BGP Apostila Final

RAPHAEL RODRIGUES ISP
BGP
DO ABSOLUTO ZERO
PARA PROVEDORES ISP
www.raphaelisp.com.br
https://flowspec.net.br/
Flowspec Soluções em Mitigação DDoS, empresa especializada em
Mitigação de Ataques DDoS.
OLÁ,TUDO BEM?
EU SOU O RAPHAEL
CEO/CTO Flowspec
Acompanho a evolução do mundo digital voltado para o segmento
de infra estrutura e provedores de internet ISP, posso dizer ainda
que sou pai, marido, nerd, apaixonado por surf, Jiu-Jutsu, Linux e
tudo que envolve o mundo digital.
Algumas certificações: ZCS, CCIE, HCIP, LPI lll, ITIL 4 Foundation,

CobiT 5 Foundation, ISO/IEC 20000 Foundation.
@RAPHAELISPCONNECT
YOUTUBE.COM/@RAPHAELISP
A INTERNET
CONCEITOS BASICOS DO BGP
COMO A INTERNET FUNCIONA?

No assunto roteadores, podemos dizer que cada roteador utiliza o método hop-by-hop PARA REALIZAR
ROTEAMENTO DE PACOTES IP, que consiste em abrir os cabeçalhos dos pacotes que recebe em busca
do endereço IP do destinatário, calcula o próximo salto mais próximo do seu destino e entrega o pacote
neste próximo salto.
Este processo se repete até o pacote chegar ao seu destino.
BGP

É importante saber que redes diferentes não se enxergam, a não ser que utilizem um recurso chamado
roteamento de rede.
basicamente, redes diferentes não se falam diretamente.
Por ex, as maquinas da rede 10.0.0.0/24 não são capazes de falar diretamente com a maquina da rede
11.0.0.0/24
O serviço de roteamento server para fazer com que os dados de uma rede possam trafegar para outras
redes.
BGP Esse roteamento é executado por ex roteador de rede.

O roteador poderá ser um computador com 2 interfaces de rede ou mais placas de rede, cada uma delas
voltada para uma das redes, ou um aparelho especifico para esse fim.
Cada maquina de cada rede deve saber qual é endereço IP da placa do roteador que será responsável
pelo roteamento dos pacotes.
Para ter contato com diversos hosts, cada roteador deverá ter uma placa de rede pertencente a cada rede
a qual ela esta conectada.
A internet é uma redes de redes, então, para interligar sua rede interna a internet, será necessário o uso de
um roteador WAN.
O roteador WAN é um roteador especifico para ligação com a internet ou com grandes redes
Segmento de rede
Um segmento de rede é uma porção da rede que esta atrás de um roteador.

A Internet é formada por muitas redes diferentes, que se reúnem em uma grande teia global.
O IP (Internet Protocol) é a tecnologia usada como conjunto de regras de comunicação, que permite que
todas essas diferentes redes operem da forma que conhecemos hoje!
BGP

ASN é a sigla em inglês para Autonomous System Number, ou Número de Sistema Autônomo.
A Internet é uma rede de redes.
Uma rede formada pela operação conjunta de milhares de redes, de diferentes instituições, com funções
distintas:
provedores de acesso, provedores de conteúdo, universidades, empresas usuárias da Internet, órgãos
do governo, etc. Estas redes que formam a Internet são os Sistemas Autônomos, em inglês Autonomous
System (AS).
BGP

Um sistema autônomo (AS) é uma coleção de roteadores ou redes sob a mesma administração técnica.
Um protocolo de roteamento interno (IGP) é executado dentro de um sistema autônomo para prover o
roteamento interno do AS
O protocolo de roteamento externo (EGP) é executado entre Sistemas Autônomos para permitir troca de
informações de roteamento ( NLRI ) Network Layer Reachability Information entre eles, esse protocolo é o
BGP.
O ASN é um número de 16 bits ou 32 bits, alocado por um RIR ou NIR para Sistemas Autônomos, e que
os identifica de forma única no sistema de roteamento BGP.
Os números podem estar entre 1 a 65.535.
BGP RIRs administram os números de AS entre 1 e 64512.

Os números de AS 64.512 - 65.535 são reservados para uso privado - De uso "proibido": 0, 23456, 65535 e
4294967295;

Com a previsão de esgotamento números de AS utilizando dois bytes o IETF lançou as RFC 4893 e RFC
5398 para aumentar o número de AS de dois octetos (16 bits), para quatro octetos (32 bits), aumentando o
tamanho do conjunto de valores de 65536 a 4294967296.
A Internet é um conjunto de sistemas autônomos interligados para permitir a comunicação entre redes.
Uma rede que não é um Sistema Autônomo estará sempre na dependência de uma outra rede que assim
seja classificada, como por exemplo, seu provedor de trânsito Internet.
BGP Por isso, estará dependente também dos endereços IP atribuídos por esse provedor de trânsito e das
políticas de roteamento por ele utilizadas.
Para um provedor Internet, não ser um Sistema Autônomo e depender do seu provedor de trânsito IP é
uma grande, enorme, limitação.
NO MUNDO IDEAL, CADA EMPRESA QUE DESEJA PARTICIPAR DA INTERNET DEVE ( OU DEVERIA )
OBTER UM NÚMERO DE ASN E FAIXAS DE PREFIXO ( IPV4 E IPV6 ), E A PARTIR DESTA IDEIA SE
CONECTAR AS VARIAS REDES INTERCONECTADAS ( INTER-AS ) PELA REDE GLOBAL, OU
CONECTADAS VIA BGP.
https://www.nic.br/media/docs/publicacoes/13/fasciculos-sobre-a-infraestrutura-da-internet-endere%C3%A7os-ip-e-asns-alocacao-para-provedores-internet.pdf
O BGP – INTRODUÇÃO AO BGP

A primeira menção ao bgp foi no final dos anos 80, sendo ele sucessor do egp.
Distance Vector: Criado pela cisco/ibm com objetivo de trocar rotas em asn’s usando o protocolo ipv4.
Distance = saltos;
Vector = roteador; Sua publicação foi na rfc 1105, atualizado posteriormente pelas rfc 1771 e rfc 4271.
Path vector: Atualmente o bgp esta na versão 4, é um protocolo do tipo “ path vector “, utiliza a porta 179 – tcp para
Path = Atributos estabelecer as “ sessões bgp “ ou peer inter as.
Vector = ASN.
Por ser um protocolo vetor de caminho, diferente do igp ospf por ex ( distance vector ), o bgp anuncia os
caminhos ( paths ) e as redes são alcançáveis no final desse caminho.
BGP O bgp descreve o caminho por meio de atributos que são semelhantes às métricas e politicas que podem
ser bem complexas em muitos casos.
BGP-P-AS100#sh ip bgp
BGP table version is 26841439, local router ID is 177.1.1.1
Network Next Hop Metric LocPrf Weight Path
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

* 0.0.0.0 100.127.0.45 0 0 3389 i
*> 100.127.0.25 0 0 3389 i
* 1.0.0.0/24 100.127.0.45 0 3389 3356 6762 13335 i
www.raphaelisp.com.br *> 100.127.0.25 0 3389 3356 6762 13335 i
* 1.0.4.0/22 100.127.0.45 0 3389 6939 4826 38803 38803 38803 i
i

Atualizações confiáveis usando o TCP na porta 179.
Tabela completa BGP é trocada quando a conexão com o vizinho é estabelecida.
todos os vizinhos devem ser manualmente configurados.
Mensagens de keepalive periódicas são trocadas para verificar a conectividade TCP.

Roteamento Baseado em Politica (policy-based routing)
O BGP opera trocando informações sobre as redes por mensagens de NLRI (Network Layer Reachability
Information).
Herda a simplicidade do RIP, mas com operação manual, as rotas são escolhidas pelo menor número de
BGP saltos (tamanho do AS-PATH)

Tempo de convergência depende de cada roteador na Internet

Diferenças entre FIB e RIB
Fowarding Information Base (FIB)
Quando um router recebe 2 rotas diferentes para o mesmo prefixo os critérios de escolha de rota são
analisados. A rota que foi considerada melhor de acordo com os critérios BGP fica na FIB
Router information base (RIB)

As rotas que não foram consideradas melhores ficarão guardadas na RIB e utilizadas caso a rota
principal fique indisponível
O BGP jamais anuncia uma prefixo que não esteja na FIB
BGP
BGP-P-AS100#sh ip bgp
BGP table version is 26841439, local router ID is 177.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

* 0.0.0.0 100.127.0.45 0 0 3389 i
*> 100.127.0.25 0 0 3389 i
* 1.0.0.0/24 100.127.0.45 0 3389 3356 6762 13335 i
www.raphaelisp.com.br *> 100.127.0.25 0 3389 3356 6762 13335 i
* 1.0.4.0/22 100.127.0.45 0 3389 6939 4826 38803 38803 38803 i
i

TROCA DE ROTAS NLRI
NLRI é uma lista de redes que são compostas por endereço IP e a máscara, ou prefixo em caso do IPv6
O NLRI possui diversos atributos BGP ;
Inicialmente a tabela full routing é trocada entre os peers;
um speaker BGP só envia NLRI se estiver na IP routing table;
Um vez alcançado o estágio Established, os peering BGP começam a trocar rotas (prefixos ou NLRI)
entre si.
AFI - Address Family Information - : familias de endereços IPv4, IPv6;
BGP SAFI: Subsequent Address Family Identifiers (IPv4 Unicast, IPv6 Unicast, IPv4 Multicast, VPNv4)
Next-hop information - (deve ser do mesmo tipo que o address family, por exemplo AFI ipv6 o next-hop
tem que ser um endereço IPv6)
NLRI - Network Layer Reachability Information
MP_UNREACH_NLRI - contém as informações de um prefixo que não pode mais ser alcançado é deve ser
retirado da tabela BGP;
• https://www.cisco.com/c/pt_br/support/docs/ip/border-gateway-protocol-bgp/13751-23.html

eBGP – Peering entre roteadores de diferentes AS’s.
Formado quase sempre por peers diretamente conectados.
Configuração Multihop é necessária quando os peers não são diretamente conectados.
Adiciona o AS ao caminho anunciado.
Por padrão o Next-Hop é mudado para o IP do próprio roteador.
iBGP – Peering entre roteadores do mesmo AS.

Para a propagação de rotas consistentes dentro do AS.
todos os roteadores participantes devem ter sessão BGP entre si (Full Mesh).
BGP RR são usados para evitar o Full mesh.

Roteadores não modificam os anúncios recebidos ao reenvia-lo.
Devido ao princípio acima, o next hop recebido de um eBGP é repassado intacto, sendo que o Roteador
de borda não se coloca como next hop ( aplicar next-hot-self );
O next-hop anunciado pelo eBGP é carregado pelo iBGP, que não o modifica
Por padrão no iBGP o “next-hop” não é modificado – Utilize algum IGP ( OSPF, ISIS) para garantir a
alcançabilidade IP dentro do AS.
Rotas externas recebidas de um peer iBGP não são passadas para outros peers iBGP, É o que chamamos
de "Split Horizon" do BGP;
Para que isso ocorra é necessário o uso de full mesh ou router reflect.
Boas práticas estabelecer sessão iBGP via loopback;
Configuração Multihop é exigida se o peer não estiver diretamente conectado, por padrão o TTL tem valor
1, necessário mudar TTL ( 16+ )

MENSAGEM OPEN
Ḿensagem open, é a primeira mensagem a ser trocada assim que estabelece uma sessão BGP. Se uma
mensagem open é aceitável, uma mensagem keepalive é enviado como resposta. No cabeçalho da
mensagem open possuem seguintes campos:
MENSAGEM UPDATE
A mensagem update tem a finalidade de trocar informação de roteamento entre os peerings BGP e da
mesma forma construir um gráfico em que os prefixos já foi passado.
BGP MENSAGEM NOTIFICATION

É enviado quando há uma condição de erro ou um router BGP restabeleceu a sua sessão TCP e a sessão
é encerrada imediatamente. Um exemplo do processo notification:
MENSAGEM KEEPALIVE
De tempo em tempo cada router envia uma mensagem de keep-alive para que o vizinho saiba que há
conectividade IP.
Caso o keep-alive atrase, o router começa a contagem de hold-time e, se nesse período não for recebido
nenhum keep-alive, a sessão é finalizada.
Os valores padrão são 60 segundos de intervalo para keepalive e 180 segundo de tolerância (hold time)
Atualmente, temos um downtime de 3 minutos sem internet, acrescido do tempo de propagação das
convergências na Internet (~3-10 minutos);
BGP
• ESTADO DA CONEXÃO
• Idle:
• Connect:
• Active:
• Open Sent:
• Open Confirm:
• Established:

Caso 2 prefixos sejam idênticos, o router analisa essa distância.
A menor sempre "ganha". Caso sejam
iguais, os critérios particulares do protocolo de roteamento correspondente serão analisados. Seguem
alguns valores padrão:
BGP
• ESTADO DA CONEXÃO
• Idle:
• Connect:
• Active:
• Open Sent:
• Open Confirm:
• Established:

• Conhecidos obrigatórios (Well-known mandatory): Além de obrigatório em todas as implementações,
precisam estar em todas as mensagens de update trocadas entre os roteadores via BGP.
• Conhecidos discricionários (Well-known discretionary): Semelhantes aos obrigatórios, porém não

precisam estar contidos em todas as mensagens de update. Todas as implementações precisam
suporta-los.
• Opcional transitivo (Optional transitive):Não precisam ser implementados por todos os fabricantes, e
quando sim, podem ser “propagados” para outros neighbors através de mensagens de update.
BGP • Opcional não-transitivo (Optional non-transitive): Semelhantes aos citados acima, porém, um router
nunca “propaga” esses atributos para outro neighbor.
• A mensagem de update do BGP inclui uma sequência de comprimento variável com os atributos que
descrevem a rota.
Um atributo consiste em três campos:

• tipo de atributo
• comprimento atributo
• valor do atributo
BGP

• Alguns atributos são obrigatórios e automaticamente incluídos em mensagens de update, enquanto
outros podem ser configurados manualmente
BGP

• O atributo AS_PATH contém uma lista com os AS’s para chegar a uma rota.
• • Sempre que um “update route” passas através de AS o número desse AS é adicionado no início da
lista AS_PATH antes de ser colocado para o próximo vizinho EBGP.
BGP

• O atributo NEXT_HOP indica o endereço IP que deve ser usado para chegar ao próximo salto
• Para originadas no roteador local o next hop is 0.0.0.0
• O endereço IP é o ponto de entrada do próximo AS ao longo do caminho para que se chegue a rede de
destino.
• Portanto, para EBGP, o endereço do próximo salto é o endereço IP do vizinho
• que enviou a atualização.
BGP

• O atributo ORIGEM define a origem do anúncio de rede, a origem pode ser :
• IGP :
• Rede originada internamente ao AS que enviou o anúncio, é indicada com um "i" na tabela BGP.
• EGP:
• (Obsoleto) A rede é aprendido através EGP, que é considerado um protocolo de roteamento histórico e
não é compatível com o Internet, é indicado com um "e" na tabela BGP.
• incompleto:
• A origem da rede é desconhecida ou é aprendida através de outros meios e geralmente ocorre quando
uma rota é redistribuída no BGP, é indicado com o sinal "?" Na tabela BGP.
BGP

• Atributo LOCAL_PREF
• Roda internamente na AS.
• Não é passado para os peers EBGP e Informa no AS qual o melhor caminho
• para sair do AS.
• Um caminho com Local preference maior é preferido. Default Cisco = 100.
• Os roteadores A e B são vizinhos IBGP no AS 64520 e ambos recebem
• atualizações sobre a rede 172.16.0.0 por diferentes caminhos.
• O Local Preference no roteador A está definido para 200.
• O Local Preference no router B está definido para 150.
BGP •
•
Como o Local Preference para o roteador A é maior, ele será selecionado como
o ponto de saída preferido pelo AS 64520.

