Az internet ökoszisztémája és evolúciója

Hasonló dokumentumok
Az internet ökoszisztémája és evolúciója

Az internet ökoszisztémája és evolúciója

Az internet ökoszisztémája és evolúciója. Gyakorlat 4

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT október 29. HSNLab SINCE 1992

Az internet ökoszisztémája és evolúciója. Gyakorlat 4

Routing update: IPv6 unicast. Jákó András BME EISzK

IP alapú kommunikáció. 5. Előadás Routing 2 Kovács Ákos

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Hálózati Technológiák és Alkalmazások

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Hálózati Technológiák és Alkalmazások

Az internet ökoszisztémája és evolúciója. Gyakorlat 3

Az internet ökoszisztémája és evolúciója

Az internet ökoszisztémája és evolúciója. Gyakorlat 6

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Kelenföldi Szilárd

Routing update: 32 bites AS azonosítók. Jákó András BME

Az internet ökoszisztémája és evolúciója

Az internet ökoszisztémája és evolúciója

IPv6 Elmélet és gyakorlat

2011 TAVASZI FÉLÉV 3. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM. IP címzés. Számítógép hálózatok gyakorlata

1. Mit jelent a /24 címmel azonosított alhálózat?

IP anycast. Jákó András BME TIO

Az internet ökoszisztémája és evolúciója. Gyakorlat 2

Hálózati beállítások Készítette: Jámbor Zoltán 2016


IP alapú kommunikáció. 4. Előadás Routing 1 Kovács Ákos

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Supák Zoltán

Routing IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el

Hálózati Technológiák és Alkalmazások

Hálózati architektúrák laborgyakorlat

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Routing. Számítógép-hálózatok. Dr. Lencse Gábor. egyetemi docens Széchenyi István Egyetem, Távközlési Tanszék

Hálózati architektúrák és Protokollok PTI 5. Kocsis Gergely

Hálózati architektúrák és Protokollok Levelező II. Kocsis Gergely

IP multicast routing napjainkban. Jákó András BME EISzK

Hálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. Kocsis Gergely, Supák Zoltán

SZAKDOLGOZAT. Dobos Gábor

Hálózatok építése és üzemeltetése

FORGALOMIRÁNYÍTÓK. 6. Forgalomirányítás és irányító protokollok CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

Department of Software Engineering

VIII. Mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

Hálózati architektúrák és Protokollok PTI 6. Kocsis Gergely

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata

1. Forgalomirányítók konfigurálása

Hálózati architektúrák és Protokollok GI 7. Kocsis Gergely

Változások a Sulinet szűrési szabályokban

CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

6. Forgalomirányítás

NIIF IPv6 szolgáltatás: Mikor?

Hálózati architektúrák és Protokollok GI 8. Kocsis Gergely

Hálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter Zámbó Marcell

Internet Protokoll 6-os verzió. Varga Tamás

Hálózati réteg - áttekintés

CSOMAGSZŰRÉS CISCO ROUTEREKEN ACL-EK SEGÍTSÉGÉVEL PACKET FILTERING ON CISCO ROUTERS USING ACLS

Címzés IP hálózatokban. Varga Tamás

Forgalomirányítás, irányító protokollok (segédlet az internet technológiák 1 laborgyakorlathoz) Készítette: Kolluti Tamás RZI3QZ

Hálózati architektúrák laborgyakorlat

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

III. előadás. Kovács Róbert

Az RSVP szolgáltatást az R1 és R3 routereken fogjuk engedélyezni.

Sávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

Advanced PT activity: Fejlesztési feladatok

IPv6 alapok, az első lépések. Kunszt Árpád Andrews IT Engineering Kft.

WorldSkills HU 2008 döntő Packet Tracer

FORGALOMIRÁNYÍTÓK. 7. Távolságvektor alapú forgalomirányító protokollok CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Újdonságok Nexus Platformon

Dinamikus routing - alapismeretek -

az egyik helyes választ megjelölte, és egyéb hibás választ nem jelölt.

