BGP - dynamické routování - 2 (konfigurace BGP routeru)

6. 5. 2009 | Dušan Hokův | Sítě | 14315×

Routovací tabulka celého Internetu v současnosti obsahuje cca 280 tisíc prefixů. Samozřejmě je možné po dohodě s ISP nepřijímat plné BGP tabulky, ale pouze default routu prostřednictvím BGP, tím se ale připravíte o možnost výběru výhodnějších cest.

Následuje konfigurace samotného BGP, v našem případě pro routovací démon Quagga. Syntaxe Quaggy je obdobná syntaxi na zařízeních Cisco, takže až zatoužíte po hardwarovém routeru a budete mít dostatek finančních prostředků, můžete snadno přejít právě na Cisco. Samozřejmě, že s routery ostatních výrobců rovněž nebudete mít potíže, ale syntaxe je někde více a někde méně odlišná.

Konfigurace

Než začnete s konfigurací BGP, předpokládám, že již na tomto routeru máte nainstalovaný a rozběhaný routovací software Quagga (např. podle předchozího seriálu o OSPF) a připravenou síť za BGP routerem.

Poznámka: Pokud potřebujete zabezpečit BGP peer MD5 heslem, musíte mít buď nejnovější verzi Quagga 0.99.11, nebo aplikujte tento patch. V některých linuxových distribucích tento patch již bývá integrován do distribuovaných balíčků. Pro podporu MD5 je také nutná zapnutá podpora na úrovni linuxového kernelu, konkrétně se jedná o konfigurační volbu CONFIG_TCP_MD5SIG. Dříve bylo nutné aplikovat patch i na kernel, v posledních verzích linuxového kernelu je již podpora integrována. Podpora pro MD5 ve verzi 0.99.11 v současnosti na rozdíl od ručně aplikovaného staršího patche nepodporuje MD5 pro IPv6.

Vzorová konfigurace BGP routeru:

my-bgp# sh ru

Current configuration:
!
hostname my-bgp
password nejake_heslo
enable password nejake_jine_heslo
!
router bgp 57131
 bgp router-id 62.112.232.1
 network 62.112.232.0/21
 neighbor POSKYTOVATEL peer-group
 neighbor POSKYTOVATEL description Provider
 neighbor POSKYTOVATEL route-map prov-in in
 neighbor POSKYTOVATEL route-map prov-out out
 neighbor POSKYTOVATEL filter-list my-as out
 neighbor 177.104.215.242 remote-as 19906
 neighbor 177.104.215.242 peer-group POSKYTOVATEL
!
access-list login remark Administrator access to zebra
access-list login permit 127.0.0.0/8
access-list login permit 181.192.157.130/32
access-list login permit 182.142.127.10/32
access-list login deny any
!
ip as-path access-list my-as permit ^$
!
route-map filter-out permit 10
 match as-path my-as
!
route-map prov-out permit 10
 match as-path my-as
!
route-map prov-in permit 10
 set metric 0
!
line vty
 access-class login
 exec-timeout 60 0
!
end

První tři řádky hostname, password a enable password mohou být shodné s nastavením, které bylo probráno již v seriálu o OSPF, a týkají se konzole Quaggy pro bgpd část. Konfigurace BGP začíná dále.

• router bgp 57131 - číslo vašeho autonomního systému, který vám přidělilo RIPE NCC
• bgp router-id 62.112.232.1 - identifikace vašeho routeru; jedinečné ID, obvykle jedna z IP adres routeru
• network 62.112.232.0/21 - přiřazený prefix IPv4 adres, který budete propagovat do světa

Poté následuje konfigurace peer group, v našem případě bude v této skupině jen jeden poskytovatel. Peer group se používá, aby bylo možno jednoduše provádět změny na všech peerech, které jsou členy této skupiny.

