do fabricante do equipamento e do algoritmo a ser utilizado.
Um caso de uso o protocolo EIGRP, proprietrio da Cisco.
Custo de comunicao
Essa uma mtrica que possui um conceito distinto das mtricas tcnicas vistas at o
momento. A mtrica custo normalmente um valor a ser estipulado pelo prprio
administrador para designar a preferncia ou no do trfego ser encaminhado por um ou
outro enlace de dados ou interface, independente de outros parmetros como atraso, banda
passante ou congestionamento do circuito.
Essa mtrica tipicamente conhecida como uma mtrica poltica, e permite aos algoritmos
dinmicos acatarem um custo externo, preferido pelo administrador da rede, e que envolve
preferncias da prpria administrao da rede. Um exemplo de uso quando determinada
empresa ou instituio opta por utilizar um determinado circuito baseado em critrios
financeiros o mais barato (custo em R$), em vez de optar pelo melhor circuito de dados do
ponto de vista tcnico o mais rpido.
14
BGP Avanado
Na maioria das redes, o protocolo IGP (Interior Gateway Protocol) utilizado para transferir
informaes dos prefixos da infraestrutura do backbone: interfaces dos roteadores e
circuitos de dados, e oferece as seguintes caractersticas:
Permite o escalonamento do ISP (Internet Service Provider) em nmero de sites e de
equipamentos e enlaces internos;
BGP Avanado
15
Um EGP (Exterior Gateway Protocol) permite o escalonamento de grandes redes. Ele permite
implementar uma poltica de roteamento com vistas a:
Controlar a alcanabilidade de prefixos;
Unificar organizaes diferentes;
Conectar mltiplos IGPs.
Entre as principais caractersticas dos protocolos EGP esta a de que eles sejam mais voltados
a polticas de roteamento e no a critrios tcnicos, abrindo mo de caractersticas como
rpida convergncia em detrimento de critrios como estabilidade.
EGP
BGP Avanado
Os protocolos RIP, RIPv2, IGRP, EIGRP so protocolos do tipo vetor distncia. Usam
algoritmos por vetor distncia os quais demandam que cada roteador envie toda ou parte da
sua tabela de rotas, mas somente para os roteadores vizinhos.
Os protocolos OSPF e ISIS so do tipo estado de enlace e inundam todos os nodos da rede
com informao de roteamento, mas somente a parte das suas tabelas que descrevem seus
prprios enlaces.
O protocolo BGP4 utiliza uma variao do algoritmo BellmanFord, conhecido como Vetor
de Caminhos (path vector). Esse tipo de algoritmo envia atualizaes das rotas para os
vizinhos previamente configurados e obedecendo a uma poltica prdefinida, sendo similar
em alguns pontos com o algoritmo vetor distncia
O protocolo BGP (Border Gateway Protocol) est atualmente na verso 4, e definido no RFC
4271. Ele basicamente um protocolo do tipo vetor de caminhos (path vector) e possui
vrias funcionalidades do BellmanFord, as mesmas utilizadass pelo algoritmo de vetor
distncia (distance vector), s que em vez de contabilizar roteadores intermedirios entre a
origem e o destino, ele leva em considerao o nmero de sistemas autnomos
intermedirios.
Para trabalhar de uma forma eficiente diante da complexidade da internet, o BGP tambm
conta com uma srie de atributos que so utilizados para fazer uso dos melhores caminhos,
de acordo com as polticas de trfego de cada sistema autnomo.
BGP Avanado
17
Em suma, o funcionamento do BGP envolve a construo de um grafo dos caminhos (paths)
entre as rotas aprendidas pelos vizinhos (peers), e permite manipular esses caminhos
atravs do uso de atributos BGP (visto na prxima sesso).
Conceitos bsicos
A funo do BGP.
Prefixos e CIDR.
O protocolo BGP um protocolo do tipo path vector, que trabalha com updates incrementais
e oferece opes para implementao de uma poltica de roteamento atravs de atributos
associados a cada entrada na tabela de rotas. Ele permite trabalhar com roteamento CIDR
(Classless InterDomain Routing) e largamente utilizada em backbones na internet.
O roteamento CIDR elimina os limites impostos pelo antigo endereamento baseado em
classes (classful), proporcionando o uso mais eficiente do espao de endereos IPv4. O CIDR
tambm proporciona um mtodo para reduzir o tamanho das tabelas de roteamento atravs
da agregao de rotas (ou supernets).
Para formar subredes: uma subrede tem mscaras menores que a original
255.255.255.0 utilizada para o antigo classe C 192.168.0.0, equivalente a um prefixo
CIDR /24. Exemplos dessas subredes podem ser os prefixos 192.168.0.0/30,
192.168.1.0/25 ou 192.168.2.64/26, entre outros;
18
BGP Avanado
Dentro do espao de ASN, os nmeros de 64512 a 65534 so reservados para uso privado, ou
seja, podem ser utilizados internamente dentro de cada instituio sem necessitar de prvia
autorizao, e no devem ser divulgados para a internet. Os nmeros 23456, 65535 e
4294967295 so reservados pelo IANA para casos especiais.
BGP Avanado
19
A sesso BGP
Obviamente que se nenhuma rede nova for instalada ou retirada da rede, nenhuma
informao de roteamento ser passada nessa sesso BGP, podendo inclusive ficar durante
horas, dias ou semanas sem nenhuma alterao.
20
BGP Avanado
O Protocolo BGP possui uma mquina de estados que demonstra todo o seu funcionamento.
Esse funcionamento pode ser resumido no esquema da figura a seguir:
Para cada sesso parapar (peertopeer), a implementao BGP mantm uma varivel de
estado que indica em qual dos estados descritos pela mquina de estados a sesso BGP se
encontra. Cabe ao protocolo BGP definir todas as mensagens que devem ser intercambiadas
para que ocorra uma troca de estado dentro da mquina.
O primeiro estado o Idle, e nesse estado o BGP inicializa todas as suas variveis internas
da sesso, e todos os recursos como memria necessrios para o peer, alm de controlar as
informaes necessrias conexo TCP. Nesse ponto, so recusadas qualquer outra conexo
BGP distinta do vizinho que se espera naquele instante, simultaneamente iniciando um
pedido de conexo TCP com esse mesmo peer usando a porta 179. Esse o momento onde
BGP Avanado
21
so enviados pacotes SYN/SYN+ACK de ambos os lados, visando estabelecer uma conexo
TCP entre os pares. Essa conexo poder ser recusada por vrios motivos, como:
Um dos pares espera uma conexo autenticada com MD5 enquanto o outro no;
Problemas de peers configurados erroneamente em ambos os lados (erro do
administrador);
Falta de conectividade entre os dois vizinhos (no possvel realizar um ping entre
eles);
Congestionamento da rede;
Uma vez que a conexo TCP tenha sido estabelecida entre os dois pares, a mquina de estado
passa para o estado Connect e libera a sua utilizao pelo protocolo BGP que far uso dessa
Conexo TCP a partir de agora.
Uma vez que o threeway handshake do TCP foi completado, a mquina de estados passa
para o estado Open Sent. Esse estado pressupe que j exista uma comunicao direta
entre os processos BGP de ambos os vizinhos, permitindo que se inicie a negociao de
vrios parmetros do BGP.
Nesse estado, o processo BGP envia uma mensagem de OPEN e aguarda uma de retorno do
seu peer. Entre os parmetros negociados nesse momento esto as verses do protocolo
BGP, o ASN que identifica cada peer, parmetros de temporizadores como holdtime e outros
parmetros opcionais como RouteRefresh e Extenses MPBGP ou Multiprotocol BGP, como
as famlias de endereos que sero suportados (Unicast IPv4, Unicast IPv6, Multicast IPv4,
Multicast IPv6, MPLS, VPNv4 etc.).
22
BGP Avanado
Para cada vizinho configurado pelo administrador da rede no BGP do roteador, o processo
BGP manter em memria uma tabela BGP contendo os prefixos recebidos daquele vizinho e
outra contendo os prefixos enviados para aquele vizinho. Ou seja, criado para cada peer
BGP uma estrutura AdjRIBIn (Adjacent Routing Information Base Incoming) contendo NLRI
recebido do vizinho e uma AdjRIBOut (Outgoing) para os NLRI a serem enviados para o
vizinho. O contedo dessas estruturas pode ser consultado via comandos na console do
roteador (por exemplo: show ip bgp neigbour x.x.x.x advertised ou show ip bgp nei x.x.x.x
received).
A capability RouterRefresh utilizada para evitar que seja necessrio reiniciar a sesso BGP
no caso de alteraes na configurao das polticas de roteamento BGP, visando assim
melhorar a estabilidade da rede e minimizar quedas desnecessrias. Quando negociada entre
os peers BGP, permite a um dos vizinhos solicitar o reenvio de todas as informaes de
roteamento (NLRI: Network Layer Reachability Information) sem ter de reiniciar a mquina
de estados do BGP para receber novamente todas as informaes de UPDATE do seu peer. A
Capability routerrefresh definida na RFC 2918 e pode ser ativada por alguns fabricantes
sob a clusula softreconfiguration.
BGP Avanado
23
NOTIFICATION
KEEPALIVE
UPDATE
ROUTEREFRESH
Marker: campos com 16 octetos que deve ser completamente preenchido com uns;
Lenght: 2 octetos indicando o comprimento da mensagem, incluindo os octetos no
cabealho.
Type: indica o cdigo do tipo tal como indicado a seguir:
1: OPEN
2: UPDATE
3: NOTIFICATION
4: KEEPALIVE
5: ROUTEREFRESH
24
BGP Avanado
Verso: um campo de 1 byte que indica o nmero de verso do BGP sendo usado na origem.
O mais alto valor de verso que ambos os roteadores negociando suportam ser utilizado. A
maioria das implementaes atuais BGP usam a verso atual: BGP4;
BGP Avanado
25
Parmetros opcionais: um campo de comprimento varivel que contm uma lista de
parmetros opcionais. Cada parmetro especificado por um campo de 1 byte de tipo, um
campo de comprimento de 1 byte, e um campo de valor de comprimento varivel que
contm o prprio valor de parmetro. Esse campo usado para anunciar o suporte para
recursos opcionais, como por exemplo: extenses de multiprotocolos, rota de atualizao etc.
Uma vez que necessrio enviar uma mensagem de notificao com o erro registrado pelo
protocolo, existe uma tabela que retrata esses cdigos de erro:
26
BGP Avanado
Cdigo de
Erro
2
4
5
6
Cdigo de suberro
Message Header
OPEN Message
27
O campo DATA tem um comprimento varivel e usado para diagnosticar a razo para a
NOTIFICATION
28
BGP Avanado
Figura 1.12 Mensagem UPDATE.
29
Attribute Flags
Bit de mais alta ordem indica se
o atributo opcional (valor 1)
ou bem conhecido (valor 0).
O segundo bit de mais alta
ordem que indica o atributo
transitivo (0) ou no transitivo
(1).
Terceiro bit de mais alta ordem
indica se a informao contida
no atributo transitivo opcional
parcial (1) ou completa (0).
Quarto bit indica se o
comprimento do atributo tem
um octeto (0) ou dois octetos
(1).
Attribute Type Code contm o
cdigo do atributo.
Essa mensagem foi criada para facilitar mudanas de poltica de roteamento no disruptivas.
Ela foi definida no RFC2918 e provoca uma atualizao de rotas entre os anunciadores de
BGP e subsequente reanncio das informaes de adjacncia (AdjRIBOut) de um par BGP.
Essa mensagem serve para solicitar a retransmisso de todas as informaes de roteamento
de um vizinho BGP. No precisa fechar e reiniciar a sesso BGP, e independente do
protocolo (IPv4 ou IPv6).
Mais informaes podem ser obtidas na RFC 2918: Route Refresh for BGP4.
Quando uma mensagem de OPEN enviada entre vizinhos BGP, vrias caractersticas
opcionais (capabilities) so divulgadas por cada um dos peers na forma como o
Administrador de Redes configurou o referido roteador BGP. Quando ambos os pares da
sesso BGP tm suporte quela capacidade, ela pode ser ativada. Algumas dessas possveis
capacidades so o BGP Multiprotocolo (MPBGP), o routerrefresh, o outbound route filtering
(ORF) e outros.
Quando ambos os vizinhos concordam em utilizar a extenso multiprotocolo (MPBGP), eles
precisam identificar qual o AFI (Address Family Identifier) e o SAFI (Subsequent Address
Family Identifier) que cada um suporta e est configurado para trocar informaes. O uso e
codificao detalhados dos campos AFI: Address Family Identifier (16 bit) e SAFI:
Subsequent Address Family Identifier (8 bit) so definidos na RFC 2858: Multiprotocol
Extensions for BGP4.
O formato da mensagem e seus campos so mostrados a seguir:
30
BGP Avanado
Figura 1.15 Formato da mensagem BGP.
Unicast;
Multicast;
MPLS Label;
3:
Note que os campos <AFI" e <SAFI" so campos que compem uma nica mensagem, ou
seja, cada conjunto AFI+SAFI significar um conjunto independente de informaes BGP
trocadas entre os peers. Em resumo, significar uma outra tabela BGP.
A lista a seguir mostra todas as variaes possveis dos conjuntos <AFI><SAFI> e todas as
tabelas BGP que podem ser criadas a partir da. NB: cada nova entrada implica na alocao
de memria e criao de polticas especficas para manusear esse novo conjunto de dados:
AFI=1, SAFI=1, IPv4 unicast;
BGP Avanado
31
iBGP e eBGP
iBGP
eBGP
Fullmesh
O protocolo BGP pode ser utilizado de duas formas, internamente ao sistema autnomo
visando transportar os prefixos internos da rede (exemplo: prefixos de clientes) e
externamente, entre os diferentes sistemas autnomos, como uma forma de divulgar os
prefixos do prprio AS aos seus provedores e parceiros, alm de aprender os prefixos e rotas
originados na internet.
Internamente ao AS (iBGP);
32
BGP Avanado
Uma vez identificado se a sesso BGP se refere a um peer externo, cujo ASN dos dois peers
distinto, o comportamento do BGP segue da forma esperada: cada um dos peers envia toda a
informao que compe a sua tabela BGP para o peer externo (eBGP), levando em conta
somente as polticas (filtros) de sada configuradas previamente para aquele ASN.
J em uma sesso BGP interna (iBGP), onde os roteadores esto conectados compartilhando
algum protocolo IGP (RIP, OSPF, ISIS...), o protocolo procura minimizar os anncios entre os
routers iBGP. Essa otimizao parte do princpio de que um roteador interno do BGP
responsvel por compartilhar as informaes de roteamento (NLRI) que ele gerar com todos
os outros roteadores que falam BGP dentro do mesmo ASN. Isso basicamente significa que
um prefixo recebido por um roteador interno (iBGP) no precisa ser repassado para outros
peers internos, cabendo ao originador daquele prefixo repassar essa informao diretamente
para todos os outros pares internos (peers iBGP).
Para que isso seja possvel, necessrio que todos os roteadores que falam
BGP internamente ao sistema autnomo (peers iBGP) tenham uma
conexo direta entre si. Esse um ponto imprescindvel para que o BGP
funcione corretamente. Esse tipo de arquitetura no BGP conhecida como
full mesh.
Normalmente os roteadores BGP internos ao AS devem possuir
alcanabilidade via algum algoritmo IGP, compartilhando o mesmo
processo OSPF ou ISIS de forma a prover essa conectividade interna,
mesmo que indireta, entre todos os roteadores iBGP do ASN, para a partir
da criar uma conexo TCP e a sesso BGP de todos para todos, criandose
assim a rede BGP full mesh.
conexo completa,
onde todos os
roteadores iBGP
possuem uma
outros, e isso
essencial em um
ambiente iBGP.
BGP Avanado
33
Entretanto, devese notar que a entrada de cada novo roteador iBGP nesse cenrio
significar a reconfigurao de todos os outros roteadores de forma a criar uma nova sesso
iBGP. Esse cenrio aceitvel at um nmero de uma ou duas dezenas de roteadores, sendo
necessria a criao de N1 novas sesses BGP para cada novo peer BGP a ser inserido na
rede. Uma forma de facilitar esse crescimento, minimizando o nmero de sesses BGP a
serem criadas, o uso de uma estratgia chamada de routerreflector.
A definio de um routerreflector realizada pela RFC 4456 e seu objetivo exatamente
aumentar a escalabilidade de grandes backbones atravs da insero do conceito de router
reflector e routerreflector client, e a proposta bastante simples: repassar as informaes
recebidas dos peers iBGP para os outros peers iBGP.
Um determinado roteador da rede eleito pelo administrador da rede para ser o refletor de
rotas. Isso significa que na realidade um determinado roteador interno (iBGP) ter um papel
semelhante ao de um roteador eBGP: replicar todas as NLRIs (mensagens de UPDATE) que ele
recebe para todos os outros vizinhos, tornando desnecessrio que um mesmo roteador tenha
N1 sesses BGP para todos os outros roteadores BGP internos. Em uma rede com um RR, cada
roteador iBGP somente precisa possuir uma nica sesso iBGP com o seu RR.
34
BGP Avanado
Quando se define como ser o roteamento iBGP e eBGP da instituio, a primeira pergunta a
ser respondida referese capacidade dos equipamentos envolvidos, j que existe uma
relao direta entre o hardware do roteador (memria TCAM) e a quantidade de rotas que
podem ser instaladas na FIB (Forwarding Information Base), e a quantidade de rotas e
sesses BGP que podem ser manipuladas pelo equipamento, diretamente relacionado com a
CPU, memria RAM e Sistema Operacional do equipamento.