• O atributo community possibilita que prefixos sejam agrupados de forma que
• possam receber o mesmo tratamento por um vizinho que receba tais prefixos.
• Um grupo de prefixos que possuem as mesmas propriedades podem ser marcados com a mesma
community e pode-se por exemplo tomar decisões de roteamento para o grupo todo de prefixos, sem a
necessidade de avaliar um a um.
• Provedores de Serviço utilizam essas marcações para aplicar políticas de roteamento específicas em
suas redes, por exemplo alterando o Local Preference, MED ou Weight.
• Communities pré definadas:
• No-Export : Não faz anúncio aos eBGP peers.
BGP • No-Advertise : Não faz anúncio para nenhum peer.

• No-Export-Subconfed : Não faz anúncio para fora do sub-as, usado
• somente quando se trabalha com confederation.

• Atributo Multiple Exit Discriminator (MED) , também chamado de métrica, fornece uma “dica” para os
vizinhos externos sobre o caminho preferido em um AS que tem mais que um ponto de entrada.
• O menor valor de MED será o caminho preferido.
• MED é enviado para EBGP peers e é propagado somente para os demais roteadores internos a esse
AS, o atributo não é enviado a outros peers EBGP.
• Usando o atributo MED o BGP é o único protocolo que pode afetar a forma de
• encaminhamento do tráfego entrante em um AS.
• Roteadores B e C incluem um atributo MED nos anúncios para o roteador A.
• Router B envia o anúncio da rede 172.20.0.0 com MED 150.
BGP •
•
Router C envia o anúncio da rede 172.20.0.0 com MED 200.
Router A irá escolher o roteador B como melhor caminho devido ao menor valor do MED.

• A tabela de encaminhamento BGP pode ter vários caminhos a escolher para cada rede.
• BGP não foi projetado para realizar o balanceamento de carga automaticamente
• Os caminhos são escolhidos por alguma política e não por características dos links
• O processo de seleção BGP elimina quaisquer múltiplos caminhos através de comparações até que
um único melhor caminho seja selecionado e este será então oferecido para a tabela de rotas.
BGP
NETFLOW IPFIX
CONTROLPLANE E DATAPLANE - SOFT-ROUTER X ROUTER.
EM CENÁRIOS VIA SOFT-ROUTER TODOS OS RECURSOS DO PLANO DE CONTROLE ( TRAFEGO DE REDE EX )

SÃO PROCESSADOS PELO MESMO RECURSO DO CONTROL PLANE, OU SEJA, SE A CPU ALCANÇAR 100%
IRÁ AFETAR DIRETAMENTE O FLUXO DA REDE.
BGP EM ROTEAMENTO VIA ROUTER OS RECURSOS SÃO SEGMENTADOS EM CONTROL-PLANE E DATA-PLANE,

ONDE MESMO SE A CPU DO PLANO DE CONTROLE CHEGAR AO SEU LIMITE NÃO IRÁ AFETAR O FLUXO DA
REDE, POIS O PLANO DE DADOS FOI PROGRAMADO EM UM HARDWARE TOTALMENTE SEPARADO.
https://www.oreilly.com/library/view/cisco-networks engineers/9781484208595/9781484208601_Ch11.xhtml..
NETFLOW IPFIX
• BGPMON (HTTPS://WWW.BGPMON.NET/)
• BGPLAY (HTTPS://BGPLAYJS.COM/?SECTION=BGPLAY)
• RIPESTAT (HTTPS://STAT.RIPE.NET/APP/LAUNCHPAD)
• LOOKING GLASS E BGP TOOLKIT (HTTPS://BGP.HE.NET/)
• PEERINGDB (HTTPS://WWW.PEERINGDB.COM/)
• IRR (HTTPS://BGP.NET.BR/)
BGP •
•
TEAM CYMRU (HTTPS://TEAM-CYMRU.COM/)
BGP ALERTER (HTTPS://GITHUB.COM/NTTGIN/BGPALERTER)
• SPOOFER CAIDA (HTTPS://WWW.CAIDA.ORG/PROJECTS/SPOOFER/)
• HTTPS://WWW.CISCO.COM/C/PT_BR/SUPPORT/DOCS/IP/IP-VERSION-6-IPV6/113489-IPV6-PFL-NEW-00.PDF
• HTTPS://WWW.NIC.BR/MEDIA/DOCS/PUBLICACOES/13/FASCICULOS-SOBRE-A-INFRAESTRUTURA-DA-
INTERNET-ENDERE%C3%A7OS-IP-E-ASNS-ALOCACAO-PARA-PROVEDORES-INTERNET.PDF
• HTTPS://SEMANACAP.BCP.NIC.BR/FILES/APRESENTACAO/ARQUIVO/1208/FERRAMENTAS%20MONITORAM
ENTO%20(5).PDF
https://wiki.brasilpeeringforum.org/w/MANRS

1989 - RFC 1105 - A Border Gateway Protocol (BGP);
1994 - RFC 1654 - A Border Gateway Protocol 4 (BGP-4);
2011 - RFC 6286 - Autonomous-System-Wide Unique BGP Identifier for BGP-4;
2012 - RFC 6608 - Subcodes for BGP Finite State Machine Error;
2012 - RFC 6793 - BGP Support for Four-Octet Autonomous System (AS) Number Space;
2015 - RFC 7606 - Revised Error Handling for BGP UPDATE Messages;
BGP
Sessão BGP
Origem
BGP prefixos
Filtros BGP
Princípios
Protocolo
OBRIGADO
@RAPHAELISPCONNECT
WWW.RAPHAELISP.COM.BR
BGP
DO ABSOLUTO ZERO
PARA PROVEDORES ISP
https://flowspec.net.br/
Flowspec Soluções em Mitigação DDoS, Link IP, Transportes LantoLan,
Consultoria SOC, Consultoria em Redes.
OLÁ,TUDO BEM?
EU SOU O RAPHAEL
CEO/CTO Flowspec
Acompanho a evolução do mundo digital voltado para o segmento de
infra estrutura e provedores de internet ISP, posso dizer ainda que sou
pai, marido, nerd, apaixonado por surf, Jiu-Jutsu, Linux e tudo que
envolve o mundo digital.
Algumas certificações: ZCS, CCIE, HCIP, LPI lll, ITIL 4 Foundation, CobiT
5 Foundation, ISO/IEC 20000 Foundation.
@RAPHAELISPCONNECT
YOUTUBE.COM/@RAPHAELISP
BGP BEGIN
LABS
PEERING BGP
Sessão BGP
Origem
BGP prefixos
Filtros BGP
Princípios
Protocolo
PEERING BGP
External BGP
Quando BGP neighbors pertencem
a diferentes sistemas autônomos
são
chamados EBGP.
BGP
Internal BGP
Quando BGP neighbors pertencem ao
mesmo sistema autônomo são
chamados IBGP.
PEERING BGP
Primeiro acesso, criação de um usuário e liberação de acesso via ssh;
• Criação do primeiro usuário;;
aaa
local-user usuario password cipher senha
local-user usuario service-type ssh
local-user usuario privilege level 15
#
• Liberação de acesso via ssh
ssh user usuario
BGP
ssh user usuario authentication-type password
ssh user usuario service-type stelnet
VRP - Versatilie Routing Protocol

• Configurações gravadas:
• current-configuration (RAM)
• saved-configuration (NVRAM)
• Comandos básicos:
• Display = mostra informações referente a uma sessão ditada
• Undo – desfaz uma configuração
• Quit = retorna um nível da sessão
• Return = retorna ao modo user-view(somente leitura) - <Huawei>
• System-view = ingressa em modo admistrador - [Huawei]
www.raphaelisp.com.br • Save = salva configuração na NVRAM
• Reset saved-configuration = limpa as configurações da NVRAM
• Requer um reboot para efetivar a limpeza de configuração da RAM
PEERING BGP

Exemplos de comandos:
• disp cu interface g0/0/1 = mostra configuração da interface g0/0/1
• disp router id = mostra o router id
• disp ip int br | e una = mostra somente ips configurados no router
• display this = mostra o que esta configurado dentro da sessão vigente
• disp cu | b ospf = mostra configuração a partir da linha do ospf
• disp cu | i vlan = mostra todas linhas de configuração relacionadas a vlan
• disp cu conf bgp = mostra as configurações da sessãp BGP
BGP No Huawei há dois modos basicamente

• <hostname>
• Equivalente ao modo privilegiado do Cisco IOS
• [hostname]
• Equivalente ao modo de configuração global do Cisco IOS
<AS-1-R1>display current-configuration
!Software Version V500R001C10
#
sysname AS-1-R1
#
undo l2tp sendaccm enable
l2tp domain suffix-separator @
#
undo telnet ipv6 server enable
PEERING BGP

Para aplicar algumas configurações, é necessário navegar através de diretórios como no IOS-XE
[AS-1-R1]interface GigabitEthernet 0/0/0
[AS-1-R1-GigabitEthernet0/0/0]ip address 100.1.1.2 30
➔ É possível visualizar as configurações do diretório atual

[AS-1-R1-GigabitEthernet0/0/0]display this
#
interface GigabitEthernet0/0/0
description TRANSITO-AS-100
BGP undo shutdown

ip address 10.1.1.2 255.255.255.252
MODOS DE SALVAR CONFIGURAÇÃO
<AS-1-R1>save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]
Error: Please choose 'YES' or 'NO' first before pressing 'Enter'. [Y/N]:y
Now saving the current configuration to the slot 0.
Save the configuration successfully.
PEERING BGP
!-- Dentro do modo system-view
[AS-1-R1]run save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0.
Save the configuration successfully.
<AS-1-R1>ping 10.1.1.1
PING 1.1.0.100: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=64 time=2 ms
BGP
--- 1.1.0.100 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/2 ms
<AS-1-R1>tracert 123.0.0.1
traceroute to 123.0.0.1(123.0.0.1), max hops: 30 ,packet length: 40,press CTRL_C to break
1 200.1.1.1 2 ms 1 ms 1 ms
2 222.200.2.1 < AS=222 > 2 ms 2 ms 2 ms
3 222.222.1.1 < AS=222 > 2 ms 2 ms 2 ms
www.raphaelisp.com.br 4 123.0.0.1 < AS=123 > 3 ms 2 ms 2 ms
PEERING BGP

# BGP begin
as-notation plain
bgp 8
undo default ipv4-unicast # desativa comportamento legado SAFI ipv4
undo check-first-as # Não verifica AS do port remote no AS-PATH requerido
ipv4-family unicast
preference 20 220 1 # custos like cisco
ipv6-family unicast
BGP preference 20 220 1
LAB 1
HABILITAR
PROCESSO BGP
@RAPHAELISPCONNECT
PEERING BGP
RAPHAEL RODRIGUES ISP bgp 23456

peer 10.99.99.2 as-number 34567
peer 10.99.99.2 description AS34567-PEER-IPV4
peer 10.99.99.2 password simple BGP-RAPHAELRODRIGUES
peer 10.99.99.2 timer connect-retry 1
peer 10.99.99.2 timer keepalive 20 hold 60 #keep alive por 60s antes de derrubar a sessão
peer 10.99.99.2 connect-interface LoopBack0
peer 10.99.99.2 fake-as 65432
peer 10.99.99.2 ignore
peer 10.99.99.2 allow-as-loop # usado quando tem prefixos separados por localidade
peer 10.99.99.2 ebgp-max-hop 255
BGP CONEXÃO
peer 10.99.99.2 connect-only # origem inicia as mensagens de open
peer 10.99.99.2 listen-only # destino inicia as mensagens de open
peer 10.99.99.2 log-change # mudanças no log
peer 10.99.99.2 tracking # rota inalcançável tomba sessão bgp INFORMAÇÃO
peer 10.99.99.2 bfd enable
peer 10.99.99.2 bfd min-tx-interval 100 min-rx-interval 100 detect-multiplier 8
ipv4-family unicast ipv6-family unicast
peer 10.99.99.2 enable peer 2001:db8:1000:cafe::255 enable
peer 10.99.99.2 next-hop-local peer 2001:db8:1000:cafe::255 next-hop-local
peer 10.99.99.2 next-hop-invariable peer 2001:db8:1000:cafe::255 next-hop-invariable
peer 10.99.99.2 advertise-community peer 2001:db8:1000:cafe::255 advertise-community
peer 10.99.99.2 advertise-ext-community peer 2001:db8:1000:cafe::255 advertise-ext-community
peer 10.99.99.2 advertise-large-community peer 2001:db8:1000:cafe::255 advertise-large-community
peer 10.99.99.2 default-route-advertise peer 2001:db8:1000:cafe::255 default-route-advertise
peer 10.99.99.2 route-policy AS34567-IN import peer 2001:db8:1000:cafe::255 route-policy AS34567-IN-v6 import
www.raphaelisp.com.br peer 10.99.99.2 route-policy AS34567-OUT export peer 2001:db8:1000:cafe::255 route-policy AS34567-OUT-v6 export
peer 10.99.99.2 public-as-only peer 2001:db8:1000:cafe::255 public-as-only
peer 10.99.99.2 reflect-client peer 2001:db8:1000:cafe::255 reflect-client
PEERING BGP
RAPHAEL RODRIGUES ISP bgp 65001

peer 10.97.0.2 as-number 4
peer 10.97.0.2 description AS24-NASA-IPV4
peer 10.97.0.2 password simple RAPHAEL-RODRIGUES
peer 2001:db8::2 as-number 4
peer 2001:db8::2 description AS24-NASA-IPV6
peer 2001:db8::2 password simple RAPHAEL-RODRIGUES
ipv4-family unicast
BGP
peer 10.97.0.2 enable
peer 10.97.0.2 next-hop-local
peer 10.97.0.2 route-policy IN import
peer 10.97.0.2 route-policy OUT export
ipv6-family unicast
peer 2001:db8::2 enable
peer 2001:db8::2 next-hop-local
peer 2001:db8::2 route-policy IN-v6 import
peer 2001:db8::2 route-policy OUT-v6 export
PEERING BGP
BGP
PEERING BGP
Regra fundamental do BGP (para evitar loop)
RAPHAEL RODRIGUES ISP O que é recebido de um IBGP NÃO é repassado para outro IBGP
BGP
PEERING BGP
RAPHAEL RODRIGUES ISP LAB 1.0 - Configurando Sessões BGP

#definindo o número do AS
as-notation plain
[AS-10-R1] bgp 10
[AS-10-R1-bgp]
Router-id X.X.X.X
#Configurando sessão BGP de trânsito com AS 600
[AS-10-R1-bgp] peer 10.99.60.254 as-number 600
[AS-10-R1-bgp] peer 10.99.60.254 description TRANSITO-AS600
BGP #Configurando sessão BGP de trânsito com AS 400

[AS-10-R1-bgp] peer 10.99.40.254 description TRANSITO-AS400
#Configurando sessão BGP de troca de tráfego no IX-RJ
[AS-10-R1-bgp] group IX-RJ-ROUTE-SERVERS external
[AS-10-R1-bgp] peer IX-RJ-ROUTE-SERVERS enable
[AS-10-R1-bgp] peer IX-RJ-ROUTE-SERVERS as-number 26162
[AS-10-R1-bgp] peer 45.6.52.253 group IX-RJ-ROUTE-SERVERS
[AS-10-R1-bgp] peer 45.6.52.254 group IX-RJ-ROUTE-SERVERS
#Configurando sessão BGP de looking glass no IX-RJ
[AS-10-R1-bgp] peer 45.6.52.252 description IX-RJ-LG
[AS-10-R1-bgp] return
<AS-10-R1> save
PEERING BGP
RAPHAEL RODRIGUES ISP ipv4-family unicast

peer IX-RJ-ROUTE-SERVERS enable
peer IX-RJ-ROUTE-SERVERS route-policy AS26162-IXBR-RJv4-IN import
peer IX-RJ-ROUTE-SERVERS route-policy AS26162-IXBR-RJv4-OUT export
peer IX-RJ-ROUTE-SERVERS advertise-community
peer IX-RJ-ROUTE-SERVERS advertise-ext-community
peer IX-RJ-ROUTE-SERVERS advertise-large-community
peer 45.6.52.252 group IX-RJ-ROUTE-SERVERS
BGP
PEERING BGP
# Ver sessões BGP

<AS-1-R1>display bgp peer
# Ver tabela BGP

<AS-1-R1>display bgp routing-table
# Ver detalhes de uma rota BGP

<AS-1-R1>display bgp routing-table 123.0.0.0
BGP # Ver rotas anunciadas para um vizinho BGP

<AS-1-R1>display bgp routing-table peer 100.1.1.1 advertised-routes
# Ver rotas recebidas de um vizinho BGP

<AS-1-R1>display bgp routing-table peer 100.1.1.1 received-routes
PEERING BGP
Verificando status das sessões BGP:
RAPHAEL RODRIGUES ISP Cisco IOS
#show ip bgp summary
RouterOS
>routing bgp peer print status
JunOS:
>show bgp summary
Huawei:
>display bgp peer
Verificando rotas recebidas em uma sessão BGP:
Cisco IOS
BGP #show ip bgp neighbors A.B.C.D routes
RouterOS
>ip route print where received-from=NOME_DO_NEIGHBOR
JunOS:
>show route receive-protocol bgp A.B.C.D
Huawei:
>display bgp routing-table peer 100.1.1.1 received-routes
Verificando rotas anunciadas em uma sessão BGP:
Cisco IOS
#show ip bgp neighbors A.B.C.D advertised-routes
RouterOS
>routing bgp advertisements print peer=NOME_DO_NEIGHBOR
JunOS:
>show route advertising-protocol bgp A.B.C.D
Huawei:
>display bgp routing-table peer 100.1.1.1 advertised-routes
PEERING BGP
BGP
PEERING BGP
BGP
LAB 2
ESTABELECER
SESSÃO BGP
@RAPHAELISPCONNECT
PREFIXOS BGP
Sessão BGP
Origem
BGP prefixos
Filtros BGP
Princípios
Protocolo
PREFIXOS BGP

CONTROLPLANE POLITICAS DE ENTRADAd
POLITICAS DE SAIDA
NETWORK
AFI/SAFI IPV4 unicast RIB
AFI/SAFI IPV6 unicast
BGP BANCO DE DADOS

BGP
NETWORK
OSPF Precisa ter rota ativa
UNR
iBGP
Melhores rotas ativas

DATAPLANE FIB
PREFIXOS BGP
RAPHAEL RODRIGUES ISP A origem de prefixos no BGP é a forma como os prefixos oriundos de outras bases de dados
bgp são importadas para dentro do banco de dados (para dentro do SAFI específico);
Rotas originadas BGP - são declaradas dentro do BGP, tem como único pré-requisito a
existência do prefixo na lista de rotas da FIB (rotas ativas na RIB);
Rotas importadas para dentro do BGP de outra RIB:

• import static: importar rotas estáticas ativas;
• import unr: importar rotas de usuários (B-RAS e CGNAT);
BGP • import direct: importar rotas de endereços IPs atribuídos nas interfaces (redes
• diretamente conectadas);
• import ospf: importar rotas do banco de dados do OSPF;
PREFIXOS BGP
RAPHAEL RODRIGUES ISP Rotas originadas BGP SEM ATRIBUTOS:
ip route-static 10.19.18.0 255.255.255.0 NULL0 preference 1

ipv6 route-static 2001:1918:: 29 NULL0 preference 1
bgp 10
ipv4-family unicast
network 10.19.18.0 255.255.255.0
ipv6-family unicast
BGP
network 2001:1918:: 29
display bgp routing-table 10.19.18.0 24

BGP local router ID : 1.2.3.4
Local AS number : 10
Paths: 1 available, 1 best, 1 select
BGP routing table entry information of 10.19.18.0/24:
Network route.
From: 0.0.0.0 (0.0.0.0)
Route Duration: 00h00m14s
Direct Out-interface: NULL0
Original nexthop: 0.0.0.0
Qos information : 0x0
AS-path Nil, origin igp, MED 0, pref-val 0, valid, local, best, select, pre 1
Not advertised to any peer yet
PREFIXOS BGP
RAPHAEL RODRIGUES ISP O comando network importa rotas existentes e tabela de roteamento IP para uma tabela de
roteamento BGP. A rota deve existir na tabela de roteamento IP exatamente como indicado no
comando.
BGP
PREFIXOS BGP
RAPHAEL RODRIGUES ISP Rotas originadas BGP: usando route-policy para preencher atributos do prefixo originado;
atributos: AS-PATH, MED (cost), Communities (standard, extended, larg), origin, next-hop,
local-preference;
ip route-static 10.19.18.0 255.0.0.0 NULL0 preference 1

ipv6 route-static 2001:1918:: 29 NULL0 preference 1
BGP route-policy ORIGIN-V4 permit node 10

apply local-preference 999
apply community 64800:10090 64800:10091 64800:60071
#
route-policy ORIGIN-V6 permit node 10
apply community 64800:10090 64800:10091 64800:60071
#
bgp 10
ipv4-family unicast
network 10.19.18.0 255.0.0.0 route-policy ORIGIN-V4
ipv6-family unicast
network 2001:1918:: 29 route-policy ORIGIN-V6
PREFIXOS BGP
RAPHAEL RODRIGUES ISP Importando prefixos de outras RIBs
route-policy BGP-IMPORT-DIRECT-IPV4 permit node 10