13. gyakorlat Deák Kristóf

Department of Software Engineering

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Internet ROUTER. Motiváció

Számítógép-hálózatok 10. gyakorlat Network Address Translation Bordé Sándor

Heterogén MPLS hálózat QoS alkalmazásával

5. Hálózati címzés. CCNA Discovery 1 5. fejezet Hálózati címzés

Az 1. ábrán látható értékek szerint végezzük el az IP-cím konfigurációt. A küldő IP-címét a következő módon tudjuk beállítani:

Tartalom. Router és routing. A 2. réteg és a 3. réteg működése. Forgalomirányító (router) A forgalomirányító összetevői

A kapcsolás alapjai, és haladó szintű forgalomirányítás. 1. Ismerkedés az osztály nélküli forgalomirányítással


Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Hálózatok építése és üzemeltetése

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

FORGALOMIRÁNYÍTÓK. 11. Hozzáférési listák (ACL-ek) CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Felhő alapú hálózatok (VITMMA02) Hálózati megoldások a felhőben

TECHNICOLOR TC cable-wifi gateway

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT november 5. HSNLab SINCE 1992

A magyar felsőoktatási intézmények IKT infrastruktúra kihívásai és megoldásai 2015-től

routing packet forwarding node routerek routing table

20 bájt 8 bájt. IP fejléc UDP fejléc RIP üzenet. IP csomag UDP csomag

8. A WAN teszthálózatának elkészítése

Számítógépes Hálózatok GY 8.hét

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Hálózati hibakezelés menete az NIIF Intézetnél XI.06. XIII. HBONE Workshop Balatongyörök. Mácsai Gábor Szabó Ferenc

Átírás:

Az internet ökoszisztémája és evolúciója

Tartalom A BGP a gyakorlatban "prefer customer" szabály lokális preferencia beállításával és a legrövidebb AS út prefix hijacking és prefix szűrés AS útvonalak szűrése backup routing és AS-path prepending hot-potato routing forgalommenedzsment Az internet útvonalválasztás stabilitása BGP oszcillációk

BGP a gyakorlatban

Ismétlés: AS-szintű útválasztás Alapvető AS AS üzleti viszony: tranzit/peer Engedélyezett/tiltott utak: valley-free routing BGP konfigurációval kell megvalósítani AS1 AS2 AS3 AS4 AS5 p c AS1 r AS2 r p c p c p c r r AS3 r AS4 r AS5 p c p c p c p c AS6 AS7 AS8 r AS6 r AS7 AS8

Ismétlés: valley-free BGP szűrők Szolgáltató AS 1 Szolgáltató AS 2 export export Peer AS1 export export Peer AS2 Előfizető AS1 export Előfizető AS2 export előfizető útvonal peer útvonal szolgáltató útvonal saját prefix

Ismétlés: BGP A BGP routerek hirdetéseket generálnak: hirdetés = prefix + attribútumok Fontos attribútumok: AS_PATH, NEXT_HOP, LOCAL_PREF, COMMUNITIES Kapott hirdetések import szűrő BGP RIB aktív útvonal kiválasztása FIB magasabb lokális preferenciájú hirdetés nyer döntetlen esetén a rövidebb AS úthossz dönt Az aktív utat továbbadjuk a szomszédoknak export szűrőn szűrhető

Aktív utak Ismétlés: BGP valley-free routing Szolgáltató AS Import szűrő Comm:=1:300 BGP Export szűrő Comm 1:300 && Comm 1:200 Szolgáltató AS Peer AS Import szűrő Comm:=1:200 Útválasztás Export szűrő Comm 1:300 && Comm 1:200 Peer AS Előfizető AS Import szűrő Comm:=1:100 Export szűrő: * Előfizető AS Data plane bejövő csomagok kimenő csomagok FIB

További útválasztási stratégiák Mivel az ISP-k piaca igen kompetitív szuboptimális útvonal profitveszteséget okoz sőt, támadási felületet is (prefix hijacking) Rendkívül finom ISP-szintű útválasztási stratégiák szükségesek (túl a valley-free szabályokon) Az alábbiakban áttekintünk néhány tipikus stratégiát és azok BGP konfigurációját

Prefer customer BGP felett A prefer customer szabály értelmében az előfizetőktől érkező hirdetések preferáltak az útválasztásban A szolgáltatói felé küldött forgalomért fizetni kell A BGP lokális preferencia attribútumát fogjuk használni a szabály érvényesítésére Most nem különböztetjük meg a peereket és a szolgáltatókat NLRI: 10.0.1.0/24 Szolgáltató AS BGP Announce NLRI: 10.0.1.0/24 AS BGP Announce Előfizető AS NLRI: 10.0.1.0/24 BGP Announce Peer AS

A BGP döntési mechanizmusa Prioritás BGP attribútum Felhasználás 1. Magasabb Lokális Preferencia (LOCAL_PREF) 2. Rövidebb AS út (AS_PATH) 3. 4. 5. Alacsonyabb Multi-Exit Discriminator (MED) ibgp-től kapott hirdetés preferált ebgp-től kapott hirdetés előtt Kisebb IGP költség a határrouterig 6. Alacsonyabb router-id Elsődleges szolgáltató kiválasztása BGP határrouterek összehangolása ibgp-n Forgalom menedzselése AS-en belül a határrouterek között Ha még mindig több azonosan preferált hirdetés, akkor egyik itt biztos nyer

Prefer customer: import szűrő Emlékeztető: a lokális preferencia attribútum értéke a legnagyobb prioritású tényező a BGP döntési folyamatában ha a BGP egy prefixre több hirdetést kap a nagyobb LOCAL_PREF attribútumú nyer BGP konfiguráció: az előfizetőktől érkező hirdetések lokális preferencia attribútumát egy import szűrőn magas értékre állítjuk Így a BGP útvonalválasztásban automatikusan preferáltak az előfizetői utak (magas lok. pref.)

Aktív utak Prefer customer: import szűrő BGP Szolgáltató AS Import szűrő LOCAL_PREF:=100 Peer AS Import szűrő LOCAL_PREF:=100 Útválasztás Export szűrő AS Előfizető AS Import szűrő LOCAL_PREF:=200 Data plane bejövő csomagok kimenő csomagok FIB

Prefer customer: BGP konfiguráció Tegyük most fel, hogy AS300 előfizető AS200 pedig szolgáltató Ekkor a prefer customer szabály értelmében az R1 router az AS300-tól érkező hirdetéseket preferálja AS200 AS100 AS200 10.0.1.2/24 10.0.1.1/24 10.0.2.1/24 R1 AS100 10.1.0.0/24 AS300 AS300 10.0.2.2/24 loopback: 10.0.0.1/32

Prefer customer: BGP konfiguráció Alapértelmezett LOCAL_PREF beállítás: 100 Elég az előfizetők hirdetésein a LOCAL_PREF értékét 200-ra állítani egy import szűrőn: route-map rm-cust-in permit 10 set community 1:100 set local-preference 200 AS200 AS100 AS200 10.0.1.2/24 10.0.1.1/24 10.0.2.1/24 R1 AS100 10.1.0.0/24 AS300 AS300 10.0.2.2/24 loopback: 10.0.0.1/32

Prefer customer: BGP konfiguráció Csatlakoztassuk a szűrőt az előfizető AS-hez neighbor 10.0.2.2 route-map rm-cust-in in Az utolsó in klauza jelöli ki a szűrő irányát Más teendőnk nincs, a BGP automatikusan a magas lokális preferenciájú utat választja AS200 AS100 AS200 10.0.1.2/24 10.0.1.1/24 10.0.2.1/24 R1 AS100 10.1.0.0/24 AS300 AS300 10.0.2.2/24 loopback: 10.0.0.1/32

Prefer customer: példa!!! BGP router konfigurációja!!! Comunity-k:!!! 1:100: előfizető!!! 1:200: peer!!! 1:300: szolgáltató router bgp 100 bgp router-id 10.0.0.1 network 10.1.0.0/24 neighbor 10.0.1.2 remote-as 300 neighbor 10.0.1.2 route-map rm-prov-set-cm in neighbor 10.0.1.2 route-map rm-no-export out neighbor 10.0.2.2 remote-as 200 neighbor 10.0.2.2 route-map rm-cust-in in!!! folytatás a következő oldalon

