De acuerdo

Uso de VRF para viabilizar o controle de tráfego de um cliente BGP

Última respuesta en. 22, 2021 10:35:53 1119 11 10 0 5

Uso de VRF para viabilizar o controle de tráfego de um cliente BGP


Diversos ISPs se conectam aos IXs através de transportes L2 contratados junto a operadoras terceiras onde em alguns casos o ISP é interligado a um CIX, na maioria das vezes o transporte que termina em um CIX permite apenas a passagem das duas Vlans do IX, uma para IPv4 e outra para IPv6 e tudo bem pois é o que precisamos para o tráfego fluir normalmente.


Problema:

Quando um ISP, conectado a múltiplos IXs através dos CIX, precisa vender tráfego desses IXs a seus clientes BGP, ele pode enfrentar uma dificuldade na hora de limitar esses tráfegos caso o cliente se conecte apenas a um de seus roteadores de borda.

Além disso, fica complicado para o cliente BGP mensurar quanto de tráfego de cada IX está consumindo, como no exemplo abaixo:


Cliente BGP sem VRF


CLIENTE-AS200

#

interface g0/0/0.10

 vlan-type dot1q 210

 description as100-ix10

 ipv6 enable

 ip address 192.168.0.2 255.255.255.252

 ipv6 address 2001:0db8:a::1/127

#

interface g0/0/0.20

 vlan-type dot1q 220

 description as100-ix20

 ipv6 enable

 ip address 192.168.1.2 255.255.255.252

 ipv6 address 2001:0db8:b::1/127

#

bgp 200

 peer 192.168.0.1 as-number 100

 peer 192.168.1.1 as-number 100

 peer 2001:0db8:a:: as-number 100

 peer 2001:0db8:b:: as-number 100

ISP-AS100-R2

#

interface g0/0/0.10

 vlan-type dot1q 210

 description as200-ix10

 ipv6 enable

 ip address 192.168.0.1 255.255.255.252

 ipv6 address 2001:0db8:a::/127

#

interface g0/0/0.20

 vlan-type dot1q 220

 description as200-ix20

 ipv6 enable

 ip address 192.168.1.1 255.255.255.252

 ipv6 address 2001:0db8:b::/127

#

interface g0/0/1.10

 vlan-type dot1q 110

 description ix10-v4

 ip address 10.10.10.2 255.255.255.0

#

interface g0/0/1.11

 vlan-type dot1q 111

 description ix10-v6

 ipv6 enable

 ipv6 address 2001:0db8:c::1/56

#

interface g0/0/2.20

 vlan-type dot1q 220

 description ix20-v4

 ip address 20.20.20.2 255.255.255.0

#

interface g0/0/0.20

 vlan-type dot1q 221

 description ix20-v6

 ipv6 enable

 ipv6 address 2001:0db8:d::1/56

#

bgp 100

 peer 192.168.0.2 as-number 200

 peer 192.168.1.2 as-number 200

 peer 10.10.10.1 as-number 10

 peer 20.20.20.1 as-number 20

 peer 2001:0db8:a::1 as-number 200

 peer 2001:0db8:b::1 as-number 200

 peer 2001:0db8:c:: as-number 10

 peer 2001:0db8:d:: as-number 20


Como você pode ver, não adianta simplesmente configurar duas sessões BGP com o cliente para tentar controlar a banda ou isolar o tráfego de cada IX, o BGP não saberá como distinguir quais prefixos deve anunciar por cada sessão com o cliente.


Solução:

A solução ideal nesse cenário seria o uso de VRF, o que permite criar tabelas de roteamento distintas para cada IX e com isso fazer com que os prefixos oriundos de cada IX sejam repassados ao cliente em sua respectiva interface, subinterface ou vlanif.

A grande vantagem aqui? Primeiramente podemos limitar o tráfego para o cliente em cada interface, além de permitir um monitoramento mais simplificado uma vez que com tabelas de roteamento distintas também temos fluxos de dados distintos, assim você pode simplesmente vender 500Mb do IX-A, 500Mb do IX-B, etc, até mesmo trânsito IP, tudo isso utilizando um único roteador e sem medo de misturar as tabelas de roteamento.