Atualmente, a tabela BGP IPv4 composta por aproximadamente 600 mil entradas nicas
que devem ser instaladas na FIB do equipamento para que este possa realizar
encaminhamento com velocidade de roteamento por hardware (wirespeed).
35
MPLS, VPN e Multicast so mais comumente utilizados em provedores de acesso (ISPs).
Ou um hbrido de, por exemplo: 256k rotas unicast IPv4 & 32k rotas unicast IPv6.
Note que para cada nova funcionalidade desejada, como MPLS, Multicast IPv4 e Multicast
IPv6, essas mesmas 512k entradas tero de ser readequadas para suportar essas novas
tabelas.
E isto considerando que no sero colocados outros servios nesse equipamento (MPLS,
virtual routing, Multicast, VPNv4 etc.).
Ou seja, notase que bastante caro trabalhar com todos os prefixos existentes na internet.
Um roteador que recebe todo os prefixos existentes da internet chamado de um roteador
que faz roteamento completo, tambm conhecido como fullrouting. Um roteador que receba
a tabela BGP completa de mltiplos provedores de acesso tem como vantagem conhecer
todas as sadas possveis de seus provedores de acesso e a quem eles esto conectados na
internet (os provedores dos provedores), e com essas informaes ter mais informaes
para escolher qual provedor oferece o caminho mais curto para o destino do seu pacote.
36
BGP Avanado
Um sistema autnomo que tem todos os seus principais roteadores recebendo de seus
provedores a tabela BPG completa (fullrouting) sabe o caminho para todas as redes da
internet e no faz sentido que ele tambm tenha uma rota Default j que o conceito de
roteamento default (por falta de informao) no faz sentido para um roteador que tem a
informao de todas as rotas da internet, as mesmas informaes de seus provedores e dos
provedores dos seus provedores (TIER2 e TIER1). O nome que se d para uma rede que no
possui a rota default nos seus roteadores principais (Core Routers) DFZ (Default Free Zone).
Default Free Zone (DFZ):
Uma soluo intermediria envolve solicitar para o seu provedor de acesso (ISP) no contrato
BGP firmado entre as instituies que esse envie para o seu ASN, o que chamado de
roteamento parcial, ou seja, que ele envie um subconjunto da tabela BGP completa,
normalmente uma frao contendo as redes mais prximas geograficamente do cliente e que
esse tenha maior probabilidade de ter trfego destinado a elas.
Um exemplo de uma tabela parcial fornecida por provedores brasileiros pode ser composta
por exemplo por:
Prefixos BGP de clientes do prprio provedor (ISP);
Prefixos BGP de redes aprendidas pelos Pontos de Troca de Trfego Brasileiros (vide
http://ix.br);
Prefixos de grandes provedores com presena no Brasil (Embratel, Oi, Telefonica,
Vivo, Claro etc.);
Essas informaes parciais que reduzem as supostas 600 mil rotas para um conjunto menor;
por exemplo, 100 mil rotas, precisam ser complementadas com a rota default para um dos
provedores de acesso que o cliente tem contratado, sob pena de no ter alcanabilidade para
o restante da internet.
O roteamento hbrido faz sentido pela probabilidade que algum usurio residente no Brasil
tende a acessar contedos em lngua portuguesa e empresas brasileiras, ou seja, ele tende a
BGP Avanado
37
ler um jornal brasileiro em vez de um jornal chins. Porm, isso s faz sentido se o jornal
brasileiro estiver hospedado em um servidor no Brasil, e no da China. A identificao de
probabilidades e necessidades como essas, alm das mudanas de polticas de roteamento e
migraes de contedo para as mais diversas nuvens espalhadas pelo mundo, faz parte do
trabalho do administrador de rede, bem como as reconfiguraes necessrias no BGP para
otimizar esses acessos mantendose um custo/benefcio em relao ao investimento em
equipamentos e infraestrutura de rede.
Roteamento Hbrido:
subtimo;
Minimiza a sobrecarga;
38
BGP Avanado
Outro ponto importante identificar quais as redes que fazem parte do ASN que esse
roteador dever anunciar para seus vizinhos BGP. Isso realizado pela marcao de uma
rede como local a esse ASN e entrada da tabela BGP.
network nmero-de-rede [mask mscara-de-rede]
Para evitar a instabilidade causada pelo reset das conexes BGP/TCP, podemos configurar o
recurso de softreconfiguration, com o seguinte comando:
neighbor {endereo-ip | nome-de-grupo-do-par} soft- reconfiguration
{in | out}
Lembrese de que cada roteador iBGP responsvel por enviar suas mensagem de UPDATE
para todos os seus vizinhos internos. Como algumas vezes existem dezenas de vizinhos iBGP,
esse processo leva algum tempo. Caso um roteador utilize essa rota enquanto outro ainda
no a tenha instalado, existe a possibilidade de criarse um loop no roteamento. O
mecanismo de sincronizao fora com que essa rota somente seja utilizada quando todos os
roteadores j tiverem sido notificados da sua existncia.
Por uma srie de motivos relacionados a estabilidade e dinamicidade dos anncios, hoje em
dia esse recurso por default desabilitado. Caso exista esse recurso, uma boa prtica
desabilitlo, a menos, claro, que se tenha cincia de porque seu uso desejado.
Normalmente, se no passar trfego entre ASN externos pelos roteadores internos do AS
BGP Avanado
39
Local, ou se todos os roteadores no ASLocal rodarem BGP, a sincronizao pode ser
desabilitada com o comando:
no synchronization
Outra forma de interao entre BGP e outros protocolos IGP a possiblidade de intercambiar
informaes entre os protocolos atravs do comando redistribute. Por exemplo, se
invocada a redistribuio das rotas estticas (redistribute static) dentro da sesso de
configurao do BGP (Router bgp), todas as rotas estticas existentes nesse roteador agora
sero repassadas para todos os peers BGP.
router bgp
redistribute [connected | static | ospf | rip] {condio}
As expresses regulares so sequncias de caracteres especiais que podem ser usados para
pesquisar e encontrar padres de caracteres. Uma expresso regular um padro para
comparao de uma cadeia de entrada. Uma expresso regular pode ser um padro de
caractere nico ou um padro com vrios caracteres. A correspondncia de uma sequncia
de caracteres para o padro especificado chamado de "padro de correspondncia", e pode
resultar em sucesso ou falha. A construo de expresses regulares no mbito dos
roteadores envolve o uso de caracteres especiais:
40
BGP Avanado
Caractere
Uso
[]
Variao de caracteres
Fim do string
()
Agrupamento local
Exemplo de configurao
A seguir, est exemplificada a configurao do AS100. Esse AS possui trs roteadores:
Router_A, Router_B e Router_C, sendo cada um deles responsvel por um bloco IPv4
(200.10.0.0/16, 200.20.0.0/16 e 200.30.0.0/16).
BGP Avanado
41
Interface Loopback0
ip address 200.10.254.254/32
router bgp 100
network 200.10.0.0
mask
255.255.0.0
neighbor 200.20.254.254 remote-as 100
neighbor 200.20.254.254 description iBGP com Router_B
neighbor 200.20.254.254 update-source loopback0
neighbor 200.30.254.254 remote-as 100
neighbor 200.30.254.254 description iBGP com Router_C
neighbor 200.30.254.254 update-source loopback0
ip route 200.10.0.0/16 Null0
Router_B:
Interface Loopback0
ip address 200.20.254.254/32
router bgp 100
network 200.20.0.0
mask
255.255.0.0
neighbor 200.10.254.254 remote-as 100
neighbor 200.10.254.254 description iBGP com Router_A
neighbor 200.10.254.254 update-source loopback0
neighbor 200.30.254.254 remote-as 100
neighbor 200.30.254.254 description iBGP com Router_C
neighbor 200.30.254.254 update-source loopback0
ip route 200.20.0.0/16 Null0
42
BGP Avanado
Router_C:
Interface Loopback0
ip address 200.30.254.254/32
router bgp 100
network 200.30.0.0
mask
255.255.0.0
neighbor 200.10.254.254 remote-as 100
neighbor 200.10.254.254 description iBGP com Router_A
neighbor 200.10.254.254 update-source loopback0
neighbor 200.20.254.254 remote-as 100
neighbor 200.20.254.254 description iBGP com Router_B
neighbor 200.20.254.254 update-source loopback0
ip route 200.30.0.0/16 Null0
Parmetros adicionais
Updatesource: quando utilizado, o neighbor updatesource loopback 0 fora que o pedido
de conexo TCP, o IP_origem utilizado para a sesso TCP especificado como sendo o IP da
loopback 0 em vez do IP da interface fsica de sada (exemplo: eth0).
Como as rotas so anunciadas via BGP
Alm do network, devese adicionar uma rota para o bloco em questo, destinado a NULL0,
que a forma de se injetar estaticamente uma rota estvel no BGP:
ip route 200.10.0.0/16
Null0 [peso-adm]
Atravs do comando aggregate tambm podemos gerar uma rota BGP baseada nas rotas do
IGP ou BGP. A clusula summaryonly suprime do BGP as rotas que originaram a rota
sumarizada:
aggregate-address 200.10.0.0 255.255.0.0 [summary-only]
BGP Avanado
43
44
BGP Avanado
2
Atributos e Polticas de Roteamento
Objetivos
Conhecer os atributos BGP; Estudar as Polticas de Roteamento e suas aplicaes; Descrever
Conceitos
Sumrio
Atributos BGP.
Polticas de Roteamento.
Uso de prefixos BGP mais especficos e rotas agregadas para balanceamento de trfego.
Explorando o uso de comunidades.
Atributos BGP
45
O comportamento do algoritmo BGP determinado por um conjunto de atributos,
individualmente associados a cada prefixo de rede. Esses atributos tm o objetivo de prover
uma qualificao para cada um dos caminhos existentes na tabela de rotas (path) de forma a
prover maior granularidade de subsdios para o algoritmo de escolha do melhor caminho do
BGO. Em suma, os atributos so mtricas utilizadas pelo algoritmo BGP no seu processo de
tomada de deciso.
Para se compreender a ideia por trs dos atributos dos caminhos, sempre til relembrar o
conceito de Rota, conforme definido pela RFC 4271, que especifica o protocolo BGP4:
Rota uma unidade de informao que pareia um conjunto de destinos com os atributos de
caminho daqueles destinos. O conjunto de destinos so sistemas autnomos cujo endereo IP
esto contidos em um prefixo IP carregado no campo de informao de alcanabilidade
(NLRI) da mensagem de UPDATE. O path ou caminho a informao reportada no campo
atributo de caminho da mesma mensagem BGP.
Em outras palavras, o protocolo BGP carrega no cabealho associado a cada prefixo
anunciado um campo conhecido pelo nome de Atributos do Caminho (path atributes). Essa
informao transportada dentro de cada mensagem de UPDATE trocada para anunciar ou
alterar cada rota entre os peers BGP.
Os atributos BGP podem ser classificados em quatro grandes categorias, que se referem em
grande parte a como deve ser realizada a implementao desses atributos nos roteadores: se
eles so de implementao obrigatria ou opcional e se um atributo recebido com uma rota
deve ou no ser repassado para os seu vizinhos. As categorias para classificar os atributos
dos caminhos (path atributes) so:
Wellknown mandatory.
Wellknown discretionary.
Optional transitive.
Optional nontransitive.
Em adio aos atributos wellknown, um path qualquer pode ainda conter um ou mais
atributos ditos opcionais. Os atributos opcionais podem ou no estarem implementados no
BGP e a transitividade referese ao comportamento em relao retransmisso de
determinado atributo opcional para as outras sesses BGP quando ele no reconhecido por
aquele roteador.
46
BGP Avanado
AS_PATH
NEXT_HOP
MULTI_EXIT_DISC
LOCAL_PREF
ATOMIC_AGGREGATE
AGGREGATOR
COMMUNITY
Next Hop: endereo IP a ser usado para alcanar o roteador BGP. Para EBGP,
next hop o endereo IP da conexo entre os pares. Para IBGP, o next hop leva
ao sistema autnomo local.
Origin: indica como o BGP aprendeu uma particular rota:
Atomic Aggregate: quando um anunciador BGP agrega vrias rotas para fins
de anunciar para um particular par o ASPATH da rota agregada, normalmente
inclui um conjunto AS (ASSET) formado pelos AS que integram o agregado. Se
o administrador da rede exclui algum AS do agregado, quando este for
anunciado deve incluir o atributo Atomic Aggregate. Assim, os BGPs pares que
receberem sabero que o agregado no o mesmo originalmente definido.
BGP Avanado
47
Transitive:
Non Transitive.
Polticas de Roteamento
Trfego de entrada do AS
Trfego de sada do AS
As polticas de roteamento determinam como cada atributo e prefixo BGP deve ser
manipulado para melhor refletir o objetivos de manipulao de trfego desejado (engenharia
de trfego).
Considerando que o trfego de/origem para/destino de um sistema autnomo sempre em
dois sentidos, representando uma comunicao fullduplex, e que:
Os anncios BGP realizados pelo ASN afetam o trfego de entrada no ASN;
48
BGP Avanado
A ideia bsica dessa engenharia de trfego IP controlar tanto o trfego de entrada quanto
de sada do sistema autnomo, e isso se d basicamente atravs da manipulao dos
diferentes atributos proporcionados pelo protocolo BGP.
O controle dos atributos BGP para cada prefixo (rota IPv4 ou IPv6) realizado atravs de
filtros de entrada e sada do Sistema Autnomo. Atravs desses filtros que so
implementadas as polticas de roteamento de cada uma das instituies ou sistemas
autnomos, conforme os critrios estabelecidos por cada uma de suas gerncias.
A figura a seguir demonstra como esses filtros podem ser implementados. Para isso,
devemos relembrar que o protocolo BGP4 utilizase do transporte TCP, e que a comunicao
TCP uma comunicao em ambos os sentidos (fullduplex), ou seja, existem prefixos de
rede que so anunciados do AS100 para o AS200, da mesma forma que existe outro fluxo de
prefixos de rede que so anunciados do AS200 para o AS100.
Ao controle da viso dos prefixos e atributos que sero enviados ou recebidos em cada
sesso BGP dse o nome de controle de anncios. So esses controles que resultam em um
trfego maior ou menor.
O protocolo BGP4 prov mecanismos que possibilitam a seleo de prefixos que sero
anunciados de um AS para outro. Atravs da filtragem da tabela BGP (RIB BGP), so
selecionadas atravs de um filtro as rotas que sero enviadas para o buffer de sada, ou seja,
os anncios realizados pelo roteador (outbound filter). Para as rotas recebidas tambm
existe um filtro na sesso BGP de entrada do roteador (inbound filter), que diferencia entre
as rotas que so recebidas pelo vizinho BGP (receivedroutes) das que sero selecionadas
pelas polticas da empresa para realmente serem utilizadas dentro do AS (acceptedroutes).
49
determinada rota pode ser selecionada como no adequada para determinado caminho
(exemplo: filtro baseado em AS_PATH).
As polticas de roteamento, ou seja, os filtros de entrada e sada, so normalmente
implementados atravs de mecanismos conhecidos como:
Listas de distribuio (distributelist).
Listas de prefixos (prefixlist).
Normalmente esse mecanismo uma forma simples de um cliente realizar o anncio de seus
poucos blocos IP para seus provedores de acesso, mas no tem muita utilidade em
provedores de acesso.
No exemplo a seguir temos uma lista de distribuio utilizada em conjunto com uma lista de
acesso, com o objetivo de anunciar somente o bloco IPv4 200.10.0.0/16 para o peer eBGP
10.1.1.1. Notese que nesse caso preciso que a rede 200.10.0.0/16 exista na tabela BGP (RIB
e FIB), para que ele possa ser enviado para o vizinho BGP 10.1.1.1, e que essa informao de
roteamento seja transmitida para o vizinho sem sofrer alterao em nenhum de seus
atributos BGP (exemplo: nexthop, MED). A accesslist se encarrega de no permitir que
nenhuma outra informao da RIB (Router Information Base) do roteador em questo seja
transmitida para o vizinho 10.1.1.1.
50
BGP Avanado
As listas de prefixos so um mecanismo mais eficiente para filtragem de prefixos, por elas
permitirem manipular mais facilmente as diferentes mscaras de rede e range de prefixos.
Essa a principal diferena entre as listas de prefixos e as listas de distribuio realizadas
atravs de ACLs, mas seus objetivos so similares. Hoje em dia as listas de prefixos so as
mais utilizadas para filtros de rotas, enquanto as listas de acesso so mais utilizadas para
filtros de pacotes.
No exemplo a seguir, utilizada uma filterlist para controlar a sada dos prefixos anunciados
para o roteador 10.1.1.1. Nessa lista de prefixos so selecionados na RIB do roteador em
questo todos os prefixos do bloco 200.10.0.0/16 com mscaras entre /24 at /16. As listas
de prefixos permitem selees do prefixo exato, menor ou igual (le), ou de mscara maior ou
igual (ge) quela selecionada.
