Simple BGP Routing Filter

26 07 2008

hihihihihihihi, akhirnya posting lagi blog ga mutu ini :p . BGP??? wahhhh……. apaan tu? silakan cari artikel tentang BGP, gw ga bakalan ngejelasin tentang cara kerjanya :p . nah, gimana implementasi nya??? 

itu gambar diatas adalah contoh dari network gw. ada 3 buah router: IIX Router, Int’l Router, dan Our Router. IIX ROuter merupakan BGP router yang tugasnya memberikan prefix IIX ke router kita. Int’l Router sama kaya’ IIX router tapi message yang dibawa adalah prefix internasional. Our Router tugasnya adalah meneruskan prefix prefix yang tadi untuk di teruskan ke client (bgp peering client). nah.. dalam gambar diatas ada kasus kek gini, gimana ya caranya buat filter prefix supaya prefix yg berasal dari IIX router tidak masuk ke Int’l router, dan juga sebaliknya. skarang ambil conto kasus kek gini, dari Int’l router, dia mengadvertise 250.000 prefix ke our router, IIX router juga mengadvertise 2000 prefix ke Our router. our router akan mengadvertise kembali prrefix-prefix yang diterima dari Int’l router ke IIX router, dan juga sebaliknya. waahhh, kebayang dong load yang terjadi di IIX router kalo dia nerima prefix prefix dari IIX router. kalo kamu udah pernah config bgp routing, pasti pada tau, betapa ngerinya prefix prefix yang bakal di advertise ke router kita. Pengalaman gw, router gw menerima 250.000 prefix lebih dari internet. nah, disini gw cuman bahas, gimana filter prefix biar prefix tadi ga salah masuk. oke, sekarang kita mulai konfig. gw disini make CISCO openbgpd :p, maklum ga punya duit buat beli cisco :D . IIX router dan Int’l router gw anggap sudah melakukan peering ke Our Router. IIX router AS-Numbernya 12345 dan Int’l Router AS-Numbernya 23456. oks, mulai konfigurasi. konfigurasinya adalah sebagai berikut (Our Router) :

IIX   =”10.20.30.40″
inter   =”50.60.70.4″

AS 2222 #AS Number router kita
router-id 50.60.70.5
listen on 127.0.0.1

fib-update yes
nexthop qualify via bgp
log updates
network 50.60.70.96/27  #ini network yang akan di advertise ke IIX router dan Int’l Router
# neighbors and peers

group “internasional” {
remote-as       23456
announce        all
announce        capabilities yes
softreconfig    in yes
multihop        2
neighbor $core1

{
descr   “INT”

}

}

group “IIX-Peering” {

remote-as      12345

announce       all

neighbor $iix { descr “IIX-only” }

}

deny from any
allow from any inet prefixlen 8 – 24
# do not accept a default route
deny from any prefix 0.0.0.0/0
deny to {group IIX-Peering} peer-as {38458, 17826} #Penting neeh
# filter bogus networks
deny from any prefix 10.0.0.0/8 prefixlen >= 8
deny from any prefix 172.16.0.0/12 prefixlen >= 12
deny from any prefix 192.168.0.0/16 prefixlen >= 16
deny from any prefix 169.254.0.0/16 prefixlen >= 16
deny from any prefix 192.0.2.0/24 prefixlen >= 24
deny from any prefix 224.0.0.0/4 prefixlen >= 4
deny from any prefix 240.0.0.0/4 prefixlen >= 4

oke. konfigurasinya cukup kek diatas.trus jalanin bgpd . deny to {group IIX-Peering} peer-as {38458, 17826} dapetnya dari mana?????? liat neh, gw kasi dikit output dari prefix yg di advertise ke Our Router dari Int’l Router :

flags destination         gateway               lpref   med aspath origin
I*    8.3.19.0/24         202.149.67.121     100     0    17826 4788 3356 26769 i
I*    8.3.26.0/23         202.149.67.121     100     0    17826 4788 3356 26769 i
I*    8.3.30.0/24         202.149.67.121     100     0    17826 4788 10026 15133 15133 i
I*    8.3.37.0/24         202.149.67.121     100     0    17826 4788 3356 21640 i
I*    8.3.38.0/23         202.149.67.121     100     0    17826 4788 5511 3549 16420 i
I*    8.3.46.0/24         202.149.67.121     100     0    17826 4788 3356 21640 i
I*    8.3.52.0/23         202.149.67.121     100     0    17826 4788 1239 26759 i
I*    8.3.160.0/24        202.149.67.121    100     0    17826 4788 3356 36524 i
I*    8.3.162.0/24        202.149.67.121    100     0    17826 4788 5511 3549 17058 i
I*    8.3.208.0/24        202.149.67.121    100     0    17826 4788 701 36431 i
I*    8.3.210.0/24        202.149.67.121    100     0    17826 4788 27524 i
I*    8.3.211.0/24        202.149.67.121    100     0    17826 4788 3356 40415 i
I*    8.3.213.0/24        202.149.67.121    100     0    17826 4788 4739 i
I*    8.3.214.0/23        202.149.67.121    100     0    17826 4788 3356 23286 i
I*    8.3.218.0/23        202.149.67.121    100     0    17826 4788 3356 26769 i

itu sebagian output dari prefix yang di advertise ke Our Router dari Int’l Router. kalo gw copiin semua outputnya semua…… hahhahaha muntah muntah ntar :D . oke……. gw filternya ngambil Leftmost AS (17826). liat deh output di atas. deny to {group IIX-Peering} peer-as {38458, 17826} artinya, router kita (Our Router) nggak bakalan meng-advertise prefix prefix yang memiliki LeftMost AS 17826 dan 38458 ke group IIX-Peering. kalo pengen ngeliat prefix yang di advertise ke router kita, pake perintah ini : bgpctl sh rib neigh INT in

gampang kan?? untuk filter yang lebih lanjut, sabar yaahhh, gw juga masih belajar. maklum masi newbie alias CUPU banget.

dedicated to iud ^_^

« »


Actions

Information

2 responses

28 07 2008
tamax (16:13:11) :

seph lah….
nti gw tinggal kopi aja buat laporan..
huehe3…

regards,
baran abdaha
http://tamax.co.cc

7 09 2008
rizkarina (07:35:56) :

ciee….cupunya beene gimana advancenya yak???
ampooonnn….kk…

mw nanya, meng advertise itu ngapain sih???
mengiklankan?? knapa kudu di iklanin??

tengkyu kk….

Leave a comment

You must be logged in to post a comment.