#
route-policy BGP-IMPORT-STATIC-IPV4 permit node 10
#
route-policy BGP-IMPORT-UNR-IPV4 permit node 10
#
BGP
route-policy BGP-IMPORT-DIRECT-IPV6 permit node 10
#
route-policy BGP-IMPORT-STATIC-IPV6 permit node 10
#
route-policy BGP-IMPORT-UNR-IPV6 permit node 10
#
bgp 10
ipv4-family unicast
import direct route-policy BGP-IMPORT-DIRECT-IPV4
import static route-policy BGP-IMPORT-STATIC-IPV4
import unr route-policy BGP-IMPORT-UNR-IPV4
ipv6-family unicast
import direct route-policy BGP-IMPORT-DIRECT-IPV6
import static route-policy BGP-IMPORT-STATIC-IPV6
import unr route-policy BGP-IMPORT-UNR-IPV6
PREFIXOS BGP
RAPHAEL RODRIGUES ISP Importando prefixos de outras RIBs
BGP
PREFIXOS BGP
RAPHAEL RODRIGUES ISP Tome cuidado ao importar rotas de outras RIBs para dentro do BGP, se houver peering com
roteadores que originaram essas rotas em outros protocolos isso pode resultar em loop ou
anulação do status de rota ativa, e causar um flag (flip-flap);
CUIDADO ao utilizar IPs não privados na rede (1.1.1.1, 2.2.2.2, 172.32.x.x, 100.128.x.x) e
acabar importando eles para o BGP e posteriormente para peerings eBGP
BGP
LAB 3
ANUNCIO
PREFIXO BGP
@RAPHAELISPCONNECT
FILTROS BGP
Sessão BGP
Origem
BGP prefixos
Filtros BGP
Princípios
Protocolo
FILTROS BGP
RAPHAEL RODRIGUES ISP Os prefix-list servem para poder fazer match de redes, ou grupos de redes.
Aplicar um deny em um prefixo dentro da prefix-list não deleta a informação, apenas sinaliza
que o prefixo não participa da prefix-list;
Aplicar um permit em um prefixo dentro da prefix-list não permite a informação, apenas
sinaliza que o prefixo participa da prefix-list;
A execução é feita do menor ao maior número de sequência, e também existe um deny
implícito no final.
BGP
FILTROS BGP
BGP
FILTROS BGP
RAPHAEL RODRIGUES ISP ip ip-prefix BGPv4-Block-Prefix index 30 permit 10.0.0.0 8 greater-equal 8 less-equal 32
ip ip-prefix BGPv4-Block-Prefix index 40 permit 100.64.0.0 10 greater-equal 10 less-equal 32
BGP
FILTROS BGP
RAPHAEL RODRIGUES ISP ip ipv6-prefix BGPv6-Permit-Prefix index 10 permit 2001:200:: 23 greater-equal 23 less-equal 128
ip ipv6-prefix BGPv6-Permit-Prefix index 20 permit 2001:400:: 22 greater-equal 22 less-equal 128
ip ipv6-prefix BGPv6-Permit-Prefix index 40 permit 2001:C00:: 22 greater-equal 22 less-equal 128
ip ipv6-prefix BGPv6-Permit-Prefix index 80 permit 2001:1C00:: 22 greater-equal 22 less-equal 128
BGP ip ipv6-prefix BGPv6-Permit-Prefix index 110 permit 2001:3800:: 22 greater-equal 22 less-equal 128
ip ipv6-prefix BGPv6-Permit-Prefix index 140 permit 2001:4C00:: 23 greater-equal 23 less-equal 128
ip ipv6-prefix BGPv6-Permit-Prefix index 170 permit 2003:: 18 greater-equal 18 less-equal 128
ip ipv6-prefix BGPv6-Permit-Prefix index 230 permit 2A00:: 12 greater-equal 12 less-equal 128
ip ipv6-prefix BGPv6-Permit-Prefix index 240 permit 2C00:: 12 greater-equal 12 less-equal 128
FILTROS BGP
RAPHAEL RODRIGUES ISP DECLARAR ROUTE-POLICY É O SEGREDO PARA FILTRAR QUAIS ROTAS DESEJA
IMPORTAR E/OU PROPAGAR...
route-policy NOME-DA-ROUTE-POLICY-AQUI permit node 110

if-match ip-prefix INTERNET-IPV4
if-match ip-prefix GATEWAY-IPV4
if-match ipv6 address prefix-list INTERNET-IPV6
if-match ipv6 address prefix-list GATEWAY-IPV6
BGP
if-match community-filter 110
if-match community-filter BACKBONE-ROUTE
if-match as-path-filter AS-PATH-FACEBOOK
if-match as-path length greater-equal 0 less-equal 16
apply cost 20
apply community 64800:20000 64800:20010
apply extcommunity rt 64800:20000 rt 64800:20010
apply as-path 64800 64800 64800 additive
apply as-path none overwrite
apply ip-address next-hop 198.18.0.2
apply ip-address next-hop peer-address
apply ipv6 next-hop 2001:db8:ffff:f666::2
apply ipv6 next-hop peer-address
#
FILTROS BGP
RAPHAEL RODRIGUES ISP Verificações e Alterações
(if-match):
Se o prefixos estão contido em uma prefix-list;
Verificar tags, communities, as-path, interface, preferência, mac, rpki;
Verificar se outra route-map autoriza a informação;
Se constarem múltiplas verificações de match, aplicado lógica AND;
BGP
Regra sem match submetem todas os atributos a ação da regra, e as próximas regras não
serão processadas;
(apply):
Alterar as-path, adicionar/apagar communities, alterar next-hop, métrica;
on-match goto - on-match next: jump para uma regra específica no índice da route-map;
FILTROS BGP
BGP
FILTROS BGP
RAPHAEL RODRIGUES ISP Todo AS de trânsito tem a obrigação de cuidar para que seus clientes, que também são
Sistemas Autônomos, não façam anúncios errados para a Internet.
Quando isso ocorre e o anúncio passa, acontece o que chamamos de Hijack (sequestro) de IP,
derrubando todos os Sistemas Autônomos envolvidos no prefixo anunciado erradamente;
Route policy servem para o BGP controlar e modificar atributos de roteamento e também
definir as condições da propagação de rotas;
BGP
Uma Route- policy é um conjunto de regras que verificam características dos atributos BGP;
São utilizadas por todos os clientes bgp para tratar atributos durante os estágios de
importação, exportação e transações entre RIBs;
Route- policy são default-deny, se um atributo for processada por uma route-map e nenhuma
regra permitir explicitamente o atributo, ocorre o descartada do fluxo:
#
FILTROS BGP
BGP
FILTROS BGP
RAPHAEL RODRIGUES ISP route-policy AS26162-IXBR-SPv4-IN deny node 10

if-match ip-prefix BGPv4-Block-Prefix
#
route-policy AS26162-IXBR-SPv4-IN deny node 20
if-match extcommunity-filter AS2400
#
BGP
#
route-policy AS26162-IXBR-SPv4-IN permit node 100
#
route-policy AS26162-IXBR-SPv4-OUT permit node 10
if-match ip-prefix MEUBLOCO
apply extcommunity rt 65000:400 rt 65000:600 additive
#
route-policy AS26162-IXBR-SPv4-OUT deny node 100
FILTROS BGP
RAPHAEL RODRIGUES ISP route-policy AS26162-IXBR-SPv6-IN deny node 10

if-match ipv6 address prefix-list BGPv6-Block-Prefix
#
#
BGP
#
route-policy AS26162-IXBR-SPv6-IN permit node 100
if-match ipv6 address prefix-list BGPv6-Permit-Prefix
#
route-policy AS26162-IXBR-SPv6-OUT permit node 10
if-match ipv6 address prefix-list BGPv6_MEUBLOCO
apply extcommunity rt 65000:400 rt 65000:600 additive
#
route-policy AS26162-IXBR-SPv6-OUT deny node 100
LAB 4
APPLY POLITICA
ROTEAMENTO BGP
@RAPHAELISPCONNECT
FILTROS BGP
RAPHAEL RODRIGUES ISP Configurando sessões BGP com clientes de trânsito

[AS-10-R1] ip ip-prefix BLOCOS-CLIENTE permit 10.55.XX.0 22 less-equal 24
[AS-10-R1] route-policy CLIENTE-TRANSITO-IN permit node 10

[AS-10-R1-route-policy] if-match ip-prefix BLOCOS-CLIENTE
[AS-10-R1-route-policy] apply local-preference 350
[AS-10-R1-route-policy] quit
BGP
[AS-10-R1] route-policy TRANSITO-AS-400-OUT permit node 20
[AS-10-R1] route-policy TRANSITO-AS-600-OUT permit node 20

