Применение команды next-hop-self и объявление зоны демилитаризации в Internet

Зоной демилитаризации (demilitarized zone – – DMZ) называют сеть с совместным доступом, лежащую между несколькими AS. IP-сеть, используемая в DMZ, может принадлежать или не принадлежать одной из AS, входящих в сеть DMZ. Как мы уже выяснили ранее, адрес ближайшего следующего узла, получаемый от узла EBGP, сохраняется внутри IBGP. Таким образом, для любого протокола IGP исключительно важно, чтобы был доступен IP-адрес, указанный в атрибуте NEXT_HOP сообщения UPDATE. Одна из возможностей обеспечить это условие — сделать подсеть DMZ частью IGP и объявлять эту подсеть в AS, как и любые другие. Другой способ заключается в "перекрывании" адреса следующего узла, т.е. принудительном задании IP-адреса соседнего граничного IBGP- маршрутизатора в качестве следующего ближайшего узла.

На рис. 6.19 маршрутизатор SJ получает обновление маршрутов с информацией о сети 128.213.1.0/24, где в качестве следующего ближайшего узла указан узел с адресом

1.1.1.1 (часть DMZ). Для того чтобы маршрутизатор SJ мог связаться с этим узлом, сеть

1.1.1.1            /24 должна быть объявлена внутри AS граничным маршрутизатором SF,

Рис. 6.19. Применение параметра next-hop-self

Еше одно условие заключается в том, чтобы на маршрутизаторе SF был установлен параметр next-hop-self для обслуживания соединения IBGP с соседним маршрутизатором SJ. Таким образом, для всех EBGP-маршрутов следующим ближайшим узлом будет узел с адресом 2.2.2.2, который уже входит в IGP. Тогда маршрутизатор SJ без проблем может попасть в свой следующий ближайший узел.

Выбор того или иного метода зависит от необходимости попасть в сеть DMZ. В

качестве примера приведем команду ping, задаваемую оператором на интерфейс маршрутизатора внутри AS, который входит в DMZ. Для того чтобы команда ping была выполнена успешно, необходимо включить DMZ в IGP. В других случаях DMZ может быть доступна через какой-либо неоптимальный маршрут вне данной AS. Вместо того чтобы попасть в DMZ изнутри AS, маршрутизатор может попытаться воспользоваться другим EBGP-соединением. В этом случае применение команды next-hop-self обеспечивает возможность достижения ближайшего следующего узла изнутри AS. Во всех других случаях

оба метода обеспечивают нормальную работу по BGP.

Кроме того, важно отметить, что участники точек обмена трафиком в сети Internet часто требуют указания в качестве атрибута NEXT_HOP в сообщении UPDATE IP-адреса взаимодействующего узла и возводят это условие в ранг правила маршрутизации.

Источник: Сэм Хелеби, Денни Мак-Ферсон, Принципы маршрутизации в Internet, 2-е  издание.  : Пер. с англ. М. : Издательский дом «Вильямс», 2001. — 448 с. : ил. — Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100