Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Cada uma das quatro fases tem um peso distinto, respetivamente de 10, 15, 30, 45% na nota final do trabalho.
O trabalho prático é de execução por grupos de até 3 alunos, podendo na aula prática de realização do trabalho, ou
parte, existir avaliação do grupo e/ou individual sobre a realização do mesmo e o tema que envolve.
Este trabalho, tal como os anteriores, é considerado pedagogicamente fundamental (“NORMAS DE AVALIAÇAO DE
CONHECIMENTOS”, Conselho Pedagógico do ISEL, ponto 2.3.1).
É assumido que os alunos sabem utilizar convenientemente os comandos de configuração dos equipamentos,
incluindo os de show e debug, para validar o seu trabalho e resolver os desafios que lhes vão aparecendo.
O docente decidirá conforme os relatórios entregues e as notas individuais se fará, e com que grupos fará, discussão
final dos trabalhos.
Podem ser fornecidos ficheiros para o GNS3 como proposta de configuração base do trabalho a realizar. A configuração
fornecida é apenas uma proposta podendo ser alterada de maneira a se atingirem os objetivos pretendidos. Pode ser
usado outro simulador que não o GNS3, o PT não inclui as capacidade suficientes.
Conteúdo
Introdução .................................................................................................................................................................. 3
Objetivo ...................................................................................................................................................................... 5
Relatório ................................................................................................................................................................... 12
Bibliografia ............................................................................................................................................................... 12
Links úteis ................................................................................................................................................................. 12
Fases do trabalho ...................................................................................................................................................... 13
Fase 1 – Endereçamento e interfaces .................................................................................................................... 13
Fase 2 - OSPF......................................................................................................................................................... 16
Fase 3 – BGP básico ............................................................................................................................................... 17
Fase 4 – Manipulação dos atributos do BGP .......................................................................................................... 20
“Afinações finais” .................................................................................................................................................. 21
Anexo - Dicas para simplificar o trabalho................................................................................................................... 22
1
2
Introdução
Este trabalho tem como objetivo familiarizar os alunos com o protocolo de encaminhamento BGP.
3
A empresa onde trabalha tem uma rede de alguma dimensão e pretende que a sua ligação ao resto do mundo seja de
uma forma fiável. O objetivo, entre outros, é que a ligação para o exterior da empresa tenha um “downtime” a tender
para zero, daí a opção de realizar a ligação para o exterior via dois operadores (ISP) distintos. Como as ligações aos
operadores têm custos elevados a opção foi:
Realizar a ligação ao ISP 1 via duas ligações, uma a 1 Gbps e outra a 100 Mbps via routers R1 e R2.
Realizar a ligação ao ISP 2 a 100 Mbps, via router R2.
A rede da empresa utiliza os blocos de endereçamento IPv4 cedidos por várias entidades:
Bloco1 - 11.0.0.0/21 - Atribuído pela entidade oficial (IANA/RIR (Regional Internet Registries))
Bloco2 - 12.0.100.0/23 - Cedido pelo ISP 1
Bloco3 - 13.0.113.0/24 - Cedido pelo ISP 2
Os blocos de endereços IPv4 foram divididos pelas várias redes da empresa como consta na tabela de endereços IP.
Foram atribuídos às interfaces loopback que servem para identificar os routers (routerId) endereços no topo dos
blocos de endereços IPv4 dos respetivos AS (ver tabela na figura). Pode optar por outra solução. Verifique se a
atribuição é possível e se está correta.
Os ASBR da empresa usam os protocolos BGP como EGP e OSPF como IGP.
Apesar da rede da empresa/sistema autónomo ter uma dimensão considerável, neste trabalho é representada apenas
por um AS com três routers de maneira a simplificar. Foi-lhe atribuído o número de AS (ASN): 64496. Os ASN dos ISP
1 e 2 são, respetivamente, 64501 e 64502. Os ASN dos dois operadores dos tiers acima são 65503 e 65504. Verifique
se este fosse um caso real se estes números de AS eram possíveis.
Os ISP, numa situação da vida real, teriam mais ligações a mais operadores e redes muito mais complexas. Neste
trabalho limitou-se a complexidade dos AS dos ISP para manter simples o trabalho.
Existe um operador de tier 2 (ISP_Tier2) cujo ASN é 64503. Este operador presta serviço aos dois ISP com contrato com
a empresa. Possui uma ligação de 1 Gbps i a cada um dos operadores (ISP) que prestam serviço à empresa. Possui
também uma ligação FastEthernet ao ISP 1. A ligação deste ISP (ISP_Tier2) ao operador acima (ISP_Tier1) realiza-se
por duas ligações de 100 Mbps. É através deste operador de tier mais elevado (ISP_Tier1) que se realiza a ligação ao
“resto do mundo”, ligação esta simulada por interfaces loopback (Lo1 a Lo4) no router R10 e, posteriormente
complementada com uma ligação ao exterior (ver “Afinações finais”). Para as interfaces Lo1 a Lo4 poderá usar
endereços IPv4 à sua escolha, assegure-se de que fazem sentido.
Assume-se na configuração fornecida que aos ASBR da empresa são enviadas todas as rotas BGP o que, na vida real,
poderia não ser razoável por significar centenas de milhares de rotas.
Utiliza-se na solução proposta a redistribuição de rotas do BGP no OSPF, o que numa situação real poderia ser uma
sobrecarga muito elevada para os routers interiores OSPF devido a terem de lidar com todas as rotas BGP. Em muitas
situações não seria necessário que os ASBR da empresa lidassem com as tabelas BGP completas enveredando-se por
outras soluções, o mesmo é verdade para os routers interiores OSPF. Esta questão é abordada nos últimos pontos
deste trabalho.
Os operadores (ISP) contratados pela empresa possuem entre eles um IXP (Internet Exchange Point). Pelo IXP de
interligação entre os dois ISP deve apenas ser trocado tráfego com origem e destino nos respetivos ISP e clientes. O
IXP não deve ser usado para passar tráfego de um ISP através de outro ISP para os operadores do mesmo tier ou de
tiers mais elevados, ou seja, um ISP do mesmo nível de outro não lhe deve servir de AS de trânsito. O IXP representado
na figura deve permitir ligar até 20 ISP entre eles (altere endereços IP/máscaras se necessário).
4
Objetivo
A empresa delineou os pontos seguintes como base para configuração da sua rede no que respeita à comunicação
com o exterior. Há a responsabilidade de verificar se são todos possíveis e a forma de configurar os routers de maneira
a se cumprirem os vários requisitos/pontos. Para cada um dos pontos que se seguem deve primeiro indicar
textualmente no relatório o que pensa fazer para atingir o objetivo pretendido e depois indicar qual a solução em
termos de configuração específica de cada um dos routers envolvidos.
Como objetivo final, em termos de tráfego, é pretendido que:
1) Os ISP não devem servir de AS de trânsito para o tráfego de outros ISP do mesmo tier, exceto se pertencer a um
cliente comum
Não devem anunciar aos outros ISP do mesmo tier rotas para outros AS de ISP do mesmo tier ou de tiers acima.
Cada ISP exporta para os ISP ligados ao IXP as suas rotas e a específicas dos seus clientes, se estas não
pertencerem aos seus blocos de endereçamento IPv4, e importa dos outros ISP do mesmo tier apenas rotas
para os bloco IP deles e de clientes destes que tenham blocos IP próprios (e se importar tudo?).
!
!R5
!
router bgp 64501
neighbor 200.2.0.18 prefix-list peer_AS64502 in
neighbor 200.2.0.18 prefix-list BLOCO_ISP1 out
!
ip prefix-list peer_AS64502 seq 5 permit 200.2.0.0/20
ip prefix-list peer_AS64502 seq 10 permit 11.0.0.0/20
ip prefix-list peer_AS64502 seq 15 permit 13.0.113.0/24
!
ip prefix-list BLOCO_ISP1 seq 5 permit 200.1.0.0/17
ip prefix-list BLOCO_ISP1 seq 10 permit 12.0.100.0/22
ip prefix-list BLOCO_ISP1 seq 15 permit 11.0.0.0/20
!__________________________________________________________
!
!
!R6
!
router bgp 64502
neighbor 200.2.0.17 prefix-list peer_AS64501 in
neighbor 200.2.0.17 prefix-list BLOCO_ISP2 out
neighbor 200.2.15.255 remote-as 64502
neighbor 200.2.15.255 update-source Loopback0
neighbor 200.4.4.10 remote-as 64504
!
ip prefix-list peer_AS64501 seq 5 permit 200.1.0.0/17
ip prefix-list peer_AS64501 seq 15 permit 11.0.0.0/20
ip prefix-list peer_AS64501 seq 20 permit 12.0.100.0/22
!
ip prefix-list BLOCO_ISP2 seq 5 permit 200.2.0.0/20
ip prefix-list BLOCO_ISP2 seq 10 permit 13.0.113.0/24
ip prefix-list BLOCO_ISP2 seq 15 permit 11.0.0.0/20
!
___________________________________________________
!R5
neighbor 200.2.0.18 route-map Apenas_AS64501_e_Clientes out
…
route-map Apenas_AS64501_e_Clientes permit 10
match as-path 10
5
as-path 10 permit ^64496_ ^64501$
!R6
neighbor 200.2.0.17 route-map Apenas_AS64502_e_Clientes out
…
route-map Apenas_AS64502_e_Clientes permit 10
match as-path 10
!
route-map SETPATH permit 10
match prefix-list BLOCO_11
set as-path prepend 64496 64496 64496
set metric 400
exit
!
route-map SETMED permit 10
match prefix-list BLOCO_11
set metric 100
exit
Nota: A configuração básica BGP e OSPF dos routers, se disponibilizada para este trabalho,
deverá ser adaptada ao seu simulador e à forma como o configurar. Os alunos devem estudá-la,
compreendê-la, corrigi-la onde entenderem necessário (justificando as suas opções), alterá-la para atingirem os
10
objetivos indicados e responderem às questões colocadas. Se existirem casos em que considere que um objetivo
indicado não pode ser cumprido devido a limitações do BGP deverá justificar isso no relatório.
11
Relatório
Pretende-se como resultado deste trabalho um relatório onde conste:
O relatório final deve ser dividido segundo as várias fases do trabalho. Cada parte referente a uma fase deve descrever
de forma concisa e precisa o que foi feito para efetuar a respetiva fase, deve ainda indicar o que foi alterado relativamente
às fases anteriores. Devem ser evitadas sobreposições de explicações sobre o mesmo tema (por exemplo: repetir na fase
2 a explicação das opções tomadas na configuração das interfaces dos routers), exceto se for necessário efetuar alguma
alteração em relação a fases anteriores para se poder atingir o objetivo da fase atual.
Para cada uma das fases do trabalho pretende-se a listagem devidamente comentada e justificada da configuração
utilizada para se atingirem os objetivos indicados para a respetiva fase.
As listagens das tabelas BGP dos ASBR da empresa e do router (R10) do operador de tier mais elevado para cada fase (se
se aplicar).
As listagens das tabelas de encaminhamento dos ASBR da empresa, do R3 e do router R10 do operador de tier mais
elevado (se se aplicar).
O resultado da execução do script tclsh que efetua Ping a todas as redes da topologia a partir dos routers R3 e R10.
As rotas (trace route ou o Ping estendido) entre cada um dos blocos IP da empresa e “resto do mundo”, nos dois sentidos
(se se aplicar).
Respostas às questões efetuadas neste enunciado referentes a cada uma das fases do trabalho.
A listagem das configurações finais dos routers. Podendo ser utilizados os ficheiros obtidos nos simuladores como, por
exemplo, no GNS3 com “file>Import/Export device configs”.
Em anexo ao relatório o ficheiro do GNS3, tipo “Export Portable Project”, sem imagens, correspondente ao trabalho
efetuado (devido à dimensão do ficheiro pode ser na forma de um link para uma “box/cloud”).
Bibliografia
Pode consultar qualquer bibliografia, no entanto para configurar o OSPF aconselha-se a bibliografia indicada nos
trabalhos anteriores.
Para configurar a parte que respeita ao BGP aconselha-se a consultar a documentação disponibilizada no link no Thoth
de RI: “CD_alunos_2017-2018”, em especial nos “BGP docs”. Existem lá muitos exemplos de configuração e muitos
tutoriais. Dê uma vista de olhos rápida nos vários, escolha e depois conforme necessário aprofunde aqueles que
precisar. Os dois “cis185” são igualmente uma boa fonte de informação:
cis185-mod9-BGP-Part1.pdf
cis185-mod9-BGP-Part2.pdf
e o documento da Cisco “BGP tutorial” em “Cisco-BGP.pdf” é igualmente uma boa referência para começar.
Todos os outros documentos em “BGP docs” têm uma ou outra coisa interessante mas muito repetida entre eles no
entanto deve “espreitá-los” e decidir por si!
Links úteis
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_bgp/configuration/xe-3se/3850/irg-xe-3se-
3850-book/irg-prefix-filter.html
http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/13754-26.html
http://www.cisco.com/c/en/us/td/docs/ios/12_2/ip/configuration/guide/fipr_c/1cfbgp.html#wp1000934
12
Fases do trabalho
Fase 1 – Endereçamento e interfaces
Configuração básica de todos os equipamentos da topologia de maneira a que todos os equipamentos consigam
“pingar” os vizinhos:
1. Crie a topologia no simulador de rede (GNS3, EVE-NG, VIRL, …). Pode alterar, caso considere necessário, as
interfaces utilizadas nos routers de maneira a melhorar o desempenho de toda a topologia.
2. Utilize um editor de texto tipo Notepad++ para criar todas as suas configurações base dos routers e ir copiando
depois as mesmas para os routers. Para tal não se esqueça de ir colocando também no ficheiro os comando para
subir e descer de contexto nos routers (ex: configure terminal, exit, end, etc.). Não se esqueça dos shutdown ou
no shutdown necessários. Não se esqueça de ir salvando (copy run start) as configurações dos routers para
memória não volátil (NVRAM) destes. Fazer save no simulador também ajuda a não perder o trabalho efetuado.
3. Blocos de endereços atribuídos às várias entidades deste trabalho:
13
Endereços IPv4 de rede e routerId
Nome Endereço rede Máscara Broadcast IP
N91 200.1.0.4 /30 200.1.0.7
N92 200.1.0.8 /30 200.1.0.11
N93 200.2.0.4 /30 200.2.0.7
N94 200.2.0.16 .32 /28 /27 200.2.0.31 .65
N95 200.3.0.4 /30 200.3.0.7
N96 200.3.0.12 /30 200.3.0.15
N97 200.4.4.0 /30 200.4.4.3
N98 200.4.4.4 /30 200.4.4.7
N99 200.3.0.8 /30 200.3.0.11
N01 11.0.0.0 /22 11.0.3.255
N02 11.0.4.0 /22 11.0.7.255
N03 12.0.100.0 /23 12.0.101.255
N04 13.0.113.128 /30 13.0.113.131
N05 13.0.113.132 /30 13.0.113.135
N06 13.0.113.0 /25 13.0.113.255
.127
N11 200.1.0.0 /30 200.1.0.3
N21 200.2.0.0 /30 200.2.0.3
N31 200.3.0.0 /30 200.3.0.3
N41 200.4.0.0 /22 200.4.3.255
RouterId
R1 1.1.1.1 /32
R2 2.2.2.2 /32
R3 3.3.3.3 /32
R4 200.1.127.254 /32
R5 200.1.127.255 /32
R6 200.2.127.254 /32
R7 200.2.127.255 /32
R8 200.3.127.254 /32
R9 200.3.127.255 /32
R10 200.4.7.255 /32
Q1.2: As interfaces lo0 que servem para atribuir uma identificação aos routers poderiam ter qualquer valor como endereço IP?
No R10 também é o lo0 que é usado para RouterId?
Utilize os comandos como os que se seguem como sugestão para configurar as interfaces dos routers da empresa:
!Router R1
hostname R1
!
!Configure as interfaces de loopback que irão servir para identificar os routers também no BGP
interface Loopback0
ip address <end> <mask>
---
interface Fa0/0
ip address <end> <mask>
no shutdown
…
!Router R2
hostname R2
…
!Router R3
hostname R3
…
Q1.3: Justifica-se a alteração dos routerId indicados na tabela anterior para os indicados na figura da topologia?
Q1.4: verifique se nas tabelas de routing constam as redes devidas em cada um dos routers da topologia. Pode usar comandos
como o sh ip route ou o sh int (caso uma interface dê problemas).
14
4. Configure os PC da empresa. Não se esqueça de configurar também em cada um dos PC o endereço IP do respetivo
gateway. Caso não se lembre dos comandos o “?” faz “milagres”, quer nos PC, quer nos routers.
Q1.5: No fim desta fase deve ser possível realizar “Ping” entre todos os equipamentos ligados diretamente entre si nas várias
redes do AS da empresa. Utilize o tclsh para realizar os Ping com um único comando.
Q1.6: Verifique se todos os erros devidos, por exemplo, a configuração incorreta de half e full-duplex nas interfaces estão
resolvidos. Se não estiverem altere a configuração e / ou a topologia para se evitarem este tipo de erros.
15
Fase 2 - OSPF
Utilize os comandos que se seguem como sugestão para a configuração do OSPF monoárea, nos AS em que for necessário, nos
routers da topologia. Assuma que todos os routers da empresa se encontram na área de backbone. No OSPF devem ser incluídos
todas as redes da empresa e também aquelas a que o AS se liga diretamente. Tenha em atenção que as mensagens do protocolo
OSPF a correr nos AS não devem ser enviadas para fora dos respetivos AS nem para as interfaces de loopback, devendo para isso
serem configuradas como interfaces passivas.
All subnets for connected point to point and shared ethernet segments need to be configured into OSPF. Otherwise you will not
be able to set up OSPF adjacencies.
Q2.1: Porque devem as redes de ligação entre os AS serem incluídas no OSPF? Porquê o passive-interface nestes casos?
Q2.2: As redes de ligação do AS da empresa aos ISP1 e ISP2 constam nas tabelas de routing de todos os routers da empresa?
Why must you have each subnet from connected connection entered into OSPF?
Also, you want the subnets of connected interfaces which are not being used for OSPF adjacencies to appear in OSPF. This is so
that the other routers can see the loopback interfaces and any other configured interfaces on your router which are not
required to run OSPF:
RouterN(config)#router ospf n
RouterN(config-router)#network 200.200.11.224 0.0.0.0 area 0
RouterN(config-router)#passive-interface Loopback 0
Notice the “passive-interface” statement. This suppresses routing updates on the specified interface and is required for every
interface which is not used to form OSPF adjacencies. For the loopback, this saves router CPU, but it is more important that the
“passive-interface” directive is applied to externally facing interfaces, for example customers, external networks, etc. If not, then
it may be possible for external networks to form OSPF adjacencies with the internal network, and the potential problems this
may bring.
Q2.4: Confirme que do PC1 consegue realizar Ping a todos os equipamentos/interfaces da empresa.
Q2.5: No caso da atual topologia é necessário configurar um IGP como o OSPF noutros AS que não o da Empresa?
16
Fase 3 – BGP básico
Utilize os comandos que se seguem como sugestão para configurar o BGP nos routers (numa primeira configuração pretende-se
colocar o BGP a funcionar da forma mais simples possível e sem qualquer filtros ou uso de atributos e sem ter em consideração
as restrições de tráfego anunciadas, estas serão tratadas posteriormente):
Configure o iBGP no router R1:
router bgp 64496
neighbor <rede> remote-as 64496
neighbor <rede> update-source lo0
Q3.2: Como é que os routers R1 e R2 sabem que a ligação entre eles é iBGP e não eBGP?
Q3.3: Para que serve o comando ip route <redeY> <mask> null0 e qual o objetivo da sua utilização?
Q3.4: Qual a razão de não se usar aqui o neighbor <rede> update-source lo0?
Configure no R10 a simulação da ligação para o “resto do mundo”. Nesta fase usando interfaces de loopback (Lo1 a Lo4) e, no
final, usando uma ligação cloud (ver “Afinações finais”).
Salve as configurações efetuadas na memória não volátil (NVRAM) dos routers: copy run start
Utilize o comando show ip bgp neighbors para verificar se todos os routers reconhecem os seus vizinhos.
Utilize o show ip bgp summary para verificar quantos atributos de caminhos BGP estão a ser usados e que memória ocupam.
Após usar clear ip bgp * para reiniciar as tabelas do BGP e esperar um pouco para que estabilizem, verifique se tem acesso de
todas as redes para todas as outras, nomeadamente para as redes entre o PC3 e o PC4. Justifique.
The ping fails because Cliente1 does not have a route back to the source. The source is ISP's closest connected interface
according to BGP, which in this case is the Fa0/0 link to Cliente1. The route to network 172.16.0.0 from ISP is via Cliente22, so
ISP can ping the directly-connected Cliente22 interfaces but not the directly-connected Cliente1 interfaces.
Utilize o comando show ip bgp para verificar a tabela BGP dos routers. Confirme as rotas com o comando sh ip route.
17
Q3.5: As rotas que aparecem nas tabelas do BGP são as mesmas que aparecem nas tabelas de routing?
No fim desta fase todas as redes devem aparecer em todas as tabelas de routing de todos os routers (sumarizadas?).
Sugestão: Utilize um script tclsh nos routers para ajudar a automatizar o teste com múltiplos Ping entre os vários equipamentos.
Para isso basta usar o script abaixo com os endereços IP e máscaras das interfaces que pretenda testar e fazer copy and paste para
a linha de comandos do router que pretenda que seja a origem dos Ping:
tclsh
foreach address {
<end1> >
<end2> >
…
} { ping $address
}
Altere a configuração fornecida para que sejam utilizadas as redes indicadas na figura, Lo1 a Lo4 no router R10, como
as redes do “resto do mundo”. Altere o que for necessário para que as redes que simulam o “resto do mundo”, simulada por
loopbacks no R10, apareçam em todas as tabelas de routing.
Utilize nos routers o Ping estendido para determinar o caminho que os pacotes seguem na ida e na vinda entre a empresa e o
“resto do mundo” (simulado pela interface loopback0 no router do ISP_Tier1):
ping
Protocol [ip]:
Target IP address: <end IP destino>
Repeat count [5]: 2
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: <end IP origem>
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]: record
Number of hops [ 9 ]:
Loose, Strict, Record, Timestamp, Verbose[RV]:
Sweep range of sizes [n]:
Q3.6: Verifique qual é a rota entre o router R4 e o router R7. Desative a ligação via IXP e verifique se a rota se altera. Justifique.
Caso necessário, altere a configuração para que o tráfego entre o R4 e o R7 passe pelo IXP.
Q3.7: Verifique se o BGP passou a anunciar todas as suas ligações entre os AS (show ip bgp).
The next issue to consider is BGP policy routing between autonomous systems. The next-hop attribute of a route in a different
AS is set to the IP address of the border router in the next AS toward the destination, and this attribute is not modified by
default when advertising this route through IBGP. Therefore, for all IBGP peers, it is either necessary to know the route to that
border router (in a different neighboring AS), or our own border router needs to advertise the foreign routes using the next-hop-
self feature, overriding the next-hop address with its own IP address. The Cliente2 router is passing a policy to Cliente1 and vice
versa. The policy for routing from AS 64512 to AS 200 is to forward packets to the 192.168.1.1 interface. Cliente1 has a similar
yet opposite policy: it forwards requests to the 192.168.1.5 interface. If either WAN link fails, it is critical that the opposite
router become a valid gateway. This is achieved if the next-hop-self command is configured on Cliente1 and Cliente2.
Q3.8: Verifique a tabela BGP do router R2 (show ip bgp). Será necessário incluir comandos como os seguintes no R1 e no R2?
!R1
router bgp m
neighbor <vizinho_eBGP> next-hop-self
!R2
router bgp n
neighbor <vizinho_eBGP> next-hop-self
Q3.9: Introduza os comandos next-hop-self nos routers R1 e R2 e verifique a diferença em termos de tabelas de routing e de
BGP em relação às obtidas antes. Justifique as diferenças provocadas pelos comandos next-hop-self referidos anteriormente.
Remova-os se não forem necessários.
18
Q3.10: O router R3 possui alguma rota para o “resto do mundo”? Que comandos nos routers R1, R2, R3 e R10 contribuíram para
isso?
Q3.11: Se se fizer shutdown à interface do router R6 para o IXP as rotas para o “resto do mundo” nos routers R1, R2
e R3 são alteradas? Nota: Tenha em atenção o tempo de convergência da rede.
Q3.12: Utilizando o Ping estendido verifique as rotas de ida e de volta do R3 até ao Lo4 no R10. São simétricas (são a
mesma na ida e na volta)? (Registe a rota para comparação futura)
Q3.13: Qual a razão de se usar “no synchronization” nos routers R1 e R2 e não se dever usar nos restantes routers da
topologia que correm BGP?
19
Fase 4 – Manipulação dos atributos do BGP
1. Configurar os routers de maneira a atingir os objetivo de controlo de tráfego indicado em “Objetivo”. Configurar os atributos,
um a um, nos routers BGP de maneira a que o tráfego fique de acordo com os objetivos referidos anteriormente. Realize
testes cada vez que implementar um “filtro”, um a um. Após configurar cada um dos filtros, teste para verificar se
o filtro é eficaz e cumpre o objetivo desejado. Só depois é que deve avançar para a configuração do próximo filtro.
Não caia na asneira de configurar todos os “filtros” e só testar no fim.
Q4.1: Justifique, um a um, todos os atributos que usar para resolver esta parte do trabalho.
Q4.2: Indique quais as alterações nas tabelas BGP (show ip bgp) dos routers da empresa, comparando-as com as
obtidas antes e justifique as alterações detetadas.
Q4.3: Como é que o Ping estendido executado no R2 consegue determinar o caminho que os pacotes IP seguem na
ida e na vinda até ao R10?
Q4.4: Após forçar os routers a atualizarem as tabelas BGP (clear ip bgp * soft) verifique usando o show ip bgp se houve
alterações nas tabelas BGP e, se sim, quais.
2. Realize um trace route (use o Ping estendido) para todos as redes a partir da rede da empresa (R3), pode usar um
script TCL.
Q4.5: Existe mais do que um caminho entre os mesmos destinos? Se sim, o BGP faz “load share” entre eles?
Q4.6: Compare as rotas de ida e volta entre o R3 e o R10 atuais e as obtidas antes de alterar os atributos BGP.
Q4.7: Utilize o Ping estendido para confirmar se os percursos de ida e de volta do AS da empresa para o “resto do
mundo” são idênticos (simétricos).
Q4.8: Que alterações faria se a empresa possuísse apenas uma única ligação a um único ISP, ISP 1 por exemplo?
Q4.9: Qual a razão do comando “update-source loopback 0” ser usado em iBGP e não o ser em eBGP (complemento
de pergunta anterior sobre o mesmo tema)?
Q4.10: Se removesse a rede/ligação N99 quais seriam as consequências em termos de tráfego de entrada e de saída
na empresa? Teste no simulador a sua teoria.
20
“Afinações finais”
A ligação ao “resto do mundo” poderá ser simulada nas fases anteriores do trabalho por interfaces de loopback
criadas no router R10. Para o resultado do trabalho ser mais realista deverá passar a ser simulada por uma ligação
cloud em que o R10 irá adquirir o endereço IPv4 da interface ligada à cloud via DHCP.Podem manter as interfaces de
loopback como “faz de conta” de redes exteriores à topologia do trabalho. Se necessário as configurações de todos
os routers deverão ser alteradas para refletirem esta evolução.
Se precisar de usar um servidor de DNS pode usar o que se encontra no endereço IPv4: 8.8.8.8 (pertence a quem?).
Deverá usar NAT no R10 para garantir que de todos os endereços IPv4 se pode aceder a qualquer sítio na Internet
(mas não podem ser acedidos a partir de iniciativa exterior).
Nota: Tenha em atenção que a sua topologia não troca mensagens OSPF ou BGP com o “resto do mundo”!
QA.2: Qual a razão do R10 não usar BGP para descobrir as rotas para o “resto do mundo”?
QA.3: O AS da Empresa poderia usar endereços IP privados e públicos e assim poder usar um maior número de
endereços IPv4. Como procederia para que tal fosse possível tendo em consideração que devem existir alguns
servidores (eMail, DNS, Web, …) que devem poder ser acedidos a partir do exterior?
21
Anexo - Dicas para simplificar o trabalho
Caso necessite limpar a configuração toda de um router pode usar: “delete nvram:startup-config”. Depois de executar o
comando poderá executar um reload mas … no GNS3 o router “morre”. Deverá realizar stop e start do router e ele arrancará
com uma configuração limpa.
Avoid to loose time when you write the wrong command:
Router(config)# no ip domain-lookup
- As suas rotas
- Rotas mais específicas para todos os seus pares no IXP
- Um agregado para todas as rotas no seu IXP
- Um agregado para todas as rotas noutros IXP
Each AS will advertise the CIDR block assigned to them via BGP:
router bgp n
no synchronization
no auto-summary
bgp log-neighbor-changes
network <net> mask <mask>
!
ip route <net> <mask> null0 250
Don’t forget the static route to Null0. This ensures that the prefix has an entry in the routing table, and therefore will appear
in the BGP table. Also, don’t forget to disable synchronization and auto-summarisation – these are also mandatory
requirements for ISP routers connecting to the Internet. Note that the distance of 250 applied to the static router will ensure
that routing protocols announcing this exact prefix will override the static (if this is required/desired).
Firstly, agree on what IP addresses should be used for the point to point links between the ASes. Put the /30 networks used
for the DMZ links into OSPF (network statement and passive interface). Then configure eBGP between the router pairs, for
example:
router bgp n
neighbor <ip_addr> remote-as 200
!neighbor <ip_addr> description eBGP with RouterXX
neighbor <ip_addr> soft-reconfiguration in
Use the BGP show commands to ensure that you are receiving prefixes from your neighbouring AS. Don’t forget the
soft-reconfiguration command – this again is mandatory on all eBGP peerings.
Sugestão para evitar que alguns erros de configuração noutros AS afetem o AS da empresa (RFC 1918):
router bgp <AS_number>
network <ip_addr> mask <mask>
neighbor <ip_addr> remote-as <AS_number>
neighbor <ip_addr> prefix-list in-filter in
!
ip prefix-list in-filter deny 0.0.0.0/0 ! Block default
ip prefix-list in-filter deny 0.0.0.0/8 le 32
ip prefix-list in-filter deny 10.0.0.0/8 le 32
ip prefix-list in-filter deny 127.0.0.0/8 le 32
ip prefix-list in-filter deny 169.254.0.0/16 le 32
ip prefix-list in-filter deny 172.16.0.0/12 le 32
ip prefix-list in-filter deny 192.0.2.0/24 le 32
ip prefix-list in-filter deny 192.168.0.0/16 le 32
ip prefix-list in-filter deny 221.10.0.0/19 le 32 ! Block local prefix
ip prefix-list in-filter deny 224.0.0.0/3 le 32 ! Block multicast
ip prefix-list in-filter deny 0.0.0.0/0 ge 25 ! Block prefixes >/24
ip prefix-list in-filter permit 0.0.0.0/0 le 32
22
Three BASIC Principles:
Finally, whenever you are configuring BGP, you will notice that changes you make to an existing configuration may not
appear immediately.
To force BGP to clear its table and reset BGP sessions, use the clear ip bgp command. The easiest way to enter this
command is as follows:
Router#clear ip bgp *
Router#clear ip bgp <ip_addr>
Use this command with CAUTION, better yet, not at all, in a production network. From the net…
The Cisco IOS offers an optional command called no synchronization. This command enables BGP to override the
synchronization requirement, allowing the router to advertise routes learned via IBGP irrespective of an existence of an IGP
route.
Reconfiguração após alterações:
router bgp 100
neighbor 1.1.1.1 remote-as 101
neighbor 1.1.1.1 route-map infilter in
neighbor 1.1.1.1 soft-reconfiguration inbound
! Outbound does not need to be configured !
Then when we change the policy, we issue an exec command
clear ip bgp 1.1.1.1 soft [in | out]
clear ip bgp x.x.x.x in tells peer to resend full BGP announcement
!------------------------------------------------
tclsh
foreach address {
11.0.7.253
200.1.0.5
11.0.4.2
13.0.113.130
13.0.113.1
11.0.7.254
13.0.113.2
13.0.113.134
200.2.0.37
200.1.0.9
11.0.7.255
11.0.0.1
12.0.100.1
13.0.113.133
13.0.113.129
23
11.0.4.3
200.1.127.254
200.1.0.6
200.1.0.1
200.3.0.5
200.1.127.255
200.1.0.10
200.2.0.17
200.3.0.9
200.1.0.2
200.2.15.254
200.2.0.33
200.2.0.18
200.2.15.255
200.2.0.38
200.2.0.13
200.2.0.34
200.3.3.254
200.3.0.6
200.3.0.1
200.4.4.1
200.3.3.255
200.3.0.10
200.3.0.14
200.4.4.5
200.4.7.255
200.4.4.2
200.4.4.6
200.4.0.1
11.0.4.1
12.0.100.2
11.0.0.2
200.4.0.2
13.0.113.3
} { ping $address
24
}
exit
Outras Dicas:
bgp fast-external-fallover
Step 1
Step 2
Step 3
Router(config-router)# ip prefix-list list-name [seq sequence-value] {deny | permit network/length} [ge ge-value] [le le-value]
Filtrar RFC1918
25
ip prefix-list bogons deny 172.16.0.0/12 le 32
no synchronization
no auto-summary
Bogons list
0.0.0.0/8
10.0.0.0/8
100.64.0.0/10
127.0.0.0/8
169.254.0.0/16
172.16.0.0/12
192.0.0.0/24
192.0.2.0/24
192.168.0.0/16
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
26
Filtrar aceitando apenas IP atribuidos aos clientes
27
route-map SOURCE_ROUTING permit 20
Then apply policy route-map SOURCE_ROUTING on the interface that receive data that need to go out.
Evitar que a rede da empresa seja de trânsito entre aos ISP1 e ISP2
!R1
match as-path 10
exit
!R2
match as-path 10
exit
end
28
!
exit
29
! ...
!R1
exit
i
Os operadores possuem ligações de débito muito elevado (100 Gbps ou mais) entre eles e os operadores dos tiers superiores
mas, no caso deste exercício, vamos supor que 1 Gbps é muito elevado dadas as limitações das interfaces disponibilizadas nos
routers utilizados.
30