Passives BGP-Peering für Dell Networking OS10
Summary: In diesem Artikel wird erläutert, wie Sie einen DELL OS10-Switch als BGP-Peer (Passive Border Gateway Protocol) konfigurieren. Diese Funktion ist erforderlich, wenn der Peer Port 179 blockiert hat oder nur der aktive BGP-Peer sein kann. ...
Instructions
Index
- Was ist aktiver und passiver BGP-Peer?
- Verhalten von OS10
- Konfigurieren von Dell OS10 als passiver Peer
- Beispielkonfiguration
Was ist aktiver und passiver BGP-Peer?
Zu Beginn befindet sich BGP Peer-1 im Leerlauf . Er sendet eine TCP-SYN an den konfigurierten Peer-1, wobei der Quellport ein zufälliger Port ist und das Ziel Port 179 ist. Peer-2 antwortet auf Peer mit einem TCP SYN, ACK mit Quellport 179 und Destination port ist der zufällige Port, der von Peer-1 verwendet wird. Peer-1 antwortet mit einer TCP SYN ACK.
Nachdem die TCP-Sitzung gebildet wurde, wechselt BGP in den Status OPENSENT.
Im obigen Szenario:
- Peer-1 ist die aktive oder verbindende Seite, da er die TCP-SYN sendet.
- Peer-2 ist die passive oder abhörende Seite, da er den TCP-Anschluss 179 überwacht und mit einem ACK antwortet.
Wenn ein BGP-Lautsprecher als aktiv konfiguriert ist, kann er sich entweder auf der aktiven oder passiven Seite der Verbindung befinden, die schließlich hergestellt wird. Sobald die TCP-Verbindung hergestellt ist, spielt es keine Rolle, welches Ende aktiv oder passiv ist. Der einzige Unterschied besteht darin, welche Seite der TCP-Verbindung die Portnummer 179 hat.
Verhalten von OS10
- Wenn OS10 zunächst ein TCP SYN-Paket mit einem Zielport 179 von einem Nachbarn empfängt, um BGP Neighborship zu bilden, antwortet es mit einer TCP-ACK
- Wenn kein TCP SYN, OS10 empfangen wird, versucht es, BGP Neighborship zu bilden, indem ein TCP SYN mit Zielport 179 gesendet wird
- Wenn der Peer kein TCP-Paket mit Zielport 179 akzeptieren kann, d. h. nur als aktive oder verbindende Seite fungieren kann, muss passives Peering in OS10 aktiviert werden.
- Wenn passives Peering für die Peer-Vorlage aktiviert ist, sendet das System keine OPEN-Meldung, sondern antwortet auf eine OPEN-Meldung.
- BGP Passiv-Peering (IPv4/IPv6) unterstützt Kennwörter bis 10.5.4.4 nicht. Überprüfen Sie die Versionshinweise/das Benutzerhandbuch der neueren Firmware, um zu überprüfen, ob Support später hinzugefügt wurde.
- Sie können die Anzahl der passiven Sitzungen, die der Nachbar akzeptiert, mithilfe des Befehls "limit" einschränken.
Konfigurieren von Dell OS10 als passiver Peer
Wenn passives Peering aktiviert ist, initiiert der Switch keine TCP-Verbindung, sondern überwacht den TCP-Verbindungsport 179.
Konfigurationssyntax
| Konfiguration | Erklärung |
|---|---|
OS10# configure |
Konfigurieren |
OS10(config)# router bgp <AS Number> |
Konfigurieren Sie BGP. |
OS10(conf-router-bgp-AS)# template <template-name> |
Konfigurieren Sie die Peer-Vorlage, um passives Peering anzuwenden. |
OS10(conf-router-template)# listen <IP address/subnet> |
Peer-Listening und IP-Adresse oder Subnetz aktivieren (dynamische Peers*) |
OS10(conf-router-template)# listen <IP address/subnet> limit <limit > |
Optional: Geben Sie die maximale Anzahl an passiven Peers (Dynamic Peer*) ein, die das Peer-Listening dynamisch lernen kann. Nachdem das angegebene Limit erreicht ist, wird der nächste Nachbar im Subnetz als normaler BGP-Peer behandelt. |
OS10(conf-router-template)#exit |
Verlassen Sie die Vorlage. |
*Dynamische Peers = Gruppe von BGP-Nachbarn, die durch einen IP-Adressbereich definiert werden. Hier wird der IP-Adressbereich durch IP oder Subnetzmaske definiert.
Beispielkonfiguration
Beachten Sie, dass der Dell OS10-Switch über ein BGP-Peering mit dem Router und Server verbunden ist. Für den Router gibt es keine Einschränkung. Der Server verfügt über eine eingehende Firewallregel zum Blockieren des TCP-Zielports 179.
DELLOS10# DELLOS10# configure terminal DELLOS10(config)# router bgp 100 DELLOS10(config-router-bgp-100)# template TEST-BGP-PASSIVE DELLOS10(config-router-template)# listen 10.0.0.2/32 DELLOS10(config-router-template)# remote-as 200 DELLOS10(config-router-template)# exit
Oder:
Es kann ein IP-Bereich angegeben werden, der anstelle eines bestimmten Hosts lauscht und die Anzahl der Verbindungen begrenzt. In der folgenden Beispielkonfiguration ist dasSubnetz 10.0.0.0/24 so konfiguriert, dass es fünf Nachbarn überwacht. Nachdem dieses Limit erreicht ist, wird der nächste Nachbar im Subnetz als normaler BGP-Peer behandelt.
DELLOS10# DELLOS10# configure terminal DELLOS10(config)# router bgp 100 DELLOS10(config-router-bgp-100)# template TEST-BGP-PASSIVE DELLOS10(config-router-template)# listen 10.0.0.0/24 limit 5 DELLOS10(config-router-template)# remote-as 200 DELLOS10(config-router-template)# exit
Beispielkonfiguration
DELLOS10# DELLOS10# configure terminal DELLOS10(config)# router bgp 100 DELLOS10(config-router-bgp-100)# template TEST-BGP-PASSIVE DELLOS10(config-router-template)# listen 10.0.0.2/32 DELLOS10(config-router-template)# remote-as 200 DELLOS10(config-router-template)# send-community extended DELLOS10(config-router-template)# send-community standard DELLOS10(config-router-template)# ! DELLOS10(config-router-template)# address-family ipv4 unicast DELLOS10(config-router-bgp-template-af)# route-map From-Server in DELLOS10(config-router-bgp-template-af)# route-map To-Server out