Routage Blackhole pour l'interconnexion de pairs eBGP

1 0 0 0

En tant qu’entreprise locale, vous devrez établir un réseau d’entreprise et très probablement, vous devrez interconnecter votre réseau avec un ou plusieurs fournisseurs de services Internet. Le cas le plus courant est l'interconnexion à l'aide d'une session eBGP entre votre périphérique de réseau et le périphérique PE ISP.

Considérons la topologie ci-dessous:

Dans cette topologie, l'AS 20 est le réseau d'entreprise et les deux autres AS (10 et 30) appartiennent à deux FAI différents.

Les problèmes commencent à apparaître lorsque j'essaie de publier certaines informations de routage auprès des fournisseurs de services Internet. Pour cet exemple, je vais essayer d’annoncer le préfixe 200.1.0.0/24 aux deux homologues eBGP. Pour cela, je vais d'abord devoir ajouter la commande network dans la vue BGP comme ci-dessous:

#

bgp 20

network 200.1.0.0 24

#


Pour que BGP annonce ce préfixe auprès de ses pairs, je dois également ajouter un itinéraire statique pour ce préfixe:

#

ip route-static 200.1.0.0 24 GigabitEthernet 2/0/0

#

Bien non, le préfixe sera annoncé, mais un autre problème apparaît. En AS 20, je n’utilise que la moitié de la plage / 24, le reste étant réservé aux extensions futures. Ceci étant le cas chaque fois que je reçois des paquets destinés à une adresse IP non utilisée provenant de la plage annoncée, je voudrais que le routeur B les abandonne, éliminant ainsi toute menace pour la sécurité (attaques DDoS, par exemple).

Pour ce faire, j'ai besoin de modifier l'itinéraire statique en un trou noir afin de pouvoir être sûr que tout paquet avec une destination inexistante sera supprimé.

La configuration pour modifier l'itinéraire statique est ci-dessous:

#

undo ip route-static 200.1.0.0 24 GigabitEthernet 2/0/0

ip route-static 200.1.0.0 24 Null 0

#

Après avoir appliqué cette configuration, je peux être sûr que toutes les menaces de sécurité ont été éliminées et que mon réseau fonctionne correctement.



  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page