Como una empresa local tendrás que establecer una red empresarial y lo más probable es que se necesite interconectar con uno o más ISPs. El caso más común es la interconexión por medio de una sesión eBGP entre el dispositivo en la orilla de la red y el dispositivo PE del ISP.
Consideraremos la siguiente topología:
En esta topología AS 20 es la red empresarial y los otros dos AS (10 y 30) pertenecen a dos diferentes ISPs.
Los problemas comienzan cuando se anuncia cierta información de ruteo a los ISPs. Para este ejemplo,se difundirá el prefijo 200.1.0.0/24 a ambos peers eBGP. Para esto primero necesito agregar la red con en la vista de BGP como se demuestra a continuación:
#
bgp 20
network 200.1.0.0 24
#
Para que BGP anuncie el prefijo a sus peers también necesito agregar una ruta estática para este prefijo:
#
ip route-static 200.1.0.0 24 GigabitEthernet 2/0/0
#
Listo, ahora el prefijo será difunfido pero se presenta un nuevo problema. En AS 20 sólo usa la mitad del rango /24, el resto está reservado para futuras expansiones. Cuando reciba paquetes destinados a direcciones IP no utilizadas del rango anunciado quiero que el router B descarte estos paquetes, así eliminando cualquier amenaza de seguridad (por ejemplo ataques DDoS).
Para lograr esto necesito modificar la ruta estática por una de agujero negro para asegurar que ningún paquete con una dirección no existente sea descartado.
La configuración para modificar la ruta estática es la siguiente:
#
undo ip route-static 200.1.0.0 24 GigabitEthernet 2/0/0
ip route-static 200.1.0.0 24 Null 0
#
Después de aplicar esta configuración puedo estar seguro que todas las amenazas de seguridad han sido eliminadas y puedo tener una red completamente funcional.
