Aceptación y anuncio de rutas

Recepción y publicidad de rutas hacia y desde clientes

La conectividad con sus clientes es la función de la que ha creado su red. Si proporciona servicios enrutados estáticamente a sus clientes (por ejemplo, líneas alquiladas o ubicación compartida) y sus clientes suelen utilizar su espacio de IP, entonces su prioridad es convertir su propia tabla de enrutamiento en una tabla de enrutamiento segura. Si también proporciona el servicio BGP a sus clientes (usted actúa como su proveedor de tránsito y sus clientes anuncian su propio espacio de IP), también deseará configurar algunas políticas adicionales en su red para facilitar la vida de sus clientes y de cuenta.

Aceptación de rutas de clientes

A medida que configure las conexiones con sus clientes, BGP se utilizará para anunciar sus rutas en la red. Los anuncios’ de los clientes hacen que su red les reenvíe el tráfico. Enviando anuncios de sus’ clientes a sus colegas y transitas (los enrutadores envuelven automáticamente a sus propios números de sistema autónomo); su red mantiene a sus clientes en línea. Dado que aceptar las rutas de sus clientes a menudo se conecta directamente a’los ingresos, es importante aceptar tantas rutas como sea posible.

Sin embargo, debe realizar comprobaciones de los anuncios que envían y no permitir que anuncien sólo las rutas antiguas que puedan perjudicar gravemente la estabilidad y la seguridad de su red.

Estas comprobaciones son:

• Aceptar solo prefijos que tengan un objeto Route válido en una base de datos TIR.

• Acepte solo los números de sistema autónomos del cliente que tengan un registro válido en sus’ clientes como.

• Solo acepta longitudes de prefijo hasta/24 IPv4 y/48 IPv6.

• Aceptar solo RPKI rutas de válidas y desconocidas. Rechazar RPKI no válido.

• Rechazar rutas que contengan un número de sistema autónomo de Bogon, un prefijo Bogon, un prefijo mayor que/24 o una ruta de longitud excesiva.

• Rechace las rutas que usted origine; nunca debe recibir sus propias rutas de un cliente.

Dado que los clientes suelen enviarle unas cuantas rutas, puede parecer factible implementar manualmente los filtros de ruta. Sin embargo, mientras tanto, esto no se escalará y’será mejor utilizar automatización para implementar las comprobaciones de las rutas que envían sus clientes desde el principio. En el apéndice se muestra un ejemplo de sistema de automatización. Esto se ocupará del objeto de ruta y de las comprobaciones a las que se hace referencia anteriormente.

Gracias a estas comprobaciones, los errores (que se producen) no afectan a la red ni al resto de Internet. Por ejemplo, su cliente podría configurar por equivocación su enrutador y empezar a anunciarle una tabla completa en vez de solo sus propias rutas. Sin los filtros correctos de la parte de la sesión, aceptará y reenviará sus anuncios al resto de Internet, lo que podría afectar negativamente a los negocios (y los vídeos CAT) en todo el mundo.

Anuncio de las rutas a los clientes

Sus clientes esperan tener conectividad completa con Internet. Esto significa que normalmente nos anunciará:

• Una ruta predeterminada

• Una tabla completa (todas las rutas conocidas en la tabla de enrutamiento global)

• O una combinación de una tabla completa y una ruta predeterminada (no se explica con detalle)

Si sigue las instrucciones de este libro, significa que tendrá una tabla de enrutamiento segura para anunciar a sus clientes. Es posible que reciba menos itinerarios que de su competencia (si su competencia no implementa una tabla de enrutamiento segura). Pero, en el capítulo Introducción a la Introducing Routing Security , mostramos que esto es algo positivo. También creemos que proporcionar una ruta predeterminada desde esta tabla de enrutamiento segura es una ruta predeterminada más adecuada que una desde una tabla de enrutamiento que no es segura. ¿Por qué ofrecer una ruta predeterminada a las redes que, intencionalmente o no intencionadamente, anuncien un espacio de direcciones IP incorrecto?

Recepción y publicidad de rutas hacia y desde los colegas

Ahora que’echamos de mirar cómo filtrar las sesiones del BGP del cliente, el siguiente paso son las sesiones de interconexión. En este contexto, un interlocutor es otra red BGP, aproximadamente el mismo tamaño o, al menos, el mismo tipo (nivel) de red, como el suyo, que se están intercambiando rutas (y, por lo tanto, tráfico) con. Si esos pares son privados o del mismo nivel en un punto de intercambio de Internet (IXP) no es importante para la configuración de la tabla de enrutamiento segura.

Normalmente, recibirá entre uno y varios miles de rutas de un interlocutor; el homólogo le enviaría sus rutas y las de sus clientes, y les enviaría sus rutas y las de sus clientes. Tenga en cuenta que,’– si alguien le paga por distribuir sus rutas ascendentes (para otros compañeros y tránsitos), no anunciará las rutas del mismo nivel a sus viajes, sino que se consideran como clientes, no como interlocutores. Aunque usted lo hace, por supuesto, debe anunciar las rutas aprendidas de un interlocutor a sus clientes.

Aceptar rutas de los interlocutores

Una red’del mismo nivel es una red como la suya. Del mismo modo que hizo con las rutas de los clientes, también deberá filtrar los anuncios que acepta de los colegas. En la mayoría de los casos, recibirá un número considerable de rutas a través de elementos del mismo nivel, por lo que el filtrado de acuerdo con el’prefijo o mediante la adición manual de políticas, no hace escala.

Anuncio de las rutas a los interlocutores

Normalmente, usted anunciará las siguientes rutas a sus homólogos. En este ejemplo, lo que’realmente importa si es’una de los iguales privados o si se’trata de un IXP:

• Sus propias rutas (las que se originan como tal)

• Las rutas’del cliente (las que usted aprende de sus BGP clientes)

Por ejemplo, si etiqueta las rutas recibidas de sus clientes con una comunidad única y una ‘comunidad’ general de clientes, podrá anunciar de una manera muy sencilla las rutas de clientes específicas o todas. Piense en las posibilidades de que este método se extienda a los interlocutores y – los tránsitos, y se dé cuenta de que el difícil trabajo se realiza realmente en las políticas de importación, no en las políticas de exportación. Una vez que las políticas de importación filtren y etiqueten correctamente todas las rutas recibidas, su tabla de enrutamiento estará limpia y la exportación de rutas desde ella será muy sencilla.

Recepción y publicidad de rutas desde y hasta proveedores de tránsito

Hasta ahora, nos’hemos hablando de ejecutar BGP con sus clientes (quién le enviará solo sus propias rutas) y colegas (que le enviarán sus propias rutas, además de las de sus clientes).

Por el contrario, un tránsito le enviará ‘una tabla’completa, lo que significa que le enviarán todas las rutas – que conocen para todos los destinos de Internet (espero filtrada con RPKI, etc.).

Normalmente, un proveedor de tránsito no envía una ruta predeterminada, aunque normalmente puede hacerlo si lo hace una solicitud. Además de enviarle su tabla de enrutamiento completa, un proveedor de tránsito también aceptará sus rutas y las enviará a todos sus clientes, colegas y otros proveedores de tránsito, haciendo que transporten el tráfico en su nombre y lo envíen a su red. Por lo tanto, parece probable que siempre vaya a aceptar todas las rutas de sus proveedores de tránsito. Pero entonces, no todo es lo que parece.

Aceptación de rutas de proveedores de tránsito

Cuando se trata de aceptar rutas del proveedor de transferencia, es necesario que acepte la inmensa mayoría de ellas para que la red pueda llegar a toda la Internet. Sin embargo, incluso los proveedores de tránsito pueden enviarle rutas que usted quiera rechazar, como por ejemplo:

• RPKI inválidos;

• Rutas que contienen un número de sistema autónomo de Bogon, un prefijo Bogon, un prefijo mayor que/24 o un trazado de longitud excesiva;

• Las rutas que se originan desde su propia red; nunca debe recibir sus propias rutas desde un tránsito.

Anuncio de rutas a los tránsitos

Normalmente, usted anunciaría su y sus rutas’de cliente s a sus proveedores—de tránsito recordamos la sugerencia en la que utilizamos las comunidades para etiquetar esas rutas. Este conjunto de rutas es el mismo que se anunciaría a sus colegas. Por lo tanto, se aplican las mismas ‘reglas que con la’ instancia de anuncios de rutas a compañeros descrita anteriormente en este capítulo.

Conclusión

Después de implementar los filtros de importación y exportación y habilitar RPKI, ambos se detallan en los capítulos siguientes, debe llegar a una situación como la que se muestra en la figura 2,1, donde está muy claro lo que usted acepta de quién y a quién lo anuncia.

Para que sea más fácil recordar esta sencilla regla: siempre debe etiquetar las rutas recibidas con comunidades y anunciarse a las partes adecuadas basadas en estas comunidades. Esto hará su vida mucho más fácil.