জুনিপির জন্য বিজিপি রিমোট ট্রিগারড ব্ল্যাকহোল (আরটিবিএইচ) ফিল্টার

আমি একজন গ্রাহকের কাছ থেকে প্রাপ্ত রুটের জন্য আরটিবিএইচ ফিল্টার প্রয়োগের সর্বাধিক মার্জিত উপায় সন্ধান করার চেষ্টা করছি ।

ফিল্টারটি করা উচিত:

কেবল গ্রাহকদের একটি উপসর্গ-তালিকা থেকে নিজস্ব উপসর্গ গ্রহণ করুন
কেবলমাত্র 32 / টির উপসর্গ গ্রহণ করুন
ব্ল্যাকহোল সম্প্রদায়ের শুধুমাত্র উপসর্গ
আরটিবিএইচ পরবর্তী-হ্যাপে পরবর্তী হপ সেট করুন (192.0.2.1)

শুরু করার জন্য আমি জুনিপারের " রাউটিং নীতি শর্তাদিতে ম্যাচ শর্তগুলি কনফিগার করা " নথির দিকে তাকিয়েছিলাম ।

প্রথমে আমি prefix-list-filterকেবল গ্রাহকদের উপসর্গ-তালিকা থেকে একমাত্র রুটের সাথে মিলিত করার বিষয়ে এবং route-filterগ্রহণযোগ্য উপসর্গগুলিকে 32/32 - তে সীমাবদ্ধ করার বিষয়ে ভাবলাম :

from {
    as-path customer;
    community blackhole;
    prefix-list-filter customer-prefixes orlonger;
    route-filter 0.0.0.0/0 prefix-length-range /32-/32;
}

তবে আমি নথিতে এই তথ্যটি নিয়ে হোঁচট খেয়েছি:

আপনি যদি এমন কোনও নীতি কনফিগার করেন যা রুট ফিল্টার, উপসর্গের তালিকা এবং উত্স ঠিকানা ফিল্টারগুলির কিছু সংমিশ্রণ যুক্ত করে থাকে তবে সেগুলি একটি লজিকাল ওআর অপারেশন বা দীর্ঘতম-রুটের ম্যাচ লুকের অনুসারে মূল্যায়ন করা হয়।

আমি যেমন এটি বুঝতে পারি (এবং আমি এটি কিছুটা অস্পষ্ট বলে মনে করি), যদি আমি ব্যবহার করি prefix-list-filter, route-filterএবং / বা source-address-filterএকই শব্দে এটি সবচেয়ে দীর্ঘস্থায়ী ম্যাচের সাথে মূল্যায়িত করা হবে বা তাদের সবার মধ্যে, যা এই পদ্ধতির অকেজো করে তোলে ।

আমি যা নিয়ে এসেছি তা হল এটি নীচের ফিল্টার। hostroutes-onlyমেয়াদ আগামী নীতি / 32 চেয়ে সব উপসর্গ খাটো বিচ্যুত করে দেবে। এর পরে prefixes/ 32 গ্রাহকের সীমার মধ্যে শব্দটি মেলে, তার পথের সাথে মেলে এবং ব্ল্যাকহোল সম্প্রদায়টি সেট করেছে:

term hostroutes-only {
    from {
        route-filter 0.0.0.0/0 prefix-length-range /0-/31;
    }
    then next policy;
}
term prefixes {
    from {
        as-path customer;
        community blackhole;
        prefix-list-filter customer-prefixes orlonger;
    }
    then {
        next-hop 192.0.2.1;
        accept;
    }
}

সুতরাং, এটি কি এটি হ্যান্ডেল করার জন্য সবচেয়ে মার্জিত উপায়? অন্য কোন সমাধান?

routing bgp juniper

— সেবাস্তিয়ান উইজিংগার
সূত্র

কেবল গ্রাহককে কেবল ব্ল্যাকহোলের মধ্যে সীমাবদ্ধ করার কোনও কারণ নেই, তাদের কাছ থেকে কোনও কিছু ব্ল্যাকহোল করার অনুমতি দিন।

এটার মতো কিছু:

policy-statement AS42-IN {
    term blackhole {
        from {
            community BLACKHOLE;
            prefix-list-filter AS42 orlonger;
        }
        then {
            community add NO-EXPORT;
            next-hop 192.0.2.1;
            accept;
        }
    }
    term advertise {
        from {
            prefix-list AS42;
        }
        then {
            community add ADVERTISE;
            next-hop peer-address;
            accept;
        }
    }
    term reject {
        then reject;
    }
}

বিজিপি সেটিংসের আওতায় 'গ্রাহক-রিমোট-নেেক্সথপ' সেট করতে মনে রাখবেন, যাতে নেক্সট ঠিকানা ব্যতীত পরবর্তী-হপকে অন্য কোনও কিছুতে পরিবর্তন করা যায়।

আমি দৃ strongly়ভাবে সমর্থন করি যে সরবরাহকারীরা কেবল 'সম্পূর্ণ ব্ল্যাকহোল' এর চেয়ে বিভিন্ন ব্ল্যাকহোল সম্প্রদায়কে সমর্থন করা শুরু করে। বিশেষত যদি আপনি একাধিক দেশে অপারেশন করেন তবে সাধারণত আক্রমণটি ট্রানজিট থেকে আসে এবং প্রায়শই গ্রাহকরা বেশিরভাগ ক্ষেত্রে ঘরোয়া পিয়ারিংগুলিতে অ্যাক্সেস করতে চান, তাই এটি ব্ল্যাকহোলের বিভিন্ন স্তরের বাস্তবায়নের জন্য দরকারী:

সম্পূর্ণ
স্থানীয় দেশের বাইরে (স্থানীয় আইএক্সপি, পুরো নিজস্ব এএস + গ্রাহকরা দেখেছেন)
স্থানীয় অঞ্চলের বাইরে (যদি প্রযোজ্য হয় তবে আমার জন্য এটি 'নর্ডিক্স' হতে পারে)
ব্ল্যাকহোলে নির্দিষ্ট পিয়ারিং রাউটার অন্তর্ভুক্ত / বাদ দিন

জেএনপিআর ডিসিইউ / এসসিইউর সাথে কীভাবে এরকম কিছু বাস্তবায়ন করা যায় তার উদাহরণ দিতে আমি আনন্দিত, আপনার পিয়ারিং রাউটারগুলি জেএনপিআর হয় তবে এটি কেবলমাত্র সম্প্রদায়গুলির সাথে সম্ভব, আরও কিছুটা বিশ্রী।

আপনি যদি আপনার গ্রাহকের বিকল্পগুলি সীমাবদ্ধ করতে চান তবে আপনি এটি যুক্ত করতে পারেন:

policy-statement /32 {
    term /32 {
        from {
            route-filter 0.0.0.0/0 prefix-length-range /32-/32;
        }
        then accept;
    }
    term reject {
        then reject;
    }
}

policy-statement AS42-IN {
    term blackhole {
        from {
            community BLACKHOLE;
            policy /32;
            prefix-list-filter AS42 orlonger;
        }
..
}

এইভাবে এটি যৌক্তিক ও হওয়া উচিত। তবে কনফিগারেশনের অভিব্যক্তি হ্রাস করার জন্য জটিলতা তৈরির মূল্য আমি সত্যিই দেখছি না।

— ytti
সূত্র

আপনার উত্তর করার জন্য আপনাকে ধন্যবাদ। আমি চাই না গ্রাহকরা তাদের জায়গার বৃহত্তর অংশটিকে ব্ল্যাকহোল করুন কারণ বেশিরভাগ তারা এটিকে নিয়ে পায়ে গুলি করে shooting 'রিমোট-রিমোট-নেেক্সথপ' প্রসঙ্গে, আমি পলিসি ফিল্টারে আমাদের পাশের নেক্সট-হপ পরিবর্তন করি যাতে সেশনটিতে আমার এটি সক্ষম করার প্রয়োজন হবে না।

— সেবাস্তিয়ান উইজিংগার

আমরা কাউকে "শাস্তি" দিচ্ছি না। যদি তারা বৃহত্তর উপসর্গগুলি কালো তালিকাভুক্ত করতে চান তবে তারা অবশ্যই এটি চাইতে পারেন। গত কয়েক বছরে কেউ এর জন্য জিজ্ঞাসা করেনি।

— সেবাস্তিয়ান উইজিংগার

ভাব প্রকাশ কমাতে আপনি অতিরিক্ত সমস্যা, জটিলতা যোগ করে দেখছেন। যদি আপনি কখনও এটি অফার করেন না, আপনি কীভাবে জানবেন যে আপনার গ্রাহকরা দুর্ঘটনাক্রমে ব্ল্যাকহোল সম্প্রদায়কে 32/32 এর চেয়ে বড় জালের সাথে যুক্ত করবেন? কাকতালীয়ভাবে যখনই আমরা বিক্রেতাদের কাছ থেকে কোনও বৈশিষ্ট্য জিজ্ঞাসা করি তখন তারা জবাব দেয় যে 'কেউ এর জন্য কখনও জিজ্ঞাসা করেনি' এবং আপনি যখন সম্প্রদায়ের সাথে কথা বলবেন তখন আপনি অনেক লোককে এই জাতীয় বৈশিষ্ট্যের জন্য অকারণে খুঁজে পাবেন। যাইহোক এই সীমাটি কীভাবে প্রয়োগ করা যায় সে সম্পর্কে আমি পরামর্শ যোগ করেছি।

— ytti

আমি বুঝতে পেরেছি যে আপনার উদাহরণে, আপনি ব্ল্যাকহোলিং ব্যতীত উপসর্গগুলি গ্রহণ করেন না। সুতরাং আপনার সম্ভবত দুটি পিয়ারিং হচ্ছে, একটি স্বাভাবিক ট্রাফিকের জন্য এবং একটি ব্ল্যাকহোলিংয়ের জন্য, এবং ব্ল্যাকহোলিং সম্ভবত আপনার ক্ষেত্রে মাল্টিহপ, মাল্টিহোপে নেক্সট-হপ চেকিং ইতিমধ্যে বন্ধ আছে, সুতরাং আপনার 'গ্রহণযোগ্য-দূরবর্তী প্রয়োজন হবে না don't '-nexthop। আমার উদাহরণটি উভয় বিজিপি পিয়ারিংকে একই কনফিগারেশনে coversেকে রেখেছে এবং এটি সরাসরি পিই <-> সিই হিসাবে মাল্টিহপ ছাড়াই এটির জন্য 'গ্রহণযোগ্য-রিমোট-নেক্সথপ' দরকার needs

— ytti

হ্যাঁ এটি সত্য, আপনার সরাসরি সেশনে এটি প্রয়োজন। ফিল্টারটি উভয় পরিস্থিতিতেই কাজ করা উচিত, আপনি পিই <-> সিই দৃশ্যে এটির পেছনের অন্যান্য ফিল্টারিং নীতিগুলির সাথে চেইন আপ করবেন।

— সেবাস্তিয়ান উইজিংগার