Найти в Дзене
Сетевой сетевик

Фильтрация BGP-трафика (Cisco) База

2 мин
Для фильтрации BGP-трафика на маршрутизаторах Cisco используются три основных метода, которые позволяют контролировать передаваемые и принимаемые маршруты на основе IP-адресов, AS-path или комплексных правил. Методы фильтрации:
-Prefix-list
-AS-path filter-list
-Route-map Принцип работы: -Prefix-list - фильтрация на основе IP - адреса и дины маски сети. Простой и четкий контроль - разрешение анонсировать только конкретные префиксы (например, ваши собственные сети) соседу -AS-path filter-list - фильтрация на основе пути автономных систем. Использует регулярные выражения - блокировка всех транзитных маршрутов, разрешая только маршруты, originating в соседней AS. -Route-map - гибкий метод, объединяющий несколько условий (prefix-list, AS-path, community) и действий - комплексная политика, например, установка атрибутов (Local Preference, MED) для выбранных маршрутов. 1. Фильтрация с помощью Prefix-list Этот пример позволяет анонсировать соседу только определенные префиксы, что критически
Оглавление

Для фильтрации BGP-трафика на маршрутизаторах Cisco используются три основных метода, которые позволяют контролировать передаваемые и принимаемые маршруты на основе IP-адресов, AS-path или комплексных правил.

Способы фильтрации BGP

Методы фильтрации:
-Prefix-list
-AS-path filter-list
-Route-map

Принцип работы:

-Prefix-list - фильтрация на основе IP - адреса и дины маски сети. Простой и четкий контроль - разрешение анонсировать только конкретные префиксы (например, ваши собственные сети) соседу

-AS-path filter-list - фильтрация на основе пути автономных систем. Использует регулярные выражения - блокировка всех транзитных маршрутов, разрешая только маршруты, originating в соседней AS.

-Route-map - гибкий метод, объединяющий несколько условий (prefix-list, AS-path, community) и действий - комплексная политика, например, установка атрибутов (Local Preference, MED) для выбранных маршрутов.

Примеры конфигурации

1. Фильтрация с помощью Prefix-list

Этот пример позволяет анонсировать соседу только определенные префиксы, что критически важно для предотвращения случайной трансляции чужих маршрутов.

-2

2. Фильтрация с помощью AS-path filter-list

Этот метод эффективен для блокировки транзитных маршрутов, позволяя принимать только те маршруты, которые originated в соседней AS.

-3

3. Комплексная фильтрация с помощью Route-map

Route-map обеспечивает максимальную гибкость, позволяя использовать несколько условий и действий.

-4

Рекомендации и важные замечания

  • Порядок имеет значение: Правила в prefix-list, as-path access-list и route-map обрабатываются сверху вниз. Первое совпадение определяет действие (permit или deny), последующие правила игнорируются.
  • Неявный запрет: Помните, что в конце любого фильтра BGP стоит неявное правило deny all.
  • Сброс сессий BGP: После применения или изменения фильтров необходимо активировать новые политики. Используйте clear ip bgp * soft out для минимально disruptive сброса (для исходящих политик). Предупреждение: Полный сброс (clear ip bgp *) разрывает сессии и может вызвать кратковременный простой.
  • Защита от ошибок: Обязательно используйте исходящую фильтрацию (out), чтобы анонсировать только валидные маршруты вашей сети, и входящую (in), чтобы блокировать получение ваших же префиксов извне (защита от угона).

Надеюсь, эти примеры помогут вам в настройке. Если вам нужна более специфичная конфигурация, например, для мультихоуминга или фильтрации на основе BGP Communities, уточните ваш запрос.