Selecionar todos os prefixos que compem a rede da RNP. Ou seja, todos os prefixos
que so originados no AS1916 (ASRNP), e isso pode ser realizado atravs da seleo
por uma expresso regular do atributo ASPATH que encontrase na tabela BGP. Um
exemplo dessa ER (Expresso Regular) a seleo (_1916$), que representa os
prefixos terminados ou originados no AS1916;
BGP Avanado
51
Ou mesmo todas as rotas que so anunciadas pela RNP aos seus provedores, clientes
ou parceiros, ou seja, rotas que passam pelo AS1916, normalmente representadas
pela expresso regular ( _1916_). Essas selees so realizadas atravs de expresses
regulares, como visto na sesso anterior.
No exemplo a seguir, o vizinho 10.1.1.1 receber somente o anncio dos blocos IP originados
no AS100, ou seja, somente o bloco 200.10.0.0/16, que o bloco gerado dentro do prprio
AS. Nenhuma outra informao de roteamento ser repassada nessa sesso BGP; o filtroAS
sada impede qualquer outro anncio que no seja do prprio AS100 atravs do filtro
implementado pela expressa o regular $, que representa um conjunto composto de um as
path vazio, ou seja, que no possui nenhum nmero de AS entre seu incio, representado pelo
simbolo ^, e seu fim, representado pelo smbolo $.
Esse mesmo vizinho tambm tem um filtro de entrada associado a ele, o filtroASentrada,
que limita o aceite de rotas a:
$: aquelas iniciadas e terminadas no prprio AS100;
Os mapas de rotas so uma das formas mais versteis para a configurao de uma poltica de
roteamento, sendo utilizado quase como um padro para vrios Sistemas Operacionais de
roteadores (CiscoIOS, Quagga, Vyatta, Brocade etc.).
BGP Avanado
Na listagem a seguir est demonstrada uma poltica de roteamento um pouco mais complexa
utilizando mapas de rotas e uso de comunidades BGP. Essa poltica traduz o desejo do
administrador do Sistema Autnomo de utilizar todos os anncios que ele recebe a partir de
um PTT (Ponto de Troca de Trfego) para controlar se ele vai ou no utilizar esse caminho
ensinado pelo seu vizinho para entregar o seu trfego IPv4/IPv6. Seu desejo pode ser
expressado dessa forma:
No aceite receber a rota default por essa vizinhana;
Se para chegar a alguma rede atravs desse vizinho for necessrio passar pela rede da
RNP (AS1916), ento o caminho para essa rede atravs desse vizinho ser
considerado de baixa prioridade. Identifique esse caminho com a comunidade
2716:30 e informe essa marcao quando for repassar essas informaes para os seus
vizinhos iBGP;
Se o destino aprendido por esse vizinho for para uma rota originada na OI
(AS8167), use esse caminho como sendo de alta prioridade e identifique o caminho
com a comunidade 2716:30, repassando essa marcao aos seus vizinhos iBGP;
Para todos os outros destinos que voc aprender por aqui, use esse caminho como
sendo de alta prioridade.
53
40. ELSE IF (as-path atender expresso regular origem-as8167)
THEN configure para essa rota
LOCAL_PREF=500
COMMUNITY=2716:20 e 2716:30
50. ELSE
configure para essa rota
LOCAL_PREF=500
COMMUNITY=2716:30
Por fim, a implementao final em sintaxe similar ao IOS, Quagga e Vyatta, fica semelhante ao
representado no exemplo a seguir, com todos os filtros e definies necessrias para a sua
implementao.
router bgp 2716
network 200.10.0.0/16
neighbor 10.1.1.1 remote-as 300
neighbor 10.1.1.1 route-map PTT-in in
!
route-map PTT-in deny 10
match ip address prefix-list pfx-ROTA-DEFAULT
match ipv6 address prefix-list pfx-ROTA-DEFAULT
route-map PTT-in deny 20
match ip address prefix-list pfx-BGP-BOGUS
match ipv6 address prefix-list pfx-BGP-BOGUS
route-map PTT-in permit 30
match as-path passa-pela-rnp
set local-preference 80
set community 2716:30
route-map PTT-in permit 40
match as-path origem-as8167
set local-preference 500
set community 2716:30 2716:20
route-map PTT-in permit 50
set local-preference 500
set community 2716:30
!
ip as-path access-list passa-pela-rnp seq 5 permit _1916_
ip as-path access-list origem-as8167 seq 5 permit ^8167_
!
ip prefix-list pfx-ROTA-DEFAULT seq 5 permit 0.0.0.0/0
ipv6 prefix-list pfx-ROTA-DEFAULT seq 5 permit ::/0
!
ip prefix-list pfx-BGP-BOGUS seq 5 permit 10.0.0.0/8 ge 9
ip prefix-list pfx-BGP-BOGUS seq 10 permit 127.0.0.0/8 ge 9
ip prefix-list pfx-BGP-BOGUS seq 15 permit 172.16.0.0/12 ge 13
ip prefix-list pfx-BGP-BOGUS seq 20 permit 192.168.0.0/16 ge 17
54
BGP Avanado
BGP Avanado
55
Existe a possibilidade de mltiplos destinos para o mesmo prefixo serem instalados na FIB.
Esta uma funcionalidade que pode ser adicionalmente configurada no BGP. Ela
conhecida como BGP Multipath, e utilizada como uma forma de balanceamento de pacotes
utilizando o protocolo BGP.
O algoritmo de melhor caminho do BGP decide baseado nos vrios atributos das rotas qual o
melhor caminho para instalar a tabela de IP Routing e uslo no encaminhamento de trfego.
O primeiro passo do algoritmo ignorar os prefixos cujo gateway encontrase inalcanvel
para aquele determinado destino. Em suma, no possvel resolver o campo NEXT_HOP,
por aquele IP no constar na tabela IGP do roteador, ou por outro motivo (exemplo:
sincronizao iBGP). Segue o algoritmo mais detalhado dos passos utilizados na seleo de
caminhos no BGP:
1.
2.
3.
56
BGP Avanado
Para manipular o download para os prefixos do meu prprio AS, posso facilmente anunciar
prefixos mais ou menos especficos. Mas como AS de trnsito, no tenho como pedir aos
meus clientes que modifiquem seus anncios caso eu queira usar um link especfico.
O ASPATH Prepend adiciona nmeros extras de AS no AS_PATH das rotas anunciadas para
um determinado vizinho.
Exemplo 1 Inserindo Prepends do MEU AS na sada.
configure terminal
router bgp 65000
no synchronization
bgp log-neighbor-changes
network 10.7.1.0 mask 255.255.255.0
neighbor 10.0.1.2 remote-as 64800
neighbor 10.0.1.6 remote-as 64800
BGP Avanado
57
!
route-map prepend permit 10
set as-path prepend 65000 65000 65000
Verificando as rotas do roteador R2:
R2#show ip bgp
BGP table version is 3, local router ID is 10.2.0.2
Status codes: s suppressed, d damped, h history, * valid, > best, i internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
Next Hop Metric LocPrf Weight Path
*>i10.7.1.0/24 10.0.1.1
0
100
0 65000 i
*
10.0.1.5
0
0 65000 65000 65000 65000
i
Exemplo 2 Inserindo Prepends do AS REMOTO na entrada.
Configurao do roteador R1:
configure terminal
router bgp 64800
no synchronization
bgp log-neighbor-changes
neighbor 10.0.1.1 remote-as
neighbor 10.2.0.2 remote-as
neighbor 10.0.1.1 route-map
exit
!
route-map prependIn permit 10
set as-path prepend last-as
Verificando as rotas do roteador R1:
65000
64800
prependIn in
R1#show ip bgp
BGP table version is 2, local router ID is 10.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
Next Hop Metric LocPrf Weight Path
*> 10.7.1.0/24 10.0.1.1
0
100
0 65000 65000 65000 i
58
BGP Avanado
Uma alternativa manipular o modo que o roteador avalia o caminho de ASs ou manipular o
prprio ASPath. Alguns fabricantes usam o parmetro weight, definido para cada AS, e
calculam o valor total do weight para cada rota.
O modo mais comum de fazer isso inserir (prepending) o seu prprio nmero de AS no
final do caminho uma ou mais vezes. O caminho ento anunciado aos pares BGP externos
assim modificado, o que pode no ser desejvel, de modo que essa tcnica mais apropriada
para redes de usurios finais multihomed, e no para provedores.
O exemplo 1 mostra mapa de rotas que modifica o ASPath em vez do Local Preference. O
comando route map ispbin permit 10 faz o prepend para os caminhos que correspondem
lista de acesso 4 do ASPath, porque eles contm AS 30088.
Ento, o segundo route map ispbin corresponde a todas as demais rotas (sem a necessidade
de uma clusula match ou set), de forma que elas so includas na tabela BGP sem
modificaes.
BGP Avanado
59
Exemplo 1: Prepending o ASPath.
!
ip as-path access-list 4 permit _30088_
ip as-path access-list 4 deny .*
!
route-map ispa-in permit 10
set as-path prepend 60055
!
route-map ispb-in permit 10
match as-path 4
set as-path prepend 60055 60055 60055
i
route-map ispb-in permit 20
Como resultado dessas manipulaes do ASPath, mais trfego fluir pelo ISP B, porque o
caminho por ISP A agora mais longo. Para alguns destinos, entretanto, o caminho mais
longo pelo ISP A pode ainda ser mais curto, ou os caminhos por A e B podem ter o mesmo
comprimento, de modo que o BGP ter de aplicar as regras de desempate para selecionar a
melhor rota.
O exemplo 2 mostra o resultado para uma rota pelo AS 30088. Originalmente a rota pelo ISP
B era mais curta. Mas essa rota tinha seu caminho prepended trs vezes com o nmero do AS
local e a rota pelo ISP A apenas uma vez, de modo que a rota pelo ISP A era a preferida.
Note que a mtrica (MED) da rota pelo ISP A 20, enquanto que a rota pelo ISP B no tem
uma mtrica. O comportamento padro do Cisco IOS tratar a rota sem a mtrica MED, como
se tivesse o valor zero para a MED. Isso pode ser mudado para o comportamento oposto (que
est em conformidade com as recomendaes do IETF) usando o comando bgp bestpath
med missingasworst nas recentes verses do IOS.
No ter a mtrica MED equivale ento ao mais alto (pior) valor possvel, como o comando
sugere. Na minha opinio, o comportamento do IETF faz mais sentido, mas se voc quiser
usar MEDs, uma boa ideia certificarse de que as rotas realmente tm a mtrica MED
definida e no dependem do comportamento padro.
60
BGP Avanado
ip subnet-zero
interface Loopback0
ip address 172.16.2.254 255.255.255.255
interface Ethernet0
ip address 172.16.220.1 255.255.255.0
interface Ethernet1
ip address 172.16.1.1 255.255.255.0
interface Serial0
ip address 172.16.20.2 255.255.255.0
router ospf 10
passive-interface Serial0
network 172.16.0.0 0.0.255.255 area 0
router bgp 3
no synchronization
network 172.16.1.0 mask 255.255.255.0
network 172.16.10.0 mask 255.255.255.0
network 172.16.65.0 mask 255.255.255.192
network 172.16.220.0 mask 255.255.255.0
neighbor 172.16.1.2 remote-as 3
neighbor 172.16.1.2 update-source Loopback0
neighbor 172.16.20.1 remote-as 1
BGP Avanado
61
neighbor 172.16.20.1 filter-list 10 out
no auto-summary
ip classless
ip as-path access-list 10 permit ^$
b) Configurao bsica do roteador RTF.
ip subnet-zero
interface Ethernet0/0
ip address 172.16.10.1 255.255.255.0
interface Ethernet 1/0
ip address 172.16.65.1 255.255.255.192
interface Ethernet1/1
ip address 172.16.1.2 255.255.255.0
interface Serial2/1
ip address 192.68.5.1 255.255.255.0
router ospf 10
network 172.16.0.0 0.0.255.255 area 0
router bgp 3
no synchronization
network 172.16.1.0 mask 255.255.255.0
network 172.16.10.0 mask 255.255.255.0
network 172.16.65.0 mask 255.255.255.192
network 172.16.220.0 mask 255.255.255.0
neighbor 172.16.2.254 remote-as 3
neighbor 172.16.2.254 next-hop-self
neighbor 192.68.5.2 remote-as 2
neighbor 192.68.5.2 filter-list 10 out
no auto-summary
ip classless
ip as-path access-list 10 permit ^$
c) Configurao bsica do roteador RTC.
ip subnet-zero
interface Ethernet0/0
ip address 192.68.11.1 255.255.255.0
interface Ethernet0/1
ip address 192.68.6.2 255.255.255.0
interface Serial2/1
ip address 172.16.20.1 255.255.255.0
router bgp 1
network 192.68.11.0
neighbor 172.16.20.2 remote-as 3
neighbor 192.68.6.1 remote-as 2
no auto-summary
ip classless
62
BGP Avanado
ip subnet-zero
interface Ethernet1/0
ip address 192.68.10.1 255.255.255.0
interface Ethernet1/1
ip address 192.68.6.1 255.255.255.0
interface Serial0/0
ip address 192.68.5.2 255.255.255.0
router bgp 2
network 192.68.10.0
neighbor 192.68.5.1 remote-as 3
neighbor 192.68.6.2 remote-as 1
no auto-summary
ip classless
Assumese que o AS3 um AS no trnsito. por causa disso que o comando filterlist 10
foi aplicado para forar o AS3 a originar somente suas rotas locais. Rotas aprendidas do AS1
ou do AS2 no sero propagadas para fora do AS.
Note tambm que algumas redes, tais como 172.16.10.0/24, so anunciadas via comando
network em ambos os roteadores RTA e RTF. Isso vai garantir que uma falha de enlace
entre AS3 e AS1 ou entre AS3 e AS2 no bloquear os anncios de tais redes.
Analisando a tabela BGP do roteador RTF listada a seguir, podemos ver a informao de
AS_PATH no final de cada linha. A rede 192.68.11.0/24 aprendida via iBGP com AS_PATH
1, e via eBGP com AS_PATH 2 1. Isso significa que, se o roteador RTF quiser alcanar
192.68.11.0/24 via iBGP, ele poderia ir para AS1, e se o roteador RTF quiser alcanar
192.68.11.0/24 via eBGP, ele teria de ir para AS2 e depois AS1.
BGP sempre prefere o caminho mais curto, razo pela qual o caminho via iBGP com AS_PATH
1 o preferido. O caractere > na esquerda da linha indica que dos dois caminhos
disponveis que o BGP tem para 192.68.11.0/24, o BGP prefere o segundo, como sendo o
melhor caminho.
Exemplo da tabela BGP do roteador RTF:
RTF#show ip bgp
BGP table version is 8, local router ID is 192.68.5.1
Status codes: s suppressed, d damped, h history, * valid, > best,
i - internal Origin codes: i - IGP, e - EGP, ? - incomplete
Network
Next Hop
Metric LocPrf Weight Path
* i172.16.1.0/24
172.16.2.254
0
100
0 i
*>
0.0.0.0
0 32768 i
* i172.16.10.0/24 172.16.2.254
20
100
0 i
*>
0.0.0.0 0
32768 i
* i172.16.65.0/26 172.16.2.254
20
100
0 i
BGP Avanado
63
*>
* i172.16.220.0/24
*>
*> 192.68.10.0
* 192.68.11.0
*>i
0.0.0.0 0
172.16.2.254
172.16.1.1
192.68.5.2 0 0
192.68.5.2 0
172.16.20.1 0
0
20
100
100
32768 i
0 i
32768 i
2 i
2 1 i
0 1 i
Analisando a tabela BGP do roteador RTF listada a seguir, voc ver que o roteador RTF pode
agora alcanar 192.68.11.0./24 via NEXT_HOP 192.68.5.2, ou seja, via caminho 2 1. O
roteador RTF vai preferir esse caminho porque mais curto do que o caminho direto via AS1,
o qual tem agora trs ASs includos na informao do caminho (1 1 1).
Tabela BGP do roteador RTF aps a manipulao do AS_PATH:
RTF#show ip bgp
BGP table version is 18, local router ID is 192.68.5.1
Status codes: s suppressed, d damped, h history, * valid, > best,
i - internal Origin codes: i - IGP, e - EGP, ? - incomplete
Network
Next Hop
Metric LocPrf Weight Path
* i172.16.1.0/24
172.16.2.254
0
100
0 i
*>
0.0.0.0 0
32768 i
* i172.16.10.0/24
172.16.2.254
20
100
0 i
*>
0.0.0.0 0
32768 i
* i172.16.65.0/26
172.16.2.254
20
100
0 i
*>
0.0.0.0 0
32768 i
* i172.16.220.0/24 172.16.2.254
0
100
0 i
*>
172.16.1.1
20
32768 i
*> 192.68.10.0
192.68.5.2
0
0 2 i
*> 192.68.11.0
192.68.5.2
0 2 1 i
* i
172.16.20.1
0
100
0 1 1 1 i
64
BGP Avanado
Porque uma rota mais especfica sempre tem precedncia sobre uma rota menos especfica,
essa tcnica sempre funciona, j que essas rotas mais especficas so aceitas pelo seu
provedor (ISP) e um nmero razovel de suas redes upstream (trnsito e peers).
Anncios mais especficos so teis tambm quando outro AS anuncia seus blocos de
endereos (anncios no autorizados), seja por engano ou a seu pedido (embora no mais
necessrio), e voc no quer aguardar que os anncios sejam corrigidos.
65
a 220.37.7.0/24 vem pelo ISP A, e todo o trfego para as redes classe C 220.37.8.0/24 a
220.37.15.0/24 vem pelo ISP B.
