تكوين الثقب الأسود المشغل عن بعد عبر بروتوكول IPv6 BGP
المحتويات
المقدمة
يصف هذا المستند السلوك الذي تمت مشاهدته مع الثقب الأسود المحفز عن بعد ل IPv6 (RTBH). وهو يعرض سيناريو تكون فيه حركة مرور IPv6 مخصصة بشكل مقصود باللون الأسود باستخدام خريطة مسار.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- IPv6
- بروتوكول البوابة الحدودية (BGP)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى الإصدار 15.4 من برنامج Cisco IOS Software.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تصفية RTBH هي تقنية تستخدم بشكل عام لمنع هجوم رفض الخدمة (DoS). ومن المشاكل الشائعة التي يتم رؤيتها مع هجمات رفض الخدمة (DoS) أن الشبكة تتعرض للتدفق بكميات كبيرة من حركة المرور غير المرغوب فيها/الضارة. وينتج عن ذلك إختناق الارتباطات ومشاكل أخرى مثل إرتفاع مستوى وحدة المعالجة المركزية (CPU) وما إلى ذلك. ويؤدي هذا إلى تجويع حركة المرور الشرعية وإلى تداعيات خطيرة على الشبكة.
وفقا لمعيار RFC 2545، يتم تضمين العنوان المحلي للارتباط في حقل الخطوة التالية في حالة مشاركة مكبر صوت BGP لشبكة فرعية مشتركة مع الكيان المحدد بواسطة عنوان IPv6 العالمي المحمول في عنوان الشبكة الخاص بحقل الخطوة التالية والنظر الذي يتم الإعلان عن المسار إليه. في جميع الحالات الأخرى، يجب أن يعلن مكبر صوت BGP لنظيره في حقل عنوان الشبكة فقط عنوان IPv6 العالمي من الخطوة التالية.
وهو يعني بشكل أساسي أنه إذا كانت لديك علاقة جوار IPv6 EBGP على الشبكة الفرعية المتصلة مباشرة، فإنه يحمل عنوان IP المحلي الخاص بالارتباط وكذلك عنوان IPv6 العالمي كخطوة تالية. ومع ذلك، فإن طلب الأمر (RFC) لا يحدد أي واحد يجب تفضيله. تفضل Cisco ربط العنوان المحلي لأنه أثناء إرسالها للحزمة يكون دائما أقصر مسافة. عند إستخدام RTBH، قد تكون مشكلة ويشرح هذا المستند كيفية التعامل معه.
التكوين
يأخذ هذا وثيقة حالة إستخدام أن يفسر السلوك والأوامر يستعمل أن يعمل RTBH.
الرسم التخطيطي للشبكة
يتم إستخدام هذه الصورة كنموذج للمخطط لباقي هذا المستند.
- يحتوي R1 على علاقة جوار EBGP مع R2 و R2 على علاقة جوار EBGP مع R3.
- يعلن الموجه R1 عن الاسترجاع 0 (FC00::192:168:1:1/128) عبر بروتوكول BGP إلى R2 ويعلن R2 عنه إلى R3.
- يستخدم R3 خريطة مسار لتعيين الخطوة التالية لبادئة إسترجاع R1 على عنوان IPv6 وهمي يشير إلى "NULL 0" في جدول التوجيه.
التكوين ذي الصلة
استعملت هذا تشكيل على مسحاج تخديد مختلف أن يحاكي حالة حيث RTBH يكون استعملت:
R1
interface Ethernet1/0
no ip address
ipv6 address FC00::1/126
end
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
ipv6 address FC00::192:168:1:1/128
!
router bgp 65500
bgp router-id 192.168.1.1
bgp log-neighbor-changes
neighbor FC00::2 remote-as 65501
!
address-family ipv6
network FC00::/126
network FC00::192:168:1:1/128
neighbor FC00::2 activate
R2
interface Ethernet1/0
no ip address
ipv6 address FC00::2/126
end
!
interface Ethernet1/1
no ip address
ipv6 address FC00::5/126
!
router bgp 65501
bgp router-id 192.168.1.2
bgp log-neighbor-changes
neighbor FC00::1 remote-as 65500
neighbor FC00::6 remote-as 65502
!
