Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 70 vistas

    BGP Rpki Campus PDF

    Cargado por

    cesar batallas
    El documento introduce conceptos clave sobre BGP y RPKI, incluyendo cómo BGP intercambia información de rutas entre sistemas autónomos, los atributos que transporta, y cómo selecciona la mejor ruta. También explica medidas como RPKI que ayudan a validar el origen de rutas y prevenir problemas de ruteo.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    BGP Rpki Campus PDF

    Cargado por

    cesar batallas
    70 vistas21 páginas
    El documento introduce conceptos clave sobre BGP y RPKI, incluyendo cómo BGP intercambia información de rutas entre sistemas autónomos, los atributos que transporta, y cómo selecciona la mejor ruta. También explica medidas como RPKI que ayudan a validar el origen de rutas y prevenir problemas de ruteo.

    Título original

    bgp-rpki-campus.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento introduce conceptos clave sobre BGP y RPKI, incluyendo cómo BGP intercambia información de rutas entre sistemas autónomos, los atributos que transporta, y cómo selecciona la mejor ruta. También explica medidas como RPKI que ayudan a validar el origen de rutas y prevenir problemas de ruteo.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    70 vistas21 páginas

    BGP Rpki Campus PDF

    Cargado por

    cesar batallas
    El documento introduce conceptos clave sobre BGP y RPKI, incluyendo cómo BGP intercambia información de rutas entre sistemas autónomos, los atributos que transporta, y cómo selecciona la mejor ruta. También explica medidas como RPKI que ayudan a validar el origen de rutas y prevenir problemas de ruteo.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 21

    Introducción a las capacitaciones de

    BGP + RPKI
    Protocolos de ruteo

    • IGP (Interior Gateway Protocol) - Protocolo de ruteo usado para intercambiar información de ruteo
    dentro de un sistema autónomo.
    • EGP (Exterior Gateway Protocol) - Protocolo de ruteo usado para intercambiar información de ruteo
    entre sistemas autónomos.

    2
    Sistema Autónomo

    Sistema Autónomo: Grupo de redes IP que comparten una política de ruteo propia e
    independiente.

    3
    Sistema Autónomo
    • Desde afuera el AS es visto como una entidad única.
    • Tiene su propia política de ruteo interna (IGPs) y su propia política de ruteo
    externa (EGP)

    • Internet es una gran interconexión de Sistemas Autónomos


    ¿Cómo se realiza esa interconexión?
    4
    Border Gateway Protocol - BGP
    • EGP – Exterior Gateway Protocol
    • Opera intercambiando información de rutas de los diferentes sistemas
    autónomos y garantizando un camino libre de loops

    5
    Cómo trabaja BGP?

    6
    Configuración Básica

    198.51.100.1 198.51.100.0/30
    B
    AS 64496 AS 64505
    192.0.2.0 203.0.113.0
    A 198.51.100.2

    Configuración Router A Configuración Router B

    router bgp 64496 router bgp 64505


    network 192.0.2.0 network 203.0.113.0
    neighbor 198.51.100.2 remote-as 64505 neighbor 198.51.100.1 remote-as 64496

    7
    Atributos de rutas

    Son parámetros preestablecidos que viajan junto


    a la información de la rutas.

    Permiten poder ser manipulados por los


    administradores de redes para influir en las
    decisiones de BGP

    8
    Atributos

    9
    Ejemplo de lectura de atributos
    # show ip bgp

    BGP table version is 134358, local router ID is 198.51.100.1


    Status codes: s suppressed, d damped, h history, * valid, > best, i – internal, S Stale
    Origin codes: i - IGP, e - EGP, ? - incomplete

    Network Next Hop Metric LocPrf Weight Path


    *> 192.0.2.0/26 198.51.100.1 95 300 64496 65511 i
    * 192.0.2.128/26 198.51.100.1 95 0 64496 64506 i
    *> 198.51.100.22 95 100 64506 e
    * 203.0.113.128/25 198.51.100.1 95 0 64496 64501 i
    *> 198.51.100.114 100 0 64501 i
    *> 203.0.113.0/25 198.51.100.1 0 100 0 64496 64497 64498 i

    10
    Decisiones administrativas

    • Redistribución del default

    • Inserción de prefijos en la tabla de BGP

    • Filtrado de rutas

    11
    Cómo realiza BGP la selección del mejor camino?
    1. Si el next-hop es inaccesible, descartar la ruta. 8. A igualdad de “origen”, se prefiere el menor valor
    de MED. Esta comparación se realiza sólo si los
    2. Si el camino es interno (iBGP), synchronization está
    neighbors de los que se aprendieron la ruta
    habilitado y la ruta no está en el IGP, descartarla.
    pertenecen todos a un mismo AS (a menos que
    3. Se prefiere el camino con mayor peso “weight” (propietario se especifique “bgp always-compare-med”).
    Cisco). 9. Se prefieren rutas aprendidas por eBGP que por
    4. Luego, se prefiere la ruta de mayor “local preference”. iBGP.

    10. Se prefiere la ruta cuyo next-hop tiene menor


    5. En caso del mismo local-pref, se prefiere una ruta que es métrica en el IGP.
    originada por el router (comando network o redistribución). 11. Si hasta aquí no hay decisión, se prefiere la ruta

    6. Si la ruta no fue originada por el router y local-pref es igual, correspondiente al neighbor de menor router-id.
    se prefiere la ruta con el path de sistemas autónomos más
    corto (shortest as-path).

    7. Si todo es igual, se prefiere el menor código de “origen”


    (IGP<EGP<Incomplete).

    12
    Sobre mejores prácticas recomendadas

    BGP vs. IGPs


    • Cuándo utilizar Protocolos de ruteo interno (IGP)
    • Qué información transportar con iBGP y con eBGP

    BGP
    • Qué anuncios no debería recibir
    • Qué no debería enseñar
    • Qué es lo que NUNCA debería hacer
    13
    Confiabilidad sobre la información

    • Internet funciona gracias a una “gran cadena


    de confianza” (Cada organización es responsable de los
    prefijos que anuncia).
    • La confiabilidad de la información NO está garantizada.

    • Errores en el ruteo afectan críticamente al tráfico.


    • Se pueden tomar medidas que ayuden a confiar en la
    información recibida.
    EVENTOS QUE PUEDEN OCURRIR

    • Secuestros de rutas
    • Intencional
    • Por error en la operación
    • Route Leak
    • Ataques contra el camino
    Varios secuestros de rutas vienen ocurriendo en los
    últimos años.
    MEDIDAS DE PROTECCIÓN
    • Medidas para ayudar a mitigar los problemas de
    ruteo causados por ataques o errores.
    • Informales, LoAs, IRR, Whois
    • Las medidas mencionadas no proveen
    información firmada

    RPKI
    RPKI
    • Resource Public Key Infraestructure.
    • Mecanismo para validar el origen
    de una ruta.
    • Ayudarán a evitar secuestro de rutas
    y route leaks.

    IMPORTANTE
    Previene problemas que devienen del
    origen de la ruta, no de otros ataques.
    Componentes solución RPKI
    • PKI de recursos (IPs y ASN + Certificados).
    • Objetos firmados digitalmente (ROAs).
    • Repositorio que almacena la información
    criptográfica (que constituye la PKI).

    Finalmente: VALIDACIÓN
    Contenidos
    ¿Qué vimos?

    BGP table version is 134358, local router ID is 198.51.100.1


    Status codes: s suppressed, d damped, h history, * valid, > best, i – internal, S Stale
    Origin codes: i - IGP, e - EGP, ? - incomplete
    Network Next Hop Metric LocPrf Weight Path
    *> 192.0.2.0/26 198.51.100.1 95 300 64496 65511 i
    * 192.0.2.128/26 198.51.100.1 95 0 64496 64506 i
    *> 198.51.100.22 95 100 64506 e
    * 203.0.113.128/25 198.51.100.1 95 0 64496 64501 i
    *> 198.51.100.114 100 0 64501 i
    *> 203.0.113.0/25 198.51.100.1 0 100 0 64496 64497 64498 i
    198.51.100.1 198.51.100.0/30
    B
    AS 64496 AS 64505
    192.0.2.0 203.0.113.0
    A 198.51.100.2

    Configuración Router A Configuración Router B

    router bgp 64496 router bgp 64505


    network 192.0.2.0 network 203.0.113.0
    neighbor 198.51.100.2 remote-as 64505 neighbor 198.51.100.1 remote-as 64496

    ...

    neighbor 198.51.100.22 filter-list 10 in


    router bgp 64496
    neighbor 198.51.100.22 filter-list 11 out neighbor 203.0.113.10 route-map filter-on-as-
    path in

    ... !

    RPKI
    route-map filter-on-as-path permit 10
    ip as-path access-list 10 permit ^$
    match as-path 1

    ip as-path access-list 11 deny 64496$ set local-preference 80


    Prefix-list
    set weight 200
    ip as-path access-list 11 deny ^645
    set metric 127
    router bgp 64496
    ip as-path access-list 11 permit _64497_64498_ set next-hop 192.0.2.10 neighbor 203.0.113.100 remote-
    ! as 65551
    ...
    set local-preference 200
    neighbor 203.0.113.100 prefix-
    list PEER-IN in 19
    neighbor 203.0.113.100 prefix-
    list PEER-OUT out
    ”Fundamentos de BGP e Introducción a RPKI”

    •Lanzamiento en 2017
    • Capacitadas más de 300 personas
    •Modalidad:
    •Online (videos) con asistencia de tutor
    •Teórico / Práctico (simulador)
    •Duración: 6 semanas
    • Un módulo por semana
    •Exámenes parciales opcionales
    •Exámen final obligatorio para la certificación
    • Calificación >= 7
    20
    ”Fundamentos de BGP e Introducción a RPKI”

    •Primera edición 2018: comienza el 25 de


    mayo
    •Cupos para miembros LACNIC y cupos para la
    comunidad
    •Informes e inscripción:
    http://campus.lacnic.net

    21

    También podría gustarte