Лаб7

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Кафедра Защищенных систем связи

Факультет Кибербезопасности

Дисциплина Основы построения защищенных компьютерных сетей

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №7

Использование прокола BGP в качестве протокола динамической маршрутизации на стыке между PE и СЕ и организация резервирования

(тема отчета)

Направление/специальность подготовки

10.03.01 Информационная безопасность

(код и наименование направления/специальности)

Студент:

Травкина Е.А., ИКБ-14

(Ф.И.О., № группы) (подпись)

Федченко А.С., ИКБ-14

(Ф.И.О., № группы) (подпись)

Преподаватель:

к.т.н., Беккель Л.С.

(должность, Ф.И.О.) (подпись)

В качестве протокола маршрутизации на стыке PE и СЕ может использоваться BGP. Данный вариант удобен тем, что протокол BGP позволяет гибко управлять маршрутной информацией за счет различных атрибутов пути. Также данный метод используется для организации резервирования, например, для подключения центрального офиса клиента, потому что потеря связности с ним, может быть критична для бизнеса.

Допустим, устройство CE-A-1 обеспечивает подключение к VPN-сети центрального офиса клиента. Для организации резервирования осуществляется подключение к PE-1 по средствам двух физически независимых каналов. Новая схема сети изображена на Рисунке 1.

Рис. 1. Организация резервирования для подключения CE-A-1

В рассматриваемой сети используется номер автономной системы из частного диапазона 64500, для подключения VPN A будет также использоваться номер AS из частного диапазона - 65001. На PE-1 необходимо удалить все настройки, которые были сделаны в лабораторной работе №6 для подключения СЕ-А-1 с помощью протокола OSPF (см. Рис. 2).

Рис. 2. Удаление настроек OSPF 2

Для подключения СЕ-А-1 разобьем существующую подсеть 192.168.100.0/26 на две подсети 192.168.100.100.0/27 и 192.168.100.32/27 и настроим IP-адреса на соответствующих интерфейсах (см. Рис. 3).

Рис. 3. Настройка IP-адресов на маршрутизаторе

Настройки протокола BGP со стороны PE-1 (см. Рис. 4).

Рис. 4. Настройка соседей

В нашем случае, мы осуществляем подключения только одного офиса клиента с помощью протокола BGP, если бы подключалось более одного офиса, то в конфигурации необходимо добавить neighbor <адрес СЕ> as- override. Данное ключевое слово позволяет игнорировать механизм обнаружения петель с помощью атрибута AS-PATH в BGP, согласно которому если BGP спикер принимает анонс маршрута, в AS-PATH которого содержится номер его автономной системы, то он не проходит валидацию и не принимается. Также не требуется настройка редистрибюции маршрутов, потому что PE, будет их принимать по eBGP от СЕ и далее передавать всем iBGP соседям.

Конфигурация со стороны СЕ-А-1 (см. Рис. 5).

Рис. 5. Настройка соседей на CE-A-1

После этого можно посмотреть статус BGP сессий между СЕ-А-1 и список анонсируемых префиксов (см. Рис. 6).

Рис. 6. Просмотр информации о состоянии BGP сессий

Как видно из рисунка СЕ-А-1 получает маршруты для всех удаленных подсетей из VPN-сети А. Далее эти маршруты могут быть с помощью редистрибюции переданы процессам локальной маршрутизации, например, OSPF или EIGRP. Но есть один негативный момент, сейчас в качестве лучшего пути выбираются маршруты полученные от 192.168.100.1, потому что согласно Best Path Algorithm Selection, при прочих равных маршруты полученные от BGP спикера с меньшим IP адресом имеют больший приоритет, и соответственно только они помещаются в таблицу маршрутизации (см. Рис. 7).

Рис. 7. Таблица маршрутизации CE-A-1

Конечно, данный критерий не может объективным в большинстве случаев, поэтому выделяют два способа, согласно которым возможно определение резервного и основного маршрута:

1. Управление с помощью атрибута пути MED. Настраивается со стороны провайдера. Для этого с помощью политик маршрутизации изменяется MED для передаваемых и принимаемых маршрутов;

2. Управление с помощью атрибутов Local Preference для исходящего трафика и MED для входящего. Настраивается со стороны клиента.

Рассмотрим применение первого метода. Для этого на РЕ-1 создадим политику маршрутизации (карту маршрутизации) изменяющее значение MED (см. Рис. 8).

Рис. 8. Создание политик маршрутизации

И применим данную политику к пути, который до этого выбирался как основной, тем самым мы ухудшим его приоритет (для MED, чем значение меньше, тем выше приоритет) (см. Рис. 9).

Рис. 9. Применение созданных политик

После этого приоритет от маршрутов полученных от 192.168.100.33 стал выше, и именно они помещаются в таблицу маршрутизации (см. Рис. 10).

Рис. 10. Таблица маршрутизации CE-A-1 при изменении MED

На PE-1 также в таблицу маршрутизации помещаются маршруты полученные от 192.168.100.34 (см. Рис. 11).

Рис. 11. Таблица маршрутизации на PE-1

Таким образом мы основным каналом выбрали тот, на котором терминируется подсеть 192.168.100.32/27. Для второго метода определения основного и резервного канала действия по принципу аналогичны и выполняется со стороны клиента. Важно то, что должен использоваться только один метод, для исключения проблем со связностью.

ВЫВОД

В данной работе рассматривалась настройка BGP для маршрутизации на стыке PE-CE с целью организации резервирования соединения с VPN-сетью центрального офиса клиента.

Была продемонстрирована настройка двух каналов связи между CE-A-1 и PE-1 с использованием различных подсетей. Настройка BGP на PE и CE устройствах позволяет обеспечить резервирование, при этом маршруты клиента обмениваются между CE и PE через eBGP, и не требуется дополнительная настройка редистрибуции маршрутов.

Кроме того, был рассмотрен процесс выбора основного и резервного маршрута, так как стандартный алгоритм выбора пути BGP отдает предпочтение маршруту с меньшим IP-адресом, что не всегда оптимально. Были описаны два метода управления маршрутами для организации резервирования:

Изменение атрибута MED со стороны провайдера. Этот метод позволяет провайдеру устанавливать более высокий приоритет для определённых путей, назначая меньшие значения MED, что улучшает гибкость маршрутизации.

Использование атрибутов Local Preference и MED со стороны клиента. Данный метод позволяет клиенту задавать предпочтительный исходящий и входящий пути.

В заключение, было продемонстрировано, как применение политики маршрутизации на PE-1 позволяет установить канал с подсетью 192.168.100.32/27 в качестве основного.

Санкт-Петербург

2024