A seguir a configurao desse exemplo de anncio de rotas mais especficas.
!
router bgp 60055
network 220.37.0.0 mask 255.255.240.0
network 220.37.0.0 mask 255.255.248.0
network 220.37.8.0 mask 255.255.248.0
neighbor 192.0.254.17 remote-as 40077
neighbor 192.0.254.17 description BGP session to ISP A
neighbor 192.0.254.17 prefix-list ispa-ms out
neighbor 219.2.19.1 remote-as 50066
neighbor 219.2.19.1 description BGP session to ISP B
neighbor 219.2.19.1 prefix-list ispb-ms out
!
ip route 220.37.0.0 255.255.240.0 Null0
ip route 220.37.0.0 255.255.248.0 Null0
ip route 220.37.8.0 255.255.248.0 Null0
!
ip prefix-list ispa-ms description outbound filter for ISP A
ip prefix-list ispa-ms seq 5 permit 220.37.0.0/20
ip prefix-list ispa-ms seq 10 permit 220.37.0.0/21
ip prefix-list ispa-ms seq 15 deny
220.37.8.0/21
ip prefix-list ispb-ms description outbound filter for ISP B
ip prefix-list ispb-ms seq 5 permit 220.37.0.0/20
ip prefix-list ispb-ms seq 10 deny
220.37.0.0/21
ip prefix-list ispb-ms seq 15 permit 220.37.8.0/21
!
Para anunciar as duas rotas mais especficas alm da rota /20 original (como reserva no caso
das mais especficas serem filtradas), cada rota tem de estar listada na configurao BGP com
um comando network, e tem de ter rotas locais (pull up) correspondentes, definidas pelos
comandos ip route... Null0.
As listas de prefixos limitam as rotas anunciadas para o ISP A a 220.37.0.0/20 e
220.37.0.0/21, e aquelas anunciadas para o ISP B a 220.37.0.0/20 e 220.37.8.0/21. Ter duas
rotas com o mesmo endereo parcial no um problema: a NLRI (Network Layer
Reachability Information) consiste de ambos o endereo e o prefixo parcial de uma rota.
Duas rotas so consideradas diferentes se um ou outro diferem.
66
BGP Avanado
A figura 2.6 mostra a propagao de rotas e o exemplo a seguir mostra como essas rotas
devem aparecer na tabela BGP como um AS remoto (no se esquea de registrar os objetos
ROUTE no Routing Registry de sua escolha para as rotas mais especficas).
BR1#show ip bgp
BGP table version is 933017, local router ID is 195.30.2.198
Status codes: s suppressed, d damped, h history, * valid, > best, i internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
Next Hop
[...] Path
*> 220.37.0.0/21 192.0.254.17 [...] 40077 60055 i
*> 220.37.0.0/20 192.0.254.17 [...] 40077 60055 i
*
219.2.19.1
[...] 50066 30077 60055 i
*> 220.37.8.0/21 219.2.19.1
[...] 50066 123 456 60055 i
Como podemos ver, h duas rotas para o /20, mas somente uma nica rota para cada um dos
mais especficos. Tambm o caminho pelo ISP B (AS 50066) para o /20 mais curto o que o
caminho para o /21, aparentemente o AS 30077 filtra as rotas mais especficas e permite
somente o /20 vindo do AS 50066. Mas os ASs 123 e 456 no filtram, de modo que ainda h
uma rota para o /21. E desde que a rota mais especfica, essa a que efetivamente usada,
como mostrada na tabela de rotas para essa rede remota na listagem a seguir.
BGP Avanado
67
BR1#show ip route 220.37.0.0
Routing entry for 220.37.0.0, 3 known subnets
Variably subnetted with 2 masks
B
220.37.0.0/20 [20/0] via 192.0.254.17, 1d12h
B
220.37.0.0/21 [20/0] via 192.0.254.17, 1d12h
B
220.37.8.0/21 [20/0] via 219.2.19.1, 1d16h
Note que a rota 220.37.0.0/20 est realmente na tabela de roteamento, embora ela nunca
ser usada para encaminhamento, j que ambas 220.37.0.0/21 e 220.37.8.0/21 esto
disponveis, porque aquelas cobrem exatamente a mesma faixa de endereos. O B indica
que a rota foi aprendida do BGP, e o 20/0 a distncia administrativa (20, default para
eBGP) e mtrica (0, sem MED).
Nota: quando implantar endereos IP, tente evitar colocar todos os hosts de alto consumo de
banda na mesma subrede ou nas proximidades. Colocar a metade desses hosts no primeiro
/24 e o resto no segundo /24 uma ideia melhor. Se voc precisar anunciar rotas mais
especficas para balancear o trfego entrante, muito mais fcil anunciar dois /21 de um /20
ou anunciar s um /24 separadamente, alm do que normalmente anunciado, em vez de
anunciar rotas muito especficas (prefixos maiores do que /24) ou fazer uma renumerao
dentro do seu espao de endereamento de forma apressada.
Mesmo as mais sofisticadas tcnicas de balanceamento de trfego no o ajudaro quando
existir trfego demais. A melhor maneira de administrar isso seria contratar mais largura de
banda, mas com algumas tcnicas inteligentes de enfileiramento, possvel aumentar o
desempenho para alguns protocolos ou sesses sem prejudicar outros demais.
E um atributo BGP:
NO_ADVERTISE (0xFFFFFF02);
NO_EXPORT_SUBCONFED (0xFFFFFF03);
NOPEER (0xFFFFFF04).
68
BGP Avanado
A comunidade NO_EXPORT diz um roteador que s deve propagar todos os prefixos dessa
comunidade sobre iBGP, e no propaglo com eBGP para sistemas autnomos externas.
!
router bgp 9000
neighbor 10.0.0.1 remote-as 10000
neighbor 10.0.0.1 send-community
!
ip bgp-community new-format
!
BGP Communities
Communities Padro
Communities Numricas
Identificando e tratando rotas de peers especficos
Communities Padro
Uma community um atributo opcional, e sendo assim nada obriga que os fabricantes
implementem no BGP de suas caixas, ou mesmo que um AS replique para seus peers o
BGP Avanado
69
Os modelos mais novos suportam o "novo formato" usualmente utilizado como
ASN:comunity, por exemplo: 28135:110. Porm, h algumas communities padronizadas pela
RFC 1997 e que so padro nos roteadores Cisco:
NOEXPORT;
NOADVERTISE;
NOADVERTISESUBCONFED;
LOCALAS;
INTERNET.
NOEXPORT: por padro, faz o router receptor exportar o prefixo para vizinhos iBGP, mas
no para eBGP. til quando fao anncios mais especficos para a operadora A e menos
especficos para operadora B. Normalmente, a operadora B precisaria passar pela operadora
A para chegar ao prefixo "especfico", mesmo estabelecendo BGP diretamente com meu AS.
Enviando o mesmo bloco especfico, com a community NOEXPORT operadora A, essa
passaria a me alcanar diretamente, ao mesmo tempo em que no exportaria esses prefixos.
NOADVERTISE: por padro, faz o roteador receptor no exportar esse prefixo para nenhum
vizinho, seja ele eBGP ou iBGP.
NOADVERTISESUBCONFED: usada para evitar que o prefixo seja exportado para ASs
confederados.
LOCALAS: usada para evitar que os prefixos marcados sejam exportados para fora do AS ou
confederao, geralmente usado em filtros de entrada.
INTERNET: na prtica, a community padro para anncios externos; o mesmo que no
haver nenhuma.
Communities Numricas
Tambm no h nenhum padro para essas aes (pelo menos nenhum padro RFC).
Entretanto, muitos ASs implementaram padres extremamente criativos e funcionais. O
conhecimento desses padres uma ferramenta chave para resolver rapidamente incidentes
do dia a dia.
Vamos ver nos prximos slides uma srie de communities numricas adotadas por algumas
operadoras.
Mas antes vamos habilitar o suporte ao novo formato...
70
BGP Avanado
Exemplo: recebo prefixos dos meus downstreams e quero inserir uma community 123:123
para controle interno. Utilizando o meio convencional, eu acabaria substituindo uma
eventual community que meu cliente utilizou para interagir com outro AS externo. O que
fazer?
Com o comando "additive", qualquer community existente preservada:
71
Internacional AS:1
Nacional AS:2
Clientes GVT AS:3
Peering AS:4
PTT AS:6
o seu AS, exemplo: 1234:1
Global Crossing
3549:100:
3549:200:
3549:275:
3549:300:
3549:350:
72
set
set
set
set
set
BGP Avanado
local
local
local
local
local
preference
preference
preference
preference
preference
100
200
275
300
350
Peer
Qwest
MCI
Sprint
TeliaSonera
AOL
JPNIC
KDDI
NTT Verio
Tiscali
InfoNet Europe
Swisscom
T-Systems/DTAG
Level 3
Savvis
ChinaNet
OpenTransit
AboveNet
Teleglobe
AT&T (US)
Telemar
BGP Avanado
No Export
8010
8030
8060
8250
8070
8080
8100
8120
8240
8130
8140
8150
8160
8170
8230
8190
8200
8210
8220
8290
Prepend+1
8011
8031
8061
8251
8071
8081
8101
8121
8241
8131
8141
8151
8161
8171
8231
8191
8201
8211
8221
8291
Prepend+2
8012
8032
8062
8252
8072
8082
8102
8122
8242
8132
8142
8152
8162
8172
8232
8192
8202
8212
8222
8292
Prepend+3
8013
8033
8063
8253
8073
8083
8103
8123
8243
8133
8143
8153
8163
8173
8233
8193
8203
8213
8223
8293
73
74
BGP Avanado
3
Boas prticas na operao de um Sistema
Autnomo
Objetivos
Conhecer os requisitos para se tornar um AS; Entender o funcionamento do BGP em IPv4 e
IPv6; Entender o uso de protocolos IGP e EGP no AS; Conhecer Peer Groups e sua utilizao;
Conhecer o uso de loopback e agregao de prefixos no BGP; Entender o uso de filtros em
sesses BGP.
Conceitos
Cuidados gerais
A operao de sistemas autnomos usando BGP na internet exige alguns cuidados para evitar
problemas de segurana ou de performance que podem decorrer de erros na configurao. O
funcionamento do BGP em princpio permissivo, ou seja, tudo permitido, e as boas prticas de
administrao do ambiente BGP demandam restringir o comportamento do BGP, especialmente
em termos dos anncios que sero feitos (interna mente e para AS vizinhos) e aceitos.
O nvel de interao do BGP com seus pares internos em um AS no deve ser o mesmo do que
o usado na interao com pares de AS vizinhos. O bom funcionamento da internet depende
da colaborao das redes que dela participam e colaboram, mas cada rede pode estar sob
uma administrao diferente e ser configurada de forma independente. Por isso, cada
administrador de rede deve tomar cuidado em termos de proteger a rede sob sua
BGP Avanado
75
responsabilidade contra eventuais problemas causados pelas outras redes. Isso conseguido
usando configuraes de BGP apropriadas, entre outros mecanismos (firewalls etc.).
operadores de rede que tem uma poltica de roteamento externa nica e claramente
definida.
Um Sistema Autnomo (AS) um grupo de redes IP, operadas por um ou mais operadores de
rede que tm uma poltica de roteamento externo nica e claramente definida. Protocolos de
roteamento externo so usados para trocar informaes de roteamento entre sistemas
autnomos.
Se uma rede se conecta a mais de um AS com polticas de roteamento diferentes, ela deve
tornarse por sua vez um AS. Alguns exemplos comuns de sistemas autnomos so redes
conectadas a dois ou mais prestadores de servios ou a pontos de troca de trfego e redes
pares (peer networks) atravs de pontos de troca de trfego (IXP Internet Exchange
Points).
76
BGP Avanado
Uma organizao elegvel para tornarse um AS e receber um nmero AS se
multihomed (conectada a mais de um AS)
Para ser multihomed Internet usando BGP, uma rede deve ter seu prprio intervalo de
endereos IP pblicos e um nmero de Sistema Autnomo (AS)
No exemplo seguinte, temos a situao de uma rede multihomed, que est ligada a dois provedores
de servio internet (ISP). Essa situao demanda uma configurao especial do BGP.
Para ser multihomed internet usando BGP, uma rede deve ter seu prprio intervalo de
endereos IP pblicos e um nmero de Sistema Autnomo (AS). O encaminhamento sobre
essas conexes normalmente controlado por um roteador com BGP, o qual est ligado aos
dois ISP, tal como o roteador A da figura anterior.
Supondo que a rede esteja usando em condies normais a conexo com o ISP1 e tenha a
outra apenas como backup, se a ligao de sada at o ISP1 tornarse inoperante, o trfego de
sada ser automaticamente encaminhado atravs da ligao com o ISP2. Mais importante
ainda, outras redes sero notificadas, por meio de atualizaes BGP das rotas de rede
BGP Avanado
77
multihomed (com hospedagem mltipla), da necessidade de rotear trfego de entrada
atravs de outro ISP.
Um aspecto a considerar nesse caso que as duas conexes aos ISP compartilham um
mesmo roteador, e isso vai formar um ponto nico de falha e reduzir a confiabilidade
pretendida com o multihoming.
Ele se baseia nos protocolos de roteamento padro, como Routing Information Protocol
(RIP), RIPv2, Enhanced Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First
(OSPF) e Interior Gateway Routing Protocol (IGRP), ou derivado de rotas configuradas
estatisticamente. Ele permite que um roteador use vrios caminhos para um destino no
encaminhamento de pacotes. Quando um roteador conhece vrias rotas para uma rede
especfica por vrios processos de roteamento (ou protocolos de roteamento, como RIP,
RIPv2, IGRP, EIGRP e OSPF), ele instala a rota com menor distncia administrativa na tabela
de roteamento. s vezes, o roteador deve selecionar uma rota entre muitas aprendidas,
atravs do mesmo processo de roteamento, com a mesma distncia administrativa. Nesse
caso, o roteador escolhe o caminho com o menor custo (ou mtrica) para o destino. Cada
processo de roteamento calcula seu custo de forma diferente e pode ser necessrio ajustar os
custos para atingir um balanceamento de carga.
Se o roteador receber e instalar mltiplos caminhos com a mesma distncia administrativa e
custo para um destino, pode ocorrer balanceamento de carga. O nmero de caminhos usados
limitado pelo nmero de entradas que o protocolo de roteamento coloca na tabela de
roteamento. Quatro entradas o procedimento padro no IOS para a maioria dos protocolos
de roteamento, com exceo do Border Gateway Protocol (BGP), onde uma entrada o
padro.
Os roteadores BGP (Border Gateway Protocol) normalmente recebem vrios caminhos para
o mesmo destino. O algoritmo de melhor caminho BGP decide qual o melhor caminho para
instalar a tabela de IP Routing para encaminhamento de trfego. Os parmetros
considerados nessa seleo envolvem configuraes de atributos como WEIGHT,
LOCAL_PREF etc.
Detalhes do Algoritmo de Seleo de Caminho do Melhor BGP no ambiente Cisco IOS podem
ser encontrados em
http://www.cisco.com/cisco/web/support/BR/8/84/84100_25.html.
Um nmero privado AS deve ser usado se um AS precisa se comunicar via Border Gateway
Protocol apenas com um nico provedor. Como a poltica de encaminhamento entre o AS e o
provedor no ser visvel na internet, um nmero de AS privado pode ser utilizado para esse
fim. A IANA reservou os nmeros de AS 64512 at AS 65535 para serem usados como
nmeros privados.
78
BGP Avanado
BGP um protocolo anterior ao IPv6. At o BGP4, a verso que ainda usada antecede IPv6.
O primeiro BGP4 (RFC 1654) foi publicado em julho de 1994, enquanto a RFC 1883, com a
definio do primeiro IPv6, foi publicado em dezembro de 1995. E, ao contrrio protocolos
como RIP e OSPF, que tm verses separadas para IPv4 e IPv6, h apenas um BGP, o BGP4,
que manipula tanto IPv4 como IPv6, alm de VPNs, MPLS etc.
Algumas estratgias so necessrias para permitir o transporte das informaes de
roteamento de protocolos que ainda no haviam sido definidos quando o BGP foi
estabelecido. Isso envolve o uso de extenses multiprotocolo, que transformam o BGP4
normal em BGP multiprotocolo (MPBGP), embora essa designao seja raramente usada
atualmente. As extenses multiprotocolo, originalmente publicadas como RFC 2283 em
1998, usam uma codificao especial para permitir que BGP4 para trabalhar com uma
ampla gama de "famlia de endereos".
Normalmente, uma famlia de endereo identifica um protocolo de rede, mas tambm h AFI
(identificador de famlia de endereos) nmeros alocados fora dos nomes no DNS, que no
so mapeadas diretamente a um protocolo de rede. Alm do AFI, MPBGP tambm utiliza um
Subsequent Address Family Identifier (SAFI), que indica o uso de roteamento normal unicast,
multicast, distribuindo informao VPB etc. Por exemplo, AFI 1 com SAFI 2 significa BGP
portando informao de multicast IPv4, e AFI 2 com SAFI 1 especifica informao de
roteamento unicast IPv6.
