Best Practices actuelles de BGP

download Best Practices  actuelles  de BGP

of 55

  • date post

    23-Feb-2016
  • Category

    Documents

  • view

    29
  • download

    0

Embed Size (px)

description

Best Practices actuelles de BGP. Configuration BGP. Où commençons-nous?. IOS Good Practices. Les FAI devraient commencer avec les commandes BGP suivantes comme modèle de base: router bgp 64511 bgp deterministic-med distance bgp 200 200 200 no synchronization - PowerPoint PPT Presentation

Transcript of Best Practices actuelles de BGP

BGP Best Current Practices

Best Practices actuelles de BGP1

1 #0683_03F7_c2.scrConfiguration BGPO commenons-nous?22 #0683_03F7_c2.scrIOS Good PracticesLes FAI devraient commencer avec les commandes BGP suivantes comme modle de base:router bgp 64511 bgp deterministic-med distance bgp 200 200 200 no synchronization no auto-summaryPour supporter plus que les voisins IPv4 unicast no bgp default ipv4-unicastest galement trs important et ncessaire3Rendre ebgp et ibgp la mme distanceRemplacer par l'ASN publique3 #0683_03F7_c2.scrCisco IOS bonnes pratiquesBGP dans Cisco IOS est permissif par dfautConfiguration de peering BGP sans utiliser de filtres signifie:Tous les meilleurs chemins sur le routeur local sont transmises au voisinToutes les routes annonces par le voisin sont reues par le routeur localPeut avoir des consquences dsastreusesLa bonne pratique consiste s'assurer que chaque voisin eBGP a des filtres entrant et sortant appliqus:router bgp 64511 neighbor 1.2.3.4 remote-as 64510 neighbor 1.2.3.4 prefix-list as64510-in in neighbor 1.2.3.4 prefix-list as64510-out out44 #0683_03F7_c2.scr quoi sert BGP??Ce qu'un IGP nest pas pour?55 #0683_03F7_c2.scrBGP par rapport OSPF / ISISProtocoles de routage interne (IGP)exemples : ISIS et OSPFutilis pour le transport des adresses de l'infrastructureNest PAS utilis pour transporter des prfixes d'Internet ou de prfixes de clientLobjectif de la conception est de minimiser le nombre de prfixes en IGP pour faciliter l'volutivit et la convergence rapide66 #0683_03F7_c2.scrBGP par rapport OSPF / ISISBGP utilis en interne (iBGP) et externe (eBGP)iBGP utilis pour transportercertains / tous les prfixes d'Internet travers le backboneprfixes des clientseBGP utilis pourchanger les prfixes avec d'autres ASmettre en uvre la politique de routage77 #0683_03F7_c2.scrBGP par rapport OSPF / ISISNE PAS:distribuer des prfixes BGP dans un IGPdistribuer des routes IGP dans BGPutiliser un IGP pour transporter les prfixes du clientSINON VOTRE RSEAU NE S'ADAPTERA PAS88 #0683_03F7_c2.scrAgrgation99 #0683_03F7_c2.scrAgrgationL'agrgation consiste annoncer le bloc d'adresse reu du RIR aux autres ASs connects votre rseauLes sous-prfixes de cet agrgat peuvent tre:Utilis en interne dans le rseau du FAIAnnonc dautres AS pour aider avec le multi-homingMalheureusement, trop de gens pensent toujours la classe C, ce qui entrane une prolifration de / 24s dans la table de routage InternetRemarque : Mme chose se passe pour /48s avec IPv6

1010 #0683_03F7_c2.scrConfiguration de l'agrgation - Cisco IOSFAI a 101.10.0.0/19 bloc d'adressesPour mettre en BGP comme un agrgat:router bgp 64511 network 101.10.0.0 mask 255.255.224.0ip route 101.10.0.0 255.255.224.0 null0La route statique est une route de pull updes prfixes plus spcifiques au sein de ce bloc dadresse assurent la connectivit aux clients du FAILongest match first

