PROTOK BGP

PODSTAWY DZIAANIA
BUDOWA STYKU Z INTERNETEM
PROJEKT BGP BLACKHOLING PL

ukasz Bromirski
lukasz@bromirski.net
lbromirski@cisco.com

Par uwag na pocztek

Slajdy bd dostpne na mojej stronie prywatnej i
na stronie konferencji
http://lukasz.bromirski.net

W sieci jest bardzo duo informacji

Polecane URLe i ksiki na kocu tej prezentacji

Please do ask questions

Agenda
Protok BGP
podstawy
polityka routingu
multihoming

Zebra/Quagga vs XORP vs OpenBGPd

Przykady konfiguracji
Projekt BGP Blackholing PL

PROTOK BGP

BGP

Border Gateway Protocol

Protok routingu dynamicznego, uywany do

wymiany informacji o sieciach pomidzy systemami
autonomicznymi (AS)
Zdefiniowany i opisany w RFC1771
uywa pocze TCP na port 179
od tego czasu pojawio si wiele RFC rozszerzajcych
standard
stale trwaj prac nad now wersj:
http://www.ietf.org/internet-drafts/draft-ietf-idr-bgp4-26.txt

BGP

Jak wyglda AS?

Grupa sieci wspdzielca polityk routingu, zwykle

pozostajca pod kontrol jednej organizacji
Systemy autonomiczne identyfikuje si za pomoc 16
bitowego numeru (ASN Autonomous System Number)
1-64511 publiczne, przydzielane przez RIRy
64512-65534 prywatne, nie powinny znale si w Internecie
0 i 65535 - zarezerwowane
6

BGP podstawy terminologii

Pracuje w oparciu o TCP

Port 179
Protok klasy path-vector
iBGP i eBGP

BGP jak dziaa (w telegraficznym skrcie)

Otrzymuje informacje o podsieciach (prefiksach) do
sieci zarwno od wewntrznych jak i zewntrznych
ssiadw
Wybiera najlepsz tras i instaluje j w tablicy
routingu
Taka trasa moe zosta rwnie wysana do
zewntrznych (external) ssiadw
Mechanizmy polityki routingu mog wpyn na
wybr najlepszej trasy

BGP

eBGP - external BGP

Sesja BGP zestawiona pomidzy routerami BGP z rnych

ASw
Routery powinny by bezporednio poczone
Moliwe rwnie zestawienie sesji przez wiele hopw (eBGP
multihop)
9

BGP

Konfiguracja eBGP

Router A (w AS 100):
interface fxp0
ip address 169.254.10.1 255.255.255.248
router bgp 100
network 169.254.50.0
neighbor 169.254.10.3
neighbor 169.254.10.3
neighbor 169.254.10.3

mask 255.255.255.0
remote-as 101
prefix-list RtrC-in in
prefix-list RtrC-out out

10

BGP

Konfiguracja eBGP

Router C (w AS 101):
interface em0
ip address 169.254.10.3 255.255.255.248
router bgp 101
network 169.254.53.0
neighbor 169.254.10.1
neighbor 169.254.10.1
neighbor 169.254.10.1

mask 255.255.255.0
remote-as 100
prefix-list RtrA-in in
prefix-list RtrA-out out

11

BGP

iBGP - internal BGP

Sesje BGP pomidzy routerami w tym samym ASie

IGP powinien zapewni czno (routing) pomidzy
routerami iBGP, zatem nie ma koniecznoci poczenia
bezporedniego
Kady z routerw iBGP musi by poczony sesj z kadym
innym routerem iBGP w tym samym AS (zapobiega to
powstawaniu ptli)
12

BGP

iBGP pomidzy interfejsami loopback

Interfejsy loopback s zawsze w stanie podniesionym

Sesja iBGP jest zatem niezalena od stanu konkretnego
interfejsu fizycznego ani zmian w topologii sieci
Warto konfigurowa sesje iBGP z interfejsw loopback

