Interconexión de peers eBGP por medio de Ruteo de Agujero Negro (Blackhole Routing)

89 0 0 0

Como una empresa local tendrás que establecer una red empresarial y lo más probable es que se necesite interconectar con uno o más ISPs. El caso más común es la interconexión por medio de una sesión eBGP entre el dispositivo en la orilla de la red y el dispositivo PE del ISP.

Consideremos la siguiente topología:

121607jlyybsym1ip0mi24.png?image.png

En esta topología AS 20 es la red empresarial y los otros dos AS (10 y 30) pertenecen a dos diferentes ISPs.

Los problemas comienzan cuando trato de anunciar cierta información de ruteo a los ISPs. Para este ejemplo, tratare de anunciar el prefijo 200.1.0.0/24 a ambos peers eBGP. Para esto primero necesito agregar la red con en la vista de BGP como se demuestra a continuación:

#

bgp 20

 network 200.1.0.0 24

#

Para que BGP anuncie el prefijo a sus peers también necesito agregar una ruta estática para este prefijo:

#

ip route-static 200.1.0.0 24 GigabitEthernet 2/0/0

#

Listo, ahora el prefijo será anunciado pero se presenta un nuevo problema. En AS 20 solo use la mitad del rango /24, el resto está reservado para futuras expansiones. Este siendo el caso cuando reciba paquetes destinados a direcciones IP no utilizadas del rango anunciado quiero que el router B descarte estos paquetes, así eliminando cualquier amenaza de seguridad (por ejemplo ataques DDoS).

Para lograr esto necesito modificar la ruta estática por una de agujero negro para asegurar que ningún paquete con una dirección no existente sea descartado.

La configuración para modificar la ruta estática es la siguiente:

#

undo ip route-static 200.1.0.0 24 GigabitEthernet 2/0/0

ip route-static 200.1.0.0 24 Null 0

#

Después de aplicar esta configuración puedo estar seguro que todas las amenazas de seguridad han sido eliminada y puedo tener un red completamente funcional.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje