GESTIÓN CENTRALIZADA DE BLOQUES DE DIRECCIONES IP · La IP de loopback de los routers de gestión...

GESTIÓN CENTRALIZADA DE

BLOQUES DE DIRECCIONES IP

Ing. José Restaino

[email protected]

Ing. Fernando López

[email protected]

Autores

Motivación

Descripción general

Fundamento teórico

Implementaciones posibles

Recomendaciones

Preguntas

ISP’s de Sudamérica tienen que tener costosos enlaces a carriers Tier1 y Tier2 en América del norte

Se pueden llegar a tener varios enlaces y proveedores, lo cual dificulta la gestión de los bloques de direcciones IP’s que se publican por los mismos.

Objetivos del sistema implementado

◦ Disminuir el tiempo necesario para modificar la publicación de un bloque de direcciones IP’s

◦ Facilitar la implementación de políticas en las publicaciones de los bloques IP’s

◦ Interactuar de manera sencilla con políticas de publicaciones BGP ofrecidas por los carriers

◦ Facilitar el desarrollo de software para realizar ingeniería de tráfico de manera automática o manual

Objetivos del sistema implementado

◦ Separar el plano de control del de tráfico

◦ Aumentar la flexibilidad en la publicación debloques IP a través de uno o varios enlaces

◦ Simplificar la creación de nuevos bloques osubdivisión de bloques ya existentes

◦ Ampliar las posibilidades de gestión de los bloquesIP’s de los clientes BGP del ISP

Motivación

Fundamento teórico



Recomendaciones

Preguntas

Comunidad BGP - Definición

◦ Definidas en RFC1997

◦ Es un atributo opcional y transitivo

◦ La comunidades BGP se utilizan para agrupar un conjunto de rutas BGP. Con las rutas agrupadas se pueden tomar acciones sobre la política de tráfico a utilizar

◦ Una comunidad BGP se define con un entero de 32 bits

◦ Están reservados los números

0x00000000 hasta 0x0000FFFF

0xFFFF0000 hasta 0xFFFFFFFF

◦ Se estila utilizar los dos primeros octetos de la comunidad para indicar un ASN.

Comunidad BGP – Utilidad

◦ Un equipo que utilice el protocolo BGP, puede marcarle una comunidad a una ruta aprendida por un neighbor BGP o modificarla si ya una presente.

◦ Este atributo puede utilizarse para controlar cuales rutas va a distribuir a sus neighbors BGP o cuales va a aceptar desde un neighbor BGP.

◦ Un equipo puede tomar una acción para una ruta aprendida por BGP en función de la comunidad que traiga. Por ejemplo podrá modificar atributos BGP.

Motivación

Fundamento teórico



Recomendaciones

Preguntas

Se generará la publicación de los bloquesutilizando IBGP desde un router central y en el semarcara cada bloque con una o un grupo decomunidades BGP

Los bloques generados en el router central seránmenos específicos que los bloques internosexistentes en mi red

Los routers que posean sesiones EBGP con loscarriers, peers o clientes bgp, recibirán estosbloques de direcciones IP a publicar por IBGP


De acuerdo a la/s comunidad BGP, el router queposee la/s sesión EBGP publicará o no el bloquede direcciones IP’s

Con cada valor de la comunidad se podrárepresentar a un atributo BGP con el cual elbloque deberá ser publicado (por ejemplo lacantidad de AS-PATH)


Si el carrier o peer implementa políticas de ruteoen función de la comunidad con la cual se recibeun bloque de direcciones IP, es posible adaptar lacomunidad interna para la misma política, a lacomunidad que el carrier requiere

En caso de que en nuestro backbone estemosutilizando comunidades para otro tipo de políticasde ruteo, esto no interferirá en el desarrollo de laplataforma que estamos presentando dado queuna ruta bgp puede contener varias comunidades


Carrier 1

Carrier 2

Carrier 3

Carrier n

Sitio A

Sitio B

Sitio C

GestiónTitular

GestiónBackup


Operación del sistema

◦ Dado que para modificar la publicación de unbloque IP solo debemos de modificar lacomunidad con la cual se genera en el routerdedicado a esto, vamos a lograr disminuir eltiempo de operación y va a ser más sencillodesarrollar un software que lo implemente demanera manual o automática.


Separación del plano de control del de tráfico

◦ El router que genere las publicaciones IBGP,servirá para controlar por cual de los enlaces y deque manera serán advertidos nuestros bloques.Para esta función podemos instalar un equipodedicado por el cual no se curse tráfico


Eventual perdida de conectividad entre un routerde borde y el backbone

◦ Si por algún motivo, alguno de los routers queimplementan las sesiones EBGP con loscarriers/peers dejaran de recibir por IBGP losbloques, estos no publicaran los mismos a loscarriers/peers.

◦ BENEFICIO: Ante la perdida de conectividad entreun router de borde de la red con el backbone, sedejaran de advertir los bloques IP en las sesionesEBGP de ese equipo


Motivación

Fundamento teórico



Recomendaciones

Preguntas

Configuración del router de gestión

◦ Los bloques pueden ser generados con un set next-hop deuna IP estratégicamente seleccionada, la cual puede ser:

La IP de loopback de los routers de gestión

Una IP que tenga asociada una ruta estática /32 dirigida null 0 en cada uno de nuestros routers de borde (esta IP puede ser privada, típicamente para esta función se elije la IP 192.0.2.1)

Una IP que pertenezca a otro dispositivo encargado del análisis de ese tráfico.

Comunidades a utilizar

◦ En los dos primeros octetos de la comunidad seestila indicar el ASN de quien genera la publicacióno el ASN al cual se le genera la publicación.

◦ Por ejemplo si un carrier implementa políticas deruteo en función de la comunidad con la cual leadvierten una determinada ruta, se estila que losdos primeros octetos de esta comunidad indiquenel ASN del carrier


◦ Dado que las comunidades serán utilizadas dentrodel AS de quien lo implemente, utilizaremosnúmeros correspondientes a ASN privados (desde64512 a 65534) para los dos primeros octetos de lacomunidad

◦ No utilizamos nuestro ASN en estos dos bytes, yaque vamos a requerir distinguir más de un valor enlos dos primeros bytes


◦ En caso de querer ofrecer políticas de tráficobasadas en comunidades a nuestros clientes,podemos ofrecerle comunidades comenzando pornuestro sistema autónomo y realizaremos laconversión a la comunidad interna correspondienteen el router donde implementemos las sesionesBGP con ellos

65 A N T : LL PP I

Acción:

•Publicar sin acción

•Publicar solo a clientes del

carrier

•Publicar solo al carrier

•Publicar adicionando AS-Path

•Publicar con MED

Parámetro vinculado a la acción

Tipo de enlace:

•Peer

•Carrier gold

•Carrier silver

•Carrier bronze

•Clientes bgp

LocalizaciónProveedor

Peer

Identificador

65 A NN : T L PP I

Acción:



carrier



•Publicar con MED


Tipo de enlace:

•Peer

•Carrier gold

•Carrier silver

•Carrier bronze

•Clientes bgp


Peer

Identificador

65 AA N : T L PP I

Acción:



carrier



•Publicar con MED


Tipo de enlace:

•Peer

•Carrier gold

•Carrier silver

•Carrier bronze

•Clientes bgp


Peer

Identificador

Ejemplo - Comunidades

◦ Supongamos que tenemos las siguientes acciones posibles:

Publicar sin acción AN=00

Publicar adicionando 3 AS path AN=13

Publicar adicionando 6 AS path AN=16

Publicar solo a los clientes del carrier AN=20

No publicar el bloque AN=30

Ejemplo - Comunidades

◦ Supongamos que estamos configurando un enlace de Tipo Gold (T=2) ubicado en sitio B (LL=02) con enlace al Carrier2 (PP=02) con identificador 1 (I=1) :

T:LLPPI=2:02021

◦ Para referirnos a todos los tipos, todos los sitios, todos los carriers, todos los identificadores:

T:LLPPI=9:64999

ip community-list expanded EspNoPub_X permit 65302:02021

ip community-list expanded EspSinAcc_X permit 65002:02021

ip community-list expanded TresPrep_X permit 6513[9|2]:[64|02][99|02][9|1]

ip community-list expanded SeisPrep_X permit 6516[9|2]:[64|02][99|02][9|1]

ip community-list expanded SoClCarr_X permit 6520[9|2]:[64|02][99|02][9|1]

ip community-list expanded GpNoPub_X permit 6530[9|2]:[64|02][99|02]9

ip community-list expanded GpSinAcc_X permit 6500[9|2]:[64|02][99|02]9

Ejemplo – Configuración router de borde ◦ community-lists para el enlace X

Ejemplo – Configuración router de borde◦ route-map del enlace X

route-map ENLACE_X deny 10description No Advierto el bloquematch community EspNoPub_X

!

route-map ENLACE_X permit 20description Publico sin accionmatch community EspSinAcc_Xset community none

!

route-map ENLACE_X permit 30description Prependeo con 3 ASNmatch community TresPrep_Xset as-path prepend ASN ASN ASNset community none

!

route-map ENLACE_X permit 40description Prependeo con 6 ASNmatch community SeisPrep_Xset as-path prepend ASN ASN ASN ASN ASN ASNset community none

!

route-map ENLACE_X permit 50description Publico solo a clientes del carriermatch community SoClCarr_Xset community YYYY:YYYY

!

route-map ENLACE_X deny 60description No publicomatch community GpNoPub_Xset community none

!

route-map ENLACE_X permit 70description Publico sin tomar accionmatch community GpSinAcc_Xset community none

Ejemplo – Configuración router de borde◦ route-map del enlace X

Ejemplos

◦ Publicación del bloque 192.168.0.0/16 por el enlace X

◦ Publicación del bloque 192.168.0.0/16 por todos los enlaces de un sitio adicionando 3 AS-PATH

◦ Publicación del bloque 192.168.0.0/16 por todos los enlaces contra el carrier 2 solo a clientes de él y publicar con 6 AS-PATH por el enlace Y

◦ Publicación del bloque 192.168.0.0/16 por todos los enlaces de un sitio con excepción de dos especificos

Carrier 1

Carrier 2

Carrier 3

Carrier 4

Sitio A

Sitio B

Sitio C

GestiónTitular

GestiónBackup

router bgp 64501network 192.168.0.0 mask 255.255.0.0 route-map B192-168-0-0--16!route-map B192-168-0-0--16 permit 10set local-preference 200set origin igpset community 65002:02021!ip route 190.168.0.0 255.255.0.0 Null0

65 0 0 2 : 02 02 1Acción/Parámetro:

Publicar sin acción

Tipo de enlace:

Carrier Gold Localización:

Sitio B

Proveedor:

Carrier 2

Identificador:

Número 1

Ejemplos





Carrier 1

Carrier 2

Carrier 3

Carrier 4

Sitio A

Sitio B

Sitio C

GestiónTitular

GestiónBackup

router bgp 64501network 192.168.0.0 mask 255.255.0.0 route-map B192-168-0-0--16!route-map B192-168-0-0--16 permit 10set local-preference 200set origin igpset community 65139:02999!ip route 190.168.0.0 255.255.0.0 Null0


Publicar con 3 AS-PATH

Tipo de enlace:

Cualquiera Localización:

Sitio B

Proveedor:

Cualquiera

Identificador:

Cualquiera

Ejemplos





Carrier 1

Carrier 2

Carrier 3

Carrier 4

Sitio A

Sitio B

Sitio C

GestiónTitular

GestiónBackup

router bgp 64501network 192.168.0.0 mask 255.255.0.0 route-map B192-168-0-0--16!route-map B192-168-0-0--16 permit 10set local-preference 200set origin igpset community 65209:64029 65163:03042!ip route 190.168.0.0 255.255.0.0 Null0


Publicar solo a clientes del Carrier

Tipo de enlace:


Cualquiera

Proveedor:

Carrier 2

Identificador:

Cualquiera

router bgp 64501network 192.168.0.0 mask 255.255.0.0 route-map B192-168-0-0--16!route-map B192-168-0-0--16 permit 10set local-preference 200set origin igpset community 65209:64029 65163:03042!ip route 190.168.0.0 255.255.0.0 Null0



Tipo de enlace:

Carrier Silver Localización:

Sitio C

Proveedor:

Carrier 4

Identificador:

Número 2

Ejemplos





Carrier 1

Carrier 2

Carrier 3

Carrier 4

Sitio A

Sitio B

Sitio C

GestiónTitular

GestiónBackup

router bgp 64501network 192.168.0.0 mask 255.255.0.0 route-map B192-168-0-0--16!route-map B192-168-0-0--16 permit 10set local-preference 200set origin igpset community 65009:02999 65302:02021 65303:02041!ip route 190.168.0.0 255.255.0.0 Null0



Tipo de enlace:


Sitio B

Proveedor:

Cualquiera

Identificador:

Cualquiera



No publicar

Tipo de enlace:

Carrier Gold Localización:

Sitio B

Proveedor:

Carrier 2

Identificador:

Número 1



No publicar

Tipo de enlace:

Carrier Silver Localización:

Sitio B

Proveedor:

Carrier 4

Identificador:

Número 1

Motivación


Fundamento teórico


Recomendaciones

Preguntas

Backup del router gestión

◦ Implementar un router de backup que genere laspublicaciones BGP con peor métrica que el titular. Porejemplo generando las publicaciones con un valor de“local preference” más bajo

◦ Utilizar para ambos routers (titular y backup) un valor deLocal Preference mayor al valor por defecto (100). En casode que otro router publique por IBGP una ruta con igualespecificidad, sera preferida la ruta advertida por el routerde gestion, con lo cual el administrador podrá identificarmás rápidamente la falla

◦ Ubicar el router de backup en un punto de la redestratégicamente situado para lograr redundancia

Configuración de routers de gestión

◦ Implementar un software que permita amigablementeaplicar las políticas para cada bloque

◦ Implementar un script que periódicamente busque lasdiferencias de configuración entre el router titular ybackup, llevando a este último a igual versión pero convalor de Local Preference adecuado. De esta forma solo sedebe modificar el titular, y en caso de error disponemosdel backup

Configuración de routers de gestión

◦ En caso de que el next hop para los bloques a publicar esteindicado en el router con rutas a null 0, se recomiendaconfigurar no ip unrecheable para disminuir losinconvenientes que puede generar un ataque de DoS

Interface null0

no ip unreachable

◦ Si optamos por advertir los bloques con un next-hopespecifico el cual esta ruteado a null0 en los bordes,debemos agregar esta configuración en cada borde.

◦ Utilizar direccionamiento privado en los routers de gestiónpara evitar ataques de fuera de mi AS

Motivación


Fundamento teórico


Recomendaciones

Preguntas

GESTIÓN CENTRALIZADA DE BLOQUES DE DIRECCIONES IP · La IP de loopback de los routers de gestión...

Documents

Transcript of GESTIÓN CENTRALIZADA DE BLOQUES DE DIRECCIONES IP · La IP de loopback de los routers de gestión...