Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bedingte Ankündigung, die die bedingte Installation von Präfixen ermöglicht Anwendungsfälle

Netzwerke sind in der Regel in kleinere, leichter zu verwaltende Einheiten unterteilt, die als autonome Systeme (ASs) bezeichnet werden. Wenn BGP von Routern verwendet wird, um Peer-Beziehungen im selben AS zu bilden, wird es als internes BGP (IBGP) bezeichnet. Wenn BGP von Routern verwendet wird, um Peer-Beziehungen in verschiedenen ASs aufzubauen, wird dies als externes BGP (EBGP) bezeichnet.

Nach dem Ausführen von Routen-Plausibilitätsprüfungen akzeptiert ein BGP-Router die von seinen Peers empfangenen Routen und installiert sie in der Routing-Tabelle. Standardmäßig befolgen alle Router in IBGP- und EBGP-Sitzungen die standardmäßigen BGP-Ankündigungsregeln. Während ein Router in einer IBGP-Sitzung nur die Routen ankündigt, die er von seinen direkten Peers gelernt hat, kündigt ein Router in einer EBGP-Sitzung alle Routen an, die er von seinen direkten und indirekten Peers (Peers of Peers) gelernt hat. Daher fügt ein Router in einem typischen Netzwerk, das mit EBGP konfiguriert ist, alle von einem EBGP-Peer empfangenen Routen zu seiner Routing-Tabelle hinzu und kündigt fast alle Routen an alle EBGP-Peers an.

Ein Service Provider, der BGP-Routen sowohl mit Kunden als auch mit Peers im Internet austauscht, ist dem Risiko böswilliger und unbeabsichtigter Bedrohungen ausgesetzt, die das ordnungsgemäße Routing des Datenverkehrs sowie den Betrieb der Router beeinträchtigen können.

Dies hat mehrere Nachteile:

  • Non-aggregated route advertisements—Ein Kunde könnte dem ISP fälschlicherweise alle seine Präfixe ankündigen und nicht eine Summe seines Adressraums. Angesichts der Größe der Internet-Routingtabelle muss dies sorgfältig kontrolliert werden. Ein Edge-Router benötigt möglicherweise auch nur eine Standardroute zum Internet und empfängt stattdessen die gesamte BGP-Routing-Tabelle von seinem Upstream-Peer.

  • BGP route manipulation—Wenn ein böswilliger Administrator den Inhalt der BGP-Routing-Tabelle ändert, kann er verhindern, dass der Datenverkehr sein beabsichtigtes Ziel erreicht.

  • BGP route hijacking—Ein unbefugter Administrator eines BGP-Peers könnte in böswilliger Absicht die Präfixe eines Netzwerks ankündigen, um den für das Netzwerk des Opfers bestimmten Datenverkehr in das Netzwerk des Administrators umzuleiten, um entweder Zugriff auf den Inhalt des Datenverkehrs zu erhalten oder die Online-Dienste des Opfers zu blockieren.

  • BGP denial of service (DoS)—Wenn ein böswilliger Administrator unerwarteten oder unerwünschten BGP-Datenverkehr an einen Router sendet, um alle verfügbaren BGP-Ressourcen des Routers zu nutzen, kann dies dazu führen, dass die Fähigkeit des Routers, gültige BGP-Routeninformationen zu verarbeiten, beeinträchtigt wird.

Die bedingte Installation von Präfixen kann verwendet werden, um alle zuvor genannten Probleme zu beheben. Wenn ein Kunde Zugriff auf Remote-Netzwerke benötigt, ist es möglich, eine bestimmte Route in der Routing-Tabelle des Routers zu installieren, der mit dem Remote-Netzwerk verbunden ist. Dies ist in einem typischen EBGP-Netzwerk nicht der Fall, weshalb eine bedingte Installation von Präfixen unerlässlich ist.

AS sind nicht nur durch physische Beziehungen, sondern auch durch geschäftliche oder andere organisatorische Beziehungen gebunden. Ein AS kann Services für eine andere Organisation bereitstellen oder als Transit-AS zwischen zwei anderen AS fungieren. Diese Transit-ASs sind an vertragliche Vereinbarungen zwischen den Parteien gebunden, die Parameter für die Verbindung untereinander und vor allem die Art und Menge des Datenverkehrs, den sie füreinander befördern, enthalten. Daher müssen Service Provider sowohl aus rechtlichen als auch aus finanziellen Gründen Richtlinien implementieren, die steuern, wie BGP-Routen mit Nachbarn ausgetauscht werden, welche Routen von diesen Nachbarn akzeptiert werden und wie sich diese Routen auf den Datenverkehr zwischen den ASs auswirken.

Es stehen viele verschiedene Optionen zum Filtern von Routen zur Verfügung, die von einem BGP-Peer empfangen werden, um sowohl Inter-AS-Richtlinien durchzusetzen als auch das Risiko des Empfangs potenziell schädlicher Routen zu mindern. Die konventionelle Routenfilterung untersucht die Attribute einer Route und akzeptiert oder lehnt die Route basierend auf diesen Attributen ab. Eine Richtlinie oder ein Filter kann den Inhalt des AS-Pfads, den Wert für den nächsten Hop, einen Community-Wert, eine Liste von Präfixen, die Adressfamilie der Route usw. untersuchen.

In einigen Fällen reicht die standardmäßige "Akzeptanzbedingung" für die Übereinstimmung mit einem bestimmten Attributwert nicht aus. Möglicherweise muss der Dienstanbieter eine andere Bedingung außerhalb der Route selbst verwenden, z. B. eine andere Route in der Routing-Tabelle. Beispielsweise kann es wünschenswert sein, eine Standardroute zu installieren, die von einem Upstreampeer empfangen wird, nur wenn überprüft werden kann, dass dieser Peer für andere Netzwerke weiter vorgelagert erreichbar ist. Durch diese Installation bedingter Routen wird die Installation einer Standardroute vermieden, die zum Senden von Datenverkehr an diesen Peer verwendet wird, wenn der Peer möglicherweise seine Routen stromaufwärts verloren hat, was zu Datenverkehr mit schwarzen Löchern geführt hat. Um dies zu erreichen, kann der Router so konfiguriert werden, dass er nach dem Vorhandensein einer bestimmten Route in der Routing-Tabelle sucht und basierend auf diesem Wissen ein anderes Präfix akzeptiert oder ablehnt.

Beispiel: Konfigurieren einer Routingrichtlinie für bedingte Ankündigung Aktivieren der bedingten Installation von Präfixen in einer Routingtabelle erläutert, wie die bedingte Installation von Präfixen konfiguriert und überprüft werden kann.

Verwandte Themen