dovecot Опубликовано 12 июня, 2012 · Жалоба На маршрутизаторе произведена настройка для возможности blackhole'а маршрутов, анонсируемых клиентами. router bgp 65100 neighbor 10.11.11.236 remote-as 65200 neighbor 10.11.11.236 ebgp-multihop 2 neighbor 10.11.11.236 version 4 ! address-family ipv4 neighbor 10.11.11.236 activate neighbor 10.11.11.236 send-community both neighbor 10.11.11.236 route-map TEST-IN in neighbor 10.11.11.236 route-map TEST-OUT out route-map TEST-IN permit 10 match community BLACKHOLE set community no-export additive set ip next-hop 10.6.6.6 ip route 10.6.6.6 255.255.255.255 Null0 Клиент анонсирует маршрут с необходимым community, но я его вижу так #sh ip bgp 172.16.16.0/24 BGP routing table entry for 172.16.16.0/24, version 2831499 Not advertised to any peer 65200 10.6.6.6 (inaccessible) from 10.11.11.236 (10.11.11.236) Origin IGP, metric 0, localpref 100, valid, external Community: 65100:6666 no-export То есть, роутер видит hext-hop как inaccessible, хотя указано neighbor 10.11.11.236 ebgp-multihop 2. Увеличение ebgp-multihop до 255 и/или disable-connected-check также не дает результатов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 12 июня, 2012 · Жалоба На маршрутизаторе произведена настройка для возможности blackhole'а маршрутов, анонсируемых клиентами. router bgp 65100 neighbor 10.11.11.236 remote-as 65200 neighbor 10.11.11.236 ebgp-multihop 2 neighbor 10.11.11.236 version 4 ! address-family ipv4 neighbor 10.11.11.236 activate neighbor 10.11.11.236 send-community both neighbor 10.11.11.236 route-map TEST-IN in neighbor 10.11.11.236 route-map TEST-OUT out route-map TEST-IN permit 10 match community BLACKHOLE set community no-export additive set ip next-hop 10.6.6.6 <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< ip route 10.6.6.6 255.255.255.255 Null0 Клиент анонсирует маршрут с необходимым community, но я его вижу так #sh ip bgp 172.16.16.0/24 BGP routing table entry for 172.16.16.0/24, version 2831499 Not advertised to any peer 65200 10.6.6.6 (inaccessible) <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< from 10.11.11.236 (10.11.11.236) Origin IGP, metric 0, localpref 100, valid, external Community: 65100:6666 no-export То есть, роутер видит hext-hop как inaccessible, хотя указано neighbor 10.11.11.236 ebgp-multihop 2. Увеличение ebgp-multihop до 255 и/или disable-connected-check также не дает результатов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dovecot Опубликовано 12 июня, 2012 · Жалоба Это понятно, но вот почему так получается? Вот в этом вопрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 12 июня, 2012 · Жалоба Это понятно, но вот почему так получается? Вот в этом вопрос. а что ожидали от: ip route 10.6.6.6 255.255.255.255 Null0? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dovecot Опубликовано 12 июня, 2012 · Жалоба Хорошо. Тогда возможно я чего-то не понимаю. Трафик, адресованный на указанный префикс, "сливается" на интерфейс Null0, то есть в черную дыру. Адрес 10.6.6.6 достижим через интерфейс Null0, интерфейс поднят и доступен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 10 апреля, 2015 · Жалоба Подниму старую тему. Встретился с такой же проблемой, как у dovecot. Как побороть "inaccessible", т.к. с ним механизм blackhole не работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 10 апреля, 2015 · Жалоба Подниму старую тему. Встретился с такой же проблемой, как у dovecot. Как побороть "inaccessible", т.к. с ним механизм blackhole не работает? Надо правильно next-hop выставлять и не будет проблем со связностью таких маршрутов. Обычно используется локалхост граничных маршрутизаторов, чтоб локализовывать "запрещенный" траффик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 10 апреля, 2015 · Жалоба vlad11, я буду премного благодарен, как и многие другие форумчане, если будет раскрыт этот правильный способ выставления next-hop. На примере ТС, что неверно, подскажи, пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 10 апреля, 2015 · Жалоба Надо правильно next-hop выставлять и не будет проблем со связностью таких маршрутов. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 10 апреля, 2015 · Жалоба Вместо set ip next-hop 10.6.6.6 Используйте set ip next-hop 127.0.0.1 Иногда читайте вдумчиво мануалы, раз не осилили профильную литературу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 10 апреля, 2015 · Жалоба Вместо set ip next-hop 10.6.6.6 Используйте set ip next-hop 127.0.0.1 Иногда читайте вдумчиво мануалы, раз не осилили профильную литературу. Не осилили ее вы :) http://www.cisco.com/web/about/security/intelligence/blackhole.pdf а вообше, кто то забыл про redistribute static. ваш раут в RIB но не в таблице BGP пока туда его не засунули ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 10 апреля, 2015 · Жалоба а вообше, кто то забыл про redistribute static. ваш раут в RIB но не в таблице BGP пока туда его не засунули ;) он и должен быть в RIB, маршруту на next-hop нечего делать в bgp таблице. ничего страшного если он там оказался, но он точно не обязан там быть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 10 апреля, 2015 (изменено) · Жалоба vlad11, телепат из вас никакой :) Указанная ссылка может и верна в применении к Quagga. Уточню, я хочу реализовать это на Cisco 6500. Верную ссылку уже указал applx, также могу добавить RFC5635. По поводу redistribute, но он особо не нужен, т.к. он для того, чтобы анонсировать дальше по BGP маршрут на 192.0.2.1/32: router bgp 65000 address-family ipv4 redistribute static route-map blackhole neighbor 192.168.10.10 remote-as 65001 neighbor 192.168.10.10 route-map client_in in neighbor 192.168.10.10 ebgp-multihop 10 neighbor 192.168.10.10 disable-connected-check ... ip community-list standard clients-blackhole permit 65000:666 ... ip route 192.0.2.1 255.255.255.255 Null0 tag 666 ... route-map client_in permit 10 match community clients-blackhole set ip next-hop 192.0.2.1 ! route-map client_in permit 100 match ip address prefix-list client match as-path 30 set local-preference 300 set weight 3000 ! route-map blackhole permit 10 match tag 666 set origin igp set community 65000:666 #do sh ip bgp nei 192.168.10.10 ro BGP table version is 246438222, local router ID is 1.2.3.4 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 10.10.10.0/24 192.168.10.10 0 300 3000 65001 i * 10.10.10.4/32 192.0.2.1 0 0 65001 i Total number of prefixes 2 #sh ip bgp 10.10.10.4 BGP routing table entry for 10.10.10.4/32, version 246438764 Paths: (2 available, no best path) Not advertised to any peer 65001 192.0.2.1 (inaccessible) from 192.168.10.10 (192.168.10.10) Origin IGP, metric 0, localpref 100, valid, external Community: 65000:666 65001, (received-only) 192.168.10.10 (metric 20) from 192.168.10.10 (192.168.10.10) Origin IGP, metric 0, localpref 100, valid, external Community: 65000:666 #sh ip bgp 192.0.2.1 BGP routing table entry for 192.0.2.1/32, version 246291206 Paths: (1 available, best #1, table Default-IP-Routing-Table) Advertised to update-groups: 2 8 Local 0.0.0.0 from 0.0.0.0 (1.2.3.4) Origin IGP, metric 0, localpref 100, weight 32768, valid, sourced, best Community: 65000:666 #sh ip route 192.0.2.1 Routing entry for 192.0.2.1/32 Known via "static", distance 1, metric 0 (connected) Tag 666 Redistributing via ospf 1, bgp 65000 Advertised by ospf 1 subnets bgp 65000 route-map blackhole Routing Descriptor Blocks: * directly connected, via Null0 Route metric is 0, traffic share count is 1 Route tag 666 Изменено 10 апреля, 2015 пользователем John_obn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 10 апреля, 2015 · Жалоба vlad11, телепат из вас никакой :) Указанная ссылка может и верна в применении к Quagga. Уточню, я хочу реализовать это на Cisco 6500. Дык, вендор специфик. IP адреса из блэкхола приземляют всегда на локалхост граничного/ых маршрутизатора/ов. То, что вы маршрут перенаправили на другой ip, внутри сети, то значит туда ДДоС и польется. Раз вы так сделали, то намерены изучать и фильтровать ДДоС, тогда обращайтесь к мануалу той железки, которая будет фильтровать траффик. P.S. RIB на разных железках, даже в пределах одного вендора имеет свои ньюансы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 10 апреля, 2015 · Жалоба То, что вы маршрут перенаправили на другой ip, внутри сети, то значит туда ДДоС и польется. ip route 10.6.6.6 255.255.255.255 Null0 это маршрут на "другой ip, внутри сети" ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 10 апреля, 2015 · Жалоба То, что вы маршрут перенаправили на другой ip, внутри сети, то значит туда ДДоС и польется. ip route 10.6.6.6 255.255.255.255 Null0 это маршрут на "другой ip, внутри сети" ? Тогда я не понимаю логику Cisco IOS. :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smoke Опубликовано 10 апреля, 2015 · Жалоба То, что вы маршрут перенаправили на другой ip, внутри сети, то значит туда ДДоС и польется. ip route 10.6.6.6 255.255.255.255 Null0 это маршрут на "другой ip, внутри сети" ? Тогда я не понимаю логику Cisco IOS. :( Скорее что такое cef Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 11 апреля, 2015 · Жалоба И все же, коллеги, есть ли кто реализовывал bgp blackhole на cisco 6500/7600 или других моделях? Можете показать свои конфиги реализации blackhole? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 12 апреля, 2015 · Жалоба За Community: 65100:6666 no-export Нужно убивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 14 апреля, 2015 · Жалоба myst, no-export использует ТС. Но будет интересно услышать, почему вы сильно против этого. На сколько я понимаю, это предотвращает распространение этого коммьюнити на анонсе за пределами вашей AS. Повторю клич " Есть кто на каталисте 65-м реализовал подобную задачу?" :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 апреля, 2015 · Жалоба myst, no-export использует ТС. Но будет интересно услышать, почему вы сильно против этого. На сколько я понимаю, это предотвращает распространение этого коммьюнити на анонсе за пределами вашей AS. Повторю клич " Есть кто на каталисте 65-м реализовал подобную задачу?" :) я не против no-export я против использования в качестве BH комьюнити 6666. Почем, объяснять надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 14 апреля, 2015 · Жалоба Надо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 14 апреля, 2015 · Жалоба Подозреваю, что может совпадать с используемым у кого-нибудь коммьюнити. Лучше объясните, потому что видел не у одного оператора, что используют 6666 в качестве BH. Также в RFC описывают именно 666. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 14 апреля, 2015 (изменено) · Жалоба ниче ненаю все пашет :) uk3-asr-01#sh ip bgp 11.1.1.10/24 BGP routing table entry for 11.1.1.0/24, version 13 Paths: (1 available, best #1, table default) Advertised to update-groups: 2 Refresh Epoch 2 Local 169.254.1.1 from 10.0.0.4 (10.0.0.4) Origin IGP, metric 0, localpref 100, valid, internal, best Community: 666:666 rx pathid: 0, tx pathid: 0x0 uk3-asr-01# uk3-asr-01# uk3-asr-01#sh ip route 169.254.1.1 Routing entry for 169.254.1.1/32 Known via "static", distance 1, metric 0 (connected) Tag 666 Routing Descriptor Blocks: * directly connected, via Null0 Route metric is 0, traffic share count is 1 Route tag 666 router bgp 123456 bgp router-id 10.0.0.3 bgp log-neighbor-changes neighbor iBGP peer-group neighbor iBGP remote-as 123456 neighbor iBGP update-source Loopback0 neighbor iBGP next-hop-self neighbor iBGP send-community both neighbor iBGP route-map BGP-BlACK-HOLE-TRIGGER in neighbor 10.0.0.4 peer-group iBGP neighbor 172.16.3.1 remote-as 1111 neighbor 172.16.3.1 send-community both uk3-asr-01# uk3-asr-01# uk3-asr-01#sh route-map route-map BGP-BlACK-HOLE-TRIGGER, permit, sequence 10 Match clauses: community (community-list filter): BGP-RTBH Set clauses: origin igp ip next-hop 169.254.1.1 Policy routing matches: 0 packets, 0 bytes route-map BGP-BlACK-HOLE-TRIGGER, permit, sequence 20 Match clauses: Set clauses: Policy routing matches: 0 packets, 0 bytes Изменено 14 апреля, 2015 пользователем applx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 апреля, 2015 · Жалоба Надо Есть негласное правило, делать BH - 666. Таким образом можно закрыть все аплинки одни роутмэп/роутфильтер. А не делать для каждого свой. Плюс, нестандартное 6666 комьюнити может быть у какого-либо аплинка занято под другие нужды. Подозреваю, что может совпадать с используемым у кого-нибудь коммьюнити. Лучше объясните, потому что видел не у одного оператора, что используют 6666 в качестве BH. Также в RFC описывают именно 666. Вот именно. Про RFC точно не помню. Всегда казалось что это межоператорский жест вежливости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...