Prefer customer: példa route-map rm-prov-set-cm permit 10 set community 1:300 route-map rm-peer-set-cm permit 10 set community 1:200 route-map rm-cust-in permit 10 set community 1:100 set local-preference 200 ip community-list standard cm-no-export permit 1:200 ip community-list standard cm-no-export permit 1:300 route-map rm-no-export deny 10 match community cm-no-export route-map rm-no-export permit 20

Legrövidebb AS út: BGP konfig A fenti konfigurációval beállított BGP router csak valley-free utat közöl a szomszédokkal megvalósítja a prefer customer szabályt érdekes mód, bár nem konfiguráltuk külön, a legrövidebb AS útvonal szabályt is Ha több előfizetői út van: ezeken azonos a lokális preferencia, ilyenkor pedig az AS-út hossza dönt a BGP-ben De a peer és provider utak közt nem válogat! ezt külön konfigurálnunk illene

Aktív utak BGP: valley-free+prefer-customer Szolgáltató AS Import szűrő Comm:=1:300 BGP Export szűrő Comm 1:300 && Comm 1:200 Szolgáltató AS Peer AS Import szűrő Comm:=1:200 Útválasztás Export szűrő Comm 1:300 && Comm 1:200 Peer AS Előfizető AS Import szűrő LOCAL_PREF=200 Export szűrő: * Előfizető AS Data plane bejövő csomagok kimenő csomagok FIB

Prefix hijacking: Youtube incidens Egy címtartományt egyszerre többen hirdetnek Nem dönthető el egyértelműen, melyik a valódi A Támadóhoz rövidebb az AS-út: prefix hijack Támadó AS Áldozat AS Szolgáltató 1 Szolgáltató 2 Szolgáltató 3 Hirdetés: 208.65.152.0/22 A kiválasztott útvonal

Prefix hijacking Az alábbi példában AS100 és AS300 az AS200 szolgáltató előfizetője, és AS100 legitim módon hirdeti a 10.1.0.0/24 prefixet Mi van, ha AS300 is (rosszindulatúan vagy tévedésből) meghirdeti ugyanezt a prefixet? AS200 AS100 AS200 10.0.3.1/24 10.0.3.2/24 10.0.1.2/24 10.0.1.1/24 10.0.2.1/24 R1 AS100 10.1.0.0/24 AS300 AS300 10.0.2.2/24 loopback: 10.1.0.0/24 10.0.0.3/32 loopback: 10.0.0.1/32

Prefix hijacking! AS100 router bgp 100 bgp router-id 10.0.0.1 network 10.1.0.0/24 neighbor 10.0.1.2 remote-as 200 neighbor 10.0.2.2 remote-as 300! AS300 router bgp 300 bgp router-id 10.0.0.3 network 10.1.0.0/24 neighbor 10.0.3.1 remote-as 200 neighbor 10.0.2.1 remote-as 100

Prefix hijacking AS200 BGP routerének nincs módja eldönteni, hogy melyik AS-től kapott hirdetés legális szerencsés esetben a legitim hirdetést preferálja és helyes routing AS100-ba rossz esetben viszont az illegális hirdetést választja aktív útként és helyezi a FIBbe a 10.1.0.0/24 prefix teljes forgalmát AS300 (a támadó) felé irányítja Másféle módon is előidézhető prefix hijacking pl. a Támadó specifikusabb prefixet hirdethet

Man-in-the-middle támadás Ha a támadó lenyeli 10.1.0.0/24 prefix forgalmát: a prefix elérhetetlen az interneről gyakran hibás konfiguráció az ok (például a Youtube-incidens esetében) Ha azonban a támadás rosszindulatú: a prefix teljes forgalmát lehallgathatja anélkül, hogy az áldozat (a prefix tulajdonosa) ezt észlelné Sőt, akár káros forgalmat is beilleszthet (pl. vírussal fertőzheti a lehallgatott emaileket) Ráadásul az áldozat ezt észre sem veszi!

