Как запретить доступ к определенной сети для конретных AS?

Question

[Victor]

Привет всем!
Вопрос такой - Есть сеть с 4-мя AS, (AS1, AS2, AS3 и AS4). В моей AS4 есть 3 сети, пусть будет сеть 1, 2, 3, как сделать так, чтобы сеть 3 не была доступна в AS1 и AS2? Настройки можно производить только на маршрутизаторе в AS4.

Answer 1

[Wexter]

Проще - попросить админа AS3 не анонсить маршрут в эту сеть другим, немного сложнее - согласовать community в котором будут приходить префиксы без анонса другим и отдавать AS3 маршрут в эту сеть с этим community.
В пиринге с AS1/AS2 добавить эту сеть в фильтр на отдачу
Подробнее xgu.ru/wiki/BGP_community

Comments

[Victor]

Спасибо
А нельзя как то сделать это без привлечения админов с других АС, собственными силами, просто как то оключить анонсы сети 3 для определенных АС?

[Wexter]

Victor, поидее у них дефолтом должен работать этот community

no-advertise (0xFFFFFF02) — Все маршруты которые передаются с таким значением атрибута community не должны анонсироваться другим BGP-соседям,

Но это не гарантированно, нужно проверять так-ли это. Опять-же в будущем может что-то измениться.
Хотя например у того-же ростелекома есть публичный список их community
https://bgp.he.net/AS12389#_whois

[Wexter]

Victor, а можно подробнее как задача стоит?
Вы не хотите чтобы у AS1/AS2 был машрут в эту сеть или не хотите чтобы трафик от них шёл напрямую?
Опять-же при анонсе сети только в AS3 и маршрут будет только у неё, остальной интернет не будет знать про него.

[Victor]

Wexter, Задача - настроить маршрутизатор в АС4 таким образом, чтобы сеть 3 не была доступна для АС1 и АС2, тоже смотрел в сторону комьюнити, пытался как то отфильтровать, но видимо опыта мало, не получается ничего, хотел выделить 3 подсеть и отправить ее в комьюнити соседу, чтобы тот ее не анонсировал другим пирам, но что то не получается. На маршрутизаторах в АС1 и АС2 вообще все маршруты к сетям АС4 исчезают после моих манипуляций :(

[iddqda]

Victor, ага вот как задача стоит. Просто неочевидно было, что все AS связаны между собой
вот тут почитай: https://networklessons.com/bgp/bgp-community-no-export
очень похоже на твой случай

хотя нет не читай. там текст по подписке. но картинка полезней текста
короче пишешь такой рутмап
route-map peer3-out
match ip address prefix-list XXX
set community no-export additive

router bgp 4
neighbor 3 send community
neighbor 3 route-map peer3-out out

[Wexter]

Victor, добавьте тег cisco/juniper (смотря какая у вас железка), может подтянется кто

[Victor]

iddqda, Спасибо, Еще вопрос, как правильнее делать?
Чтобы выделить все остальные подсети в АС, правильно:
Добавить еще один рут-мэп ? route-map peer3-out permit 15
или сделать это через префикс листы ip prefix-list XXX seq 20 permit 0.0.0.0/0 le 32

Answer 2

[iddqda]

да отфильтровать просто. типовая ж задача
выбирай как удобней
neighbor 2 distribute-list xxx out
neighbor 2 prefix-list yyy out
neighbor 2 route-map zzz out

ну или для джуника
policy statement bgp-export term 1 from route-filter 3 reject