Monthly Archives: October 2013

Notas Outbound Route Filtering (ORF)

Esta feature do BGP permite ao router controlar através de um prefix-list quais os prefixos que o BGP peer deve enviar, permitindo assim reduzir o numero de prefixos processados. Sintaxe:

router bgp autonomous-system-number
 
neighbor ip-address capability orf prefix-list [send | receive | both]
 
neighbor {ip-address| peer-group-name} prefix-list prefix-list-name {in | out}

Notas:

  • Apenas é usado em eBGP
  • Não suporta multicast
  • Deve ser configurado apenas por address family

Diagrama

BGP Outbound Router Filtering (ORF)

Exemplo 1

O router R2 pretende receber apenas o prefixo 192.168.2.0/24

R1

router bgp 65100
neighbor 192.168.1.2 remote-as 65200
address-family ipv4
neighbor 192.168.1.2 capability orf prefix-list receive

R2

ip prefix-list ORFFILTER seq 5 permit 192.168.2.0/24
 
router bgp 65200
neighbor 192.168.1.1 remote-as 65100
address-family ipv4
neighbor 192.168.1.1 capability orf prefix-list send
neighbor 192.168.1.1 prefix-list ORFFILTER in

 
Verificar os prefixos a filtrar no peering com o R2, definidos pelo prefix-list em R2:

R1#show ip bgp neighbors 192.168.1.2 received prefix-filter
Address family: IPv4 Unicast ip prefix-list 192.168.1.2: 1 entries seq 5 permit 192.168.2.0/24
 
R1#show ip bgp neighbors 192.168.1.2 | beg ORF
Outbound Route Filter (ORF) type (128) Prefix-list:
Send-mode: received
Receive-mode: advertised
Outbound Route Filter (ORF): received (1 entries)

Sent Rcvd
Prefix activity: —- —-
Prefixes Current: 0 0
Prefixes Total: 0 0
Implicit Withdraw: 0 0
Explicit Withdraw: 0 0
Used as bestpath: n/a 0
Used as multipath: n/a 0

Outbound Inbound
Local Policy Denied Prefixes: ——– ——-
ORF prefix-list: 4 n/a
Total: 4 0
Number of NLRIs in the update sent: max 3, min 1

Tabela de routing do R2

R2#show ip route bgp
 
B 192.168.2.0/24 [20/0] via 192.168.1.1, 00:01:12

 

Exemplo 2

O router R2 pretende receber todos os prefixos excepto o 192.168.2.0/24

R1

router bgp 65100
neighbor 192.168.1.2 remote-as 65200
address-family ipv4
neighbor 192.168.1.2 capability orf prefix-list receive

R2

ip prefix-list ORFFILTER seq 5 deny 192.168.2.0/24
ip prefix-list ORFFILTER seq 10 permit le 0.0.0.0/0 le 32
 
router bgp 65200
neighbor 192.168.1.1 remote-as 65100
address-family ipv4
neighbor 192.168.1.1 capability orf prefix-list send
neighbor 192.168.1.1 prefix-list ORFFILTER in

Verificar os prefixos a filtrar no peering com o R2, definidos pelo prefix-list em R2:

R1#show ip bgp neighbors 192.168.1.2 received prefix-filter
Address family: IPv4 Unicast
ip prefix-list 192.168.1.2: 2 entries
seq 5 deny 192.168.2.0/24
seq 10 permit 0.0.0.0/0 le 32
 
R1#show ip bgp neighbors 192.168.1.2 | beg ORF
Outbound Route Filter (ORF) type (128) Prefix-list:
Send-mode: received
Receive-mode: advertised
Outbound Route Filter (ORF): received (2 entries)
Sent Rcvd
Prefix activity: —- —-
Prefixes Current: 3 0
Prefixes Total: 3 0
Implicit Withdraw: 0 0
Explicit Withdraw: 0 0
Used as bestpath: n/a 0
Used as multipath: n/a 0Outbound Inbound
Local Policy Denied Prefixes: ——– ——-
ORF prefix-list: 1 n/a
Total: 1 0
Number of NLRIs in the update sent: max 3, min 1

Tabela de routing do R2

R2#show ip route bgp
B 192.168.4.0/24 [20/0] via 192.168.1.1, 00:00:36
B 192.168.5.0/24 [20/0] via 192.168.1.1, 00:00:36
B 192.168.3.0/24 [20/0] via 192.168.1.1, 00:00:36

Nota:As alterações efetuadas na prefix-list não são propagadas automaticamente, sendo necessário forçar usando:

R2#clear ip bgp 192.168.1.1 in prefix-filter

@Atualizado 19/12/2015

CLI em modo menu

Usar Menus poderá ser uma forma rápida de permitir acesso a algumas das funções dos equipamentos. Existem outras formas como CBAC, ou atribuindo diferentes privilégios aos users.
username SOC privilege 15 password 0 CISCO
!Apos autenticação o user e redirecionado para o Menu através do autocommand
username SOC autocommand menu SOC
!
menu SOC title #
Menu for Level 1 SOC users
#
menu SOC text 1. Show Running Config
menu SOC command 1. show running-config
menu SOC text 2. Show Interface Brief
menu SOC command 2. show ip interface brief
menu SOC text 3. Show clock
menu SOC command 3. show Clock
menu SOC text 4. Exit
menu SOC command 4. exit

line vty 0 903
login local

Testando o respectivo Menu criado

R3#telnet 192.168.1.1
Trying 192.168.1.1 … Open

User Access Verification

Username: SOC
Password:
Menu for Level 1 SOC users

1.         Show Running Config

2.         Show Interface Brief

3.         Show clock

4.         Exit

Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            192.168.1.1      YES NVRAM  up                    up

Menu for Level 1 SOC users

1.         Show Running Config

2.         Show Interface Brief

3.         Show clock

4.         Exit

*03:53:17.163 UTC Fri Mar 1 2002
Menu for Level 1 NOC users

1.         Show Running Config

2.         Show Interface Brief

3.         Show clock

4.         Exit

[Connection to 192.168.1.1 closed by foreign host]
R3#

Mais uma rodada de 6 Labs

A precisão começa a aumentar, o que e óptimo mas por vezes ainda tenho alguns soluços :) pois tenho dúvidas em escolher a melhor solução tendo em conta de não violar os requisitos da Task. Bem por vezes a solução do INE não coincide com a minha mas o resultado final é o mesmo. Por vezes aparecem questões muito especificas sobre determinada feature, estas ficam para analisar no fim.

CCIE entre o jogo das cadeiras

Tentei marcar o Lab para Dezembro em Londres (Mobile LAB), seria uma oportunidade excelente dado que estou a trabalhar aqui, mas quando tentei marcar alguém se antecipou e ficou-me com o lugar… :(
Bem, agora só me resta marcar para Janeiro e neste caso será em Bruxelas, mais uma semana e esta marcado depois começam os nervos, ansiedade, sensações obscuras e sabe-se lá o que mais virá….

schedule-labccie-1