与 ISP 的 BGP RTBH 设置

网络工程 思科 路由 bgp 互联网服务供应商
2021-07-11 03:38:46

前段时间我有一个讨论,关于如何阻止 DDoS。请先阅读:DDoS 时的 BGP 空路由?

最后,我们与 ISP 进行了交谈,它同意设置 BGP 触发器,以便下次发生 DDoS 时,我们可以触发 RTBH 对目标 IP 地址进行空路由 (DDoS),以阻止 PE 上的流量。

问题:我不是 BGP 的专家,所以我的问题是我需要如何/在我的路由器上配置什么,以及如何从我的路由器触发一个空路由,以便它在 ISP 边缘路由器上空流量?

GNS 中的场景:

在这里,我试图触发从 R2 路由器到 R1 的 RTBH,因此它将使 R1(ISP 路由器)上的路由 172.16.10.100 无效,但它不起作用,我在这里遗漏了什么?

R1: ISP Router
R2: My Router

我已经在这两个路由器之间配置了 iBGP 并尝试模拟 RTBH 来理解。

R1:

我需要在 R1 上配置其他任何东西来接受触发器吗?

R1(config)# router bgp 64520
...
...
R1(config)# ip route 192.0.2.1 255.255.255.255 Null0

R2:

R2(config)# route-map RTBH
R2(config-route-map)# match tag 666
R2(config-route-map)# set ip next-hop 192.0.2.1
R2(config-route-map)# set origin igp
R2(config-route-map)# set community no-export

R2(config)# router bgp 64520
R2(config-router)# redistribute static route-map RTBH

试图触发空路由

R2(config)# ip route 172.16.10.100 255.255.255.255 Null0 tag 666
2个回答

ISP 的大多数 RTBH 实现要求您声明一个具有适当 BGP 社区(同样,大多数 ISP 为 666)的子网(假设它是 /32)以在 PE 触发 RTBH。

看起来你走在正确的轨道上。我也会set community additive 64520:666在 R2 上检查类似的东西

您需要与您的 ISP 进行协调。Cisco 有一些文档,例如REMOTELY TRIGGERED BLACK HOLE FILTERING,可以帮助您了解需要与 ISP 协调的内容,以及如何配置您同意的内容。

概述本节介绍 RTBH 过滤以及它如何用于基于目标和基于源的过滤。本节包括以下主题:

  • 远程触发黑洞过滤的好处
  • 服务提供商安全框架内的远程触发黑洞过滤
  • 基于目的地
  • 基于来源

有两种部署 RTBH 过滤的方法。第一种也是更简单的方法称为下一跳方法,其中在触发器上设置下一跳属性,并在路由更新中将其发送到其边缘的 iBGP 对等方。第二种方法是使用BGP社区。在后一种方法中,触发器为路由设置 BGP 社区,并使用 iBGP 将其发送到边缘路由器。边缘路由器使用路由映射来匹配该社区并在本地设置属性,例如下一跳和其他路由度量。

其它你可能感兴趣的问题
上一篇PoE 查询 - IP 电话 下一篇生成树-指定端口