order Gateway Protocol (GP4) FNOG 2001, 2002, 2004, 2005,2006 order Gateway Protocol (GP) Rappels : bases du routage riques élémentaires xercices ases du protocole GP xercices ttributs de routes GP alcul du meilleur chemin xercices 1 2 order Gateway Protocol (GP)... Topologies typiques avec GP Politiques de routage xercices Redondance / Partage de charge tat de l art (P, est urrent Practices) Le routage : quelques bases 3 4 Routage IP haque routeur (ou machine) décide comment acheminer un paquet L expéditeur n a pas à connaître le chemin jusqu à la destination L expéditeur doit seulement déterminer le prochain saut (next-hop). e processus est répété jusqu à arriver à la destination La table de routage est consultée afin de déterminer le prochain saut 5 Routage IP Routage par préfixe (lassless routing) une route est composée de la destination l adresse du prochain routeur (next-hop) le masque de réseau permet de déterminer la taille de l espace d adressage concerné (-> préfixe) hoix du préfixe le plus long pour une destination donnée, il faut prendre la route la plus spécifique (le préfixe le plus grand) exemple: adresse destination 35.35.66.42 la table de routage contient 35.0.0.0/8, 35.35.64.0/19 and 0.0.0.0/0 6 1
Routage IP Route par défaut (default route) indique où expédier un paquet si la table de routage ne contient pas une route spécifique c est une configuration courant : la plupart des machines disposent d une (et une seule) route par défaut autre nom : passerelle par défaut (default gateway) Les routes spécifiques sont utilisées en premier dresse IP de destination : 10.1.1.1 R1 R2 10/8 -> R3 10.1/16 -> R4 20/8 -> R5 30/8 -> R6.. Table de routage IP de R2 R3 R4 Tout 10/8 sauf 10.1/16 10.1/16 7 8 Les routes spécifiques sont utilisées en premier Les routes spécifiques sont utilisées en premier dresse IP de destination : 10.1.1.1 R3 Tout 10/8 sauf 10.1/16 dresse IP de destination : 10.1.1.1 R3 Tout 10/8 sauf 10.1/16 R1 R2 R4 10.1/16 R1 R2 R4 10.1/16 10/8 -> R3 10.1/16 -> R4 20/8 -> R5.. 10.1.1.1 & FF.0.0.0 est égal à 10.0.0.0 & FF.0.0.0 ingo! 10/8 -> R3 10.1/16 -> R4 20/8 -> R5.. 10.1.1.1 & FF.FF.0.0 est égal à 10.1.0.0 & FF.FF.0.0 Re-ingo! Table de routage IP de R2 9 Table de routage IP de R2 10 Les routes spécifiques sont utilisées en premier Les routes spécifiques sont utilisées en premier Packet: estination IP address: 10.1.1.1 R3 Tout 10/8 sauf 10.1/16 dresse IP de destination : 10.1.1.1 R3 Tout 10/8 sauf 10.1/16 R1 R2 10/8 -> R3 10.1/16 -> R4 20/8 -> R5.. Table de routage IP de R2 R4 10.1/16 10.1.1.1 & FF.0.0.0 est égal à Pas de correspondance 20.0.0.0 & FF.0.0.0 11 R1 R2 10/8 -> R3 10.1/16 -> R4 20/8 -> R5.. Table de routage IP de R2 R4 10.1/16 Meilleure correspondance, masque réseau de 16 bits 12 2
Les routes spécifiques sont utilisées en premier On utilise toujours la route la plus spécifique (celle qui correspond au plus petit volume d adresses IP) La route par défaut est notée 0.0.0.0/0 ce qui permet d utiliser l algorithme décrit cidessus Il y a toujours correspondance. est la route la moins spécifique. Routage dynamique Les routeurs déterminent leur table de routage automatiquement à partir des informations reçues des autres routeurs Les routeurs s échangent les information de topologie en utilisant divers protocoles Les routeurs calculent ensuite un ou plusieurs next-hops pour chaque destination en essayant d emprunter le meilleur chemin 13 14 Table d acheminement n anglais : forwarding table Permet de déterminer comment acheminer un paquet dans le routeur onstruite à partir de la table de routage Les meilleurs routes sont choisies dans la table de routage ffectue une recherche pour déterminer le prochain saut et l interface de sortie ommute le paquet sur l interface de sortie avec l encapsulation adéquate (ex : PPP, FR, POS) 15 riques élémentaires 16 riques élémentaires Système autonome (S) Système autonome - utonomous System (S) Type de routes IGP/GP MZ (zone démilitarisée) Politique Trafic sortant Trafic entrant S 100 nsemble de réseaux partageant la même politique de routage Utilisation d un même protocole de routage Généralement sous une gestion administration unique Utilisation d un IGP au sein d un même S 17 18 3
