Indice
Che cos'è il peer
BGP attivo e passivoComportamento di OS10
Configurazione di Dell OS10 come peer
passivoConfigurazione di esempio
Inizialmente il protocollo BGP Peer-1 è in stato di inattività, invia un TCP SYN al peer-1 configurato con porta di origine come porta casuale e porta di destinazione 179. Peer-2 risponde al peer con TCP SYN, ACK con porta di origine è 179 e la porta di destinazione è la porta casuale utilizzata da Peer-1. Peer-1 risponde con un ACK TCP SYN.
Dopo la formazione della sessione TCP, BGP passa allo stato OPENSENT.
Nello scenario
precedente,
Peer-1 è attivo o connesso mentre invia TCP SYN.
Peer-2 è il lato passivo o di ascolto in quanto è in ascolto della porta TCP 179 e risponde con un ACK.
Quando un altoparlante BGP è configurato come attivo, potrebbe finire sul lato attivo o passivo della connessione che alla fine si stabilisce. Una volta completata la connessione TCP, non importa quale fine era attiva e quale era passiva. L'unica differenza è in quale lato della connessione TCP è presente il numero di porta 179.
- Inizialmente, se OS10 riceve un pacchetto TCP SYN con una porta di destinazione 179 da un dispositivo contiguo per formare un'contiguità BGP, risponde con un ACK TCP
- Se non riceve alcun TCP SYN, OS10 tenta di formare attivamente neighborship BGP inviando un TCP SYN con la porta di destinazione 179
Nota |
- Se il peer non è in grado di accettare il pacchetto TCP con la porta di destinazione 179, ovvero può agire solo come lato attivo o lato di connessione, è necessario abilitare il peering passivo in OS10.
- Se si abilita il peering passivo per il template peer, il sistema non invia un messaggio OPEN, ma risponde a un messaggio OPEN.
- Il peering passivo BGP (IPv4/IPv6) non supporta la password fino alla versione 10.5.4.4. Consultare le note di rilascio/guida utente del firmware più recente per verificare se il supporto è stato aggiunto in seguito.
- È possibile limitare il numero di sessioni passive che il dispositivo contiguo accetta utilizzando il comando limit.
|
Quando il peering passivo è abilitato, lo switch non avvia la connessione TCP, ma è in ascolto sulla porta di connessione TCP 179.
Sintassi di configurazione
Configurazione |
Spiegazione |
Configurazione OS10 # |
Configurazione |
OS10(config)# router bgp |
Configurare BGP |
Modello OS10(conf-router-bgp-AS)# |
Configurare il template peer per applicare il peering passivo |
OS10(conf-router-template)# listen |
Abilitare peer listening e IP address/subnet (peer dinamici*) |
OS10(conf-router-template)# listen limit |
Opzionale: Immettere il numero massimo di peer passivi (peer dinamici*), che possono essere appresi dinamicamente dall'ascolto dei peer. Una volta raggiunto il limite specificato, il successivo nella subnet verrà considerato come normale peer BGP. |
OS10(conf-router-template)#exit |
Esci dal template |
OS10(config-router-bgp-AS)# neighbor |
Configurazione della modalità router contigua |
OS10(config-router-neighbor)# inherit template |
Assegnare un template peer con un nome del gruppo peer da cui ereditare il dispositivo nella modalità ROUTER-NEIGHBOR. |
*Peer dinamici = gruppo di dispositivi contigui BGP definiti da un intervallo di indirizzi IP. Qui viene definito l'intervallo di indirizzi IP per IP/subnet mask.
Si consideri che lo switch DELLOS10 è connesso formando un peer BGP al router e al server. Il router non ha restrizioni.
Il server dispone di una regola firewall in ingresso per bloccare la porta di destinazione TCP 179.
DELLOS10#
DELLOS10# configure terminal
DELLOS10(config)# router bgp 100
DELLOS10(config-router-bgp-100)# template TEST-BGP-PASSIVE
DELLOS10(config-router-template)# listen 10.0.0.2/32
DELLOS10(config-router-template)# exit
DELLOS10(config-router-bgp-100)# neighbor 10.0.0.2
DELLOS10(config-router-neighbor)# inherit template TEST-BGP-PASSIVE
Oppure
possiamo anche specificare un intervallo IP da ascoltare piuttosto che un host specifico e limitare il numero di connessioni. Nella configurazione di esempio riportata di seguito, è presente una subnet 10.0.0.0/24
configurata come ascolto su 5 neighbor. Una volta raggiunto questo limite, il successivo nella subnet verrà considerato come normale peer BGP.
DELLOS10#
DELLOS10# configure terminal
DELLOS10(config)# router bgp 100
DELLOS10(config-router-bgp-100)# template TEST-BGP-PASSIVE
DELLOS10(config-router-template)# listen 10.0.0.0/24 limit 5
DELLOS10(config-router-template)# exit
DELLOS10(config-router-bgp-100)# neighbor 10.0.0.2
DELLOS10(config-router-neighbor)# inherit template TEST-BGP-PASSIVE