Man-in-the-middle támadás A MITM támadás megvalósítása a példában AS300 egy statikus route-ot helyez a FIBbe: ip route add 10.1.0.0/24 via 10.0.2.1 Az áthaladó forgalmat kedvére módosíthatja AS200 AS200 10.0.3.1/24 10.0.1.2/24 10.0.1.1/24 AS100 AS100 10.0.3.2/24 10.0.2.1/24 10.1.0.0/24 AS300 AS300 10.0.2.2/24 loopback: 10.1.0.0/24 loopback: 10.0.0.1/32

A MITM támadás megelőzése 1. Folyamatos monitorozás: mindenképpen ajánlott! távoli elérhetőség ellenőrzése looking glass szerverekről/route szerverekről (ping/traceroute) az AS prefixeire vonatkozó BGP hirdetések terjedésének ellenőrzése a RouteViews szerverein 2. SecureBGP: BGP hirdetések kriptografikusan aláírva ellenőrizhető AS-szám IP-prefix összerendelés az AS útvonalak egyes állomásai is kriptografikusan ellenőrizhetők egyelőre nem terjedt el

A MITM támadás megelőzése 3. Jogos tulajdonos specifikusabb IP prefixeket hirdet ha például a 10.1.0.0/24 prefixet eltérítik, érdemes plusz meghirdetni a 10.1.0.0/25 és 10.1.0.128/25 prefixeket több biten illeszkedik, felülírja a támadó bejegyzéseit a FIBben de a /25 hirdetéseket gyakran szűrik a BGP routerek! 4. A jogosulatlan hirdetések szűrése AS publikálja a legális prefixeit egy megbízható adatbázisban: Internet Routing Registry (IRR) szomszédos AS ez alapján BGP szűrőket konfigurál

Prefix szűrés: BGP Tegyük fel, hogy AS100 legálisan hirdeti a 10.1.0.0/24 prefixet, AS300 pedig a 10.2.0.0/24 prefixet AS200 csak ezeket a prefixeket kívánja elfogadni az egyes AS-ekből AS200 AS200 R2 10.0.1.2/24 10.0.3.1/24 10.0.1.1/24 AS100 AS100 10.0.3.2/24 10.0.2.1/24 10.1.0.0/24 AS300 AS300 10.0.2.2/24 loopback: 10.2.0.0/24 loopback: 10.0.0.1/32

Prefix szűrés: BGP R2 (AS200 határroutere) definiálja az AS100-tól elfogadott prefixek listáját ip prefix-list AS100 seq 5 permit 10.1.0.0/24 ip prefix-list AS100 seq 10 deny 0.0.0.0/0 le 32 seq szerinti sorrendben, megengedett prefixek (permit) és visszautasított prefixek (deny) A le 32 kell, különben csak a default gateway-t tiltjuk Ezzel a konfiggal még azt is kérjük, hogy a prefix hossza 32-nél rövidebb legyen

Prefix szűrés: BGP Majd a prefix listát hozzárendeli az AS100-hoz neighbor 10.0.1.1 remote-as 100 neighbor 10.0.1.1 prefix-list AS100 in A prefix-list gyakorlatilag egy speciális route-map, ami prefixek listájára szűr AS200 AS200 R2 10.0.1.2/24 10.0.3.1/24 10.0.1.1/24 AS100 AS100 10.0.3.2/24 10.0.2.1/24 10.1.0.0/24 AS300 AS300 10.0.2.2/24 loopback: 10.2.0.0/24 loopback: 10.0.0.1/32

Prefix szűrés: BGP R2 hasonlóan jár el AS300 esetében is ip prefix-list AS300 seq 5 permit 10.2.0.0/24 ip prefix-list AS300 seq 10 deny 0.0.0.0/0 le 32 neighbor 10.0.3.2 remote-as 300 neighbor 10.0.3.2 prefix-list AS300 in AS200 AS200 R2 10.0.1.2/24 10.0.3.1/24 10.0.1.1/24 AS100 AS100 10.0.3.2/24 10.0.2.1/24 10.1.0.0/24 AS300 AS300 10.0.2.2/24 loopback: 10.2.0.0/24 loopback: 10.0.0.1/32