address-family ipv6
network FC00::/126
network FC00::4/126
neighbor FC00::1 activate
neighbor FC00::6 activate
R3
interface Ethernet1/1
no ip address
ipv6 address FC00::6/126
end
!
ipv6 prefix-list BLACKHOLE-PREFIX seq 5 permit FC00::192:168:1:1/128
!
route-map BLACKHOLE-PBR permit 10
match ipv6 address prefix-list BLACKHOLE-PREFIX
set ipv6 next-hop FC00::192:168:1:3
route-map BLACKHOLE-PBR permit 20
!
router bgp 65502
bgp router-id 192.168.1.3
bgp log-neighbor-changes
neighbor FC00::5 remote-as 65501
!
address-family ipv6
network FC00::4/126
neighbor FC00::5 activate
neighbor FC00::5 route-map BLACKHOLE-PBR in
التحقق من الصحة
حالة الاختبار 1
في حالة عدم تكوين توجيه (PBR) مستند إلى السياسة على R3، في جدول التوجيه، يشير التوجيه إلى إسترجاع R1 على R3 إلى العنوان المحلي لارتباط R2 FE80::A8BB:CCFF:FE00:A211.
BGP Configuration
router bgp 65502
bgp router-id 192.168.1.3
bgp log-neighbor-changes
neighbor FC00::5 remote-as 65501
!
address-family ipv6
network FC00::4/126
neighbor FC00::5 activate
BGP has both next-hops.
R3#show bgp ipv6 unicast FC00::192:168:1:1/128
BGP routing table entry for FC00::192:168:1:1/128, version 4
Paths: (1 available, best #1, table default)
Not advertised to any peer
Refresh Epoch 1
65501 65500
FC00::5 (FE80::A8BB:CCFF:FE00:A211) from FC00::5 (192.168.1.2)
Origin IGP, localpref 100, valid, external, best
rx pathid: 0, tx pathid: 0x0
Routing Table has Link Local address as the next-hop.
R3#show ipv6 route FC00::192:168:1:1
Routing entry for FC00::192:168:1:1/128
Known via "bgp 65502", distance 20, metric 0, type external
Route count is 1/1, share count 0
Routing paths:
FE80::A8BB:CCFF:FE00:A211, Ethernet1/1
MPLS label: nolabel
Last updated 00:02:45 ago
Destination is reachable
R3#ping ipv6 FC00::192:168:1:1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FC00::192:168:1:1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
حالة الاختبار 2
عندما يتم تكوين PBR باستخدام خريطة المسار BLACKHOLE-PBR على R3، فيلاحظ أنه بالنسبة ل FC00::192:168:1:1/128 (إسترجاع R1)، لا تزال الخطوة التالية في جدول التوجيه تشير إلى عنوان FE80 الخاص بارتباط R2 المحلي:A8BB:CCFF:FE00:A211. لذلك، لا تكون حركة المرور سوداء اللون مطلقا ويتم توجيهها بدلا من ذلك باستخدام عناوين الارتباط المحلية.
BGP Configuration
ipv6 prefix-list BLACKHOLE-PREFIX seq 5 permit FC00::192:168:1:1/128
!
route-map BLACKHOLE-PBR permit 10
match ipv6 address prefix-list BLACKHOLE-PREFIX
set ipv6 next-hop FC00::192:168:1:3
!
route-map BLACKHOLE-PBR permit 20
!
router bgp 65502
bgp router-id 192.168.1.3
bgp log-neighbor-changes
neighbor FC00::5 remote-as 65501
!
address-family ipv4
no neighbor FC00::5 activate
exit-address-family
!
address-family ipv6
network FC00::4/126
neighbor FC00::5 activate
neighbor FC00::5 route-map BLACKHOLE-PBR in
Next-hop in BGP changes to the one defined in route-map.
R3#show bgp ipv6 unicast FC00::192:168:1:1/128
BGP routing table entry for FC00::192:168:1:1/128, version 4
Paths: (1 available, best #1, table default)
Not advertised to any peer
Refresh Epoch 1
65501 65500
FC00::192:168:1:3 (FE80::A8BB:CCFF:FE00:A211) from FC00::5 (192.168.1.2)
Origin IGP, localpref 100, valid, external, best
rx pathid: 0, tx pathid: 0x0
New next-hop is not reachable and points to Null 0
R3#show ipv6 route FC00::192:168:1:3
Routing entry for FC00::192:168:1:3/128
Known via "static", distance 1, metric 0
Route count is 1/1, share count 0
Routing paths:
directly connected via Null0
Last updated 00:19:23 ago
Routing table still uses Link Local address as next-hop.
R3#show ipv6 route FC00::192:168:1:1
Routing entry for FC00::192:168:1:1/128
Known via "bgp 65502", distance 20, metric 0, type external
Route count is 1/1, share count 0
Routing paths:
FE80::A8BB:CCFF:FE00:A211, Ethernet1/1
MPLS label: nolabel
Last updated 00:00:41 ago
Destination is still reachable.
R3#ping ipv6 FC00::192:168:1:1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FC00::192:168:1:1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
حالة الاختبار 3
للتغلب على هذا السلوك، أستخدم أمر تكوين جار BGP disable-connected-check على R3. يتم إستخدام Disable-connected-check لنفترض أن عنوان IPv6 الخاص بالجارة هو فقط طريقة جنجل واحدة . أكثر المعايير شيوعا حيث يتم إستخدام هذا الأمر هي عندما يتم إنشاء علاقة جوار EBGP على عمليات الاسترجاع للموجهات المتصلة مباشرة. في هذه الحالة، يعطي الأمر انطباعا بأن الموجهات تقوم بإنشاء علاقة مجاورة ل EBGP وليست على الشبكة الفرعية المشتركة. يمكن أن تكون العبارة المجاورة عبر الاسترجاع، وبالتالي، يمكن أن تكون عبارة عن موجه أثناء الإعلان عن البادئة التي لا تحمل العنوان المحلي للرابط ولكن فقط عنوان IPv6 العالمي .
وبمجرد إضافة هذا الأمر، يمكنك أن ترى هذا المسار لإسترجاع R1 192:168:1:1/128 في جدول التوجيه ل R3، يشير إلى الخطوة التالية في مطابقة خريطة المسار التي تكون FC00::192:168:1:3. الآن، بما أن FC00::192:168:1:3 له مسار يشير إلى صفر فارغ، لذلك، حركة المرور هي محجوزة بالأسود.
BGP Configuration
ipv6 prefix-list BLACKHOLE-PREFIX seq 5 permit FC00::192:168:1:1/128
!
route-map BLACKHOLE-PBR permit 10
match ipv6 address prefix-list BLACKHOLE-PREFIX
set ipv6 next-hop FC00::192:168:1:3
!
route-map BLACKHOLE-PBR permit 20
!
router bgp 65502
bgp router-id 192.168.1.3
bgp log-neighbor-changes
neighbor FC00::5 remote-as 65501
neighbor FC00::5 disable-connected-check
!
address-family ipv4
no neighbor FC00::5 activate
exit-address-family
!
address-family ipv6
network FC00::4/126
neighbor FC00::5 activate
neighbor FC00::5 route-map BLACKHOLE-PBR in
Next-hop in BGP changes to the one defined in route-map. There is no Link Local Address.
R3#show bgp ipv6 unicast FC00::192:168:1:1/128
BGP routing table entry for FC00::192:168:1:1/128, version 4
Paths: (1 available, best #1, table default)
Not advertised to any peer
Refresh Epoch 1
65501 65500
FC00::192:168:1:3 from FC00::5 (192.168.1.2)
Origin IGP, localpref 100, valid, external, best
rx pathid: 0, tx pathid: 0x0
Routing table uses the new next-hop.
R3#show ipv6 route FC00::192:168:1:1
Routing entry for FC00::192:168:1:1/128
Known via "bgp 65502", distance 20, metric 0, type external
Route count is 1/1, share count 0
Routing paths:
FC00::192:168:1:3
MPLS label: nolabel
Last updated 00:00:37 ago
New next-hop is pointed to Null 0. Traffic will be dropped.
R3#show ipv6 route FC00::192:168:1:3
Routing entry for FC00::192:168:1:3/128
Known via "static", distance 1, metric 0
Route count is 1/1, share count 0
Routing paths:
directly connected via Null 0
Last updated 02:18:03 ago
Destination is not reachable
R3#ping ipv6 FC00::192:168:1:1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FC00::192:168:1:1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليا معلومات محددة حول أستكشاف الأخطاء وإصلاحها لهذا المستند.
التعليقات