Configuration BGP - Attribut AS_Path Lo0 ISP S0/0 S0/1 64 Kb/s 500 Kb/s AS 300 S0/0 S0/0 Paris CFI_C Lo0 Lo0 AS 100 AS 65000 Objectif Le but est de configurer BGP pour éviter que les numéros d'AS privés soient annon- cés vers le monde externe. Vous utiliserez également l'attribut AS_Path pour filtrer les routes BGP sur la base des numéros d'AS source. CFI Site Paris
Scénario L'opérateur de la société IFC a le numéro d'AS 300 Scénario L'opérateur de la société IFC a le numéro d'AS 300. Cet opérateur utilise BGP pour échanger des informations de routage avec plusieurs réseaux de clients. Chaque ré- seau de client a un numéro d'AS affecté dans l'intervalle privé tel AS 65000. Configu- rez ISP pour qu'il retire les numéros d'AS privé de l'information AS_Path de CFI_C. De plus, l'opérateur voudrait éviter que les réseaux de ses clients ne reçoivent pas d'information de routage de la société IFC AS 100. Utilisez l'attribut AS_Path pour implémenter cette politique. Données de configuration Routeur "ISP" : - Interface Lo0 - Adresse IP: 202.0.0.1/24 - Interface S0/0 - Adresse IP: 192.168.1.6/30 - Interface S0/1 - Adresse IP: 172.24.1.17/30 Routeur "CFI_C" : - Interface Lo0 - Adresse IP: 203.0.0.1/24 - Interface S0/0 - Adresse IP : 172.24.1.18/30 Routeur "Paris" : - Interfaces Lo0 - Adresse IP : 201.0.0.1/30 - Interface S0/0 - Adresse IP : 192.168.1.5/30 CFI Site Paris
Configuration des routeurs 1) Configurer le réseau selon le schéma proposé mais ne configurez pas de protocole de routage. Effacez les configurations existantes sur les routeurs. Configurez les adresses IP avec les masques appropriés. Utilisez la commande ping pour tester la connectivité entre les routeurs directe- ment connectés. Note: Le routeur Paris ne pourra pas atteindre le réseau du client CFI_C de par l'adresse IP de la liaison reliant le client ou par l'adresse 202.0.0.1/24 de l'interface loopback. 2) Configurez BGP pour un fonctionnement normal. Entrez les commandes appro- priées sur chaque routeur pour qu'il identifient leurs voisins et annoncent leurs réseaux. Paris(config)#router bgp 100 Paris(config-router)#no synchronization Paris(config-router)#neighbor 192.168.1.6 remote-as 300 Paris(config-router)#network 201.0.0.0 ISP(config)#router bgp 300 ISP(config-router)#no synchronization ISP(config-router)#neighbor 192.168.1.5 remote-as 100 ISP(config-router)#neighbor 172.24.1.18 remote-as 65000 ISP(config-router)#network 202.0.0.0 CFI_C(config)#router bgp 65000 CFI_C(config-router)#no synchronization CFI_C(config-router)#neighbor 172.24.1.17 remote-as 300 CFI_C(config-router)#network 203.0.0.0 Vérifiez que ces routeurs ont établi des relations de voisins appropriées en exécutant la commande show ip bgp neighbors sur chacun d'eux. 3) Vérifiez la table de routage de Paris en exécutant la commande show ip route. Paris doit avoir une route vers les deux réseaux 202.0.0.0 et 203.0.0.0. Résoudre le problème si nécessaire. 1. Est-ce que le routeur Paris peut "pinguer" vers 203.0.0.0/24 au-delà du routeur CFI_C? _____________________________________________________________________________ 2. La commande ping ne doit pas réussir quand elle est exécutée en mode standard. Pourquoi? _____________________________________________________________________________ CFI Site Paris
Configuration des routeurs(suite) 3) suite Essayez de nouveau la commande ping en mode étendu, avec l'interface loopback 0 comme source. Paris#ping Protocol [ip]: Target IP address: 203.0.0.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 201.0.0.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 203.0.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/12 ms Paris# Vérifiez la table BGP de Paris en exécutant la commande show ip bgp. Notez l'AS_Path pour le réseau 203.0.0.0. L'AS 65000 doit être listé dans le chemin vers 203.0.0.0. Pourquoi cela est-il un problème? BGP table version is 4, local router ID is 201.0.0.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 201.0.0.0 0.0.0.0 0 32768 i *> 202.0.0.0 192.168.1.6 0 0 300 i *> 203.0.0.0 192.168.1.6 0 300 6500 i Configurez ISP pour qu'il retire les numéros d'AS privés des routes échangées avec Paris. Utilisez la commande suivante: ISP(config)#router bgp 300 ISP(config-router)#neighbor 192.168.1.5 remove-private-as Après avoir exécuté cette commande, utilisez la commande clear ip bgp * sur ISP pour re-établir des relations de voisins BGP entre les trois routeurs. Attendez quelques secondes et revenez sur Paris pour vérifier sa table de routage. CFI Site Paris
Configuration des routeurs(suite) 3) suite 3. Est-ce que Paris a toujours la route vers le réseau 203.0.0.0? ______________________________________________________________________________ Paris doit être capable de "pinguer" vers le réseau 203.0.0.0. Maintenant vérifiez la table de routage de Paris. L'AS_Path vers le réseau 203.0.0.0 doit être AS 300. BGP table version is 4, local router ID is 201.0.0.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 201.0.0.0 0.0.0.0 0 32768 i *> 202.0.0.0 192.168.1.6 0 0 300 i *> 203.0.0.0 192.168.1.6 0 300 i Paris# 4) Pour la configuration finale, utilisez l'attribut AS-Path pour filtrer les routes selon leur origine. Dans un environnement complexe, vous pouvez utiliser cet attribut pour mettre en vigueur une politique de routage. Dans cas, vous devez configurer le routeur de l'opérateur, ISP, pour qu'il ne propage pas les routes dont l'origine est AS 100 vers le routeur CFI_C du client. Configurez une liste d'accès spéciale pour faire correspondre les routes BGP avec l'attribut AS_Path qui commence et se termine par le numéro 100. Entrez les com- mands suivantes sur ISP: ISP(config)#ip as-path access-list 1 deny ^100$ ISP(config)#ip as-path access-list 1 permit .* La première commande utilise la caractère ^ pour indiquer que l'AS_Path doit com- mencer par le nombre donné 100. Le caractère $ indique que l'attribut AS_Path doit également se terminer par le nombre 100. En fin de compte, cette instruction tient compte des chemins don’t la source est l'AS 100. Les autres chemins qui pourraient contenir l'AS 100 à l'intérieur ne correspondront pas à cette liste. Dans la deuxième commande, le caractère . est un caractère générique et le carac- tère * indique une répétition du caractère générique. Ensembles, .* correspondent avec toutes les valeuts de l'AS_Path ce qui a pour effet de permettre tout ce qui n'a pas été rejeté par la première instruction. CFI Site Paris
Configuration des routeurs(suite) 4) suite Maintenant que la liste d'accès est configureée, appliquez-la. ISP(config)#router bgp 300 ISP(config-router)#neighbor 172.24.1.18 filter-list 1 out Le mot-clé out spécifie que la liste d'accès doit être appliquée aux informations de routage transmises vers le voisin. Utilisez la commande clear ip bgp * pour réinitialiser les informations de routage. Attendez quelques secondes et ensuite vérifiez la table de routage de ISP. La route vers le réseau 201.0.0.0 doit être dans la table de routage. Vérifiez la table de routage de CFI_C. Il ne doit pas avoir de route vers le résau 201.0.0.0 dans sa table de routage. Revenez sur ISP et vérifiez que le filtre fonctionne comme attendu. Exécutez la commande show ip bgp regexp ^100$. La sortie de cette commande montre toutes les correspondances pour les expres- sions régulières utilisées dans la liste d'accès. Le chemin vers 201.0.0.0 corres- pond à la liste d'accès et est filtré en sortie dans les mises à jour vers CFI_C. ISP#show ip bgp regexp ^100$ BGP table version is 4, local router ID is 202.0.0.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 201.0.0.0 192.168.1.5 0 0 100 i ISP# CFI Site Paris