Prefix szűrés: BGP router bgp 200 bgp router-id 10.0.0.2 neighbor 10.0.1.1 remote-as 100 neighbor 10.0.1.1 prefix-list AS100 in... neighbor 10.0.3.2 remote-as 300 neighbor 10.0.3.2 prefix-list AS300 in...!!! AS100 prefixeinek szűrője ip prefix-list AS100 seq 5 permit 10.1.0.0/24 ip prefix-list AS100 seq 10 deny 0.0.0.0/0 le 32!!! AS300 prefixeinek szűrője ip prefix-list AS300 seq 5 permit 10.2.0.0/24 ip prefix-list AS300 seq 10 deny 0.0.0.0/0 le 32

Prefix szűrés: Martians Martian prefix: speciális célra foglalt prefix 0.0.0.0/8: This network (RFC1122) 127.0.0.0/8: loopback címtartomány (RFC1122) 192.0.2.0/24: TEST-NET példahálózatokhoz 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16: privát címtartományok intranetekhez (RFC1918) 169.254.0.0/16: auto-konfiguráció 224.0.0.0/4: multicast 240.0.0.0/4: foglalt jövőbeli felhasználásra Nem jelenhet meg az inter-domain routingban!

Prefix szűrés: Bogon szűrők Az IANA rendszeresen publikálja az AS-ek számára kiosztott IP címtartományok listáját A listán nem szereplő prefixek: bogon speciális címek, ki nem osztott címek Érdemes BGP import szűrőkön eldobni a bogon címekre vonatkozó hirdetéseket: bogon szűrő sok DDoS támadás bogon forráscímről bogon címet tartalmazó csomagokat is szűrni érdemes a tűzfalakon Sok szolgáltató elvárja a prefix-szűrést az előfizetőitől

AS utak szűrése Egy ISP gazdasági/politikai érdekei megkívánják néha, hogy bizonyos AS-eken keresztüli útvonalakat elkerüljön például az USA kormányzata nem kívánja az érzékeny forgalmát Kínán keresztül route-olni A BGP segítségével egy ISP precízen beállíthatja az aktív útvonalait a hirdetések szűrhetők a teljes AS-útvonal alapján ez lehetővé teszi, hogy bizonyos nem megbízható AS útvonalakat elkerüljünk

AS utak szűrése: BGP konfig Például 10.10.10.10 BGP router felől minden útvonal kiszűrése, amely tartalmazza AS200-at ip as-path access-list acl-deny-200 deny ^.*200.*$ router bgp 100 neighbor 10.10.10.10 acl-deny-200 drop in Az ip as-path konstrukcióval létrejön a szűrő Egyedi alfanumerikus névvel hivatkozunk rá A szokásos neighbor paranccsal illesztjük a megfelelő szomszédra

AS utak szűrése: BGP konfig Maga a szűrő reguláris kifejezést ad meg: az AS-útvonalat alkotó AS számok aláhúzással (_) elválasztott listájára illeszthető AS100-AS200 részútvonal engedélyezése ip as-path access-list 1 permit 100_200 Bármi, ami érinti AS100-at VAGY AS200-at ip as-path access-list 2 deny _(100 200)_ AS300 path-prepending eldobása (lásd később) ip as-path access-list 3 deny _300_300_

Backup routing Multi-homed AS-ek esetében gyakori felállás: Távoli AS preferált elsődleges szolgáltató másodlagos szolgáltató (backup) csak ha az elsődleges szolgáltató elérhetetlen Kimenő forgalomra triviális: lokális preferencia beállításával De a bejövő forgalom irányát nagyon nehéz befolyásolni! elsődleges szolgáltató AS200 AS100 backup AS300

Backup routing Cél: a többi AS az elsődleges szolgáltatón beérkező utat preferálja a backup helyett Hogyan befolyásolja AS100 azt, hogy egy Távoli AS milyen útvonalat választ hozzá?? Naív ötlet: alaphelyzetben AS100 az elsődleges szolgáltatón keresztül hirdeti a prefixeit, hiba esetén a backup-on küld hirdetést meg kell várni, míg az új hirdetés elterjed az interneten Mindkét szolgáltatón kéne hirdetni és elérni, hogy befelé az elsődleges utat preferálják a távoli AS-ek

