Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Anuncios condicionales que habilitan la instalación condicional de prefijos Casos de uso

Las redes generalmente se subdivide en unidades más pequeñas y más manejables llamadas sistemas autónomos (AS). Cuando los enrutadores usan BGP para formar relaciones de pares en el mismo AS, se lo denomina BGP interno (IBGP). Cuando los enrutadores utilizan el BGP para formar relaciones de pares en diferentes AS, se lo conoce como BGP externo (EBGP).

Después de realizar comprobaciones de cordura de ruta, un enrutador BGP acepta las rutas recibidas de sus pares y las instala en la tabla de enrutamiento. De forma predeterminada, todos los enrutadores de las sesiones de IBGP y EBGP siguen las reglas de publicidad estándar del BGP. Mientras que un enrutador en una sesión de IBGP anuncia solo las rutas aprendidas de sus pares directos, un enrutador en una sesión de EBGP anuncia todas las rutas aprendidas de sus pares directos e indirectos (pares de pares). Por lo tanto, en una red típica configurada con EBGP, un enrutador agrega todas las rutas recibidas de un par EBGP a su tabla de enrutamiento y anuncia casi todas las rutas a todos los pares de EBGP.

Un proveedor de servicios que intercambia rutas de BGP con clientes y pares en Internet está en riesgo de amenazas maliciosas y no intencionales que pueden poner en peligro el enrutamiento adecuado del tráfico, así como la operación de los enrutadores.

Esto tiene varias desventajas:

  • Non-aggregated route advertisements— Un cliente podría anunciar erróneamente todos sus prefijos al ISP en lugar de agregar su espacio de direcciones. Dado el tamaño de la tabla de enrutamiento de Internet, esto debe controlarse cuidadosamente. Un enrutador de borde también puede necesitar solo una ruta predeterminada hacia Internet y, en su lugar, recibir toda la tabla de enrutamiento BGP desde su par ascendente.

  • BGP route manipulation— Si un administrador malintencionado altera el contenido de la tabla de enrutamiento del BGP, podría impedir que el tráfico llegue a su destino previsto.

  • BGP route hijacking— Un administrador no habilitado de un par de BGP podría anunciar maliciosamente los prefijos de una red en un intento de reenrutar el tráfico destinado a la red de la víctima a la red del administrador para obtener acceso al contenido del tráfico o bloquear los servicios en línea de la víctima.

  • BGP denial of service (DoS)— Si un administrador malicioso envía tráfico de BGP inesperado o no deseado a un enrutador en un intento de usar todos los recursos BGP disponibles del enrutador, podría perjudicar la capacidad del enrutador para procesar información de ruta de BGP válida.

La instalación condicional de prefijos se puede utilizar para abordar todos los problemas mencionados anteriormente. Si un cliente requiere acceso a redes remotas, es posible instalar una ruta específica en la tabla de enrutamiento del enrutador que está conectado con la red remota. Esto no ocurre en una red EBGP típica y, por lo tanto, la instalación condicional de prefijos se vuelve esencial.

Los AS no solo están vinculados por relaciones físicas, sino también por relaciones empresariales u otras relaciones organizacionales. Un AS puede proporcionar servicios a otra organización o actuar como tránsito de AS entre otros dos AS. Estos AS de tránsito están sujetos a acuerdos contractuales entre las partes que incluyen parámetros sobre cómo conectarse entre sí y, lo que es más importante, el tipo y la cantidad de tráfico que llevan entre sí. Por lo tanto, por razones legales y financieras, los proveedores de servicios deben implementar políticas que controlen cómo se intercambian las rutas del BGP con los vecinos, qué rutas son aceptadas de esos vecinos y cómo esas rutas afectan el tráfico entre los AS.

Hay muchas opciones diferentes disponibles para filtrar las rutas recibidas de un par de BGP para aplicar las políticas de interAS y mitigar los riesgos de recibir rutas potencialmente perjudiciales. El filtrado de ruta convencional examina los atributos de una ruta y acepta o rechaza la ruta según dichos atributos. Una política o filtro puede examinar el contenido de la ruta del AS, el valor del salto siguiente, un valor de comunidad, una lista de prefijos, la familia de direcciones de la ruta, etc.

En algunos casos, la "condición de aceptación" estándar de coincidir con un valor de atributo determinado no es suficiente. Es posible que el proveedor de servicios deba usar otra condición fuera de la ruta en sí, por ejemplo, otra ruta en la tabla de enrutamiento. Como ejemplo, podría ser conveniente instalar una ruta predeterminada recibida de un par ascendente, solo si se puede verificar que este par tiene accesibilidad a otras redes más ascendentes. Esta instalación de ruta condicional evita instalar una ruta predeterminada que se utiliza para enviar tráfico hacia este par, cuando el par podría haber perdido sus rutas aguas arriba, lo que lleva a tráfico de atascos negros. Para lograr esto, el enrutador se puede configurar para buscar la presencia de una ruta en particular en la tabla de enrutamiento, y según estos conocimientos aceptar o rechazar otro prefijo.

Ejemplo: Configurar una política de enrutamiento para anuncios condicionales Habilitación de la instalación condicional de prefijos en una tabla de enrutamiento explica cómo se puede configurar y verificar la instalación condicional de los prefijos.

Temas relacionados