13

BGP

Konfiguracja iBGP

Router A (w AS 100):
interface loopback 0
ip address 192.168.0.1 255.255.255.255
router bgp 100
network 169.254.50.0 mask 255.255.255.0
neighbor 192.168.0.5 remote-as 100
neighbor 192.168.0.5 update-source loopback 0
neighbor 192.168.0.7 remote-as 100
neighbor 192.168.0.7 update-source loopback 0

14

BGP

Konfiguracja iBGP

Router B (w AS 100):
interface loopback 0
ip address 192.168.0.5 255.255.255.255
router bgp 100
network 169.254.50.0 mask 255.255.255.0
neighbor 192.168.0.1 remote-as 100
neighbor 192.168.0.1 update-source loopback 0
neighbor 192.168.0.7 remote-as 100
neighbor 192.168.0.7 update-source loopback 0

15

Protok BGP

Jak wymieniane s informacje pomidzy AS?

10.0.0.0/24
akceptuj

AS 101

50.0.0.0/24

AS 102

akceptuj

Aby sieci w AS101 i AS102 mogy si komunikowa:

AS 101 musi rozgosi swoje prefiksy do AS 102
AS 102 musi zaakceptowa prefiksy z AS 101
AS 102 musi rozgosi swoje prefiksy do AS 101
AS 101 musi zaakceptowa prefiksy z AS 102
16

PROTOK BGP
ATRYBUTY

17

Protok BGP
Atrybuty

Opisuje charakterystyki rozgaszanego prefiksu

Transitive/non-transitive
AS-PATH
lista numerw AS, przez ktre dana trasa bya
rozgaszana
np. akceptujemy prefiksy, ale tylko z ASx
Next-hop - adres IP, przez ktry rozgaszany prefiks jest
osigalny
Origin wskazuje skd w BGP pojawi si prefiks:
IGP wprowadzony do BGP z IGP
EGP otrzymany przez EGP
incomplete stworzone przez redystrybucj
18

Protok BGP
Atrybuty AS Path

Filtrowanie na podstawie zawartoci AS-PATH:

ip as-path access-list 10 permit ^$
.

Dokadnie jeden znak

Dowolna ilo poprzedzajcego wyraenia

Pocztek

Koniec

Pocztek, koniec, przerwa, nawias

19

Protok BGP
Atrybuty AS Path

Przykady proste:
.*

Cokolwiek

^$

Trasy lokalne dla tego AS

_1800$

Trasy stworzone w AS1800

^1800_

Trasy otrzymane od AS1800

_1800_

Trasy przez AS1800

_790_1800_

Trasy przez AS1800 a pniej przez AS790

^(1800_)+$

Dowolna ilo AS1800 w AS-PATH

20

Protok BGP
Atrybuty AS Path

Przykady troch mniej proste:

^[0-9]+$

Dugo cieki AS-PATH =1

^[0-9]+_[0-9]+$ Dugo cieki AS-PATH =2

^[0-9]*_[0-9]+$ Dugo cieki AS-PATH 1 lub 2
^[0-9]*_[0-9]*$ Dugo cieki AS-PATH 0, 1 lub 2
_(701|1800)_

Trasy ktre przeszy przez AS701 lub 1800

_1849(_.+_)12163$

Trasy powstae w AS12163, ktre

przeszy przez AS1849

21

Protok BGP
Atrybuty

local preference
jako prefiksu z punktu widzenia AS
nie rozgaszane poza AS
wpywa na wybr ruchu wychodzcego w caym ASie
domylnie 100, czym wysza tym trasa lepsza
weight
jako prefiksu lokalna dla routera
nie przekazywana do innych routerw

22

Protok BGP
Atrybuty

community
32-bitowa liczba, zwykle zapisywana w formacie X:Y,
gdzie X = AS systemu uywajcego community a Y =
arbitralna warto, dla ktrej definujemy znaczenie
SP publikuj listy community, ktre honoruj i na
podstawie ktrych mog wykonywa zmiany w
polityce routingu
MED Multi-Exit Discriminator
wpywa na wybr trasy ruchu przychodzcego, jeli
posiadamy wicej ni jedno cze do tego samego AS

23

Protok BGP
Atrybuty

no-export
nie rozgasza do innych ssiadw eBGP
no-advertise
nie rozgasza w ogle nigdzie

24

Protok BGP

Jak BGP wybiera tras?

Nie bierz pod uwag trasy, dla ktrej next-hop jest

nieosigalny
Nie bierz pod uwag trasy iBGP, jeli procesy nie
s zsynchronizowane
Najwysza waga (lokalne dla routera)
Najwysze local-preference (globalne w AS)
Preferuj tras, stworzon (originate) lokalnie
Najkrtsza AS-PATH
[...]
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094431.shtml
25

PRZYKADY KONFIGURACJI

26

Protok BGP

Kiedy NIE stosowa BGP?

Jeden SP i jedno cze

trasa domylna wystarczy

Jeden SP i dwa cza z osobn adresacj

policy-routing

Wiele cz o maej przepustowoci (<1Mbit/s)

zwykle wiele osobnych klas/pul adresowych
SP niechtni takim rozwizaniom
brak uzasadnienia - biznesowego ani praktycznego

27

Protok BGP
Multihoming

Po co multihoming?
redundancja: jeden router, jedno cze, jeden punkt styku z
ISP = jeden duy problem w przypadku awarii ktrego z
tych elementw
wysoka dostpno: istotna w zastosowaniach
biznesowych, coraz istotniejsza dla wszelkiego rodzaju
ASK/OSK
rozkadanie obcienia: wybr optymalnej trasy, moliwo
stosowania wasnej polityki routingu

Multihoming moe by realizowany do

jednego ISP (dwa niezalene cza)
dwch/wicej ISP
28

Przykady konfiguracji
Jeden router, dwaj SP

AS300
ISP-GW

ISP-GW

AS100

AS200

RTR-A

RTR-B

.1

.1
192.168.0.0/30

192.168.10.0/30

.2

.2
GW

AS333

PI:
172.16.10.0/24

29

Przykady konfiguracji
Jeden router, dwaj SP

!
ip as-path access-list 10 permit ^$
!
router bgp 333
network

172.16.10.0 mask 255.255.255.0

neighbor 192.168.0.1 remote-as 100

neighbor 192.168.0.1 filter-list 10 out
! zapobiegamy staniu si tranzytem pomidzy ASami
neighbor 192.168.10.1 remote-as 200
neighbor 192.168.10.1 filter-list 10 out
! zapobiegamy staniu si tranzytem pomidzy ASami

30

Przykady konfiguracji

Jeden router, dwaj SP, jak nas wida z AS300?

as300# show ip bgp 172.16.10.0/24

BGP routing table entry for 172.16.10.0/24, version 1952
Paths: (2 available, best #2, advertised over iBGP, eBGP)
100 333
172.16.10.0/24 from 2.2.2.2
Origin IGP, metric 0, localpref 100, valid, external
200 333
172.16.10.0/24 from 1.1.1.1
Origin IGP, metric 0, localpref 100, valid, external, best

31

Przykady konfiguracji

Jeden router, dwaj SP, co jeli AS200 ma np. sabsze cza?

route-map AS200-out permit 10

set as-path prepend 333 333
! zmniejszamy atrakcyjno cza z punktu widzenia SP
route-map AS200-in permit 10
set local-preference 10
! zmniejszamy atrakcyjno dowolnego prefiksu otrzymanego
! przez to cze z naszego punktu widzenia
!
router bgp 333
neighbor 192.168.10.1 remote-as 200
neighbor 192.168.10.1 route-map AS200-in in
neighbor 192.168.10.1 route-map AS200-out out
neighbor 192.168.10.1 filter-list 10 out

32

Przykady konfiguracji

Jeden router, dwaj SP, a jak nas wida z AS300 po prependowaniu?

as300# show ip bgp 172.16.10.0/24

BGP routing table entry for 172.16.10.0/24, version 1952
Paths: (2 available, best #1, advertised over iBGP, eBGP)
100 333
172.16.10.0/24 from 2.2.2.2
Origin IGP, metric 0, localpref 100, valid, external, best
200 333 333 333
172.16.10.0/24 from 1.1.1.1
Origin IGP, metric 0, localpref 100, valid, external

33

Przykady konfiguracji
Dwa routery, dwaj SP

AS300
ISP-GW

ISP-GW

AS100

AS200

RTR-A

RTR-B

.1

.1
192.168.10.0/30

192.168.0.0/30
.2

.2

GW-A

GW-B

AS333

PI:
172.16.10.0/24

34

Przykady konfiguracji
Dwa routery, dwaj SP

GW-A:
ip as-path access-list 10 permit ^$
router bgp 333
network

172.16.10.0 mask 255.255.255.0

neighbor 192.168.0.1 remote-as 100

neighbor 192.168.0.1 filter-list 10 out
neighbor 172.16.10.2 remote-as 333
neighbor 172.16.10.2 descr iBGP GW-B

35

Przykady konfiguracji
Dwa routery, dwaj SP

GW-B:
ip as-path access-list 10 permit ^$
router bgp 333
network

172.16.10.0 mask 255.255.255.0

neighbor 192.168.10.1 remote-as 200

neighbor 192.168.10.1 filter-list 10 out
neighbor 172.16.10.1 remote-as 333
neighbor 172.16.10.1 descr iBGP GW-A

36

Przykady konfiguracji

Dwa routery, dwaj SP, udostpniaj community dla prependowania AS

GW-B:
route-map AS100-out permit 10
set community 200:1302
router bgp 333
neighbor 192.168.10.1 remote-as 200
neighbor 192.168.10.1 filter-list 10 out
neighbor 192.168.10.1 send-community

37

Przykady konfiguracji

Communities w AS5617 (TP S.A.)

http://www.ripe.net/fcgi-bin/whois?searchtext=AS5617&form_type=simple
38

ZEBRA/QUAGGA
vs
XORP
vs
OpenBGPd

39

Quagga/Zebra vs XORP vs OpenBGPd

Quagga/Zebra jest najduej rozwijanym projektem
mimo to od czasu do czasu pojawiaj si bdy gwnie
przez utrzymanie kompatybilnoci z moliwie du liczb
rnych OSw i platform

XORP z uwagi na swoj wydajno i

pamicioerno, jest obecnie raczej ciekawostk
due zuycie CPU i pamici dwukrotnie wiksze ni
Quagga
deklaracje zespou XORP performance is not our top
priority

OpenBGPd jest may i napisany od zera

bardzo dua wydajno szczeglnie synchronizacja
RIB/FIB i mae zuycie pamici
40

Quagga 0.99.1
PID USERNAME

PRI NICE

SIZE

RES STATE

TIME

WCPU

CPU COMMAND

18716 quagga

96

0 55312K 54884K select

0:13

0.00%

0.00% bgpd

16551 quagga

96

0 41780K 41328K select

0:16

0.05%

0.05% zebra

q-bgpd# show ip bgp summary

BGP router identifier A.B.C.D, local AS number 65118
26870 BGP AS-PATH entries
1 BGP community entries
Neighbor

C.C.C.C

AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd

100

230441

0 2w6d14h

163075

Total number of neighbors 1

41

Quagga

Konfiguracja podstawowego peeringu

router bgp 10
neighbor 66.66.66.10 remote-as 20

42

OpenBGPd 3.7
PID USERNAME PRI NICE

SIZE

RES STATE

TIME

WCPU

CPU COMMAND

588 _bgpd

76

0 31996K 31500K select

0:08

1.56%

1.56% bgpd

587 root

76

6800K

6280K select

0:19

0.00%

0.00% bgpd

589 _bgpd

76

1780K

1280K select

0:02

0.00%

0.00% bgpd

openbgpd# bgpctl show summary

Neighbor

AS

192.168.0.1

100

MsgRcvd MsgSent
29896

OutQ
0

Up/Down
00:42:19

State/PrefixRcvd
163075

43

OpenBGPd

Konfiguracja podstawowego peeringu

AS 10
neighbor 66.66.66.10
{
remote-as

20

announce

none

44

XORP
PID USERNAME PRI NICE
4116 root
58
0
4117 root
58
0
4118 root
2
0
4105 root
2
0
4119 xorp
2
0

SIZE
RES
8992K
5860K
164M
148M
12684K 10976K
7980K
6576K
5912K
4476K

STATE
RUN
select
select
select
select

TIME
WCPU
CPU COMMAND
1:16 42.48% 42.48% xorp_fea
1:12 41.36% 41.36% xorp_bgpd
1:25 5.18% 5.18% xorp_rib
0:13 0.20% 0.20% xorp_rtrmgr
0:06 0.00% 0.00% xorpsh

Xorp> show bgp peers detail

Peer 1: local 192.168.0.199/179 remote 192.168.0.1/179
Peer ID: 192.168.0.1
Peer State: ESTABLISHED
Admin State: START
Negotiated BGP Version: 4
Peer AS Number: 65118
Updates Received: 48921, Updates Sent: 0
Messages Received: 48934, Messages Sent: 4
Time since last received update: 0 seconds
Number of transitions to ESTABLISHED: 1
Time since last entering ESTABLISHED state: 312 seconds
Retry Interval: 120 seconds
Hold Time: 120 seconds, Keep Alive Time: 40 seconds
Configured Hold Time: 120 seconds, Configured Keep Alive Time: 40 seconds
Minimum AS Origination Interval: 0 seconds
Minimum Route Advertisement Interval: 0 seconds
45

XORP

Konfiguracja podstawowego peeringu

protocols {
bgp {
bgp-id: 66.66.66.10
targetname: "bgp"
local-as: 10
peer 66.66.66.1 {
peer-port: 179
local-port: 179
local-ip: 66.66.66.10"
disable: false
ipv4-unicast: true
md5-password:
as: 20
next-hop: 66.66.66.1
}
}
46

Protok BGP

O czym jeszcze warto pomyle?

Nadzorowanie i monitorowanie pracy przez SNMP

mrtg, cacti

Monitorowanie ruchu obcienia cz,

najpopularniejszego typu ruchu itp. itd.
Netgraph NetFlow + wizualizacja przez cflowd/flowd/etc.

Zabezpieczenie sesji BGP przez MD5 lub IPsec

we FreeBSD:
device

crypto

options

TCP_SIGNATURE

options

FAST_IPSEC

47

PROJEKT BGP BLACKHOLING PL

48

Projekt BGP Blackholing PL

Po co?
Typowy atak DDoS
I Ty moesz sta si rdem ataku!
Co zrobi eby si doczy?

49

CUDOWN CECH INTERNETU JEST TO, E

JESTEMY POCZENI ZE WSZYSTKIMI.
OKROPN CECH INTERNETU JEST TO, E
JESTEMY POCZENI ZE WSZYSTKIMI.
VINT CERF, GWNY STRATEG MCI

50

KADY MA JAKI PLAN. DOPKI NIE OBERWIE.

MIKE TYSON, BYY BOKSER

51

Typowy DDoS
Setki/tysice trojanw-zombie
Setki tysicy pakietw na sekund
Wielusetmegabitowy strumie mieci
Zatyka sukcesywnie kolejne wskie garda:
styk(i) z Internetem rda
styk(i) z Internetem atakowanego
sie ISP
styki ISP z innymi ISP
kto popsu Internet?

52

Typowy DDoS
Jak to si dzieje?

QWE

XYZ

JKL
ISP-GW

ISP-GW

AS100

GHI

AS300

ISP-GW

ISP-GW
ISP-GW

ISP-GW

AS200
DEF
ISP-GW

SITE-A

ISP-GW

ABC
53

Typowy DDoS

Co ja mog zrobi dla zwikszenia bezpieczestwa?

QWE

XYZ

JKL
ISP-GW

ISP-GW

AS100

GHI

AS300

ISP-GW

ISP-GW

BCP38 (uRPF)

ISP-GW

BCP38, prefiksy

ISP-GW

AS200
DEF

Mechanizmy QoS

ISP-GW

SITE-A

ISP-GW

ABC
54

BGP blackholing PL
O czym mwimy?

Grupa entuzjastw rnego rodzaju zagadnie sieciowych

Grupa route-serwerw
prefiksy bogon (1/8, 2/8, 169.254/16 etc.)
opcja akceptowania prefiksw rozgaszanych przez czonkw
projektu

Koczymy tworzy regulamin

...ale ju przyczamy czonkw
lista pocztowa ruszy lada chwila

Projekt oparty o dobr wol i wolny czas

brak jakichkolwiek gwarancji

Analogia do projektu grupy Cymru

http://www.cymru.com/BGP/bogon-rs.html
my dodatkowo umoliwiamy rozgaszanie wasnych prefiksw
55

BGP blackholing
Czego potrzebuj?

Cisco/Juniper wszystko w komplecie

OpenBGPd wszystko w komplecie
Quagga/Zebra patch do poprawnej obsugi Null0
--- quagga-0.99.1/zebra/zebra_rib.c
+++ quagga-0.99.1-blackhole/zebra/zebra_rib.c
@@ -405,6 +405,8 @@
{
SET_FLAG (nexthop->flags, NEXTHOP_FLAG_RECURSIVE);
nexthop->rtype = newhop->type;
+
+

if (newhop->type == NEXTHOP_TYPE_BLACKHOLE)
nexthop_blackhole_add (rib);
if (newhop->type == NEXTHOP_TYPE_IPV4 ||
newhop->type == NEXTHOP_TYPE_IPV4_IFINDEX)
nexthop->rgate.ipv4 = newhop->gate.ipv4;
56

BGP blackholing

Konfiguracja Quagga/Zebra/Cisco

Etap pierwszy: ruch do odebranych z route-servera

prefiksw, kierujemy na interfejs Null0:
ip route 192.0.2.1/32 Null0
!
ip community-list 99 permit 64999:666
!
route-map BH permit 10
match community 99
set ip next-hop 192.0.2.1
!
router bgp 100
neighbor 10.0.0.8 remote-as 64999
neighbor 10.0.0.8 description BGP BH 01
neighbor 10.0.0.8 route-map BH in
neighbor 10.0.0.8 ebgp-multihop 255
57

BGP blackholing

Konfiguracja - OpenBGPd

Etap pierwszy: ruch do odebranych z route-servera

prefiksw, kierujemy na interfejs Null0:
neighbor 10.0.0.8
{
remote-as

64999

description

BGP BH 01

multihop

255

announce

none

}
allow from any community 64999:666 set nexthop blackhole
allow from any community 64999:666 set pftable "bogons"

58

BGP blackholing
RPF - Jak to dziaa?

RPF = Reverse Path Filtering

rdowy adres kadego pakietu jest porwnywany
z zawartoci tablicy routingu
Jeli podsie z ktrej pakiet przyszed nie zgadza
si z wpisami w tablicy routingu pakiet zostaje
odrzucony

fxp0

em0
RPF-01

XXX

SRC: 172.16.50.5

172.16.50.0/24

172.16.50.0/24 connected via fxp0

59

BGP blackholing
Konfiguracja - RPF

Etap drugi: dziki mechanizmowi RPF, ruch rwnie

z odebranych z route-servera prefiksw, kierujemy
na interfejs Null0:
FreeBSD, tryb strict:
deny log ip from any to any not verrevpath in via em0

FreeBSD, tryb loose:

deny log ip from any to any not versrcpath in via em0

Cisco, tryb strict:

ip verify unicast source reachable via rx

Cisco, tryb loose:

ip verify unicast source reachable via any

60

BGP blackholing

Jak wysa informacje o ataku na wasn sie?

Etap trzeci: moemy rozgasza IP i podsieci z

wasnego ASa jeli wykryjemy na nie atak do
wszystkich uczestnikw projektu tak, by:
zachowa styk z ISP
pomc walczy operatorom z DDoSem
zatrzyma zombie w innych sieciach przed generowaniem
mieci upstream
BH-SVR

172.16.0.65!

GWB

GW
GWA

172.16.0.0/24
61

BGP blackholing

Jak wysa informacje o ataku na wasn sie?

route-map BH-SEND permit 10

match tag 666
set community 64999:999
!
router bgp 100
redistribute static route-map BH-SEND
neighbor 10.0.0.8 remote-as 64999
neighbor 10.0.0.8 send-community
[...]
! atak na 172.16.10.15?
ip route 172.16.10.15/32 Null0 tag 666
! koniec ataku na 172.16.10.15?
no ip route 172.16.10.15/32 Null0 tag 666

62

BGP blackholing

Jak wykorzysta peering z BGP BH PL w rodku sieci?

BH-SVR

BH-SVR

Mimo uruchomienia
BGP BH na GW,
nadal reszta sieci
moe by
przeciana przez
ataki inicjowane z jej
rodka
Rozwizaniem jest
konfiguracja iBGP

Sesje eBGP

GW

RTR-B

RTR-A
RTR-C

RTR-D

RTR-E

RTR-F

63

BGP blackholing

Jak wykorzysta peering z BGP BH PL w rodku sieci?

GW eBGP do BGP BH PL i iBGP do routerw w

rodku sieci:
router bgp 100
neighbor 10.0.0.8 remote-as 64999
neighbor 10.0.0.8 description BGP BH 01
neighbor 10.0.0.8 route-map BH in
neighbor 10.0.0.8 ebgp-multihop 255
neighbor 172.16.0.10 remote-as 100
neighbor 172.16.0.10 description iBGP-RTR-A
neighbor 172.16.0.10 send-communities
[...]

64

BGP blackholing

Jak wykorzysta peering z BGP BH PL w rodku sieci?

RTR-A iBGP z GW
router bgp 100
neighbor 172.16.0.1 remote-as 100
neighbor 172.16.0.1 description iBGP-GW
neighbor 172.16.0.1 route-map BH in
!
ip route 192.0.2.1/32 Null0
ip community-list 99 permit 64999:666
!
route-map BH permit 10
match community 99
set ip next-hop 192.0.2.1
65

BGP blackholing

Jak mog si przyczy?

Napisz maila na adres bgp@networkers.pl

Podaj:
typ swojego routera
rodzaj i ilo stykw z operatorami
czy posiadasz i jeli tak to jaki publiczny ASN
czy chcesz korzysta z moliwoci wstrzykiwania
prefiksw ze swojego ASa?
dziaajcy telefon kontaktowy

Postaramy si jak najszybciej skontaktowa,

podajc potrzebne do zestawienia sesji informacje
66

Apel do wszystkich wiadomych administratorw

Wykorzystaj w swojej sieci mechanizm RPF
zastpujc nim statyczne filtry na sieci bogon

Zastanw si nad zastosowaniem mechanizmw

QoS na swoich czach z SP przede wszystkim dla
ruchu:
ICMP
UDP
TCP

Docz si do projektu BGP Blackholing PL jeszcze

dzi!

67

GDZIE WARTO RZUCI OKIEM

68

Ksiki

69

Zasoby WWW
Pakiet Quagga:
http://www.quagga.net

Pakiet XORP:
http://www.xorp.org

Demon OpenBGPd:
http://www.openbgpd.org i drzewo portw FreeBSD

70

Zasoby WWW
BGP4.AS
http://www.bgp4.as

ISP Essentials:
ftp://ftp-eng.cisco.com/cons/isp/essentials/

ISP Security Essentials (NANOG):

http://www.nanog.org/ispsecurity.html

Prezentacje Philipa Smitha

ftp://ftp-eng.cisco.com/pfs/seminars/

71

&
72

PROTOK BGP

PODSTAWY DZIAANIA
BUDOWA STYKU Z INTERNETEM
PROJEKT BGP BLACKHOLING PL

Dzikuj za uwag
lukasz@bromirski.net
lbromirski@cisco.com

73