Système autonome (S)... aractérisé par un numéro d S Il existe des numéros d S privés et publics xemples : Prestataire de services Internet lients raccordés à plusieurs prestataires Quiconque souhaite établir une politique de routage spécifique Flux de routes et de paquets S 1 sortie accepte annonce entrée paquets Routing flow paquets annonce accepte S2 Pour que S1 et S2 puissent communiquer : S1 annonce des routes à S2 S2 accepte des routes de S1 S2 annonce des routes à S1 S1 accepte des routes de S2 19 20 Trafic en sortie Paquets qui quittent le réseau hoix de la route (ce que les autres vous envoient) cceptation d une route (ce que vous acceptez des autres) Politique et configuration (ce que vous faites des annonces des autres) ccords de transit et d échange de trafic Trafic entrant Paquets entrant dans votre réseau e trafic dépend de : e que vous annoncez à vos voisins Votre adressage et plan d S La politique mise en place par les voisins (ce qu ils acceptent comme annonces de votre réseau et ce qu ils en font) 21 22 Types de routes Routes statiques configurées manuellement Routes connectées crées automatiquement quand une interface réseau est active Routes dites intérieures routes au sein d un S routes apprises par un IGP Routes dites extérieures routes n appartenant pas à l S local Politique de routage éfinition de ce que vous acceptez ou envoyez aux autes connexion économique, partage de charge, etc... ccepter des routes de certains FI et pas d autres nvoyer des routes à certains FI et pas à d autres Préferrer les routes d un FI plutôt que d un autre apprises par un GP 23 24 4
Pourquoi a-t-on besoin d un GP? Protocoles intérieurs vs. extérieurs S adapter à un réseau de grande taille hiérarchie limiter la portée des pannes éfinir des limites administratives Routage politique contrôler l accessibilité des préfixes (routes) Intérieurs (IGP) écouverte automatique onfiance accordée aux routeurs de l IGP Les routes sont diffusées sur l ensemble des routeurs de l IGP xtérieurs (GP) Voisins explicitement déclarézs onnexion avec des réseaux tiers Mettre des limites administratives 25 26 Hiérarchie dans les protocoles Zone démilitarisée (MZ) utres FI GP4 Réseau S 100 MZ S 101 GP4 / OSPF GP4 NP local FI Note: la technologie FI était à la mode voilà quelques temps, les points échange utilisent plutôt des réseaux thernet, et en particulier des raccordements en Gb ou 10 Gb. GP4/Statique lients S 102 Le réseau démilitarisé est partagé entre plusieurs S 27 28 Gestion de l adressage (FI) Il faut réserver des adresses IP pour son propre usage es adresses IP sont également allouées aux clients Il faut prendre en considération la croissance de l activité Le prestataire upstream attribuera les adresses d interconnexion dans ses blocs ases de GP ases concernant le protocole Vocabulaire Messages xploitation d un routeur GP Types de sessions GP (egp/igp) omment annoncer les routes 29 30 5
Principes de base du protocole S 100 S 101 GP est utilisé entre S si vous n êtes raccordé qu à un seul S vous n avez pas besoin de GP GP est transporté par le protocole TP Session S 102 31 Principes de base (2) Les mises à jours sont incrémentielles GP conserve le chemin d S pour atteindre un réseau cible e nombreuses options permettent d appliquer une politique de routage 32 Vocabulaire Voisin (Neighbor) Routeur avec qui on a une session GP NLRI/Préfixe NLRI - network layer reachability information Informations concernant l accessibilité (ou pas) d une route (réseau + masque) Router-I (identifiant de routeur) dresse IP la plus grande du routeur Route/Path (chemin) Préfixe (NLRI) annoncé par un voisin Vocabulaire (2) Transit - transport de vos données par un réseau tiers, en général moyennant paiement Peering - accord bi-latéral d échange de trafic chacun annonce uniquement ses propres réseaux et ceux de ses clients à son voisin efault - route par défaut, où envoyer un paquet si la table de routage de donne aucune information plus précise 33 34 ases de GP... haque S est le point de départ d un ensemble de préfixes (NLRI) Les préfixes sont échangés dans les sessions GP Plusieurs chemins possibles pour un préfixe hoix du meilleur chemin pour le routage Les attributs et la configuration politique permettent d influencer ce choix du meilleur chemin 35 Sessions GP S 100 S 101 220.220.8.0/24 220.220.16.0/24 Routeurs GP appelés peers (voisins) Session entre 2 S différents = xternal GP onnexion TP/IP eg- S 102 Note: les voisins egp doivent être directements raccordés. 220.220.32.0/24 36 6
Sessions GP Sessions GP S 100 S 101 220.220.8.0/24 220.220.16.0/24 S 100 S 101 220.220.8.0/24 220.220.16.0/24 Les voisins d un même S sont appelés des voisins internes (internal peers) S 102 220.220.32.0/24 Les voisins GP s échangent des messages contenant des préfixes (NLRI) S 102 220.220.32.0/24 onnexion TP/IP igp Note: les voisins igp peuvent ne pas être directement connectés. 37 Message de mise à jour GP 38 onfiguration de sessions GP onfiguration de sessions GP S 100 onnexion TP egp S 101 S 100 S 101 222.222.10.0/30 220.220.8.0/24.2.1 220.220.16.0/24.2.1.2.1 Session TP igp 222.222.10.0/30.2 220.220.8.0/24.1.2.1.2 220.220.16.0/24.1 interface Serial 0 ip address 222.222.10.2 255.255.255.252 router bgp 100 network 220.220.8.0 mask 255.255.255.0 neighbor 222.222.10.1 remote-as 101 interface Serial 0 ip address 222.222.10.1 255.255.255.252 router bgp 101 network 220.220.16.0 mask 255.255.255.0 neighbor 222.222.10.2 remote-as 100 interface Serial 1 ip address 220.220.16.2 255.255.255.252 router bgp 101 network 220.220.16.0 mask 255.255.255.0 neighbor 220.220.16.1 remote-as 101 interface Serial 1 ip address 222.220.16.1 255.255.255.252 router bgp 101 network 220.220.16.0 mask 255.255.255.0 neighbor 220.220.16.2 remote-as 101 Les sessions GP sont établies en utilisant la commande GP neighbor du routeur Lorsque les numéros d S sont différents il s agit d une session GP xterne (egp) Les sessions GP sont établies en utilisant la commande GP neighbor du routeur Numéros d S différents -> GP xterne (egp) Numéros d S identiques -> GP Interne (igp) 39 40 onfiguration de sessions GP onfiguration de sessions GP S 100 215.10.7.1 S 100 215.10.7.2 215.10.7.3 onnexion TP/IP igp onnexion TP/IP igp haque routeur igp doit établir une session avec tous les autres routeurs igp du même S Il est recommandé d utiliser des interfaces Loopback sur les routeurs comme extrêmités des sessions igp 41 42 7
onfiguration des sessions GP onfiguration des sessions GP 215.10.7.1 S 100 215.10.7.2 215.10.7.1 S 100 215.10.7.2 215.10.7.3 215.10.7.3 interface igp TP/IP loopback 0 ip Peer address onnection 215.10.7.1 255.255.255.255 router bgp 100 network 220.220.1.0 neighbor 215.10.7.2 remote-as 100 neighbor 215.10.7.2 update-source loopback0 neighbor 215.10.7.3 remote-as 100 neighbor 215.10.7.3 update-source loopback0 onnexion TP/IP igp interface loopback 0 ip address 215.10.7.2 255.255.255.255 router bgp 100 network 220.220.5.0 neighbor 215.10.7.1 remote-as 100 neighbor 215.10.7.1 update-source loopback0 neighbor 215.10.7.3 remote-as 100 neighbor 215.10.7.3 update-source loopback0 43 44 onfiguration des sessions GP 215.10.7.1 S 100 215.10.7.2 Messages de mise à jour GP Format du message Taille (I Octet) Préfixe (Variable) Longueur du champ routes inacessibles (2 Octets) Routes supprimées (Variable) Longueur des champs ttributs (2 Octets) Type d attribut Taille de l attribut ttributs du chemin (Variable) Valeur de l attribut onnexion TP/IP igp interface loopback 0 ip address 215.10.7.3 255.255.255.255 router bgp 100 network 220.220.1.0 neighbor 215.10.7.1 remote-as 100 neighbor 215.10.7.1 update-source loopback0 neighbor 215.10.7.2 remote-as 100 neighbor 215.10.7.2 update-source loopback0 215.10.7.3 45 Préfixe/Network Layer Reachability Information (Variable) Une mise à jour GP permet d annoncer une route (et une seule) à un voisin, ou bien de supprimer plusieurs routes qui ne sont plus accessibles [note : depuis quelques années, une mise à jour GP peut concerner plusieurs préfixes] haque message contient des attributs comme : origine, chemin d S, Next-Hop,... Taille (I Octet) Préfixe (Variable) 46 Mises à jour GP Préfixes/NLRI NLRI = Network Layer Reachability Information = Préfixes Permet d annoncer l accessibilité d une route omposé des informations suivantes : Préfixe réseau Longueur du masque Mise à jour GP ttributs Permet de transporter des informations liées au préfixe hemin d S dresse IP du next-hop Local preference (préférence locale) Multi-xit iscriminator (M) ommunity (communauté) Origin (origine de la route) ggregator (IP d origine si aggrégation) 47 48 8
ttribut chemin d S Liste les S traversés pour arriver à destination étection de boucles Mise en œuvre de politiques S 500 S 300 S 200 S 100 170.10.0.0/16 180.10.0.0/16 Network Path 180.10.0.0/16 300 200 100 170.10.0.0/16 300 200 S 400 150.10.0.0/16 Network Path 180.10.0.0/16 300 200 100 170.10.0.0/16 300 200 150.10.0.0/16 300 400 49 ttribut Next-Hop S 200 150.10.0.0/16.1 192.20.2.0/30 S 100 160.10.0.0/16 Message GP.2 192.10.1.0/30.1.2 160.10.0.0/16 192.20.2.1 100 S 300 140.10.0.0/16 Prochain routeur pour joindre un réseau ans une session egp c est en général une adresse locale 50 ttribut Next-Hop ttribut Next-Hop S 200 150.10.0.0/16 192.10.1.0/30.1.2 S 300 140.10.0.0/16 S 200 150.10.0.0/16 192.10.1.0/30.1.2 S 300 140.10.0.0/16.1 192.20.2.0/30.2 S 100 160.10.0.0/16 Message GP 150.10.0.0/16 192.10.1.1 200 160.10.0.0/16 192.10.1.1 200 100 Prochain routeur pour joindre un réseau ans une session egp c est en général une adresse locale Le next-hop est mis à jour dans les sessions egp.1 192.20.2.0/30.2 S 100 160.10.0.0/16 Message GP 150.10.0.0/16 192.10.1.1 200 160.10.0.0/16 192.10.1.1 200 100 Le next-hop n est pas modifié dans les sessions igp 51 52 ttribut Next-Hop (suite) Les adresses des next-hops doivent circuler dans l IGP Recherche récursive des routes Permet de concevoir la topologie GP indépendemment de la topologie physique du réseau n interne les bonnes décisions de routage sont faites par l IGP Mises à jour GP Suppression de routes Permet de retirer un réseau de la liste des réseaux accessibles haque route supprimée est composée de : son Préfixe la longueur du masque 53 54 9
Mises à jour GP - Suppression de routes S 123.1 192.168.10.0/24.2 Message GP S 321 Table du routeur GP GP RI RI = Routing Information ase *>i160.10.1.0/24 192.20.2.2 i *>i160.10.3.0/24 192.20.2.2 i Withdraw Routes 192.192.25.0/24 Rupture de connexion 150.10.0.0/16 192.168.10.2 321 200 192.192.25.0/24 192.168.10.2 321 x 192.192.25.0/24 10.1.2.0/24 160.10.1.0/24 160.10.3.0/24 R 153.22.0.0/16 S 192.1.1.0/24 Table de routage router bgp 100 network 160.10.0.0 255.255.0.0 no auto-summary La commande GP network peut être utilisée pour remplir la table GP à partir de la table de routage 55 56 Table du routeur GP GP RI *> 160.10.0.0/16 0.0.0.0 i * i 192.20.2.2 i s> 160.10.1.0/24 192.20.2.2 i s> 160.10.3.0/24 192.20.2.2 i Table du routeur GP GP RI *> 160.10.0.0/16 0.0.0.0 i * i 192.20.2.2 i s> 160.10.1.0/24 192.20.2.2 i s> 160.10.3.0/24 192.20.2.2 i *> 192.1.1.0/24 192.20.2.2? router bgp 100 network 160.10.0.0 255.255.0.0 aggregate-address 160.10.0.0 255.255.0.0 summary-only no auto-summary router bgp 100 network 160.10.0.0 255.255.0.0 redistribute static route-map foo no auto-summary 10.1.2.0/24 160.10.1.0/24 160.10.3.0/24 R 153.22.0.0/16 S 192.1.1.0/24 Route Table La commande GP aggregateaddress permet d installer dans la table GP une route aggrégée dès que au-moins un sous-réseau est présent 10.1.2.0/24 160.10.1.0/24 160.10.3.0/24 R 153.22.0.0/16 S 192.1.1.0/24 Route Table access-list 1 permit 192.1.0.0 0.0.255.255 route-map foo permit 10 match ip address 1 La commande GP redistribute permet de remplir la table GP à partir de la table de routage en appliquant des règles spécifiques 57 58 Table du routeur GP Table du routeur GP Processus IN GP RI Processus Out Processus IN GP RI Processus OUT Message Message *>i160.10.1.0/24 192.20.2.2 i *>i160.10.3.0/24 192.20.2.2 i * > 173.21.0.0/16 192.20.2.1 100 *>i160.10.1.0/24 192.20.2.2 i *>i160.10.3.0/24 192.20.2.2 i * > 173.21.0.0/16 192.20.2.1 100 Message Message 173.21.0.0/16 192.20.2.1 100 Le processus GP in (entrée) reçoit les messages des voisins place le ou les chemins sélectionnés dans la table GP le meilleur chemin (best path) est indiqué avec le signe > 160.10.1.0/24 192.20.2.2 200 160.10.3.0/24 192.20.2.2 200 192.20.2.1 192.20.2.2 173.21.0.0/16 200 100 Le processus GP out (sortie) message construit à partir des informations de la table GP Modification du next-hop modification du message selon configuration envoi du message aux voisins 59 60 10
Table du routeur GP Un exemple 35.0.0.0/8 S3561 GP RI *>i160.10.1.0/24 192.20.2.2 i *>i160.10.3.0/24 192.20.2.2 i *> 173.21.0.0/16 192.20.2.1 100 S200 F S21 10.1.2.0/24 160.10.1.0/24 160.10.3.0/24 R 153.22.0.0/16 S 192.1.1.0/24 173.21.0.0/16 Table de routage Le meilleur chemin est installé dans la table de routage du routeur si : Le préfixe et sa taille sont uniques la valeur distance du protocole est la plus faible S101 S675 Reçoit 35.0.0.0/8 de F & 61 62 ommandes GP de base onfiguration de GP onfiguration router bgp <S-number> neighbor <ip address> remote-as <as-number> no auto-summary onsultation d informations show ip bgp summary show ip bgp neighbors 63 64 jout de préfixes dans la table GP Pour insérer une route... ela peut se faire de deux grandes manières redistribute static (redistribuer les routes statiques) utiliser la commande GP network ommande network ou redistribution network <ipaddress> mask <netmask> redistribute <protocol name> Il faut que la route soit présente dans la table de routage du routeur pour qu elle soit insérée dans la table GP 65 66 11
Utilisation de redistribute static xemple de configuration router bgp 109 redistribute static ip route 198.10.4.0 255.255.254.0 serial0 La route statique doit exister avant que la redistribution ne fonctionne L origine de la route sera incomplete, mais il est possible de le changer avec une route-map utiliser avec prudence! Utilisation de redistribute ttention avec les redistributions redistribute <protocole> signifie que toutes les routes du <protocole> seront transférées dans le protocole courant cette solution doit être controllée (volumétrie) à éviter dans la mesure du possible préférer l utilisation de route-maps et avec un contrôle administratif très strict 67 68 Utilisation de la commande network xemple de configuration network 198.10.4.0 mask 255.255.254.0 ip route 198.10.0.0 255.255.254.0 serial 0 La route doit être présente dans la table de routage pour qu il y ait une annonce GP Origine de la route : IGP ggrégats et routes vers Null0 Rappel : la route doit exister dans la table de routage pour être annoncée via GP router bgp 1 network 198.10.0.0 mask 255.255.0.0 ip route 198.10.0.0 255.255.0.0 null0 250 Une route vers null0 est souvent utilisée pour faire de l aggrégation destination en dernier ressort pour le préfixe distance de 250 pour être sûr d être le dernier choix Très pratique pour la stabilité de la route il ne peut y avoir de flap! 69 70 hoix pour les sessions igp Les sessions igp ne doivent pas être liées à la topologie du réseau L IGP transporte les adresses de Loopback router ospf <I> network <loopback-address> 0.0.0.0 Utiliser les adresses Loopback pour les sessions igp router bgp <S1> neighbor <x.x.x.x> remote-as <S1> neighbor <x.x.x.x> update-source loopback0 xercice 1 - onfiguration de GP 71 72 12
Liste des sessions et numéros d S S 1 S 2 S 3 S 4 S 5 F S 6 xercice 2 - onfiguration de egp et igp S 7 G H S 8 S 9 I J S 10 Session egp 73 74 Liste des sessions et numéros d S S 1 P Votre S HU HU OSPF et IGP Router Router thernet thernet Serial Serial P S 3 S 5 F GP GP S 7 G H vers les autres S Vers les autres S S 9 I J 75 Sessions egp OSPF et IGP 76 213.172.133.96/28 213.172.133.128/28 213.172.133.160/28 G 213.172.133.192/28 I 213.172.133.224/28 213.172.133.112/28 213.172.133.144/28 F 213.172.133.176/28 H 213.172.133.208/28 J 213.172.133.240/28 GP 4, suite... 77 78 13
ttributs de chemin GP ncodés sous la forme d un triplet Type, Longueur & Valeur (TLV) ttributs Transitifs ou non transitif ertains attributs sont obligatoires Ils sont utilisés pour choisir le meilleur chemin Ils permettent d appliquer des règles d ingéniérie du trafic (routage politique) Liste des attributs de chemins GP Origine S-path (chemin d S) Next-hop (prochain routeur) Multi-xit iscriminator (M) Local preference (préférence locale) GP ommunity (communauté GP) utres... 79 80 S-PTH (chemin d S) ttribut mis à jour par le routeur envoyant un message GP, en y ajoutant son propre numéro d S ontient la liste des S traversés par le message Permet de détecter des boucles de routage Une mise à jour reçue est ignorée si elle contient son propre numéro d S S-Path (chemin d S) Liste des S traversés par une route étection de boucles S 500 S 300 S 200 S 100 170.10.0.0/16 180.10.0.0/16 S 400 150.10.0.0/16 180.10.0.0/16 300 200 100 170.10.0.0/16 300 200 150.10.0.0/16 300 400 180.10.0.0/16 ignorée 81 82 Next-Hop (prochain routeur) Next-Hop sur un réseau tiers 150.10.1.1 150.10.1.2 S 200 150.10.0.0/16 S 100 160.10.0.0/16 150.10.0.0/16 150.10.1.1 160.10.0.0/16 150.10.1.1 S 300 Prochain routeur pour arriver à destination dresse de routeur ou de voisin en egp Non modifié en igp 83 150.1.1.1 150.1.1.2 session S 200 S 201 192.68.1.0/24 192.68.1.0/24 150.1.1.3 150.1.1.3 Serait plus efficace, mais c est une mauvaise idée! 84 14
Next-Hop suite... Local Preference (préfence locale) Les routes vers l ensemble des adresses de next-hop sont à transporter dans l IGP Recherche de route récursive dans les tables GP n est plus lié à la topologie du réseau Les bonnes décisions de routage sont prises par le protocole IGP 85 Obligatoire pour igp, non utilisé dans egp Valeur par défaut chez isco : 100 Paramètre local à un S Permet de préférer une sortie à une autre Le chemin avec la préférence locale la plus élevée est sélectionné 86 Local Preference (préférence locale) Multi-xit iscriminator S 200 160.10.0.0/16 500 > 160.10.0.0/16 800 S 100 160.10.0.0/16 500 800 S 400 S 300 ttribut non transitif Valeur numérique (0-0xffffffff) Permet de transporter des préférences relatives entre points de sortie Si les chemins viennent du même S le M peut être utilisé pour comparer les routes Le chemin avec le plus petit M est sélectionné Le métrique IGP peut être choisi comme M 87 88 Multi-xit iscriminator (M) Origin (Origine de la route) 192.68.1.0/24 2000 S 200 hemin choisi 192.68.1.0/24 1000 192.68.1.0/24 S 201 Indique l origine du préfixe Trois valeurs IGP - préfixe obtenu avec une clause network exemple : network 35.0.0.0 GP - Redistribué par un GP Incomplete - Redistribué par un IGP exemple:redistribute ospf IGP < GP < INOMPLT 89 90 15
ommunautés GP ommunautés GP Transitives, attribut facultatif Valeur numérique (0-0xffffffff) Permettent de créer des groupes de destinations haque destination peut appartenir à plusieurs communautés ttribut très flexible, car il permet de faire des choix avec des critères inter ou intra-s ommunauté:201:110 FI S 200 192.68.1.0/24 lient S 201 ommunauté:201:120 ommunauté Local Preference 201:110 110 201:120 120 91 92 Poids (Weight) ttribut spécifique isco utilisé lorsqu il y a plus d une route vers la même destination ttribut local à un routeur (non propagé ailleurs) Valeur par défaut 32768 pour les chemins dont l origine est le routeur et 0 pour les autres Lorsqu il y a plusieurs choix, on préferra la route dont le poids est le plus élevé. 93 istance administrative Les routes peuvent être apprises par plusieurs protocoles de routage il faut les classifier pour faire un choix La route issue du protocole avec la plus faible distance est installée dans la table de routage istances par défaut en GP: local (routes provenant du routeur) : 200 egp : 20, igp : 200 ela n a pas d impact dans l algorithme de choix des chemins GP, mais il y a un impact quand à installer ou pas une route GP dans la table de routage IP 94 Synchronization (synchronisation) 690 1880 OSPF 209 ne tourne pas GP (non-pervasive GP) n annoncera pas 35/8 à tant qu il ne l aura pas appris par l IGP Il faut désactiver la synchronisation pour éviter ce problème router bgp 1880 no sync 35/8 Synchronization (synchronisation) Spécifique IOS isco : GP n annoncera pas une route avant que l ensemble des routeurs de l S ne l ait apprise par un IGP ésactiver la synchronisation si : Votre S ne sert pas d S de transit, ou Tous les routeurs de transit tournent GP, or igp est utilisé sur le cœur de réseau (backbone) 95 96 16
Sélection d une route GP (bestpath) Il ne peut y avoir qu un seul meilleur chemin! (sauf multipath) La route doit être synchronisée est à dire être dans la table de routage Le Next-hop doit être joignable Il se trouve dans la table de routage Prendre la valeur la plus élevée pour le poids (weight) ritère spécifique isco et local au routeur hoisir la préférence locale la plus élevée ppliqué pour l ensemble des routeurs de l S La route est d origine locale Via une commande GP redistribute ou network Sélection d une route GP... hoisir le plus court chemin d S en comptant le nombre d S dans l attribut S-Path Prendre l origine de valeur la plus faible IGP < GP < INOMPLT hoisir le plus petit M pour des chemins en provenance d un même S Préférer une route xterne sur une route Interne prendre la sortie la plus proche hoisir le next-hop le plus proche Plus faible métrique IGP, donc plus proche de la sortie de l S Plus petit Router-I dresse IP du voisin la plus petite 97 98 Sélection d une route GP... S 100 S 200 S 400 S 300 ugmenter la taille de l attribut S-Path au-moins de 1 élément Politique de routage - Liste de préfixes, Route Maps et Listes de distribution (distribute lists) Politique S 400 pour joindre S100 S 200 est préférré S 300 en secours 99 100 Politique de routage Pourquoi? Pour envoyer le trafic vers des routes choisies Filtrage de préfixes en entrée et sortie Pour forcer le respect des accords lient-isp omment? Filtrage basé sur les S - filter list Filtrage basé sur les préfixes - distribute list Modification d attributs GP - route maps Politique - Liste de préfixes Filtrage par voisin c est une configuration incrémentielle ccess-list utilisées très performantes Fonctionne en entrée comme en sortie asé sur les numéros de réseaux (adressage IPv4 réseau/maque) Un deny est implicite à la fin de la liste 101 102 17
Liste de préfixes - xemples Ne pas accepter la route par défaut ip prefix-list xemple deny 0.0.0.0/0 utoriser le préfixe 35.0.0.0/8 ip prefix-list xemple permit 35.0.0.0/8 Interdire le préfixe 172.16.0.0/12 ip prefix-list xemple deny 172.16.0.0/12 ans 192/8 autoriser jusqu au /24 ip prefix-list xemple permit 192.0.0.0/8 le 24 eci autorisera toute route dans 192.0.0.0/8, sauf les /25, /26, /27, /28, /29, /30, /31 and /32 103 Listes de préfixes - xemples 2 ans 192/8 interdire /25 et au-delà ip prefix-list xemple deny 192.0.0.0/8 ge 25 eci interdit les préfixes de taille /25, /26, /27, /28, /29, /30, /31 and /32 dans le bloc 192.0.0.0/8 Très ressemblant au précédent exemple ans 192/8 autoriser les préfixes entre /12 et /20 ip prefix-list xemple permit 192.0.0.0/8 ge 12 le 20 eci interdit les préfixes de taille /8, /9, /10, /11, /21, /22 et au-delà dans le bloc 192.0.0.0/8 utoriser tous les préfixes ip prefix-list xemple 0.0.0.0/0 le 32 104 Utilisation des listes de préfixes xemple de configuration router bgp 200 network 215.7.0.0 neighbor 220.200.1.1 remote-as 210 neighbor 220.200.1.1 prefix-list PR-IN in neighbor 220.200.1.1 prefix-list PR-OUT out! ip prefix-list PR-IN deny 218.10.0.0/16 ip prefix-list PR-IN permit 0.0.0.0/0 le 32 ip prefix-list PR-OUT permit 215.7.0.0/16 ip prefix-list PR-OUT deny 0.0.0.0/0 le 32 istribute list - avec des L IP access-list 1 deny 10.0.0.0 access-list 1 permit any access-list 2 permit 20.0.0.0 il faut créer des L avec l ajout de nouveaux préfixes... router bgp 100 neighbor 171.69.233.33 remote-as 33 neighbor 171.69.233.33 distribute-list 1 in neighbor 171.69.233.33 distribute-list 2 out Tout accepter du voisin, sauf nos réseaux nvoyer uniquement nos réseaux au voisin 105 106 Filtrage avec des expression régulières L expression régulière décrit la forme que doit avoir l argument st utilisé pour comparer l attribut S-Path xemple : ^3561.*100.*1$ Grande fléxibilité qui permet de générer des expression complexes Filtrage avec des expressions régulières ip as-path access-list 1 permit 3561 ip as-path access-list 2 deny 35 ip as-path access-list 2 permit.* router bgp 100 neighbor 171.69.233.33 remote-as 33 neighbor 171.69.233.33 filter-list 1 in neighbor 171.69.233.33 filter-list 2 out ccepter les routes d origine S 3561. Tout le reste est rejeté en entrée ( deny implicite). Ne pas annoncer les routes de l S 35, mais tout le reste est envoyé (en sortie). 107 108 18
Route Maps router bgp 300 neighbor 2.2.2.2 remote-as 100 neighbor 2.2.2.2 route-map STOMMUNITY out! route-map STOMMUNITY permit 10 match ip address 1 match community 1 set community 300:100! access-list 1 permit 35.0.0.0 ip community-list 1 permit 100:200 Route-map : clauses match & set Match lauses S-path ommunity IP address Set lauses S-path prepend ommunity Local-Preference M Origin Weight utres... 109 110 xemple de configuration avecroute-map ISP2 eth H H H eth 21 H 22 ISP3 Inbound route-map to set community neighbor <y.y.y.y> route-map S200_IN in! route-map S200_IN permit 10 match community 1 set local-preference 200! ip community-list 1 permit 100:200 neighbor <x.x.x.x> route-map S100_IN in! route-map S100_IN permit 10 set community 100:200 GP et architecture de réseaux eth H H 31 eth H H 32 111 112 S feuille (stub S) S feuille Situation ne nécessitant pas de GP Route par défaut chez le FI Le FI annonce vos réseaux dans on S La politique de routage de votre FI est également la vôtre S 100 lient S 101 ISP 113 114 19
S multi-raccordé (multi-homed) S multi-homé Les routeurs d extrêmité font du GP Sessions IGP entre ces routeurs Il faut redistribuer les routes apprises avec prudence dans l IGP, ou bien utiliser une route par défaut S 100 ISP S 200 client Plus d informations plus loin... S 300 ISP 115 116 Réseau d un FI IGP permet de transporter les routes extérieures à l S Un IGP permet de gérer la topologie du réseau Un maillage complet igp est requis Réseau typique d un FI S 100 H S 200 S 300 FI F G S 400 117 118 Partage de charge - 1 chemin Routeur : interface loopback 0 ip address 20.200.0.1 255.255.255.255! router bgp 100 neighbor 10.200.0.2 remote-as 200 neighbor 10.200.0.2 update-source loopback0 neighbor 10.200.0.2 ebgp-multi-hop 2! ip route 10.200.0.2 255.255.255.255 <MZ-link1, link2> S100 Loopback 0 20.200.0.1 Loopback 0 10.200.0.2 S200 Partage de charge - Plusieurs chemins disponibles Routeur : router bgp 100 neighbor 10.200.0.1 remote-as 200 neighbor 10.300.0.1 remote-as 200 maximum-paths 2 100 200 Note : n annoncera que 1 seul bestpath à ses voisins igp 119 120 20
Redondance - Multi-homing tre connecté de manière fiable à l Internet 3 situations courantes en multi-homing accepter la route par défaut des prestataires clients + route par défaut chez les prestataires recevoir toutes les routes de tous les voisins dressage IP fourni par les prestataires upstream, ou obtenu directement auprès d un registre IP Route par défaut des FI Permet d économiser la mémoire et la puissance de calcul Le FI envoie une route par défaut GP le métrique IGP permet de choisir le FI La politique des FI détermine votre politique de trafic entrant Il est cependant possible d influencer cela en utilisant une politique de sortie, par exemple: Spath prepend 121 122 Route par défaut des FI lients + route par défaut des FI onsommation modérée de mémoire et PU FI S 200 FI S 300 Gestion individuelle des routes des clients et route par défaut pour le reste Route par défaut reçue du FI Route par défaut reçue du FI il est nécessaire de connaître les routes du client! S 400 Politique de routage entrant laissée aux FI choisis mais il est possible d influencer ces choix (exemple : as-path prepend) 123 124 Les ISP annoncent les routes de leurs clients Gérer toutes les routes full routing FI S 200 lient S 100 160.10.0.0/16 FI S 300 Plus de consommation mémoire et PU ontrôle plus poussé sur la politique de routage Les S de transit gèrent généralement toutes les routes choisira le plus court chemin d S S 400 GP est généralement le principal protocole de routage 125 126 21
Tous les prestataires envoient toutes les routes tat de l art hoix de l IGP dans le ackbone S 100 S 200 choisi le plus court chemin d S S 400 S 500 S 300 L IGP assure la gestion de la topologie de votre infrastructure - pas des réseaux de vos clients L IGP doit converger rapidement L IGP doit transporter les routes et masques - OSPF, IS-IS, IGRP 127 128 tat de l art... Raccorder un client tat de l art... Se raccorder à d autres FI Routes statiques Vous les contrôlez directement pas de flaps Protocole de routage dynamique Vous devez filtrer ce que votre client annonce Risque de flaps Utiliser GP pour les clients multi-homés nnoncez uniquement vos réseaux cceptez le minimum nécessaire Prendre le plus court chemin vers la sortie grégez les routes!!! FILTRZ! FILTRZ! FILTZ! 129 130 tat de l art... Les points d échange Les raccordements longue distance sont chers xercice 3 - Se connecter à un FI Ils permettent de profiter d un point unique pour se raccorder à plusieurs partenaires 131 132 22
IG GINT TIR 1 ISP ISP 4 S 4 80.248.71.0/24 80.248.71.64/26 80.248.71.128/25 peer ISP 2 S 2 ISP 3 S 3 xercice 4 - hangement de politique de routage GP MIUM TIR 2 ISP MIUM TIR 2 ISP SMLL TIR 3 ISP ISP 1 S 1 80.248.71.192/26 133 134 Questions & réponses 135 23