Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Условное объявление, разрешающие условную установку префиксов

Сети обычно подедряются на меньшие, более управляемые единицы, называемые автономными системами (AS). Если BGP используется маршрутизаторами для формирования одноранговых отношений в той же AS, то она называется внутренней BGP (IBGP). Когда BGP используется маршрутизаторами для формирования одноранговых отношений в различных AS, он называется внешним BGP (EBGP).

После выполнения санитарных проверок маршрута маршрутизатор BGP маршруты, полученные от одноранговых маршрутизаторов, и устанавливает их в таблицу маршрутов. По умолчанию все маршрутизаторы в сеансах IBGP и EBGP BGP правилам объявления. Пока маршрутизатор в сеансе IBGP объявляет только маршруты, которые были выучаемы от его прямых одноранговых токов, маршрутизатор в сеансе EBGP объявляет все маршруты, которые были выучаемы от его прямых и косвенных одноранговых (равноправных одноранговых узлах). Поэтому в обычной сети, настроенной с EBGP, маршрутизатор добавляет все маршруты, полученные от одноранговых узла EBGP, в свою таблицу маршрутов и объявляет почти все маршруты всем равноправным узлам EBGP.

Поставщик услуг, обменивающийся BGP маршрутами как с клиентами, так и с равноправными узлами в Интернете, находится под угрозой возникновения вредоносных и непреднамеренных угроз, которые могут скомпрометировать правильную маршрутацию трафика, а также эксплуатацию маршрутизаторов.

У этого есть несколько недостатков:

  • Non-aggregated route advertisements- Клиент может с ошибкой объявлять все свои префиксы IsP, а не суммарное адресное пространство. С учетом размеров таблицы маршрутов Интернета это необходимо тщательно контролировать. Кроме граничный маршрутизатор маршрутизатору может потребоваться только маршрут по умолчанию для подключения к Интернету, вместо этого он получает всю таблицу BGP маршрутов от своего одноранговых маршрутизаторов.

  • BGP route manipulation- Если вредоносный администратор изменяет содержимое таблицы BGP маршрутов, он может помешать трафику достичь пункта назначения.

  • BGP route hijacking- Мошеннический администратор сети узел BGP вредоносным образом объявить префиксы сети, пытаясь перенаправление трафика, предназначенного для сети-жертве, в сеть администратора либо для получения доступа к содержимому трафика, либо для блокировки онлайн-сервисов жертвы.

  • BGP denial of service (DoS)— Если злоумышленник отправляет непредвиденный или нежелательный BGP трафик на маршрутизатор, пытаясь использовать все доступные BGP ресурсов маршрутизатора, это может привести к нарушению способности маршрутизатора обрабатывать допустимые BGP маршрутизации.

Условная установка префиксов может использоваться для устранения всех ранее упомянутых проблем. Если клиенту необходим доступ к удаленным сетям, можно установить конкретный маршрут в таблице маршрутов маршрутизатора, подключенного к удаленной сети. Это не происходит в обычной сети EBGP, и поэтому условная установка префиксов становится необходимой.

AS связаны не только физическими отношениями, но и бизнесом или другими организационными отношениями. AS может предоставлять услуги другой организации или действовать как транзитная AS между двумя другими AS. Эти транзитные АВТО привязаны к договорным соглашениям между сторонами, которые включают параметры соединения друг с другом и, что более важно, тип и количество трафика, который они переносят друг для друга. Поэтому для юридических и финансовых причин поставщики услуг должны реализовывать политики, которые контролируют обмен BGP маршрутами с соседями, какие маршруты принимаются от этих соседей и как эти маршруты влияют на трафик между AS.

Существует много различных вариантов фильтрации маршрутов, полученных от узел BGP для принудительного применения политик inter-AS и снижения риска получения потенциально вредного маршрута. Обычная фильтрация маршрутов проверяет атрибуты маршрута и принимает или отклоняет маршрут на основе таких атрибутов. Политика или фильтр могут проверять содержимое AS-Path, значение следующего перехода, значение сообщества, список префиксов, семейство адресов маршрута и так далее.

В некоторых случаях стандартных условий приема, совпадающих с определенным значением атрибута, недостаточно. Поставщику услуг может потребоваться использовать другое состояние вне самого маршрута, например другой маршрут в таблице маршрутов. В качестве примера, может быть желательно установить маршрут по умолчанию, полученный от вышестоячих одноранговых пользователей, только если можно проверить доступность этого однорангового узла к другим сетям на последующих маршрутах. Эта установка условного маршрута позволяет избежать установки маршрута по умолчанию, который используется для отправки трафика на этот одноранговую систему, когда одноранговая узла может потерять свои маршруты в направлении потока, что приводит к утере трафика. Для этого маршрутизатор можно настроить на поиск определенного маршрута в таблице маршрутов. На основании этих знаний можно принять или отклонить другой префикс.

Примере: Настройка политики маршрутов для условных объявлений Включение условной установки префиксов в таблице маршрутов объясняет, как можно настраивать и проверять условную установку префиксов.

Связанные темы