Informaes de roteamento IPv6 so trocadas usando IPv4 ou informaes de
roteamento IPv4 so trocadas atravs do IPv6
Boa prtica trocar apenas prefixos IPv4 atravs de uma sesso de BGP externo (eBGP)
usando IPv4 e, de forma anloga, trocar apenas prefixos IPv6 atravs de uma sesso
IPv6 eBGP
BGP Avanado
79
Roteadores BGP que suportam IPv6 permitem que as sesses BGP sejam estabelecidas
usando endereos IPv6. Anunciadores MPBGP informam aos seus vizinhos na mensagem de
OPEN no incio de uma sesso BGP quais combinaes AFI + SAFI desejam usar. Isso pode
levar a uma situao em que informaes de roteamento IPv6 so trocadas usando e IPv4 ou
que informaes de roteamento IPv4 so trocadas atravs do IPv6. Em princpio, no h
nada de errado com isso, mas leva a uma complicao: como que o roteador sabe o
endereo IPv6 do roteador seguinte (next hop) para incluir em suas atualizaes enviadas
para um vizinho IPv4? Para evitar essa situao, considerada uma boa prtica trocar
apenas prefixos IPv4 atravs de uma sesso de BGP externo (eBGP) usando IPv4 e, de forma
anloga, trocar apenas prefixos IPv6 atravs de uma sesso IPv6 eBGP.
No entanto, no caso de BGP interno (iBGP) que no atualiza o endereo de next hop, no h
problemas de troca de prefixos IPv4 e IPv6 sobre a mesma sesso iBGP. Assim, a maioria das
redes usa as sesses IPv4 iBGP existentes para a troca de prefixos IPv6 em vez de criar um
novo conjunto de sesses IPv6 iBGP. A nica desvantagem dessa abordagem que, se ento
algo de ruim acontece com IPv4, as sesses IPv4 iBGP caem e as conexes IPv6 tambm
seriam afetadas. Se IPv6 tivesse suas prprias sesses iBGP, poderia ter continuado a operar,
independentemente do IPv4.
Boas prticas:
O protocolo BGP pode ser usado internamente (iBGP) e externamente (eBGP). No caso de seu
uso como iBGP, o protocolo servir para transportar prefixos interno e da internet no
backbone. Quando usado como eBGP, o protocolo opera intercambiando prefixos com os
outros AS e para implementar a poltica de roteamento.
80
BGP Avanado
EBGP usado para anunciar agregados para internet e para engenharia de trfego.
O Relatrio CIDR: iniciado e operado por muitos anos por Tony Bates e agora,
combinado com a anlise de roteamento de Geoff Huston e disponvel em
http://www.cidrreport.org. Esse relatrio cobre tabelas IPv4 e IPv6 BGP. Os
resultados so enviados por email, semanalmente, para a maioria das listas de
operaes ao redor do mundo. Esse relatrio lista os 30 principais prestadores de
servios que poderiam fazer melhor na agregao;
BGP Avanado
81
Status Summary
Table History
Date Prefixes CIDR
Aggregated
82
BGP Avanado
ASN
9829
39613
17974
Prefixes
UPDs/
Prefix
UPDs
406163
11.73%
2544
159.66
BSNLNIBNationalInternetBackbone,IN
149171
4.31%
31
4811.97
MELTMELTlimitedliabilitycompany,RU
41735
1.21%
2913
14.33
TELKOMNETAS2APPTTelekomunikasi
Indonesia,ID
ASNAME
8452
16586
37457
45814
45899
13118
10
134438
36751
1.06%
2288
16.06
34079
0.98%
248
137.42
28443
0.82%
943
30.16
28233
0.82%
159
177.57
27843
0.80%
1704
16.34
24344
0.70%
97
250.97
21345
0.62%
21345.00
TEASTEAS,EG
CLEARWIRECLEARWIRELESSLLC,US
TelkomInternet,ZA
FARIYAPKFariyaNetworksPvt.Ltd.,PK
VNPTASVNVNPTCorp,VN
ASNYARTELECOMPJSCRostelecom,RU
AIRAAIFULASAPAira&AifulPublicCompany
Limited,TH
11
24560
20757
0.60%
1387
14.97
AIRTELBROADBANDASAPBhartiAirtelLtd.,
TelemediaServices,IN
12
39891
13
4787
19944
0.58%
2515
7.93
19823
0.57%
445
44.55
ALJAWWALSTCASSaudiTelecomCompanyJSC,SA
ASNCBNPTCyberindoAditama,ID
BGP Avanado
83
Peer Groups
originate, que tratado em diferentemente para cada par mesmo para os membros do
grupo de pares;
Um grupo de pares deve ser interna, com membros BGP interno (iBGP) ou externo,
Normalmente, pares BGP em um roteador podem ser agrupados em grupos de pares com
base em suas polticas de atualizao de sada.
Uma lista de grupos de pares usados comumente pelos ISPs esto listados a seguir:
Grupo de pares normal iBGP para pares normais iBGP;
Grupo de pares cliente iBGP para pares de reflexo pares em um roteador de reflexo;
Rotas completas eBGP para pares que recebem rotas completas internet;
Rotasclientes eBGP para parescom vistas a receber apenas as rotas de clientes diretos
do ISP.
84
BGP Avanado
Um roteador BGP precisa estabelecer uma conexo (na porta TCP 179) para cada um de
seus pares BGP antes que as atualizaes BGP possam ser trocadas
A sesso BGP entre dois pares BGP dita ser uma sesso externa BGP (eBGP) se os
pares BGP esto em diferentes sistemas autnomos (AS).
Uma sesso BGP entre dois pares BGP dita ser uma sesso BGP interna (iBGP) se os
pares BGP esto nos mesmos sistemas autnomos.
operacional, incluindo a interface de loopback, pode ser especificada para ser usada no
estabelecimento de conexes TCP.
Este mtodo de troca de trfego atravs de uma interface de loopback til uma vez que
no vai derrubar a sesso BGP quando existem vrios caminhos entre os pares BGP, e a
interface fsica usada para estabelecer a sesso cair .
Alm disso, ele tambm permite que os roteadores que executam BGP com vrias
ligaes entre eles, possam equilibrar a carga sobre os caminhos disponveis.
BGP Avanado
85
R1
R2
!--- configure as
interfaces.
interface Ethernet0
ip address 10.10.10.1
255.255.255.0
!
interface Loopback0
ip address 10.10.254.254
255.255.255.255
!
!--- Habilita roteamento
BGP para o AS100.
!--- configure a sesso
TCP com origem e destino
na Lo0
router bgp 100
neighbor 10.20.254.254
remote-as 100
neighbor 10.20.254.254
description iBGP com R2
neighbor 10.20.254.254
update-source loopback0
end
!--- configure as
interfaces.
interface Ethernet0
ip address 10.10.10.2
255.255.255.0
!
interface Loopback0
ip address 10.20.254.254
255.255.255.255
!
!--- Habilita roteamento BGP
para o AS100.
!--- configure a sesso TCP
com origem e destino na Lo0
router bgp 100
neighbor 10.10.254.254
remote-as 100
neighbor 10.10.254.254
description iBGP com R1
neighbor 10.10.254.254
update-source loopback0
end
Para que a sesso TCP entre as duas loopbacks funcione adequadamente, necessrio que
exista um protocolo IGP transportando as informaes das redes de infraestrutura (enlaces
de backbone e interfaces de LoopBack). Um teste que pode ser realizado para validar o
roteamento IGP um PING destinado a interface de LoopBack de um roteador com origem
na interface de loopback de outro.
86
BGP Avanado
Desafortunadamente uma quantidade demasiadamente alta de pessoas ainda pensa em
termos de classes C de endereos o que resulta numa proliferao de /24s na tabela de
roteamento Internet; o mesmo est acontecendo com /48s no IPv6
Bloco de endereamento agregado 101.10.0.0/19:
router
bgp 64511
clientes do AS
bgp 64511
out
0.0.0.0/0 le 32
Registradores publicam seu tamanho mnimo de alocao. Qualquer coisa de um /20 a /22
depende do RIR, e pode haver diferentes tamanhos para diferentes blocos de endereo.
No h uma razo real para usar qualquer coisa mais longa do que um prefixo /22 na
internet, mas ocorre (em junho de 2012 havia mais de 216000 /24s). APNIC mudou em
outubro de 2010 seu tamanho mnimo de alocao em todos os blocos para /24. O
esgotamento do IPv4 comea a impactar.
BGP Avanado
87
Exemplo de agregao 1 Mau exemplo:
Nesse exemplo, o cliente tem uma rede /23 de um bloco de endereos /19 do AS100.
O AS100 anuncia as redes individuais dos clientes para a internet, o que ocasionaria a
seguinte situao:
Se o link do cliente cai:
88
BGP Avanado
89
agregadas para minimizar o nmero de rotas que so utilizadas e reduzir o tamanho das
tabelas de roteamento globais.
mais especfico que mais preciso, mas no necessrio para encaminhar pacotes para
seus destinos
O recurso Injection BGP Route Conditional permite originar um prefixo em uma tabela
de roteamento BGP sem o casamento correspondente.
O recurso Injection BGP Route Conditional permite originar um prefixo em uma tabela de
roteamento BGP sem o casamento correspondente. Esse recurso permite que rotas mais
especficas sejam geradas com base na poltica de administrao ou de informaes de
engenharia de trfego, a fim de fornecer controle mais especfico sobre o encaminhamento
de pacotes para essas rotas mais especficas, que so injetadas na tabela de roteamento BGP
se as condies de configurao forem atingidas.
O recurso Injection BGP Route Conditional uma extenso do protocolo BGP.
90
BGP Avanado
Command
Purpose
BGP Avanado
91
Step 9 Router(configroutemap)# set ip
address prefixlist
ORIGINATED_ROUTES
92
BGP Avanado
Nmeros privados sistema autnomo (AS), que variam de 64512 a 65535 so usados
para conservar nmeros de uso global.
clculo da melhor rota feita a nvel de BGP pressupe que cada nmero de AS seja nico.
Assim, o primeiro cuidado na configurao do BGP assegurar que os nmeros de AS
Este comando deve ser usado para vizinhos BGP externos e ser aplicado em AS_PATH
que contenham apenas nmeros de AS privados.
Configurando sem usar filtros significa que todas as melhores rotas so passadas para o
vizinho e todas as rotas anunciadas pelo vizinho so recebidas pelo roteador local.
Existem maneiras de filtrar o anncio de uma ou mais redes de um par BGP, incluindo
Network Layer Reachability Information (NLRI), AS_PATH e atributos Comunidade.
Para restringir informaes de roteamento que o roteador aprende ou anuncia,
possvel usar filtros com base nas atualizaes de roteamento.
Os filtros consistem em uma lista de acesso ou uma lista de prefixo, que aplicado s
atualizaes (UPDATES) de vizinhos e para vizinhos.
BGP Avanado
93
Listas de prefixo IOS funcionam como listas de acesso para anncios de rota (prefixos).
Enquanto listas de acesso estendidas possam ser utilizadas para comparar anncios de
prefixo, listas prefixo so geralmente uma forma mais elegante de fazer isso. Listas de prefixo
funcionam de forma semelhante de listas de acesso; uma lista de prefixo contm um ou
mais entradas ordenadas que so processados sequencialmente. A avaliao de uma lista de
prefixo termina assim que for encontrada uma correspondncia (match).
Suponha que algum deseja evitar que uma rota para 10.0.0.0/24 seja distribuda de
OSPF para BGP.
Uma maneira de fazer isto seria definir uma ACL (Access Control List) estendida
Esta configurao evita que o prefixo 10.0.0.0/24 seja anunciado proibindo a rede
10.0.0.0 (endereo originador) com uma mscara de 255.255.255.0 (endereo de
destino). Todos os outros prefixos so permitidos pelo comando permit ip any any.
Suponha que algum deseja evitar que uma rota para 10.0.0.0/24 seja distribuda de OSPF
para BGP. Uma maneira de conseguir isso envolveria definir uma ACL (Access Control List)
estendida combinando esse prefixo e referencila no mapa de redistribuio de rotas BGP:
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
!
router bgp 65100
no synchronization
bgp router-id 2.2.2.2
bgp log-neighbor-changes
redistribute ospf 1 route-map OSPF->BGP
neighbor 172.16.23.3 remote-as 65100
no auto-summary
!
ip access-list extended OSPF_Redist
deny
ip host 10.0.0.0 host 255.255.255.0
permit ip any any
!
route-map OSPF->BGP permit 10
match ip address OSPF_Redist
Essa configurao evita que o prefixo 10.0.0.0/24 seja anunciado proibindo a rede 10.0.0.0
(endereo originador) com uma mscara de 255.255.255.0 (endereo de destino). Todos os
outros prefixos so permitidos pelo comando permit ip any any.
Isso poderia tambm ser feito usando uma lista de prefixos tal como no exemplo seguinte
94
BGP Avanado
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
!
router bgp 65100
no synchronization
bgp router-id 2.2.2.2
bgp log-neighbor-changes
redistribute ospf 1 route-map OSPF->BGP
neighbor 172.16.23.3 remote-as 65100
no auto-summary
!
ip prefix-list OSPF_Redist seq 5 deny 10.0.0.0/24
ip prefix-list OSPF_Redist seq 10 permit 0.0.0.0/0 le 32
!
route-map OSPF->BGP permit 10
match ip address prefix-list OSPF_Redist
Nesta situao foram definidas duas listas de prefixos que cumprem a mesma funo
das duas listas de acesso do exemplo anterior.
A segunda lista de prefixos usa um adendo opcional (parmetro) na definio de uma lista
que le (lower or equal) ou ge (greater or equal). Sem esses adendos a comparao teria de
ser exata. Com o parmetro le a definio da lista passa a contemplar um conjunto maior de
prefixos. Por exemplo, 10.0.0.0/24 le 30 representa prefixos 10.0.0.0/24 e todos os prefixos
ali contidos com um comprimento de 30 ou menos. Podemos usar le para criar uma
referncia que vale como qualquer prefixo 0.0.0.0 le 32 a qual incluiria qualquer prefixo com
comprimento entre 0 e 32 bits (contempla todos os prefixos IPv4).
No caso do parmetro ge, especificado um comprimento mximo. Por exemplo, uma
especificao 10.0.0.0/8 ge 16 significa que inclui os endereos na rede 10.0.0.0/8 que
tenham ao menos 16 bits de comprimento.
Boas prticas na configurao do BGP recomendam que cada vizinho eBGP tenha filtros
de ingresso e sada tal como no exemplo seguinte:
router bgp
64511
as64510-in in
95
Formas de ataque
Alm destes, erros involuntrios (ou aes no maliciosas) entre os pares BGP podem
ter um impacto negativo nos processos do BGP de um roteador
Existem diversas formas de ataque ao BGP, contra os quais preciso estabelecer proteo.
Dado que o protocolo BGP usa TCP como camada de transporte, susceptvel s mesmas
ameaas contra o TCP e deve receber o mesmo tipo de proteo.
Alm disso, uma vez que BGP como a aplicao vulnervel a diversas ameaas, os
administradores devem mitigar o risco e impacto potencial de tentativas associados
explorao das vulnerabilidades. Algumas das ameaas incluem o seguinte:
BGP Route Manipulation: esse cenrio ocorre quando um dispositivo hostil manipula o
contedo da tabela de roteamento BGP, que pode, entre outros impactos, impedir o
trfego de chegar ao seu destino previsto, sem aviso ou notificao;
BGP route hijacking: esse cenrio ocorre quando um BGP par forjado maliciosamente
anuncia prefixos de uma vtima em um esforo para redirecionar parte ou todo o trfego
para si prprio para fins indesejveis (por exemplo, para visualizar o contedo de
trfego que o router de outra forma no seria capaz de ler);
BGP Denial of Service (DoS): esse cenrio ocorre quando um host malicioso envia o
trfego BGP inesperado ou indesejvel para uma vtima em uma tentativa de ocupar
todos os recursos BGP ou de CPU disponveis, o que resulta em uma falta de recursos
para o processamento vlido do trfego BGP.
Alm desses erros involuntrios (ou aes no maliciosas) entre os pares, BGP podem ter um
impacto negativo nos processos do BGP de um roteador. Por isso, as tcnicas de segurana
devem ser aplicadas para minimizar impactos desses tipos de eventos tambm.
Anncio de rotas indesejadas, por erro de configurao.
Limitao no nmero mximo de prefixos que podem ser aceitos dos pares vizinhos
pode ser usada para prevenir exausto de CPU ou de memria
BGP Avanado
Uma limitao no nmero mximo de prefixos que podem ser aceitos dos pares vizinhos
pode ser usada para prevenir exausto de CPU ou de memria. Quando esse limite definido,
a relao entre pares vizinho encerrada quando um nmero de prefixos recebidos excede o
limite mximo configurado. Uma alternativa seria emitir um alerta, em lugar de cancelar a
relao para no causar problemas de interrupo de servio. Embora essa funcionalidade
seja usualmente utilizada para pares BGP externos, pode tambm ser usada com os pares
BGP internos.
Threshold Value percentual em que passa a ser gerada uma mensagem de aviso
(varia entre 1100%)
Warningonly uma mensagem de aviso para o syslog que ser gerada quando o limite
de prefixos excedido (neste caso a conexo BGP no vai ser encerrada)
neighbor 192.0.2.2 maximum-prefix 5 70 restart 30
Para poder configurar esse limite apropriadamente, o valor normal do mximo de rotas
recebidas deve ser conhecido e entendido. O limite a ser configurado deve ser um pouco
maior do que esse mximo usual.