[AS-10-R1] route-policy IX-SP-OUT permit node 20

[AS-10-R1-route-policy] return
<AS-10-R1> save
FILTROS BGP
RAPHAEL RODRIGUES ISP #Configurando sessão BGP do cliente de trânsito

[AS-10-R1] bgp 10
[AS-10-R1-bgp] peer 10.110.1.2 description CLIENTE-TRANSITO
[AS-10-R1-bgp] ipv4-family unicast
[AS-10-R1-bgp] peer 10.110.1.2 default-route-advertise
[AS-10-R1-bgp] peer 10.110.1.2 route-policy CLIENTE-TRANSITO-IN import
[AS-10-R1-bgp] peer 10.110.1.2 route-policy CLIENTE-TRANSITO-OUT export
BGP
[AS-10-R1-bgp] return
<AS-10-R1> save
LAB 5
SESSÃO BGP
CLIENTE TRANSITO
@RAPHAELISPCONNECT
FILTROS BGP

COMMUNITIES:
Atributo opcional e intransitivo e são meios de rotular rotas com o objetivo de assegurar
filtros consistentes e políticas de seleção de rotas.
Qualquer roteador BGP pode rotular os updates de rotas que entram e ou que saem.
Qualquer roteador BGP pode filtrar rotas que entram e ou que saem ou selecionar rotas
preferenciais, baseadas em communities.
Provedores de Serviço utilizam essas marcações para aplicar políticas de roteamento
específicas em suas redes, por exemplo alterando o Local Preference, MED ou Weight.
BGP Standard: número de 32 bits divididos em 2 partes de 16 bits cada;

Ex.: 0:65536, 65536:65536, 64888:50101
Extended: possui um tipo (RT=router-target, SOO=site-of-origin) e um número de 48 bits

(16+32 ou 32+16 ou 16+16+16);
Ex.: RT 0:65536, RT 65536:65536, RT 64888:50101, RT 64888:4200111222;
Large: community numérica de 96 bits (32+32+32);

Ex.: 0:65536:999, 65536:65536:1, 64888:50101:666, 4200111222:4200111222:4200111222;
Communities pré definadas:
- No-Export : Não faz anúncio aos eBGP peers.
- No-Advertise : Não faz anúncio para nenhum peer.
- No-Export-Subconfed : usado somente quando se trabalha com confederation
FILTROS BGP
BGP
FILTROS BGP

[AS-10-R1] ip community-filter basic CLIENTES permit 10:1
[AS-10-R1] ip community-filter basic NO-EXPORT-AS-600 permit 10:10

[AS-10-R1] ip community-filter basic PREPEND-1X-AS-600 permit 10:11
[AS-10-R1] ip community-filter basic NO-EXPORT-AS-400 permit 10:20
BGP
[AS-10-R1] ip community-filter basic NO-EXPORT-IX-SP permit 10:30

[AS-10-R1] ip community-filter basic PREPEND-1X-IX-SP permit 10:31
FILTROS BGP

[AS-10-R1] route-policy TRANSITO-AS-600-OUT deny node 10
[AS-10-R1-route-policy] if-match community-filter NO-EXPORT-AS-600
[AS-10-R1-route-policy] route-policy TRANSITO-AS-600-OUT permit node 20
[AS-10-R1-route-policy] if-match community-filter PREPEND-1X-AS-600
[AS-10-R1-route-policy] apply as-path 10 additive
[AS-10-R1-route-policy] apply as-path 10 10 additive
BGP
[AS-10-R1-route-policy] apply as-path 10 10 10 additive
[AS-10-R1-route-policy] if-match community-filter CLIENTES
FILTROS BGP

[AS-10-R1] route-policy TRANSITO-AS-400-OUT deny node 10
[AS-10-R1-route-policy] if-match community-filter NO-EXPORT-AS-400
BGP
FILTROS BGP

[AS-10-R1] route-policy IX-SP-OUT deny node 10
[AS-10-R1-route-policy] if-match community-filter NO-EXPORT-IX-SP
[AS-10-R1-route-policy] route-policy IX-SP-OUT permit node 20
[AS-10-R1-route-policy] if-match community-filter PREPEND-1X-IX-SP
BGP
[AS-10-R1] route-policy CLIENTE-TRANSITO-IN permit node 10
[AS-10-R1-route-policy] apply community 10:1 10:23 10:30
[AS-10-R1] run save
FILTROS BGP

[
BGP
FILTROS BGP

A RFC 1998 serviu como inspiração para que o uso de communities nas políticas fosse
largamente utilizado pelos ISP’s.
Não existe uma padronização para o uso das communities nos ISP’s mas as “boas práticas de
BGP” ditam que elas devem ser utilizadas para facilitar multihoming e engenharia de tráfego.
Uma lista com a definição e uso de communities dos principais ISP’s, pode ser vista em
http://www.onesc.net/communities/
BGP
Normalmente também pode-se encontrar as communities e respectivas políticas nos sites das
operadoras e ISP’s de trânsito.
LAB 6
APPLY POLITICA
COMMUNITIES BGP
@RAPHAELISPCONNECT
FILTROS BGP

Expressões Regulares usadas no BGP - Significado dos caracteres
BGP
FILTROS BGP

Expressões Regulares usadas no BGP - Significado dos caracteres
BGP
FILTROS BGP

A tabela abaixo apresenta as expressões mais utilizadas.
BGP
FILTROS BGP

# Definiçãoo de Listas
ip ip-prefix GATEWAY-IPV4 index 5 permit 0.0.0.0 0
ip ip-prefix INTERNET-IPV4 index 5 permit 0.0.0.0 0 greater-equal 8 less-equal 24
ip ip-prefix NASA-IPV4 index 5 permit 198.10.0.0 16 greater-equal 16 less-equal 24
ip ipv6-prefix GATEWAY-IPV6 index 5 permit :: 0

ip ipv6-prefix INTERNET-IPV6 index 5 permit 2000:: 3 greater-equal 3 less-equal 48
ip ipv6-prefix NASA-IPV6 index 5 permit 2001:4d0:108:: 48 greater-equal 48 less-equal 48
BGP # Definição de AS-PATH-FILTER

ip as-path-filter AS400 permit ^400$
ip as-path-filter AS600 permit ^600$
ip as-path-filter AS600 permit ^(600_)+600$
# Definição de Community
ip community-filter 111 permit 64888:111
ip community-filter BLACKHOLE permit 64888:666
ip community-filter TRANSIT-ALL permit 64888:171
LAB 7
APPLY POLITICA
REGULAR EXP. BGP
@RAPHAELISPCONNECT
FILTROS BGP

CONFIGURAÇÃO DA POLITICA DE EXPORT
Anúncios mais específicos para IXs Locais
Anúncios menos específicos para Operadora de Trânsito
Anúncios iguais aos de Operadora para IXs Internacionais
CONFIGURAÇÃO DA POLITICA DE IMPORT

Priorizar encaminhamento para IXs Locais LOCAL PREFERENCE 500
Menor Prioridade para Operadora de Trânsito
BGP
LOCAL PREFERENCE 200
Prioridade iguais aos de Operadora para IXs Internacionais
LOCAL PREFERENCE 200
Evite que coisas estranhas sejam enviadas ao PTT:–BDPUs (spanning tree e similares)–CDP
(Cisco discover protocol)–MNDP (Mikrotik discover protocol)–IGPs (OSPF, ISIS)–RA IPv6–
Proxy ARP habilitado (Cisco principalmente)–Recursos de rádios em bridge no acesso.
FILTROS BGP

policies Inbound
Descarte (drop) de recebimento de rotas contendo prefixos bogons, martians e não alocados.
Descarte (drop) de recebimento de quaisquer prefixos contendo listas de irregulares do
atributo AS_PATH.
Descarte (drop) de recebimento de prefixos IP dos próprios blocos do
Provedor (route security).
Descarte (drop) de recebimento de prefixos de clientes do Provedor,
assim como de clientes dos clientes do Provedor.
BGP
Recebimento (accept) de toda tabela rotas da Internet.
policies Outbound
O não repasse (drop) de quaisquer prefixos que tenham sido aprendidos via outras sessões
de trânsito.
O não repasse (drop) de quaisquer prefixos que tenham aprendidos via sessões de peering.
O não repasse (drop) de quaisquer prefixos que tenham sido eventualmente aprendidos por
sessões com CDNs.
O repasse (anúncio) apenas de prefixos de clientes do Provedor, contemplando também, onde
aplicável, os clientes dos clientes do Provedor.
Permitir acordos de black hole (por RTBH) com o Provedor e seus upstreams.
Permitir mitigação de blocos IPv4 e IPv6 de clientes um upstream de mitigação.
FILTROS BGP

Evite que coisas estranhas sejam enviadas ao PTT:–BDPUs (spanning tree e similares)–CDP
(Cisco discover protocol)–MNDP (Mikrotik discover protocol)–IGPs (OSPF, ISIS)–RA IPv6–
Proxy ARP habilitado (Cisco principalmente)–Recursos de rádios em bridge no acesso.
Possuir IRR - PeeringDB - RPKI

Antes de estabelecer a sessão BGP com o Route-Server do IX ou Transito IP, o Sistema
Autonomo deve possuir uma cadastro atualizado em um Internet Routing Registry (IRR) e
informar o AS-MACRO (AS-SET),para que o IX faça a criação/atualização dos filtros de
BGP
prefixos;
Deve ainda possuir cadastro no peeringDB.

Validação de anúncios de rotas via protocolo BGP.
FILTROS BGP
Sessão BGP
Origem
BGP prefixos
Filtros BGP
Princípios
Protocolo
POLITICAS BGP

A política de troca de informações:
IMPORTAÇÃO: quais informações posso receber para transformá-las em rotas de decisão no
meu roteador.
EXPORTAÇÃO: quais informações da minha base posso enviar para os vizinhos e induzir a
decisão de roteamento deles.
Política INCLUSIVA:
BGP
Rejeitar algumas informações.
Aceitar o resto.
Política EXCLUSIVA:
Aceitar informações específicas.
Rejeitar o resto.
POLITICAS BGP

Peering single-homed: quando um AS possui apenas 1 upstream (1 link).
Política de importação: exclusiva, receber somente gateway padrão e

descartar o resto.
Política de exportação: exclusiva, enviar somente prefixos originados e

descartar o resto.
BGP
Peering multi-homed: quando um AS possui apenas 2 upstreams (2 links).
Política de importação:
A - Inclusiva: receber full-route em ambos os links para determinar melhor rota de upload.
B - Exclusiva: receber somente prefixos próximos (as-path-length entre 1 e 3), aceitar gateway
padrão de ambos os links, rejeitar o resto.
Política de exportação exclusiva:

Enviar /22 para ambos os links como controle de redundância.
Enviar prefixos específicos (23 ~ 24) para cada link como controle de download.
POLITICAS BGP

Peering multi-homed: quando um AS possui apenas 2 upstreams (2 links).
Rotas de UPLOAD são definidas pelas rotas recebidas;

Rotas de DOWNLOAD são escolhidas por ASNs acima, baseado-se eles nos anúncios de
prefixos que você fez e se eles aceitaram!
Roteadores não escolhem "caminho":

Como todo protocolo de roteamento IP, cada roteador tem poder apenas para escolher o
BGP
próximo salto (decisão de envio), ao transmitir o pacote IP pela interface o "poder" sobre o
pacote é perdido.
Pacotes IPs não tem controle remoto;

Pacotes IPs não tem uma "linha para puxar":
Traceroute é uma ferramenta que mais atrapalha que ajuda;
Apenas o caminho de UPLOAD (rotas recebidas) é exibido;

Ping da borda usando IP da WAN é perda de tempo;
Use sempre: "ping -a x.x.x.x d.d.d.d", onde x.x.x.x é um IP do seu AS e d.d.d.d é o ip de

destino a testar
POLITICAS BGP

Senhas entre os peers não conferem.
Usuário dedo gordo, erra a digitação de algum IP, AS (80% dos casos).
Firewall/ACL/Filtro impede a conexão TCP na porta 179.
Endereço IPv4 ou IPv6 atribuído na interface/vlan errada.
Switch no meio do caminho não passa a VLAN.
PTT errou configuração do lado deles.
MTU de interfaces no transporte alterados.
Engenheiro da operadora irritadinho porque descobriu que fez merda.
BGP Não aceitar as regras do BGP;

Não aceitar a natureza assíncrona dos caminhos percorridos pelo pacote IP enviado e pelo
pacote IP recebido;
PRECISAMOS ENTENDER QUE...

Você não tem poder sobre os roteadores dos outros ASNs;
Você nunca conseguirá resolver um problema que não está na sua INFRAESTRUTURA.
OBRIGADO
@RAPHAELISPCONNECT

BGP Apostila Final

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

BGP Apostila Final

Enviado por

Direitos autorais:

Formatos disponíveis

RAPHAEL RODRIGUES ISP

Algumas certificações: ZCS, CCIE, HCIP, LPI lll, ITIL 4 Foundation,

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

BGP Esse roteamento é executado por ex roteador de rede.

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

BGP RIRs administram os números de AS entre 1 e 64512.

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

Network Next Hop Metric LocPrf Weight Path

RAPHAEL RODRIGUES ISP

Mensagens de keepalive periódicas são trocadas para verificar a conectividade TCP.

BGP saltos (tamanho do AS-PATH)

RAPHAEL RODRIGUES ISP

Router information base (RIB)

Network Next Hop Metric LocPrf Weight Path

RAPHAEL RODRIGUES ISP

AFI - Address Family Information - : familias de endereços IPv4, IPv6;

RAPHAEL RODRIGUES ISP

iBGP – Peering entre roteadores do mesmo AS.

BGP RR são usados para evitar o Full mesh.

RAPHAEL RODRIGUES ISP

BGP MENSAGEM NOTIFICATION

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

• Conhecidos discricionários (Well-known discretionary): Semelhantes aos obrigatórios, porém não

Um atributo consiste em três campos:

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

BGP • No-Advertise : Não faz anúncio para nenhum peer.

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

EM CENÁRIOS VIA SOFT-ROUTER TODOS OS RECURSOS DO PLANO DE CONTROLE ( TRAFEGO DE REDE EX )

BGP EM ROTEAMENTO VIA ROUTER OS RECURSOS SÃO SEGMENTADOS EM CONTROL-PLANE E DATA-PLANE,

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP

VRP - Versatilie Routing Protocol

RAPHAEL RODRIGUES ISP

BGP No Huawei há dois modos basicamente

RAPHAEL RODRIGUES ISP

➔ É possível visualizar as configurações do diretório atual

BGP undo shutdown

MODOS DE SALVAR CONFIGURAÇÃO

RAPHAEL RODRIGUES ISP

BGP preference 20 220 1

RAPHAEL RODRIGUES ISP bgp 23456

RAPHAEL RODRIGUES ISP bgp 65001

RAPHAEL RODRIGUES ISP

RAPHAEL RODRIGUES ISP LAB 1.0 - Configurando Sessões BGP

BGP #Configurando sessão BGP de trânsito com AS 400

RAPHAEL RODRIGUES ISP ipv4-family unicast

RAPHAEL RODRIGUES ISP

# Ver sessões BGP

# Ver tabela BGP