Cliente BGP com VRF


CLIENTE-AS200

#

interface g0/0/0.10

 vlan-type dot1q 210

 description as100-ix10

 ipv6 enable

 ip address 192.168.0.2 255.255.255.252

 ipv6 address 2001:0db8:a::1/127

#

interface g0/0/0.20

 vlan-type dot1q 220

 description as100-ix20

 ipv6 enable

 ip address 192.168.1.2 255.255.255.252

 ipv6 address 2001:0db8:b::1/127

#

bgp 200

 peer 192.168.0.1 as-number 100

 peer 192.168.1.1 as-number 100

 peer 2001:0db8:a:: as-number 100

 peer 2001:0db8:b:: as-number 100

ISP-AS100-R2

#

ip vpn-instance IX-10

 ipv4-family

  route-distinguisher 100:10

  vpn-target 10:10 export-extcommunity

  vpn-target 10:10 import-extcommunity

 ipv6-family

  route-distinguisher 100:10

  vpn-target 10:10 export-extcommunity

  vpn-target 10:10 import-extcommunity

#

ip vpn-instance IX-20

 ipv4-family

  route-distinguisher 100:20

  vpn-target 20:20 export-extcommunity

  vpn-target 20:20 import-extcommunity

 ipv6-family

  route-distinguisher 100:20

  vpn-target 20:20 export-extcommunity

  vpn-target 20:20 import-extcommunity

#

interface g0/0/0.10

 vlan-type dot1q 210

 description as200-ix10

 ip binding vpn-instance IX-10

 ipv6 enable

 ip address 192.168.0.1 255.255.255.252

 ipv6 address 2001:0db8:a::/127

#

interface g0/0/0.20

 vlan-type dot1q 220

 description as200-ix20

 ip binding vpn-instance IX-20

 ipv6 enable

 ip address 192.168.1.1 255.255.255.252

 ipv6 address 2001:0db8:b::/127

#

interface g0/0/1.10

 vlan-type dot1q 110

 description ix10-v4

 ip binding vpn-instance IX-10

 ip address 10.10.10.2 255.255.255.0

#

interface g0/0/1.11

 vlan-type dot1q 111

 description ix10-v6

 ip binding vpn-instance IX-10

 ipv6 enable

 ipv6 address 2001:0db8:c::1/56

#

interface g0/0/2.20

 vlan-type dot1q 220

 description ix20-v4

 ip binding vpn-instance IX-20

 ip address 20.20.20.2 255.255.255.0

#

interface g0/0/0.20

 vlan-type dot1q 221

 description ix20-v6

 ip binding vpn-instance IX-20

 ipv6 enable

 ipv6 address 2001:0db8:d::1/56

#

bgp 100

 #

 ipv4-family vpn-instance IX-10

  peer 192.168.0.2 as-number 200

  peer 10.10.10.1 as-number 10

 #

 ipv4-family vpn-instance IX-20

  peer 192.168.1.2 as-number 200

  peer 20.20.20.1 as-number 20

#

ipv6-family vpn-instance IX-10

  peer 2001:0db8:a::1 as-number 200

  peer 2001:0db8:c:: as-number 10

#

ipv6-family vpn-instance IX-20

  peer 2001:0db8:b::1 as-number 200

  peer 2001:0db8:d:: as-number 20


Se você verificar, a configuração em nada afeta o que já foi configurado no CPE do cliente, então na visão dele nenhuma mudança foi executada, mas para nossa infraestrutura essa configuração representa uma grande melhoria no controle sobre o tráfego entregue ao cliente.


Esse cenário está em produção no meu ISP, espero que ele ajude a todos vocês de alguma forma, obrigado.



La publicación está sincronizada con: Publicações em português

  • x
  • convención:

LuizPuppin
VIP Publicado 2021-1-6 03:03:27
Excelente contribuição, mostra um caso real que encontramos frequentemente em provedores de trânsito. Obrigado por compartilhar.
Ver más
  • x
  • convención:

Gasperi
Publicado 2021-1-6 05:56:04
Obrigado por compartilhar
Ver más
  • x
  • convención:

Raziel
Publicado 2021-1-6 09:20:59
bom artigo, obrigado
Ver más
  • x
  • convención:

ricardokernel
Publicado 2021-1-6 10:17:41
Parabéns pelo artigo!!!
Ver más
  • x
  • convención:

marthasanch
marthasanch Publicado 2021-1-12 06:36 (0) (0)
 
alexander
alexander Responder marthasanch  Publicado 2021-1-22 10:35 (0) (0)
 
5548988513341
Publicado 2021-1-6 10:18:39
muito interessante! obrigado por compartilhar essa solução :)
Ver más
  • x
  • convención:

marthasanch
marthasanch Publicado 2021-1-12 06:36 (0) (0)
 
user_4000619
Publicado 2021-1-11 22:36:15
muy bueno
Ver más
  • x
  • convención:

marthasanch
Publicado 2021-1-12 06:36:35
muy buena publicacion
Ver más
  • x
  • convención:

alexander
Publicado 2021-1-22 10:35:53
Muy bueno
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.