• neighbor POSKYTOVATEL peer-group - definování skupiny (peer group)
• neighbor POSKYTOVATEL description Provider - popis (místo Provider si doplňte název svého poskytovatele)
• neighbor POSKYTOVATEL route-map prov-in in - route-mapa (pravidla) pro importované prefixy
• neighbor POSKYTOVATEL route-map prov-out out - route-mapa (pravidla) pro exportované prefixy
• neighbor POSKYTOVATEL filter-list my-as out - filtr pro exportované prefixy; následuje definice souseda (neighbor):
• neighbor 177.104.215.242 remote-as 19906 - IPv4 adresa souseda a číslo autonomního systému souseda
• neighbor 177.104.215.242 peer-group POSKYTOVATEL - soused je členem peer-group POSKYTOVATEL

Další položkou jsou přístupová práva k terminálu BGP:

• access-list login remark Administrator access to zebra - popis pravidla
• access-list login permit 127.0.0.0/8 - loopback
• access-list login permit 181.192.157.130/32 - jedna IPv4 povolená pro přístup k terminálu
• access-list login permit 182.142.127.10/32 - jiná IPv4 pro přístup k terminálu
• access-list login deny any - zbytek zakážeme

Další sekce je věnována samotným filtrům a route mapám.

• ip as-path access-list my-as permit ^$ - definice vlastního AS pomocí regulárního výrazu
• route-map filter-out permit 10 - filtr pro odchozí směr, povolujeme pouze vlastní AS (match as-path my-as)
• route-map prov-out permit 10 - route mapa pro odchozí směr, povolujeme pouze vlastní AS (match as-path my-as)
• route-map prov-in permit 10 - route mapa pro příchozí směr, nastavujeme metriku na 0 (set metric 0)

Jako poslední je v konfiguraci nastavení terminálu, kde je vidět, že se odkazuje na access-list login a po minutě nečinnosti vás odhlásí.

line vty
 access-class login
 exec-timeout 60 0

Tato konfigurace pro názornost zobrazuje a nastavuje pouze ty nejdůležitější parametry do začátku. Měla by sloužit jako úvodní funkční konfigurace pro navázání spojení, import všech prefixů od nadřazeného providera a export pouze vlastního prefixu. V dalším díle seriálu tuto konfiguraci rozšíříme a vylepšíme.

Lokální přihlášení na konzoli bgpd provedete pomocí:

telnet localhost bgpd

Po zadání hesla, příkazu enable a druhého hesla můžete router konfigurovat přímo z konzole. Výpis konfigurace můžete provést příkazem show running-config; funguje doplňování tabulátorem, nápověda přes ?, zápis příkazu je možné i zkrátit (v tomto případě na sh ru). Alternativně je možné využívat příkaz vtysh, ve kterém se integrují konzole ke všem běžícím Quagga daemonům.

Stav peeru

Tím je router nakonfigurován a nyní je potřeba si stav peeru zkontrolovat. To učiníme příkazem show ip bgp neighbors (zkráceně sh ip bg n). Na výpise vidíme navázané spojení, počet zpráv mezi routery, dobu trvání spojení atd.

my-bgp# show ip bgp neighbors
BGP neighbor is 177.104.215.242, remote AS 19906, local AS 57131, external link
 Member of peer-group POSKYTOVATEL for session parameters
  BGP version 4, remote router ID 181.192.159.1
  BGP state = Established, up for 6d14h40m
  Last read 00:00:18, hold time is 180, keepalive interval is 60 seconds
  Neighbor capabilities:
    4 Byte AS: advertised
    Route refresh: advertised and received(old & new)
    Address family IPv4 Unicast: advertised and received
  Message statistics:
    Inq depth is 0
    Outq depth is 0
                         Sent       Rcvd
    Opens:                  2          1
    Notifications:          0          1
    Updates:                1     447956
    Keepalives:          9522          1
    Route Refresh:          0          0
    Capability:             0          0
    Total:               9525     447959
  Minimum time between advertisement runs is 30 seconds

 For address family: IPv4 Unicast
  POSKYTOVATEL peer-group member
  Community attribute sent to this neighbor(both)
  Inbound path policy configured
  Outbound path policy configured
  Outgoing update AS path filter list is *my-as
  Route map for incoming advertisements is *prov-in
  Route map for outgoing advertisements is *prov-out
  278304 accepted prefixes

  Connections established 1; dropped 0
  Last reset never
Local host: 177.104.215.241, Local port: 46815
Foreign host: 177.104.215.242, Foreign port: 179
Nexthop: 177.104.215.241
Nexthop global: fe80::203:1dff:fe05:b0da
Nexthop local: ::
BGP connection: non shared network
Read thread: on  Write thread: off

Zkontrolujeme, zda vysíláme náš prefix sousedovi.

my-bgp#  show ip bgp neighbors 177.104.215.242 advertised-routes
BGP table version is 0, local router ID is 62.112.232.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 62.112.232.0/21  177.104.215.241          0         32768 i

Total number of prefixes 1

Podíváme, zda soused vysílá prefixy k nám:

my-bgp#  show ip bgp neighbors 177.104.215.242 routes
BGP table version is 0, local router ID is 62.112.232.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 3.0.0.0          177.104.215.242          0             0 19906 6830 15412 9304 80 i
*> 4.0.0.0          177.104.215.242          0             0 19906 6830 3356 i
*> 4.0.0.0/9        177.104.215.242          0             0 19906 6830 3356 i
*> 4.21.103.0/24    177.104.215.242          0             0 19906 174 3549 46133 i
*> 4.23.88.0/23     177.104.215.242          0             0 19906 174 7018 46164 i
*> 4.23.88.0/24     177.104.215.242          0             0 19906 174 7018 46164 i
*> 4.23.89.0/24     177.104.215.242          0             0 19906 174 7018 46164 i
*> 4.23.92.0/22     177.104.215.242          0             0 19906 174 7018 46164 i
*> 4.23.92.0/23     177.104.215.242          0             0 19906 174 7018 46164 i
*> 4.23.94.0/23     177.104.215.242          0             0 19906 174 7018 46164 i
*> 4.23.112.0/24    177.104.215.242          0             0 19906 6830 174 21889 i

......

Stejného výsledku dosáhnete příkazem show ip bgp, který vám vypíše všechny prefixy od všech sousedů.

Pomocí příkazu show ip bgp summary (sh ip bg su) se můžete rychle podívat na stav BGP session a počet prefixů získaných od jednotlivých peerů.

Že se máte celou routovací tabulku Internetu, zjistíte rovněž přímo v Linuxu příkazem ip route | wc -l. Momentálně má Internet okolo 280 tisíc rout.

Potíže

Vypropagování vašeho prefixu může chvilku trvat a je možné, že se do nekterých částí Internetu nebudete z vašich IP adres moci dostat. To může být způsobeno například tím, že váš provider neprovedl patřičné úpravy v RIPE databázi nebo že svým peeringovým partnerům neoznámil propagování nového prefixu a autonomního systému a oni pak váš prefix neakceptují. Správné záznamy v RIPE databázi jsou třeba nejen z důvodu evidence, ale mimo jiné i proto, že hodně providerů neakceptuje prefix/autonomní systém, který je špatně zanesen do této databáze. Proto je důležité, abyste záznamy v RIPE databázi měli v pořádku vy i vaši peeringoví partneři ve vztahu k vám.

Pokud tedy problém zaznamenáte, řešte jej nejprve se svým peeringovým partnerem (providerem). O tom, že je váš prefix a autonomní systém vypropagován do světa, se můžete přesvědčit na tzv. LG - Looking Glass, na webu RIS (Routing Information Service), kde si můžete zvolit peeringové centrum a dát routeru dotaz na váš prefix. Měl by se ukázat as-path (cesta) do vašeho autonomního systému.

Je-li vše v pořádku, blahopřeji.

Příště

Pokročilá konfigurace BGP.

Nástroje: Tisk bez diskuse