1111 #0683_03F7_c2.scrAgrgationBloc d'adresse doit tre annonc l'Internet comme un agrgatLes sous-prfixes de bloc d'adresses NE doivent PAS tre annonc Internet sauf pour de l'ingnierie du traficVoir les prsentations BGP Multi-hominglAgrgat doit tre gnr en interneNon pas sur les frontires du rseau!1212 #0683_03F7_c2.scrLannonce de lagrgat - Cisco IOSIExemple de configurationrouter bgp 64511 network 101.10.0.0 mask 255.255.224.0 neighbor 102.102.10.1 remote-as 101 neighbor 102.102.10.1 prefix-list out-filter out!ip route 101.10.0.0 255.255.224.0 null0!ip prefix-list out-filter permit 101.10.0.0/19ip prefix-list out-filter deny 0.0.0.0/0 le 321313 #0683_03F7_c2.scrAnnonce d'un agrgatLes FAI qui ne font pas et n'agrgent pas sont mals vus par la communautLes RIR publient leur taille d'allocation minimaleN'importe quoi de / 20 / 22 selon le RIRDiffrentes tailles pour diffrents blocs d'adresseIl ne devrait pas y avoir de prfixes plus long que /22 dans InternetMAIS il y a actuellement (juin 2012) > 216000 /24s!L APNIC a chang (Oct 2010) sa taille d'allocation minimale sur tous les blocs de /24Lpuisement de IPv4 commence avoir un impact1414 #0683_03F7_c2.scrAgrgation - Exemple

15Le client dispose dun rseau /23 affect du bloc dadresses AS100 /19AS100 annonce des rseaux individuels des clients lInternet

AS100client100.10.10.0/23

Internet100.10.10.0/23100.10.0.0/24100.10.4.0/2215 #0683_03F7_c2.scrAgrgation - Mauvais exempleLien du client tombe en panneLeur rseau /23 devient inaccessible/23 est retir de lAS100 iBGPSi le FAI nagrge pas son bloc /19 du rseauretrait de rseau /23 annonc aux pairscommence onduler travers l'Internetcharge supplmentaire sur tous les routeurs du backbone de lInternet comme le rseau est supprim de la table de routageeLe lien du client remonteLe rseau /23 est dsormais visible leur FAILe rseau /23 est republi aux pairscommence onduler travers l'InternetCharge sur les routeurs du backbone de lInternet tant que rseau est rinsr dans la table de routageCertains FAI suppriment les flappingsInternet peut prendre 10-20 minutes ou plus pour tre visibleO est la qualit de service???1616 #0683_03F7_c2.scrAgrgation - Exemple

17Le client dispose dun rseau /23 affect du bloc d adresses AS100 /19AS100 annonce lagrgat /19 Internet

AS100client100.10.10.0/23100.10.0.0/19agrgat

Internet100.10.0.0/1917 #0683_03F7_c2.scrAgrgation - Bon exempleLe lien du client tombe en panneleur rseau /23 devient inaccessible/23 est retir de lAS100 iBGPlagregat /19 est toujours annoncno BGP hold down problemsno BGP propagation delaysno damping by other ISPsLe lien du client remonteLe /23 est de nouveau visibleLe /23 est rinject dans le iBGP de AS100Tout l'Internet devient immdiatement visibleClient dispose de la perception de la qualit de service1818 #0683_03F7_c2.scrAgrgation - RsumUn bon exemple c'est ce que tout le monde devrait le faire!Ajoute la stabilit de l'InternetRduit la taille de la table de routageRduit le taux de dsabonnement de routageAmliore la qualit de service Internet pour tout le monde Mauvais exemple c'est ce que beaucoup le font encore!Pourquoi? Manque de connaissances?Paresse?1919 #0683_03F7_c2.scrSparation de iBGP et eBGPDe nombreux FAI ne comprennent pas l'importance de sparer iBGP et eBGPiBGP est l'endroit o tous les prfixes des clients sont propagsl'eBGP est employ pour annoncer l'agrgat l'Internet et pour l'ingnierie du traficNE PAS faire d'ingnierie de trafic avec le client originant de prfixes iBGPConduit une instabilit similaire celle mentionne dans le mauvais exemple prcdentMme si il est agrg (avec plusieurs oprateurs) un prfixe de routage instable gnrera son tour de l'instabilit pour le client concern.Gnrer les prfixes utiliss pour l'ingnierie du trafic sur le routeur de bordure2020 #0683_03F7_c2.scrL'Internet Aujourd'hui (June 2012)Statistiques actuelles de Tableau de routage d'InternetLes entres de table de routage BGP412487Prfixes aprs agrgation maximale174439Prfixes uniques dans Internet200548Prfixes plus petits que le registre alloc175889/24s annonc215907AS en utilisation 41153