Threshold Value: percentual em que passa a ser gerada uma mensagem de aviso (varia
entre 1100%);
Restart Interval: quantidade de tempo em minutos (entre 165535) aps a qual a ligao
BGP terminada ser uma reiniciada;
Warningonly: uma mensagem de aviso para o syslog que ser gerada quando o limite de
prefixos excedido (nesse caso a conexo BGP no vai ser encerrada).
No exemplo seguinte o limite mximo de prefixo ser definido um limite de cinco prefixos a
serem recebidos a partir de pares BGP em 192.0.2.2. Quando quatro prefixos forem
recebidos (mais de 70 por cento de cinco), ser emitida uma mensagem de aviso. Uma vez
que o limite de cinco prefixos tenha sido alcanado, a sesso BGP ser terminada e reiniciada
em 30 minutos.
Essa configurao no requer simetria do par BGP uma vez que ela se aplica apenas ao
roteador em que for definida.
BGP Avanado
97
TTL no eBGP
Outro cenrio possvel de ataque o de Denial os Service (DoS) e, para mitiglo, uma das
estratgias passa pelo uso do BGP Time To Live (TTL), que projetado para proteger o
processo de BGP desses tipos de ataques que visam consumir CPU e pode tambm envolver
tentativas de manipulao da rota. Isso especialmente importante para as sesses BGP
externas (eBGP), estabelecidas por exemplo entre uma empresa e um provedor de servios.
Dado que a ligao entre os dois AS contgua, por default, o TTL do IP definido como 1
para todas as sesses com vizinhos. Mas um atacante poderia estar distante e falsificar
pacotes enviados para um dado BGP (por exemplo, pacotes TCP SYN para a porta BGP para
sobrecarregla).
Mitigao de DoS pelo uso do BGP Time To Live (TTL)
neighbor 192.0.2.2 ttl-security hops 1
Visando minimizar esses problemas, foi criado um mecanismo de autenticao mtua para
os pares das sesses BGP, utilizando uma autenticao MD5 (RFC 5225), ou seja, uma senha
compartilhada (share secret). Essa assinatura MD5 no protocolo TCP uma opo do TCP
que autentica cada um dos segmentos TCP, incluindo seus cabealhos IPv4, TCP e contedo
de dados. Esse encapsulamento protege o protocolo BGP de eventuais segmentos TCP
forjados, aumentando a robustez da prpria conexo TCP utilizada pela sesso BGP.
98
Mais informaes sobre o tipo de ataque usado contra o protocolo BGP podem ser obtidos
em: Wang, X., H. Yu, How to break MD5 and other hash functions, Proc. IACR Eurocrypt
2005, Denmark, das pginas 19 a 35.
BGP Avanado
Mecanismo de autenticao de vizinhos baseado em MD5
Garantir que apenas os pares autorizados possam estabelecer a relao vizinho BGP, e
que as informaes trocadas entre estes dois dispositivos no tenham sido alteradas
em rota.
O processo de autenticao BGP vizinho uma tcnica simtrica e deve ser ativado nos
dois lados da sesso.
Se surgirem na Internet pblica, estes pacotes no podem ter a origem que declaram e
no podem ser entregues ou encaminhados como reivindicado.
99
caminho a que se destina. Listas de prefixos devem ser aplicadas a cada par BGP em ambas
as direes de entrada e sada.
Pacotes de Marte
Listas de prefixo podem ser configuradas para permitir especificamente apenas aqueles
prefixos que so permitidos pela poltica de roteamento de uma rede, o que um exemplo de
filtragem baseada em whitelist. Se essa configurao no vivel devido ao grande nmero
de prefixos que so recebidos, uma lista de prefixo pode ser configurada para bloquear
especificamente prefixos indesejveis (tcnica conhecida como filtragem por blacklist). Esses
prefixos deveriam incluir o espao de endereos IP no alocados e as redes que esto
reservadas pela RFC 3330, tais como de uso interno ou para teste.
Listas de prefixo de sada deveriam ser configuradas para permitir especificamente apenas
os prefixos que a organizao pretende anunciar. Pela mesma razo, as boas prticas
recomendam que as listas de controle de acesso (ACLs) reneguem pacotes que usam
endereamento especial e pacotes que so provenientes de endereos pertencentes ao
espao de espao de endereo IP da empresa.
Listas de entrada e sada de prefixo previnem explicita ou implicitamente o recebimento e
transmisso de endereos IP que so referenciados pelos seguintes RFCs:
RFC 3330, que define o uso especial endereos que pode exigir filtragem.
Uso de Dampening
Route Dampening uma maneira de suprimir oscilao de rotas para que elas sejam
"suprimidas" em vez de ser anunciadas.
Uma rede instvel pode causar oscilao de rotas BGP, o que pode causar a necessidade
nos outros roteadores BGP de reconvergirem constantemente.
Como boa prtica a maioria dos ISPs usa amortecimento de rotas (route dampening)
regularmente.
100
BGP Avanado
Route Dampening uma maneira de suprimir oscilao de rotas para que elas sejam
"suprimidas", em vez de serem anunciadas. Uma rede instvel pode causar oscilao de rotas
BGP, o que pode causar a necessidade nos outros roteadores BGP de reconvergirem
constantemente. Isso desperdia ciclos de CPU valiosos e pode causar problemas graves na
rede. Como boa prtica, a maioria dos ISPs usar amortecimento de rotas (route dampening)
regularmente.
Conceitos usados em dampening
Pena
Suppress limit
Reuse limit
Pena: um valor numrico incrementado que atribudo a uma rota cada vez que ela
oscila. A rota penalizada quando oscilar 1.000 vezes. Consideramos que a rota
oscilou quando for recebido um comando de WITHDRAW e a seguir UPDATE para
a rota.
Half life time: um valor numrico configurvel que descreve a quantidade de tempo
que deve decorrer para reduzir a penalidade por metade. O valor padro 15
minutos, mas pode variar de 1 minuto a at 45 minutos;
Suppres limit: um valor numrico que comparado com a pena. Se a pena maior do
que o limite de suprimir, a rota suprimida. O padro 2.000, mas pode variar de 1 a
20.000;
Reuse limite: um valor numrico configurvel que comparado com a pena. Se a pena
for inferior ao limite de reutilizao, uma rota suprimida que est com valor de pena
maior deixar de ser suprimida. O valor padro 750, mas pode variar de 1 a 20.000;
Max suppress limit: a maior quantidade de tempo que uma rota possa ser
suprimida. O padro 4 vezes o tempo de meia vida, mas pode variar de 1 a 255;
Suppressed route: uma rota que no anunciada, mesmo que esteja operante. A rota
suprimida se a pena maior do que o limite de suprimir;
History entry: uma entrada usada para armazenar informaes de oscilao. Para
efeitos de monitorao e clculo do nvel de oscilao de uma rota, importante
armazenar informaes de oscilao no roteador. Quando a rota estabiliza, a entrada
do histrico se tornar intil e ser apagada a partir do roteador.
BGP Avanado
101
Nas diversas relaes de peering, normal que cada uma das partes implemente algum
mecanismo de proteo para evitar problemas de segurana, geralmente relacionado com
algum prefixo BGP erroneamente divulgado na internet. Por esse motivo, normalmente
uma boa prtica que ambos os lados da sesso BGP estabeleam seu prprios mecanismos de
proteo, criando o que conhecido na rea de segurana como uma estratgia de defesa em
profundidade, ou seja, ambos os lados tm proteo quando ao que enviado e o que
esperado receber de cada peer, criando uma linha de defesa em dois nveis de profundidade.
Em uma relao com clientes, relativamente normal que o item segurana seja tomado
como baixa prioridade em detrimento a realmente ter a rede do cliente divulgada na internet
e totalmente operacional. Entretanto, casos como a falha que sequestrou o trfego do Google
na frica (Google prefix hijacking1) trouxeram um foco adicional para os mecanismos de
proteo relativos sesso BGP que os provedores de acesso possuem com seus clientes e as
responsabilidades legais dos grandes provedores em relaes a seus clientes. Esse tipo de
ao tem se tornado de suma importncia quando falamos de casos como cyber guerra e o
uso da internet como meio de vigilncia e mesmo de censura por parte de governos.
Dessa forma, uma prtica altamente recomendada que os provedores de acesso realizem
sempre uma validao dobrada do que , ou deve ser, anunciado via BGP para cada um dos seus
clientes. Uma boa politica o estabelecimento de um procedimento que em geral implica em um
atraso na divulgao de prefixos de rede de clientes por seus provedores. Esse costuma ser o
motivo pelo qual alguns provedores solicitam prazos de 24 horas at 15 dias para a divulgao de
prefixos de clientes na internet. A burocracia , em alguns casos, algo intencional.
1 T. Wan and P. C. van Oorschot, Analysis of BGP Prefix Origins During Googles May 2005
102
BGP Avanado
Em geral, os itens a serem especificados no Acordo BGP entre o provedor e o cliente so:
Esses dados sero validados pelo ISP para verificar se o cliente realmente responde pelo ASN
e blocos CIDR que solicitou que sejam divulgados na internet via formulrio de acordo BGP.
Normalmente, os dados so validados junto ao RIR (Regional Internet Registry) via sistema
WHOIS ou equivalente. Em geral, um filtro de entrada para a sesso BGP do cliente criado
via ROUTEMAP ou FILTERLIST e PREFIXLIST, para realizar a validao do que o cliente
anuncia, como na listagem a seguir:
Caso o cliente tente anunciar algo diferente do que preencheu no seu acordo de trfego BGP,
normalmente o processo das operadoras solicita que o cliente reenvie seu acordo. Um email
em geral serve como um processo de validao nesses casos.
Outro ponto igualmente importante relativo ao que o cliente quer receber e como quer que
seus prefixos sejam divulgados:
Dados de roteamento: Que rotas o cliente deseja receber:
Roteamento completo (fullrouting);
Roteamento parcial;
Rota default.
BGP Avanado
103
Em geral, o provedor oferece a possibilidade de o cliente receber o roteamento completo
(fullrouting), se ele quer ou no receber uma rota default lembrando que se temos um full
routing e criamos um DFN (Default Free Zone), a rota default indesejada. Ou um
roteamento parcial. No caso de roteamento parcial, em geral o provedor de acesso oferece ao
cliente vrias possibilidades, como alguns provedores do Brasil:
Os prprios blocos do ISP;
Outro ponto relevante relativo alcanabilidade que o cliente pretende possuir atravs da
rede do seu ISP. A princpio pode parecer estranho, mas em muitos casos um determinado
ISP contratado como trnsito somente para um determinado tipo de cliente, e no para
toda a internet. Esse um caso comum para clientes que possuem restries de segurana ou
possuem muitos provedores de acesso. Em geral, a escolha provida pelos ISPs gira em torno
de anunciar o prefixo dos seus clientes para:
Toda a internet;
Em geral, para onde sero anunciados os prefixos algo mais dinmico realizado por
comunidades, mas alguns provedores o fazem de forma esttica. O objetivo de tal abordagem
a contratao de um determinado provedor de acesso para somente atender determinado
tipo de trfego, por exemplo: contratar a OI somente para atender aos seus clientes. Dessa
forma, pode se extrair o melhor de cada um dos provedores de acesso contratados, segundo
o que se conhece das peculiaridades da sua rede, como capacidade de acesso internacional,
banda disponvel aos pontos de troca de trfego, banda disponvel na Amrica Latina ou
outro caso especfico. Um uso comum para esse tipo de soluo para clientes que em algum
momento precisam restringir seu acesso somente ao pas onde se encontram ou a
determinada classe de clientes, em geral alguns que tenham alta probabilidade de ataques
em larga escala e que precisem de solues rpidas, como o caso de instituies que
recebem o Imposto de Renda de seus cidados, onde podemos supor que 99% deles se
encontram no pas, e a sua probabilidade de receber ataques internacionais de 80%,
104
BGP Avanado
enquanto de ataques nacionais de 20%. Em casos como esse, opes de escolha de onde
divulgar seus prefixos pode ser til em casos de segurana a rede em questo.
Em geral, o provedor de acesso constri esses mapas utilizando comunidades BGP.
Outro ponto importante o lado do cliente e o controle do que ser exportado para cada um dos
seus provedores. Embora a maior parte do controle seja realizada pelo provedor, e que em geral
este estabelece suas protees, de responsabilidade do cliente divulgar somente os seus
prprios prefixos em suas conexes de peering e trnsito. O risco do cliente aqui de servir de
trnsito entre duas instituies sem ao menos se dar conta disso. Em resumo, de ajudar dois
provedores a terem uma melhor conexo entre eles, e eles ainda receberem por isso! Esse o
principal motivo pelo qual o prprio cliente deve enviar seus anncios corretamente: se ele no o
fizer, ele pagar em dinheiro aos seus provedores de acesso por isso!
Em geral, uma empresa deve somente divulgar seu ASN e seus blocos CIDR para o seus
provedores, filtrando todo o restante, como mostrado a seguir.
router bgp 10
neighbor 10.10.10.20 remote-as 20
neighbor 10.10.10.20 password 7 038801450ABC
neighbor 10.10.10.20 route-map meu_CIDR out
neighbor 10.10.10.30 remote-as 30
neighbor 10.10.10.30 password 7 010039817347
neighbor 10.10.10.30 route-map meu_CIDR out
network 10.10.0.0 mask 255.255.0.0
route-map meu_CIDR permit 10
match as-path 1
!
ip as-path access-list 1 permit ^$
!
As rotas do AS do cliente devem ser anunciadas para seus provedores; entretanto, devese
tomar o mximo cuidado para que o cliente AS10 no seja trnsito entre os provedores AS20
e AS30, e a forma de fazer isso no ensinar o que se aprende em uma sesso para a outra
sesso BGP.
Para que isso seja realizado no exemplo anterior, necessrio evitar que os prefixos
aprendidos com o AS20, representado pelo vizinho 10.10.10.20, e que foram injetados na
BGP Avanado
105
RIB do roteador que detm esta sesso, no vazem para outras sesses eBGP, como as que
esse mesmo roteador mantm com o AS30, representado pelo vizinho 10.10.10.30.
Primeiramente devemse definir quais ASNs entre todos os que esto na sua RIB sero
anunciados para um determinado provedor. Uma lgica muito comum definir o seu prprio
ASN com sendo um filtro bsico a ser utilizado, como na accesslist 1, definida a seguir:
E, finalmente, aplicase o filtro (routemap) definido quela sesso eBGP em que desejamos
implementar determinada poltica de roteamento. Notese que tambm comum realizar
dentro dessa mesma poltica a marcao de outros atributos do BGP, como MED, aspath
prepend e Comunidades BGP.
neighbor 10.10.10.20 route-map meu_CIDR out
Os Pontos de Troca de Trfego (PTT) ou Internet Exchange Point (IXP) so locais onde os
diversos provedores de acesso e contedo elegem para trocar seu trfego diretamente, como
uma forma de diminuir custos de interconexo pela supresso de provedores intermedirios
entre os contedos disponveis e os clientes interessados nesses contedos
Mais informaes no vdeo https://www.youtube.com/watch?v=pPSGt0mcy_s
BGP Avanado
Entretanto, existe um conceito que importante salientar quanto a conexes junto ao IXP e
sua lgica de funcionamento. Em geral, as relaes de peering BGP na internet podem ser
classificadas como:
Relaes com clientes: onde normalmente o seu ASN prov algum servio, em geral
de conectividade a algum cliente, recebendo algum provento por isso;
Relaes de compra e venda de trnsito: essa a relao mais comum, onde uma
empresa compra seu acesso internet, ou seja, seu trnsito nacional/internacional, de
algum provedor de acesso (ISP).
Existe ainda outra relao conhecida como peering pago ou parceria paga. Essa relao
uma variao da relao de compra e venda de trnsito e peering, realizada em um caso
especial: onde em geral um ASN com pouco volume de trfego para trocar deseja manter
uma relao com um ASN de grandes propores.
Por exemplo, imagine o ASNP (pequeno) mantendo uma relao de peering com o ASNG
(grande). Em um caso desses, normal que contabilizado o volume de trfego entregue do
grande para o pequeno exista uma relao de troca na proporo 70/30. Nesses casos,
possvel que se estabelea um valor mdio por bit trafegado, a ser pago do provedor com
menor volume de trfego para o que prov maior volume. Notese que a relao de peering
pago difere da relao de trnsito porque os prefixos de ambos os ASNs participantes no
so divulgados para a internet.
Considerando todas essas relaes possveis, no de todo incomum que mais de uma
relao seja criada entre dois ASNs distintos, como por exemplo: uma mesma empresa pode
ter uma relao de trnsito com um determinado ASN, comprando trfego IP em seu prprio
site e ao mesmo tempo possuindo uma relao de peering no IXP.
BGP Avanado
107
Cabe nesse caso ao provedor de acesso dessa empresa realizar a seleo de prefixos para
saber diferenciar o tipo de trfego que ele deve entregar no circuito que existe, a relao de
trnsito e qual trfego ele deve entregar na relao de peering, j que em geral o cliente
preferir receber a maior parte possvel do trfego no seu circuito de menor custo, em geral
o circuito que ele mantm com o IXP. E nesse momento existe uma divergncia nas
implementaes das polticas a serem implementadas para gerir esse conflito de interesses.
Do ponto de vista de uma empresa que possui um ASN prprio e mltiplas conexes BGP
para diversos provedores de acesso (compra de trnsito) e para o IXP (peering), possvel
configurar vrios modos de operao. No caso mais simples, basta repetir o anncio ao
IXP/PTT exatamente igual ao que se realiza aos provedores de trnsito.
Essa poltica tem a vantagem de gerar menores problemas de manuteno, por deixar que o
prprio algoritmo BGP se encarregue da escolha de onde o ASN vai entregar o seu trfego e
deixa livre que todos os seus parceiros, e provedores de servio, escolham onde melhor
para eles entregarem tal trfego, se no circuito pago ou diretamente no IXP.
Lembrese de que caso seus provedores de acesso e outros ASNs no fizerem uso de
atributos BGP para controlar o trfego destinado ao seu ASN, o menor ASPATH ser
provavelmente escolhido, ou seja, o trfego via IXP. A listagem a seguir configura o peer
200.219.143.253 e o AS26162 como sendo o peer BGP para o Routeserver multilateral de
um IXP.
router bgp 10
neighbor 200.219.143.253
neighbor 200.219.143.253
neighbor 200.219.143.253
neighbor 200.219.143.253
neighbor 200.219.143.253
neighbor 200.219.143.253
neighbor 200.219.143.253
neighbor 200.219.143.253
remote-as 26162
description PTT-Route-Server
next-hop-self
password 2 $yRFieW9kYmfdRWg==
remove-private-as
soft-reconfiguration inbound
route-map out PTT-out
route-map in PTT-in
Note que existem dois filtros aplicados sesso BGP do IXP, um filtro de entrada PTTin e
outro filtro de sada PTTout. Esses mesmos filtros podem ser usados para controles mais
elaborados e manipulao de prefixos e atributos BGP, mas nessa abordagem mais simples
eles servem para realizar o anncio simples do prefixo do ASN para o peerIXP e um controle
mnimo do que recebido via IXP, garantindo uma proteo adicional contra algum eventual
erro da administrao do IXP.
A mesma lgica da poltica de controle de anncios para o provedor de trnsito tambm
replicada nesse caso, como na listagem a seguir:
108
BGP Avanado
4
Engenharia de trfego IP com BGP
Objetivos
Entender os critrios para seleo de um provedor de acesso (ISP); Conhecer os mtodos de
conexo a um ponto de troca (IXP); Conhecer as ferramentas para gerncia do BGP;
Aprender a evitar os erros comuns na configurao do BGP.
Conceitos
Um AS multihomed significa que tem duas (ou mais) rotas para qualquer destino conectado
internet. Em outras palavras, voc precisa de uma maneira de decidir qual rota melhor.
Quando deixado por sua conta, um roteador BGP tentar enviar o trfego pela rota com o
menor nmero de AS (menor AS Path). Dependendo da conectividade do seu provedor de
sada (upstream ISP) para a internet e do padro de trfego, isso se adequar largura de
banda das respectivas conexes em graus variados.
Ainda que a largura de banda esteja ficando mais barata o tempo todo, usualmente mais
vantajoso tentar fazer o balanceamento de trfego de modo a tirar vantagem de toda a largura de
banda disponvel em uma infraestrutura multihomed. Assim, se o BGP decidir que a maioria do
trfego de sada deveria ir atravs do caminho de menor largura de banda, voc ter de
configurar o BGP para fazer o que voc quer modificando um ou mais dos atributos BGP.
Em uma situao ideal, mais trfego dever fluir pela conexo menos usada. Ao mesmo tempo,
voc quer que o trfego use a melhor rota para um destino, seja l o que signifique a melhor.
Esse tipo de atividade chamado de engenharia de trfego.
Aplicar a engenharia de trfego no trfego de sada a parte mais fcil, porque voc tem
controle sobre o que os seus prprios roteadores fazem. mais difcil fazer o balanceamento
adequado do trfego de entrada sobre as conexes disponveis. Voc pode maximizar o
desempenho da rede em condies de baixa largura de banda usando tcnicas de
enfileiramento, modelagem de trfego e polticas de trfego.
BGP Avanado
109
Servios do provedor.
O preo no deve ser o fator principal no qual voc baseia sua deciso para selecionar um
ISP. O que voc deve realmente considerar so os aspectos relacionados aos servios do
provedor, projeto do backbone, tolerncia a falhas, redundncia, estabilidade, gargalos,
acordos entre provedor e usurio sobre equipamentos, e assim por diante.
Os custos dos servios podem variar dramaticamente entre ISPs, para os mesmos servios e
dentro da mesma regio geogrfica. A capacidade do provedor e a quantidade de
investimento em uma regio em particular frequentemente determinam o custo de um dado
servio. Por exemplo, um provedor que tem um servio MPLS j implantado provavelmente
oferecer um preo muito melhor do que um provedor que est comeando a oferecer o
servio MPLS.
110
BGP Avanado
Por outro lado, o novo provedor pode ser mais competitivo porque ele no tem um
investimento em infraestrutura legada necessrio para comportar o servio, e pode tirar
vantagem da nova plataforma e capacidade dos servios oferecidos. Por causa disso e de
muitos outros fatores, o mesmo custo de servios de diferentes provedores no significa
necessariamente que voc est obtendo os mesmos servios.
Por exemplo, com acesso dedicado, alguns provedores incluem o CPE (Customer Premises
Equipment Equipamento nas Premissas do Usurio), tal como roteador e CSU/DSU
(Channel Service Unit/Data Service Unit) como parte do produto. Outros cobram uma tarifa
extra pelo CPE, ou exigem que voc mesmo o consiga, o que pode tornar a infraestrutura
substancialmente diferente. Voc pode achar que vai reduzir custos significativamente se
adquirir voc mesmo o CPE, ou talvez seja mais interessante para voc pagar o provedor
para fornecer e administrar o CPE. Grandes empresas frequentemente compram acesso
internet nacional e internacional, e outros servios de comunicaes de um nico provedor.
Uma soluo global de um nico provedor usualmente significa um melhor controle e
coordenao de servios entre diferentes regies da mesma rede.
Alguns provedores oferecem planos consolidados de faturamento por todos os servios,
nacionais e internacionais, e frequentemente oferecem descontos significativos aos clientes
que compram mltiplos servios, tais como acessos de longa distncia e acesso internet.
Esse faturamento consolidado implica em uma fatura e em um pagamento, o que
considerado uma vantagem a mais para muitas empresas. Naturalmente, se a convenincia
do faturamento consolidado ou de servios comuns no for importante, empresas podem
achar acordos melhores para servios nacionais e internacionais de diferentes provedores.
Certifiquese de que os detalhes desses acordos, bem como as penalidades em caso de falha
no cumprimento, estejam claramente definidos.
BGP Avanado
111
Gargalos de rede.
Redundncia.
Interconexes com outras redes, incluindo distncia para o destino e acordos de troca
de trfego.
Essas caractersticas so importantes tanto para clientes quanto para projetistas de redes de
provedores. Clientes com certeza devem avaliar essas caractersticas quando escolherem um
provedor; elas so muito mais importantes do que o custo para previso da qualidade do
servio. Arquitetos de redes devem considerar os potenciais benefcios e os perigos
associados a essas caractersticas quando implantarem ou expandirem suas redes.
Conexes fsicas
Clientes devem investigar a topologia fsica das redes dos provedores e o provedor deveria
ser capaz de fornecer um mapa atualizado da rede com a indicao de todas as conexes. A
respeito de conexes, uma topologia fsica robusta uma que pode fornecer largura de
banda consistente e adequada para toda a trajetria do trfego de dados, mesmo no caso de
uma ou mais conexes ficarem indisponveis.
A existncia de enlaces de alta velocidade no backbone, tais como 10 Gbps, 40 Gbps e 100
Gbps, no garante por si s o acesso em alta velocidade aos clientes. O seu trfego pode
entrar na rede do provedor atravs de uma conexo de baixa velocidade do backbone ou
ento de uma conexo de alta velocidade do backbone, mas com alta taxa de subscrio.
Esses so pontos importantes, que certamente afetaro a qualidade de sua conexo.
112
BGP Avanado
Alta taxa de subscrio ocorre quando o uso agregado dos mltiplos enlaces excede a largura
de banda do tronco usado para transportar o trfego para o seu destino. Um fornecedor
vendendo 20 circuitos de 10 Gbps em um PoP e conectandose internet por um nico
circuito de 10 Gbps ter um gargalo nessa conexo.
Como ilustrado na figura 4.1, uma regra comum uma razo de 5:1 Um ISP no deve
vender mais de cinco vezes a banda que ele possui para acesso internet. Claro que essas
taxas de subscrio variam baseado no produto oferecido e em eventuais acordos e caches
que o provedor de acesso possua com os principais provedores de contedo. Tipicamente,
fornecedores de hospedagem dedicada frequentemente usam taxas de 8:1 ou at 10:1. Esses
valores so usualmente baseados em experincias anteriores e na utilizao projetada, mas
se no forem cuidadosamente selecionados e gerenciados, podem facilmente resultar em
congestionamentos.
BGP Avanado
113
importante que provedores monitorem e gerenciem o uso dos enlaces nas suas redes.
Antes de assumir o compromisso de comprar servios de um ISP, clientes deveriam fazer aos
potenciais provedores as seguintes perguntas:
Como voc gerencia o uso dos enlaces?
Quais os limites acima dos quais voc comea a provisionar capacidade adicional?
Quais so as tpicas taxas de subscrio (capacidade disponvel X capacidade
utilizada) para esse servio?
114
BGP Avanado
BGP Avanado
115
116
BGP Avanado
Um plano de backup para o backbone do provedor deve ser considerado na discusso sobre
redundncia. A maioria dos provedores mantm um fornecimento online de componentes
crticos de hardware e gerenciam equipamentos de reserva em uma proporo em servio
reserva. A quantidade de componentes de reserva usualmente depende da natureza crtica
do componente, bem como do MTBF (Mean Time Between Failures) terico do componente.
Menor quantidade de saltos IP para um destino via uma dada rede pode indicar muito bem
um melhor caminho para o destino do que via uma rede com mais saltos IP. Entretanto, o
entendimento das tecnologias das redes intermedirias e no que elas so baseadas so
importantes antes de fazer tais hipteses. Por exemplo, pode ser mais interessante usar
vrios enlaces de alta velocidade do que usar um nico enlace de baixa velocidade.
BGP Avanado
117
ISPs maiores esto comeando a transferir cada vez mais trfego para um modelo de
interconexo direta mais distribudo, utilizando IXPs somente para conectar a provedores
menores. Eles tambm esto se tornando muito mais restritivos a respeito de com quem eles
trocaro trfego. Essa informao frequentemente protegida por um acordo mtuo NDA
(Nondisclosure Agreement) executado entre ambas as partes.
Ponto de Demarcao
118
BGP Avanado
Figura 4.7 Exemplo: ISP fornece acesso e CSU/DSU; Cliente fornece roteador.
No cenrio ilustrado na figura 4.8 o ISP forneceu tudo e sua responsabilidade termina na
porta LAN do roteador CPE.
BGP Avanado
119
BGP Avanado
O oposto da situao descrita acima o ISP colocar seu prprio roteador PoP no site do
cliente, como ilustrado na figura a seguir. Usualmente nesse caso, o ISP deve comprar a linha
de acesso e o roteador e cobrar do cliente uma taxa por todo o servio.
Se voc for um cliente do ISP cujo ponto de demarcao e acordos de colocao estipulam
que voc vai rodar e manter equipamento nas suas premissas mesmo que no sejam de sua
propriedade voc ter de ter um papel significativo no desenvolvimento das polticas de
roteamento e da arquitetura da sua rede. Mesmo que voc no esteja rodando e mantendo o
equipamento, h decises que voc precisa tomar e entender sobre a arquitetura de
roteamento.
Conectando a um IXP
121
A internet no uma entidade nica. um grande grupo de redes independentes que
concordam em compartilhar trfego com outros usurios usando um protocolo comum na
internet (TCP/IP). Sem esse acordo, seria impossvel para usurios de duas diferentes redes
trocarem email entre si. A tarefa chave de um provedor internet garantir que seus clientes
so capazes de se conectar a qualquer ponto no mundo conectado na internet de forma mais
econmica possvel, seja um site web na rede local ou um usurio conectado a outra rede na
mesma cidade ou em algum lugar distante do mundo.
Sem os IXPs, a internet poderia no funcionar, porque as diferentes redes que compem a
internet no seriam capazes de trocar trfego entre si. O formato mais simples de um ponto
de troca uma conexo direta entre dois ISPs (Internet Service Providers). Quando mais de
dois provedores operam na mesma rea, um switch independente opera de forma mais
eficiente como um ponto de interconexo comum para troca de trfego entre redes locais.
Isso semelhante ao desenvolvimento de centrais regionais de aeroportos utilizadas por
muitas diferentes linhas areas. Nessas centrais, as companhias areas trocam os
passageiros entre os voos da mesma maneira que as redes trocam trfego atravs do IXP.
Vantagens do IXP:
BGP Avanado
onde mais barata a hospedagem, devido falta de infraestrutura local de baixo custo, da
qual um IXP uma parte integrante.
De uma perspectiva de polticas pblicas, garantir a presena de IXPs locais est se tornando
cada vez mais importante. O IXP garante servios online que so igualmente acessveis a
todos os usurios locais, amplia as oportunidades de competio e melhora a qualidade e
acessibilidade dos servios internet.
No Brasil, o NIC.br opera hoje 25 Pontos de Troca de Trfego (PTT) Metropolitanos (em
ingls: Internet Exchange Points), em Belm, Belo Horizonte, Braslia, Campina Grande,
Campinas, Cuiab, Curitiba, Florianpolis, Fortaleza, Foz do Iguau, Goinia, Lajeado,
Londrina, Manaus, Maring, Natal, Porto Alegre, Recife, Rio de Janeiro, Salvador, Paulista
Central (So Carlos), So Jos dos Campos, So Jos do Rio Preto, So Paulo e Vitria, criados
no escopo do projeto PTTMetro, do CGI.br. Os PTTs ou IXPs so parte da infraestrutura da
internet, e permitem a interconexo direta entre as redes que a constituem, chamadas de
Sistemas Autnomos (em ingls, Autonomous Systems ou ASes). Essa infraestrutura
permite uma melhor organizao da rede, reduo de custos e maior confiabilidade.
O projeto PTTMetro foi criado em meados de 2004, tendo o escopo inicial de construir cinco
PTTs em importantes capitais brasileiras, tendo j ultrapassado em muito seus objetivos
iniciais. O mapa a seguir mostra os PTTs no Brasil.
Projeto PTTMetro NIC.br.
Neutralidade.
Qualidade.
Os PTTs so regionais.
BGP Avanado
123
Como mostrado na figura 4.13, qualquer rede se conecta internet atravs de uma conexo
nuvem internet. Isso permite enviar trfego entre seus usurios e outros usurios em
diferentes redes.
124
BGP Avanado
Formas de conexo dos ISPs internet:
Atravs da nuvem internet.
Conexo direta entre si.
Compartilhamento de um IXP.
Se duas redes que esto independentemente conectadas internet esto prximas uma da
outra por exemplo, na mesma cidade ou regio pode ser mais rpido e barato usar uma
conexo separada para enviar trfego local diretamente entre as duas redes, conforme
mostrado na figura 4.14.
Quando existem mais de duas redes locais que precisam trocar trfego, tornase mais
eficiente estabelecer um switch (IXP) ao qual cada rede possa se conectar. A figura 4.15
mostra como trs ISPs podem compartilhar um IXP local para rotear seu trfego local. Um
IXP ento pode ser visto como o centro de uma rede estrela que torna possvel que trfego
local oriundo de qualquer rede local possa cruzar atravs de uma nica conexo ao switch.
BGP Avanado
125
Vantagens do IXP:
Embora a figura anterior mostre um exemplo simples de um ponto de troca usado para
rotear trfego, vrios fatores locais afetam a viabilidade de um IXP e criam uma vasta gama
de combinaes na implementao desse modelo bsico. Os fatoreschave na conexo ou no
estabelecimento de um IXP so:
O volume de trfego que previsto entre as redes locais;
O custo das conexes fsicas entre a rede e o IXP, versus o custo da conexo para a
nuvem internet.
Na maioria dos pases, o primeiro passo estabelecer um ponto de troca nacional para
manter o trfego dentro do pas. Pontos de troca adicionais podem ser estabelecidos para
servir reas geogrficas menores, onde mais econmico manter o trfego local. Isso
particularmente verdade nos pases em desenvolvimento, onde a infraestrutura do backbone
de telecomunicaes pouco desenvolvida, congestionada ou de alto custo.
A reduo dos custos de operao obtida pelo estabelecimento de um IXP permite a reduo
dos custos de acesso internet para os usurios finais e prov tempos de resposta mais
rpidos dos servidores WEB locais e de outros servios interativos. Isso especialmente
verdade quando os enlaces internacionais esto congestionados e quando o trfego
internacional transportado sobre enlaces de satlite. Isso porque o retardo causado pelo
roteamento do trfego via satlite da ordem de segundos, e pode ser reduzido para
milissegundos quando duas redes locais esto diretamente conectadas.
126
BGP Avanado
Como resultado, os tempos de resposta para sites web locais so dramaticamente reduzidos,
e servios locais mais avanados que requerem conexes de baixo retardo (VPNs, streaming
multimdia e VoIP) tornamse viveis. Quando os enlaces entre as redes dependem de
conexes de satlite, muitos desses servios no podem ser fornecidos com qualidade
aceitvel, e alguns no funcionam de jeito nenhum. Um ponto de interconexo local crtico
para garantir a disponibilidade dos servios para os usurios.
Outra vantagem de um IXP que ele reduz os custos das transaes e melhora as escolhas
para seus membros. Se uma rede decide comutar provedores de trnsito em um IXP, eles
podem fazer isso em questo de horas e sem interveno fsica. No passado, isso significaria
ter um novo circuito instalado, bem como um tempo de espera significativo e custos
financeiros.
A flexibilidade disponibilizada pelo IXP promove comportamento cooperativo dos
provedores e encoraja maiores preos de competio, ainda reduzindo os custos para
provedores de acesso e usurios. Embora alguns IXPs no permitam ainda acordos de
trnsito, essa posio , de maneira geral, vista como contra produtiva, e essas restries
esto se tornando pouco comum.
Uma vez que um IXP esteja estabelecido, ele se torna um local natural para hospedar uma
variedade de outros servios que reduzem os requisitos de largura de banda e melhoram a
velocidade e a confiabilidade do acesso internet para os usurios locais. Os servios mais
importantes incluem servidores de nome de domnio (DNS), espelhos de servidores de rotas,
servidores de tempo, caches web e novos servidores. Alm disso, uma variedade de
facilidades administrativas para os operadores de redes so frequentemente hospedadas em
um IXP, tais como lookingglass e facilidades de medio de trfego. Embora alguns IXPs
possam somente permitir que provedores de acesso sejam membros, em muitos casos
provedores de contedo tm permisso para se conectar aos IXPs.
Uma variedade de modelos institucionais tem sido adotada para operar os IXPs. Eles caem
em quatro categorias:
BGP Avanado
127
Desses modelos, o mais comum aquele no qual os IXPs so operados por uma associao
industrial sem fins lucrativos de ISPs. Nesse caso, os membros do IXP possuem
coletivamente as facilidades de rede ou elas so de propriedade da associao. Os custos de
operao so compartilhados entre os membros que devem pagar uma taxa de associao,
mais uma taxa de operao que pode ser mensal, trimestral ou anual. A taxa normalmente
determinada em funo da velocidade (largura de banda) de suas conexes ao IXP ou, menos
comum, pelo volume de trfego que passa pelo IXP.
IXPs so usualmente formados por um grupo fundado por operadores de rede que decidem o
modelo que melhor atende ao ambiente local. Algumas questes chaves devem ser
respondidas:
O IXP ter um quadro de empregados permanente ou ser formado por voluntrios?
O IXP ser uma organizao com ou sem fins lucrativos?
Acordos de roteamento.
Multilaterais.
Bilaterais.
Tecnicamente existem dois modelos predominantes para a operao do IXP. No modelo mais
simples, IXP Camada 3, IXPs trocam trfego entre as redes membros dentro de um nico
roteador. No outro modelo, IXP Camada 2, cada rede fornece seu prprio roteador, e o
trfego trocado via um simples switch Ethernet. Em geral, o modelo Camada 3 pode ser
mais barato e simples de implantar inicialmente, mas ele limita a autonomia de seus
membros e tem sido superado pelo modelo de Camada 2.
O modelo de Camada 3 tambm oferece aos provedores menor controle a respeito de quem
eles podem fazer parcerias (peering), e os torna dependentes de terceiros para configurar
corretamente e manter as rotas, o que requer maior habilidade tcnica dos empregados do
IXP. Em contraste, o modelo de Camada 2 no requer dos empregados do IXP qualquer
conhecimento de roteamento.
128
BGP Avanado
Outros IXPs podem exigir que cada rede faa acordos Bilaterais de Peering (BLP) com
membros de outras redes. E alguns IXPs podem limitar o uso da facilidade de trfego de
trnsito. Embora MMLPAs sejam comuns entre muitos IXPs, polticas flexveis de peering que
permitam a coexistncia de acordos multilaterais e bilaterais de peering permitiro que
pares em um IXP faam acordos bilaterais em separado de peering ou trnsito.
aceitvel usualmente que membros do IXP restrinjam (filtrem) trfego originado de ou
destinado para quaisquer redes, de acordo com as polticas dos membros, que so
normalmente especificadas no Registro de Roteamento da internet (IRR Internet Routing
Registry).
Outras importantes estratgias e polticas que IXPs e suas redes membros normalmente
adotam incluem:
BGP Avanado
129
Implementao do peering.
Circuito direto.
Mas ainda assim sobram algumas dvidas nos ISPs para valorar o seu investimento na
criao de uma infraestrutura prpria at determinado IXP ou na contratao de um circuito
de dados at esse mesmo IXP. Em geral, os problemas so os mesmos que um provedor
possui no momento de negociar um peering pago ou avaliar as vantagens de estabelecer um
caminho direto (bilateral) com outro provedor fora da infraestrutura do IXP.
A figura a seguir ilustra o trfego de trnsito que deve ser avaliado nesse processo de
seleo.
130
BGP Avanado
Como eu chego aos meus ASNs Alvo, quais so os ASNs que proveem acesso para os
meus maiores interesses de trfego?
Netflow um recurso que foi introduzido em roteadores Cisco cuja funo coletar o trfego
de redes IP, tanto na sada quanto na entrada de uma interface. Ao analisar os dados
fornecidos pelo Netflow, um administrador de rede pode determinar informaes como a
origem e o destino do trfego, classe de servio e as causas de congestionamento.
Netflow composto por trs componentes: o cache de fluxo, coletor de fluxo e analisador de
dados.
Contato com a administrao do IXP no qual est interessado para tratar de questes
importantes para o bom funcionamento do processo de peering:
Acordos de confidencialidade (NDA);
Existem tambm operadoras que podem ter de realizar troca de trfego obedecendo a
determinadas regras estabelecidas em cada pas. Um exemplo pode ser visto a seguir:
http://www.embratel.com.br/Embratel02/files/secao/08/10/8330/Contrato_de_Intercone
xao_Classe_V_Oferta_Publica.pdf
O peering pode ser implementado basicamente de duas maneiras: circuito Direto e via Ponto
de Troca (IXP).
A figura 4.17 ilustra o primeiro caso, e a figura 4.18 mostra um exemplo do segundo caso.
BGP Avanado
131
No caso de peering por circuito direto, teremos apenas duas partes conectadas, e o custo ser
somente o custo do circuito de interconexo. No peering via IXP, teremos muitas partes
conectadas atravs das facilidades do IXP, e o custo dever contemplar: transporte, roteador
hospedagem e a porta do switch.
132
BGP Avanado
RouteViews.
BGPlay.
Traceroute.org.
O projeto RIPEstat
RIPEstat uma interface web que fornece tudo que voc quer saber a respeito do espao de
endereos IP, Sistemas Autnomos (ASNs) e informaes de nomes de hosts e pases em um
s lugar. Ela mostra dados de registro e roteamento, dados de DNS, informao geogrfica,
contatos abusivos e outros dados internos dos arquivos do RIPE NCC, bem como dados de
outras fontes, tais como outros RIRs e do IANA.
Tipos de consultas:
ASN.
Nosso objetivo fornecer dados teis aos nossos membros e comunidade internet em
geral, com foco nos dados relacionados a roteamento e ao banco de dados do RIPE. Estamos
atualmente no processo de consolidao dos arquivos pblicos do RIPE NCC para o RIPEstat,
de forma que RIPEstat eventualmente ser a nica interface para os usurios acessarem
quaisquer dados disponveis publicados pelo RIPE NCC, tornando mais fcil para os usurios
recuperar esse dados usando uma interface consolidada, consistente e bem organizada.
IP address.
IP Prefix.
BGP Avanado
133
IPv4 range.
Hostname.
Se voc criar uma conta de acesso RIPE NCC (grtis), voc pode customizar a ordem e a
visibilidade de cada uma das ferramentas e criar suas prprias vises (My Views), contendo
as suas ferramentas preferidas. Alm disso, voc pode visualizar um histrico das suas
consultas recentes ao lado dos resultados.
RIPEstat baseado na coleta de dados de vrias fontes:
BGP Avanado
RIPE Atlas: com a sua ajuda, o RIPE NCC est construindo a maior rede de medies da
internet jamais feita. RIPE Atlas emprega uma rede global de sensores que medem a
conectividade e acessibilidade da internet, fornecendo um entendimento sem
precedentes do estado da internet em tempo real.
A visualizao das listas negras baseada em dados de diferentes fontes. As listas negras
foram selecionadas com base nas polticas de disponibilidade e de acesso de dados, e no so
necessariamente a melhor representao do vasto nmero de listas negras que existem
atualmente. Alguns exemplos de listas negras:
Spamhaus
UCE Protect
MaxMind
MLab
MLab fornece uma grande coleo de dados de desempenho da internet aberta. Para mais
detalhes, visite: http://www.measurementlab.net/.
Projeto RouteViews
Universidade do Oregon
135
http://www.traceroute.org/#Looking%20Glass), essas ferramentas tipicamente proveem
somente uma viso restrita do sistema de roteamento (por exemplo: um provedor nico ou o
servidor de rotas) ou elas no fornecem acesso em tempo real aos dados de roteamento.
Embora o projeto Route Views fosse motivado inicialmente pelo interesse dos operadores
em determinar como o sistema global de roteamento via seus prefixos e/ou o espao de AS,
existem muitos outros usos interessantes dos dados desse projeto. Por exemplo, NLANR tem
usado os dados do Route Views para AS path visualization (veja tambm NLANR), e para
estudar o uso do espao de endereamento IPv4 (IPv4 address space utilization archive).
Outros tm usado os dados do Route Views para mapear endereos IP ao AS de origem para
vrios estudos topolgicos.
BGPlay
BGPlay uma aplicao Java que mostra grficos animados da atividade de roteamento de
um certo prefixo dentro de um especificado intervalo de tempo. A sua natureza grfica torna
a muito mais fcil de entender como as atualizaes BGP afetam o roteamento de um prefixo
especfico do que analisando as atualizaes propriamente ditas. Veja a seguir uma figura de
exemplo.
136
BGP Avanado
A base de dados BGPlay armazena os ltimos 10 dias de dados fornecidos pelo arquivo do
projeto Route Views. Para usar o BGPlay, voc precisa ter o Java plugin (verso 1.4 ou acima)
instalado no seu navegador.
Se no tiver, voc pode baixlo no link: http://www.java.com/en/download/
O prefixo tem de ser exatamente igual ao usado no AS; caso contrrio, nada ser mostrado.
BGP Avanado
137
Traceroute.org
Aplicao desenvolvida e mantida por Thomas Kernen que informa, por pas na internet, os
endereos dos Looking Glass, Route Servers, BGP Info e BGP Tools.
Exemplo dos Looking Glass do Brasil:
Espelhos BGP (BGP Looking Glass) so aplicaes web comumente disponibilizadas pelos ass
para oferecer acesso restrito via web s suas infraestruturas de roteamento, com o objetivo
de facilitar a depurao de problemas de conectividade.
A internet composta por um grande nmero de Sistemas Autnomos (AS), que cooperam
para trocar e transportar dados atravs de seus enlaces. Diversos protocolos de roteamento
intraAS e interAS que rodam nos roteadores de backbone so responsveis pela
distribuio de rotas no plano de controle, ao redor do mundo.
BGP Avanado
Alm disso, todos esses dispositivos tm uma ou mais interfaces para administrao remota que
usam outros circuitos que no os de dados (outofband), tais como um servio telnet, um servio
SSH ou uma porta serial remota. O acesso a essas interfaces deveria ser estritamente limitado aos
operadores dos Centros de Operao de Redes (NOC) e pessoas autorizadas do AS.
Servidores de rotas (Route Servers).
Servidores Linux.
Quagga.
XORP.
BGP Avanado
139
Propagar rotas BGP aprendidas de outros roteadores pares internos BGP (iBGP) ou externos
BGP (eBGP). Nota: somente os melhores caminhos recebidos dos pares BGP so propagados;
Emitir o comando aggregateaddress.
140
BGP Avanado
Se essas condies no forem satisfeitas, o BGP no instala uma entrada na tabela BGP, a
menos que haja uma correspondncia exata na tabela de roteamento IP.
1. Verifique se R101 anuncia 6.0.0.0/8 para R102. A listagem mostrada a seguir confirma que
R101 no anuncia 6.0.0.0/8 para R102.
R101#
show ip bgp neighbors 10.10.10.2 advertised-routes
R101#
3. Verifique se voc tem uma rota classful ou uma rota subrede da rede 6.0.0.0/8 na tabela
de roteamento.
R101#
show ip route 6.0.0.0 255.0.0.0 longer-prefixes
R101#
141
5. Assim que a tabela de roteamento IP tiver uma rota para 6.0.0.0/8, o BGP instala uma rede
classful na tabela BGP.
R101# show ip route 6.0.0.0 255.0.0.0 longer-prefixes
[..]
6.0.0.0/24 is subnetted, 1 subnets
S
6.6.10.0 is directly connected, Null0
6. Para tornar a mudana efetiva no BGP e o anncio da rede 6.0.0.0/8 para R102, voc tem
de, ou apagar o vizinho BGP, ou fazer um soft reset no par BGP. Esse exemplo mostra um soft
reset do par 10.10.10.2 para efetivar as mudanas.
R101# clear ip bgp 10.10.10.2 [soft] out
R101#
7. O comando show ip bgp confirma que a rede classful 6.0.0.0/8 foi introduzida no BGP.
R101# show ip bgp | include 6.0.0.0
*> 6.0.0.0 0.0.0.0 0 32768 i
Uma rota exatamente igual na tabela de roteamento exigido para que um comando network
informando a mscara tenha a rota instalada na tabela BGP.
Na figura a seguir, R101 incapaz de anunciar a rede 172.16.10.0/24 para R102.
142
BGP Avanado
3. Depois de configurar um comando network com mscara, o comando show run mostra
uma sada semelhante a esta:
R101# show run | begin bgp
router bgp 1
network 172.16.10.0 mask 255.255.255.0
143
5. Verifique se existe uma rota exatamente igual na tabela de roteamento IP. A listagem a
seguir confirma que no existe uma rota exatamente igual na tabela de roteamento,
caracterizando um problema no IGP.
R101# show ip route 172.16.10.0 255.255.255.0
% Network not in table
R101#
6. Decida que rotas deseja originar. Ento, corrija o IGP ou configure uma rota esttica.
R101(config)# ip route 172.16.10.0 255.255.255.0 null 0 200
7. Verifique a tabela de roteamento IP.
32768 i
9. Para tornar a mudana efetiva no BGP e o anncio da rede 172.16.10.0/24 para R102, voc
tem de ou apagar o vizinho BGP, ou fazer um soft reset no par. Esse exemplo mostra um soft
reset do par 10.10.10.2.
R101# clear ip bgp 10.10.10.2 [soft] out
32768 i
144
BGP Avanado
router bgp 1
[..]
aggregate-address 192.168.32.0 255.255.252.0 summary-only
neighbor 10.10.10.2 remote-as 2
R101 est configurado para anunciar somente o endereo agregado para R102, usando o
atributo summaryonly.
3. Verifique a tabela de roteamento IP.
A listagem anterior confirma que a tabela BGP no tem uma rota componente. Ento, o
prximo passo lgico garantir que uma rota componente existe na tabela BGP.
BGP Avanado
145
5. Nesse exemplo, uma rota componente 192.168.33.0 instalada na tabela BGP usando o
comando network.
R101(config)# router bgp 1
R101(config-router)# network 192.168.33.0
Por outro lado, o roteador trata a rota como no sincronizada com o IGP e no a anuncia.
Desabilitando a sincronizao atravs do comando no synchronization, aps o comando
router BGP, impedimos que o BGP valide rotas iBGP no IGP.
Na figura a seguir, R101 aprende o prefixo 130.130.130.0/24 de R103 via iBGP e incapaz de
de anuncilo ao par eBGP R102.
146
BGP Avanado
147
10.10.10.2
10.10.20.3
Maximum path: 1
Routing for Networks:
Routing Information Sources:
Gateway
Distance
Last Update
10.10.20.3
200
01:48:24
Distance: external 20 internal 200 local 200
A listagem anterior mostra que a sincronizao BGP est habilitada (default Cisco IOS).
Durante a prxima execuo do scanner BGP, que escaneia a tabela BGP a cada 60 segundos
e toma decises baseado no critrio de seleo de caminho do BGP, a rede 130.130.130.0
ser instalada (se a sincronizao for desabilitada). Isso significa que o tempo mximo para
uma rota ser instalada de 60 segundos, mas pode ser menos, dependendo de quando o
comando no synchronization foi configurado e de quando a prxima instncia do scanner
BGP ocorrer. Portanto, melhor esperar 60 segundos antes do prximo passo de verificao.
5. Verifique se a rota foi instalada. A listagem a seguir confirma que o prefixo
130.130.130.0/24 a melhor rota, portanto, ela instalada na tabela de roteamento IP e
propagada para o par BGP 10.10.10.2.
R101# show ip bgp 130.130.130.0
BGP routing table entry for 130.130.130.0/24, version 5
Paths: (1 available, best #1, table Default-IP-Routing-Table)
Advertised to non peer-group peers:
148
BGP Avanado
10.10.10.2
Local
10.10.20.3 from 10.10.20.3 (130.130.130.3)
Origin IGP, metric 0, localpref 100, valid, internal, best
R101# show ip bgp neighbors 10.10.10.2 advertised-routes | include
130.130.130.0/24
*>i130.130.130.0/24 10.10.20.3
0
100
0 i
BGP Avanado
149