Физические и логические соединения BGP протокола

Все внешние взаимодействующие BGP-системы должны иметь физическое соединение друг с другом. BGP-система отказывается принимать сообщения UPDATE от внешних соседей, если у нее нет с ними физического соединения. Однако ее можно аставить делать это с помощью определенных технических приемов. В некоторых случаях внешние соседние маршрутизаторы не могут находиться в одном физическом сегменте. Такие соседние системы имеют логическое соединение (т.е. через несколько промежуточных узлов IP), а не физическое. В качестве примера можно привести работу по протоколу BGP между

двумя внешними маршрутизаторами через несколько других маршрутизаторов, на которых не поддерживается BGP. Для подобных случаев компания Cisco (и некоторые другие производители оборудования) предлагает специальный прием, помогающий обойти это ограничение. При этом в конфигурации BGP-системы требуется задать дополнительные параметры, которые указывали бы на то, что внешняя взаимодействующая сторона не подключена к ней физически.

Примечание

Для внешних взаимодействующих систем, которые не подключены напрямую

друг к другу, требуется дополнительная конфигурация.

BGP-сеанс между двумя внешними BGP-системами, не имеющими физического соединения между собой, называется мультиузловым EBGP-сеансом (multihop EBGP). Как показано на рис. 6.2, на маршрутизаторе RT2 не поддерживается протокол BGP, а на RT1 и RT3 поддерживается. Таким образом, внешние маршрутизаторы RT1 и RT3 являются логически соединенными и взаимодействуют друг с другом посредством мультиузлового EBGP. (Однако следует помнить, что маршрутизатор RT2 должен каким-то образом получить соответствующую маршрутную информацию, чтобы избежать образования петель или "черных дыр" в маршрутизации).

Рис. 6.2. Внешний BGP в многоузловой среде

С другой стороны, на соседние системы, принадлежащие к одной и той же автономной системе (внутренние соседи), не налагаются подобные ограничения, т.е.  не имеет значения, подключены ли они друг к другу физически или разделены несколькими узлами. В любом случае, если между двумя взаимодействующими узлами имеется IP- соединение, то никаких дополнений в конфигурацию BGP вносить не требуется. Из рис. 6.2 видно, что между маршрутизаторами RT1 и RT4 имеется логическое соединение. Благодаря тому что оба эти маршрутизатора принадлежат одной и той же AS, для работы по протоколу IBGP не требуется менять их конфигурацию.

Назначение IP-адреса

В качестве IP-адреса узла может выступать адрес любого из интерфейсов маршрутизатора: Ethernet, Token Ring или последовательный порт. Помните, что стабильность соединения с удаленной стороной зависит от выбранного вами IP-адреса.

Примечание

Стабильность сеанса связи зависит от выбранных IP-адресов

Если IP-адрес принадлежит неисправному сетевому адаптеру (или порту) Ethernet, который каждые несколько минут выключается, то соединение с взаимодействующим узлом и стабильность всей системы маршрутизации под угрозой. Компания Cisco предоставляет возможность конфигурирования виртуального интерфейса, который носит название петельного интерфейса (loopback interface) и всегда находится в активном состоянии. При соединении с удаленной BGP-системой такой петельный интерфейс поможет локализовать неисправность, что при использовании обычного аппаратного интерфейса довольно проблематично.

Добавление петельных интерфейсов не является необходимой процедурой (к тому же это требует дополнительной конфигурации). Если внешние BGP-системы связаны друг с другом напрямую и их IP-адреса, используемые в процессе переговоров, принадлежат к одному сегменту, то адрес петли не добавляется. Если физическое соединение между двумя системами нестабильно, то сеанс может быть прерван с помощью или без помощи петли.

См. в главе 11 раздел "Сеанс связи между взаимодействующими маршрутизаторами"

Аутентификация сеанса BGP

Как уже отмечалось в главе 4, "Основы междоменной маршрутизации", с помощью заголовка сообщения BGP можно проводить аутентификацию удаленной стороны. Аутентификация дает возможность противодействовать хакерам, которые, выдавая себя за одну из взаимодействующих BGP-систем, передают вашей AS некорректную маршрутную информацию. Аутентификация между двумя BGP-системами позволяет удостовериться в полномочиях сторон, организующих сеанс, путем использования секретных ключей на обоих сторонах. Тогда любая система, попытавшаяся установить соединение с вашей системой без надлежащего ключа, будет игнорироваться. В настоящее время в BGP-4 имеется возможность применения алгоритма шифрования с помощью сообщений-дайджестов версии 5 (Message Digest algorithm version 5 — MD5). Детальное рассмотрение алгоритма MD5 не входит в круг вопросов, освещаемых в этой книге, но, как уже отмечалось, он предоставляет дополнительные возможности по обеспечению безопасности транспортного TCP- соединения.

Источник: Сэм Хелеби, Денни Мак-Ферсон, Принципы маршрутизации в Internet, 2-е  издание.  : Пер. с англ. М. : Издательский дом «Вильямс», 2001. — 448 с. : ил. — Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100