Защита от приема Full View в BGP

Статическая и динамическая, протоколы

Защита от приема Full View в BGP

Сообщение plastilin » 01 дек 2008, 17:30

Собственно сабж. Как правильно написать роут мап для защиты от несанкционированого слива провайдером фулл вью по БГП???
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Защита от приема Full View в BGP

Сообщение root » 02 дек 2008, 12:16

1. не "они" с "тебя" льют, а все же "ты" "им" отправляешь.
ты хочешь что бы "им" уходил тока default route ? какой то определенный список префиксов ? список автономок ?
2. для какой железки ? cisco ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Защита от приема Full View в BGP

Сообщение plastilin » 02 дек 2008, 15:03

Я сейчас принимаю дефолт от провайдера. В моем устройстве 32 Мб ОЗУ и я хочу обезопасить себя, если вдруг кто-то на прове случайно решит мне анонсировать фулл вью....
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Защита от приема Full View в BGP

Сообщение root » 02 дек 2008, 16:33

root писал(а):2. для какой железки ? cisco ?


соответственно в route-map разрешаешь принимать только default route
все остальное deny`ится

Код: Выделить всё
neighbor х.х.х.х route-map my-peer-in in


Код: Выделить всё
ip prefix-list default description default route
ip prefix-list default seq 10 permit 0.0.0.0/0


Код: Выделить всё
route-map my-peer-in permit 100
 match ip address prefix-list default


для наглядности можно написать:
Код: Выделить всё
route-map my-peer-in deny 200

хотя, как известно, у cisco в конце всегда идет неявный deny
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Защита от приема Full View в BGP

Сообщение plastilin » 02 дек 2008, 18:16

Да да... Спасибо... роутер Cisco 4500+ M

С этой ситуацией в принципе ясно.... А вот второй мне анонсит дефолт плюс Уа-Икс, во всех маршрутах из Уа-Икс присутствует АС 15645. Как тут поступить, чтобы принимать только Уа-Икс и дефолт?
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Защита от приема Full View в BGP

Сообщение root » 02 дек 2008, 19:34

plastilin писал(а):во всех маршрутах из Уа-Икс присутствует АС 15645

присутствует где ? в начале as-path ? в середине ? в конце ?
если хочется сделать фильтрацию по as-path, то нужно воспользоваться as-path access-list
примеры c использованием регулярных выражений:
AS15645 в начале:
Код: Выделить всё
ip as-path access-list 1 permit ^15645_

или AS15645 в конце:
Код: Выделить всё
ip as-path access-list 1 permit _15645$

или AS15645 в середине:
Код: Выделить всё
ip as-path access-list 1 permit _15645_


соответственно получаем на итог:
Код: Выделить всё
route-map my-peer-in permit 100
match ip address prefix-list default
route-map my-peer-in permit 110
match as-path 1
route-map my-peer-in deny 200
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Защита от приема Full View в BGP

Сообщение plastilin » 02 дек 2008, 22:25

Спасибо, опробую...
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!


Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 21