2121 #0683_03F7_c2.scrLes efforts pour amliorer l'agrgationLe raport CIDRIniti et gr depuis de nombreuses annes par Tony BatesMaintenant, combine lanalyse de routage de Geoff Hustonwww.cidr-report.org(couvre la fois les tables BGP de IPv4 et IPv6)Rsultats envoys par courriel sur une base hebdomadaire pour les listes de la plupart des oprations dans le monde entierDresser la liste des 30 meilleurs fournisseurs de services qui pourrait faire mieux l'agrgationRecommandation de l'agrgation RIPE routage WGRIPE-399 www.ripe.net/ripe/docs/ripe-399.html2222 #0683_03F7_c2.scrCIDR REPORTCalcule aussi la taille de la table de routage en supposant que les FAI effectuent une agrgation optimaleSite Web permet des recherches et des calculs d'agrgation tant effectue sur une base par ASOutil flexible et puissant pour aider les FAIDestin montrer comment une plus grande efficacit en termes de taille de la table BGP peut tre obtenu sans perte de routage et d'information politiqueMontre quelles sont les formes d'origine dagrgation AS pourrait tre ralise et les avantages potentiels de ces actions la taille totale du tableauDfie trs efficacement l'excuse ingnierie de trafic2323 #0683_03F7_c2.scr24

24 #0683_03F7_c2.scr25

25 #0683_03F7_c2.scr26

26 #0683_03F7_c2.scrImportance de l'agrgationTaille de la table de routageMmoire de routeur n'est pas tellement un problme tel qu'il tait dans les annes 90Les routeurs peuvent tre spcifis pour transporter plus de 1 million de prfixesConvergence du systme de routageC'est un problmeUn plus grand tableau prend plus de temps pour le processeur a etre traitMises jour BGP prend plus de temps etre traiteRapport dinstabilit de routage BGP suit l'activit de mise jour du systmebgpupdates.potaroo.net/instability/bgpupd.html2727 #0683_03F7_c2.scr28

28 #0683_03F7_c2.scr29

29 #0683_03F7_c2.scrRception des prfixes3030 #0683_03F7_c2.scrRception des prfixesIl existe trois scnarios pour la rception de prfixes d'autres ASNClient parlant BGPPair parlant BGPOprateur en amont / Transit parlant BGPChacun a une diffrente configuration de filtrage et doit tre considr sparment3131 #0683_03F7_c2.scrRception des prfixes:des clientsLes FAI ne devraient accepter les prfixes qui ont t assigns ou affects leur client en avalSi le FAI a attribu l'espace d'adressage son client, puis le client est en droit de l'annoncer de nouveau son FAISi le FAI n'a pas attribu lespace d'adressage son client, alors:Vrifier dans les cinq bases de donnes RIR pour voir si cet espace d'adressage a vraiment t affect au clientL'outil: whois h jwhois.apnic.net x.x.x.0/24(jwhois interroge toutes les bases de donnes RIR)3232 #0683_03F7_c2.scrRception des prfixes:des clientsExemple d'utilisation du whois pour vrifier si le client est en droit d'annoncer l'espace d'adressage:$ whois -h whois.apnic.net 202.12.29.0inetnum: 202.12.28.0 - 202.12.29.255netname: APNIC-APdescr: