Route leaking – roteamento estático entre VRFs

A tradução literal para route leaking seria “vazamento de rotas” e esse tipo de configuração permite que determinadas configurações que isolam o roteamento de cada tabela de rotas, como a utilização de VRFs por exemplo, troquem roteamento entre as VRFs (vpn-instance).

Em posts anteriores, publicamos um artigo sobre o roteamento entre VRFs utizando MP-BGP em Switches e Roteadores HP baseados no Comware, mas nesse exemplo, a função é apenas permitir o roteamento entre as vpn-instances para algumas rotas.

Durante a configuração do “route leaking” lembre-se de planejar a configuração de rotas sempre pensando no tráfego bidirecional, isto é, configurando tambem as rotas de retorno.

O Overlapping de subredes nas VRFs pode também ser utilizado, mas requerem configurações de NAT inter-VRF ( ou inter-VPN instance NAT) que somente são suportados em roteadores.

Restrições

As rotas estáticas precisam do endereço do next-hop e há limitação para rotas diretamente conectadas no roteamento inter-VRF.

Para o roteamentro entre VLANs nas VRFs, utilize o MP-BGP.

Somente os roteadores  suportam a configuração de NAT para esse cenário (para os equipamentos baseados no Comware).

Configuração

No exemplo abaixo, o roteador possui duas VRF (vermelha e azul) que necessitam acessar 1 uma rede da outra VRF (lembrando que a utilização de VRFs permite o isolamento das tabelas de roteamento).

VRF static Route leaking - Comware

#
 ip route-static vpn-instance vermelho 192.168.3.0 24 vpn-instance azul 192.168.23.3
 ip route-static vpn-instance azul 192.168.1.0 24 vpn-instance vermelho 192.168.12.1
#

Obs: lembre-se que o roteamento de retorno tem que estar configurado nos roteadores R1 e R2 do exemplo.

Outra coisa bacana é que também é possível configurar o roteamento de uma VRF para a tabela global de um roteador.

Referências

VRFs em Switches e Roteadores baseados no Comware
http://www.comutadores.com.br/vrf-em-switches-e-roteadores-hpn-vpn-instance/

Roteamento entre VRF
http://www.comutadores.com.br/roteamento-entre-vrfs-com-mp-bgp-em-roteadores-hp-h3c/

Building HP FlexFabric Data Centers student guide – Rev. 14.41

Alterando a distancia administrativa para os protocolos de Roteamento em Switches e Roteadores HPN (Comware)

Há alguns posts atrás comentamos sobre a diferença da Distância Administrativa para as rotas aprendidas dinâmicamente em Switches e Roteadores dos fabricantes Cisco e HPN (H3C/3Com) e a atenção que deve ser dada em ambientes com Protocolos de Roteamento que possuem Switches e Roteadores  de ambos fabricantes

http://www.comutadores.com.br/distancia-administrativa-em-switches-l3-e-roteadores-h3c3comhp-serie-a/

A Distância Administrativa possui apenas função local e não é compartilhada pelo protocolo de roteamento.

Como por exemplo, em um Roteador utilizando o OSPF (como IGP) e o BGP para aprender as “rotas externas”, se uma mesma rota fosse aprendida via OSPF e BGP, o comportamento para escolha do melhor caminho seria diferente em Rotadores Cisco (a distancia administrativa para o OSPF é 110 e o  eBGP é 20) e HPN ( o OSPF é 10 e o eBGP é 255). Lembrando que para prefixos iguais aprendido por diferentes protocolos o Roteador escolhe a rota com menor distância administrativa.

Uma coisa bacana do Comware é poder alterar o valor da distância administrativa  baseado no processo de Roteamento, por exemplo, se tivermos 2 processos OSPF rodando no Router/Switch é possível alterar a distancia administrativa em um dos processos sem afetar o outro ( muito útil quando se utiliza VRFs [ vpn-instance] em um mesmo roteador) .

Para redes que utilizam MP-BGP, tambem é possível alterar a distância administrativa no address-family do cliente.

Veja o exemplo abaixo para a tabela de roteamento Global (eBGP e iBGP com a distância adminstrativa em 255) e a tabela de roteamento da vpn-instance cliente-A (com o eBGP como 7 e o iBGP como 100).

<Router>display ip routing-table
Routing Tables: Public
Destinations : 18177     Routes : 18177

Destination/Mask    Proto  Pre  Cost         NextHop         Interface
0.0.0.0/0           BGP    255  0            10.180.226.197  GE3/1/6.100
192.168.9.0/24      BGP    255  0            10.180.226.197  GE3/1/6.100
192.168.10.0/24     BGP    255  0            10.180.226.197  GE3/1/6.100
192.168.11.0/24     BGP    255  0            10.180.226.197  GE3/1/6.100
<saída omitida>

<Router>display ip routing-table vpn-instance cliente-A
Routing Tables: cliente-A
Destinations : 1789      Routes : 1789
Destination/Mask    Proto  Pre  Cost         NextHop         Interface
1.1.1.1/32          BGP    7    0            192.168.176.217  GE9/1/7
2.2.2.0/29          BGP    7    0            192.168.176.217  GE9/1/7
192.168.80.0/30     BGP    100  0            192.168.229.193  NULL0
10.1.1.1/32         BGP    7    0            192.168.176.217  GE9/1/7
<saída omitida>

Para configurar a distancia administrativa dentro processo BGP ou dentro do processo “ipv4-family vpn-instance [nome da vrf]” no BGP use a sintaxe:

[Router-bgp]preference ?
INTEGER<1-255>  External preference
!Distancia administrativa para rotas aprendidas via eBGP

[Router-bgp]preference 7 ?
INTEGER<1-255>  Internal preference
!Distancia administrativa para rotas aprendidas via iBGP

[Router-bgp]preference 7 100 ?
INTEGER<1-255>  Local preference
!Distancia administrativa para rotas aprendidas via iBGP (locais)

[Router-bgp]preference 7 100 9 

Para o OSPF  utilize o commando preference para alterar a distância administrativa de rotas OSPF e OSPF ASE:

[Router-ospf-1]preference ?
INTEGER<1-255>  Preference value
ase             AS external link states

[Router-ospf-1]preference ase ?
INTEGER<1-255>  Preference value

Até logo!

Switches 3Com 4800G – Filtro de prefixos e ASes no BGP

Pessoal, estou compartilhando um segundo script sugerido pelo Meeeeeestre Denis Albuquerque sobre a utilização de filtros para o tamanho dos prefixos incluíndo filtros baseados em ASes. O post serve como continuidade ao post anterior sobre configuração básica do BGP.

Comentario Geral sobre o Script
O BGP permite a configuração regras baseadas em prefixos, ASes, metricas de entrada, saída,etc. A route-policy SAIDA servirá para controlarmos as redes que serão injetadas no proximo AS, como por exemplo, para proteção do próprio AS 65535 não servir de trânsito em caso de conexão direta com outros ASes. A route-policy SAIDA limitará o recebimento de prefixos para SOMENTE os prefixos interessantes.

Configuração

#
interface Vlan-interface10
ip address 10.0.0.1 255.255.255.252
! Interface para estabelecimento de peering eBGP
#
interface Vlan-interface11
ip address 11.0.0.1 255.255.255.252
! Interface para estabelecimento de peering iBGP
#
bgp 65535
undo synchronization
peer 10.0.0.2 as-number 65530
! formação de peering eBGP
peer 11.0.0.2 as-number 65535
! formação de peering iBGP
peer 10.0.0.2 description eBGP
peer 11.0.0.2 description iBGP
peer 10.0.0.2 route-policy SAIDA export
! a route-policy declarará prefixos da regra SAIDA
peer 10.0.0.2 route-policy ENTRADA import
! a route-policy receberá prefixos da regra ENTRADA
peer 10.0.0.2 route-limit 1000
! desfaz o peering se o limite de prefixos recebidos for atingido
peer 10.0.0.2 password simple SENHA
peer 11.0.0.2 next-hop-local
! inclui o Switch como next-hop das rotas encaminhadas. 
#
route-policy ENTRADA permit node 10
if-match ip-prefix FILIAIS
! a route-policy permitirá os prefixos do ip-prefix FILIAIS
route-policy SAIDA permit node 10
if-match as-path 1
! a route-policy permitirá somente os ASes do AS-path 1
#
ip ip-prefix FILIAIS index 10 permit 172.17.0.0 16 greater-equal 16 less-equal 32
! a regra ip-prefix FILIAIS permitirá somente o anuncio da rede 172.17.0.0/16 até /32 , prefixos diferentes ou menores que /16 não serão recebidos
#
ip as-path 1 permit ^$
! a expressão regular ^$ representa somente as rotas locais do próprio AS

Até mais…

 

 

 

 

Switches 3Com 4800G – Configuração básica do BGP

O Protocolo BGP é considerado o mais robusto Protocolo de Roteamento para redes IP. Sua complexidade permite a conexão de múltiplos Sistemas Autônomos, chamados de AS (Autonomous systems), permitindo o Roteamento Dinâmico na Internet.

A Internet consiste em redes Comerciais conectadas por Provedores (ISP’s) como Telefônica,Embratel, Oi, CTBC e etc. Cada rede comercial ou Provedor deve ser identificado pelo Número do seu Sistema Autônomo (ASN) sobre controle do IANA .

A função primária de um sistema BGP é trocar informação de acesso à rede, inclusive Informações sobre a lista das trajetórias dos ASs, com outros sistemas BGP. Esta informação pode ser usada para construir uma rede de conectividade dos ASes livre de loops de roteamento.

O BGP é considerado um Protocolo de Vetor de Distância avançado utilizando-se de vetores para contagem de saltos para cada destino. A contagem de saltos para o BGP é baseada em AS.

Os Roteadores BGP são configurados com informações dos vizinhos para formação de uma conexão TCP confiável para transporte das informações de Roteamento e Sistemas Autônomos. Após estabelecimento da sessão, a conexão TCP continua aberta até a percepção de falha no link ou encerramento explicito da sessão via configuração. O estabelecimento de uma sessão indica a formação de um peer BGP.

O controle para administração de prefixos possibilita a utilização do BGP em diversos ambientes Corporativos fora da Internet. Há diversos cenários que necessitam de flexibilidade e controle que protocolos de Roteamento como OSPF e EIGRP não permitem.

O range de numero de AS 64512 a 65535 permitem a criação de AS’s para uso privado.

Abaixo exemplificaremos a configuração entre Roteadores de diferentes AS.

Configuração
Switch 4800G pertencente ao AS 64512 (Matriz)
#
interface Vlan-interface2
ip address 172.31.1.1 255.255.255.0
#
interface Vlan-interface41
ip address 192.0.2.41 255.255.255.252
#
bgp 64512
!Ativando o BGP no Switch. O número do AS é 64512
network 172.31.1.0 255.255.255.0
! Anunciando o prefixo no BGP
undo synchronization
! Desabilitando a Sincronização (habilitado por default)
peer 192.0.2.42 as-number 64515
! identificando um vizinho BGP
peer 192.0.2.42 password simple senha
! Configurando a autenticação com a senha “senha”
#

Switch 4800G pertencente ao AS 64515 (Filial)
#
interface Vlan-interface42
ip address 192.0.2.42 255.255.255.252
#
interface Vlan-interface180
ip address 180.0.0.1 255.255.255.0
#
bgp 64512
network 180.0.0.0 255.255.255.0
undo synchronization
peer 192.0.2.42 as-number 64515
peer 192.0.2.42 password simple senha
#

Display

[Matriz]display ip routing-table
Routing Tables: Public
Destinations : 7 Routes : 7

Destination/Mask Proto Pre Cost NextHop Interface

127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
172.31.1.0/24 Direct 0 0 172.31.1.1 Vlan2
172.31.1.1/32 Direct 0 0 127.0.0.1 InLoop0
180.0.0.0/24 BGP 255 0 192.0.2.42 Vlan41
192.0.2.40/30 Direct 0 0 192.0.2.41 Vlan41
192.0.2.41/32 Direct 0 0 127.0.0.1 InLoop0

[Matriz] disp bgp routing-table
Total Number of Routes: 3
BGP Local router ID is 192.168.0.41
Status codes: * - valid, > - best, d - damped,
h - history, i - internal, s - suppressed, S - Stale
Origin : i - IGP, e - EGP, ? - incomplete
Network NextHop MED LocPrf PrefVal Path/Ogn

*> 172.31.1.0/24 0.0.0.0 0 0 i
*> 180.0.0.0/24 192.0.2.42 0 0 64515i

[Matriz]display bgp peer
BGP local router ID : 192.168.0.42
Local AS number : 64512
Total number of peers : 1 Peers in established state : 1

Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
192.0.2.42 64515 9 10 0 1 00:07:02 Established

Até logo! 🙂

 

 

 

Switches 3Com 4800G – Redistribuição seletiva de rotas estáticas e interfaces diretamente conectadas no OSPF com Route Policy

Amigos, gostaria de compartilhar um script  elaborado pelo Denis Albuquerque. O script possui uma sofisticação muito bacana para redistribuição seletiva de interfaces diretamente conectadas e rotas estáticas no OSPF.

Quando falamos de Redistribuição, o processo faz referência a interconexão de diversos protocolos de Rotamento (OSPF, RIP, etc), rotas estáticas e interfaces diretamente conectadas no processo de Roteamento dinâmico. Como por exemplo injetar, rotas estáticas em um domínio OSPF ou fazer a redistribuição de Rotas entre uma rede Rodando RIP e a outra rede rodando OSPF.

Segue abaixo os comandos para redistribuição de Rotas estáticas e Interfaces VLAN:

#
ospf 1
default-route-advertise type 1 
import-route direct type 1 route-policy REDIST_CONNECTED 
import-route static type 1 route-policy REDIST_STATIC
silent-interface all
undo silent-interface [interface vlans para adjacência]
area 0.0.0.0
authentication-mode md5
network [ip das interfaces vlan ou routed ]
#

route-policy REDIST_STATIC permit node 10
if-match tag 10
route-policy REDIST_CONNECTED permit node 10
if-match interface [interfaces VLAN para anuncio no OSPF]
#
interface Vlan-interface [id vlan de adjacência]
ospf authentication-mode md5 1 cipher [senha]
ospf dr-priority 255 
! prioridade para eleição do DR

Abraços a todos!