Backup: AS-path prepending Trükkös BGP konfiguráció: úgy teszünk, mintha a backup-on keresztül hosszabb lenne az út AS-path prepending: a backup-on keresztül küldött hirdetésbe sokszor beleírjuk a saját AS számunkat hosszabbnak tűnik a backup út ezért a Távoli AS kevésbé preferálja az aktív út kiválasztásakor elsődleges szolgáltató AS200 Távoli AS AS100 backup AS300 AS100 AS100 AS100

Backup: AS path prepending Legyen most AS100 előfizetője AS200 elsődleges szolgáltatónak és AS300 backupnak AS300 backup felé AS100 hazudik : BGP-ben export szűrőkkel oldjuk meg, természetesen elsődleges szolgáltató AS200 backup AS300 AS200 10.0.1.2/24 10.0.1.1/24 10.0.2.1/24 R1 AS100 10.1.0.0/24 AS100 AS300 10.0.2.2/24

Backup: AS path prepending Ehhez R1-en gyártunk egy route-map-et route-map rm-as-prepend permit 10 set as-path prepend 100 100 100 A set as-path prepend az AS-path elé beszúrja a kívánt hosszú AS100 sorozatot elsődleges szolgáltató AS200 backup AS300 AS200 10.0.1.2/24 10.0.1.1/24 10.0.2.1/24 R1 AS100 10.1.0.0/24 AS100 AS300 10.0.2.2/24

Backup: AS path prepending Az új route-map-et a neighbor paranccsal illesztjük a megfelelő szomszédhoz neighbor 10.0.2.2 route-map rm-as-prepend out Mivel export szűrőről van szó, az irány out elsődleges szolgáltató AS200 backup AS300 AS200 10.0.1.2/24 10.0.1.1/24 10.0.2.1/24 R1 AS100 10.1.0.0/24 AS100 AS300 10.0.2.2/24

Backup: AS path prepending router bgp 100 bgp router-id 10.0.0.1 neighbor 10.0.1.2 remote-as 200... neighbor 10.0.2.2 remote-as 300 neighbor 10.0.2.2 route-map rm-as-prepend out...!!! AS-path prepending szűrő route-map rm-as-prepend permit 10 set as-path prepend 100 100 100 Nyilván a korábbi esetekre definiált BGP szűrőkkel szabadon keverhető A szűrők sorrendjére vigyázni kell!

Backup: AS path prepending De AS300 továbbra is a backup utat preferálja (a prefer-customer szabály miatt) Általánosságban a backup szolgáltató és annak összes előfizetője a backup-on route-ol: az AS path prepending nem mindig hatékony! Megoldás: jelezni kell a szolgáltatónak, hogy az út backup well-known BGP community-k segítségével, jelentésükről a szomszéd ASek megállapodnak a kimenő BGP hirdetésen beállítjuk a megfelelő community-t

Hot potato routing Hot potato routing: a csomag a legrövidebb úton távozik az ASből A legkevesebb terhelést okozza lokálisan Szolgáltató AS hot potato útvonal internet New York POP London POP 10.1.0.0/24 Előfizető cold potato útvonal rövid út hosszú út

Hot potato routing Ami az előfizetőnek hot potato, a szolgáltatónak gyakran cold potato útvonal Előzetes megállapodás, ki vállalja a költséget Szolgáltató AS hot potato útvonal internet New York POP London POP 10.1.0.0/24 Előfizető cold potato útvonal rövid út hosszú út

Hot potato routing Kimenő forgalom: ibgp és lokális preferencia Bejövő forgalom: Multi-Exit Discriminator (MED) BGP attribútum (alacsonyabb MED preferált) Szolgáltató AS hot potato útvonal internet MED=15 MED=56 10.1.0.0/24 Előfizető cold potato útvonal rövid út hosszú út

Forgalommenedzsment A backup egyfajta ellentéte: a forgalmi terhelés egyenlő megosztása egy multi-homed AS szolgáltatói között A kimenő forgalmat a BGP és a lokális preferenciák segítségével szinte tetszőlegesen megoszthatja a szolgáltatók felé A bejövő irány megint a nehezebb Ingress Traffic Engineering (TE): távoli ASek útválasztási döntéseinek befolyásolása úgy, hogy az egyes szolgáltatókon bejövő forgalom minél inkább kiegyenlítődjön

Forgalommenedzsment Az előfizető AS célja, hogy az R1-R3 és az R2- R4 linkek közt nagyjából egyenlően osztódjon meg a bejövő forgalma Szolgáltató AS2 Szolgáltató AS1 R1 R2 internet R3 R4 10.1.0.0/16 Előfizető

Forgalommenedzsment Deaggregáció: az előfizető két egyenlő részre darabolja a címtartományát, egyiket R3-R1 linken, másikat R4-R2 linken hirdeti meg Szolgáltató AS2 Szolgáltató AS1 10.1.0.0/17 10.1.128.0/17 internet 10.1.0.0/16 = 10.1.0.0/17 10.1.128.0/17 10.1.0.0/16 Előfizető

Forgalommenedzsment A 10.1.0.0/17 és a 10.1.128.0/17 alhálózatokban ugyanannyi IP cím van Ha ezek ugyanannyi bejövő forgalmat vonzanak, akkor egyenlő terhelésmegosztás: 10.1.0.0/17 forgalma R1-en lép be 10.1.128.0/17 forgalma R2-n lép be De a deaggregáció növeli minden BGP router FIBjét (egy helyett két prefix)! a hirdetések 5 10%-a deaggregált prefix internet skálázhatatlanság egyik fontos oka

Az internet útvonalválasztás stabilitása

AS-szintű útválasztás: stabilitás A BGP-vel minden AS egymástól függetlenül megvalósíthatja a saját útválasztási stratégiáját De mi garantálja, hogy a függetlenül beállított policy-k végül egyértelmű és jó AS-szintű útvonalakhoz konvergáljanak? A válasz: semmi, nincs ilyen garancia BGP oszcilláció: az egyes BGP routerek nem tudnak megállapodni az útvonalakról az ASek ellentmondó preferenciái miatt instabilitás: az utak folyamatosan frissülnek

BGP oszcilláció Az alábbi példa-topológiában a pontok az ASek és az élek tranzit linkek cél AS a nullás azonosítójú pont < reláció az útvonal-preferencia irányát jelzi preferált út < kevéssé preferált út < 1 1-3-0 < 1-0 <... 0 3-2-0 < 3-0 <... 3 2 2-1-0 < 2-0 <...

BGP oszcilláció Kezdetben 1, 2 és 3 a közvetlen utat választja 0 irányában Tegyük fel, hogy 1 küld először hirdetést az 1-0 aktív útról Amint 2 megkapja, átvált a preferált 2-1-0 útra (2-1-0 < 2-0) 2 értesíti a 2-1-0 aktív útról 3-at 1 0 1-0 3-0 2-0 3 2 1 0 1-0 3-0 2-1-0 1-0 3 2 2-1-0

BGP oszcilláció Mivel 3 számára 3-2-0 út nem elérhető (2 nem hirdeti a 2-0 utat), ezért marad a 3-0 útnál Értesíti 1-et, amely a 1-3- 0 < 1-0 preferencia miatt átvált 1-3-0 útra 2 elveszti a 2-1-0 utat (1 nem hirdeti 1-0 utat), ezért a 2-0 útra vált És így tovább... 3-0 1 0 1-3-0 3-0 2-1-0 3 2 1 0 1-3-0 1-3-0 3-0????? 3 2

BGP oszcilláció elkerülése Oszcilláció alatt a BGP folyamatosan frissíti a FIBet és jelentős jelzési forgalmat generál Szintén oszcillációhoz vezethet a flapping interfészek esete egy interfész másodpercenként többször resetel (például HW hiba vagy SW bug miatt) minden fel le fel állapotváltozásról BGP üzenet megy az egész internet felé BGP Route Flap Damping [RFC 2439]: ismételt BGP Update üzenetek késleltetése (30 sec)

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés