BGP Nedir?
Routing protokolleri IGP (Interior Gateway Protocol) ve EGP (Exterior Gateway Protocol) olmak üzere temelde ikiye ayrılırlar. Adından da anlaşılabileceği gibi IGP, iç networkte yani aynı AS (autonomous system) içerisinde kullanılan routing protokollerine verilen addır. EGP ise networkler arası, başka bir deyişle AS’ler arası kullanılan protokollerin geneline verilen bir isimdir.
BGP (Border Gateway Protocol) de bir EGP’dir. BGP çalışma mekanizması olarak IGP routing protokollerinden çok farklıdır. IGP’ler bir noktadan hedef networke ulaşmak için ‘metrik’ denilen kriterleri kullanırlar. Örneğin RIP, metrik olarak ‘hop count’ (hedef networke ulaşana kadar geçilen Layer 3 cihaz sayısı) kullanır. OSPF ve EIGRP ise ilk önce en hızlı hattı bulmaya çalışır ve o yolu tercih eder. BGP bunun aksine, birçok ‘path attribute’ (gönderilen her bir paketin hangi hattan gönderileceğine, AS’den AS’ye geçerken ne gibi değişimlere uğrayacağına vs. karar veren yapılar) kullanarak trafik akışını kontrol etmeyi sağlayan policy-based bir routing protokolüdür.
OSPF Network Çeşitleri -I-
Ospf’te routing info trafiğinin azaltılması için hiyerarşik bir yapı olan arealar oluşturulmuştur. Area içerisinde de çok fazla OSPF multicast paketleri olabileceği için bu paketleri azaltmak adına DR ve BDR seçimi yapılır. Paketlerin tüm routerlar yerine sadece Dr ve BDR gönderimi sağlanır, DR ve BDR da multicast ile diğer routerlara bildirir. BGP’deki route reflectora benzer yapıdır. Ospf farklı network modellerinde çalışabilen bir protokoldür. Bu yazıda Ospf'in Broadcast ve Point-to-Point networklerdeki davranışı ve konfigürasyonu ele alınacaktır.
BROADCAST
• Full yada parçalı mesh topoloji
• Tek subnet
• Hello timer 10 sn
• Otomatik komşuluk kurulur, DR&BDR seçilmez.
as-path prepend uygulaması
Bir önceki yazıdan sonra küçük bir topolojide konfigurasyon yapıp uygulamasını siteye koyim dedim.Topolojiyi GNS3 aracılığı ile yaptım. Aşağıda routerlar, loopback ip adresleri, ve AS leri görünmektedir.
Yukarıda ise RouterA, ISP-A ve ISP-B nin konigurasyonları bulunmaktadır. Yapılandırmaya kısaca bakacak olursak tüm routerlerin loopback 0 interfaceleri kullanılarak aralarında e-BGP yapılmıştır e-BGP üzerinden routerlar sadece loopback 1 interfacelerini anons etmektedirler. routerların birbirlerinin lo 0 interfacelerine nasıl ulaşacağı bilgisini öğrenmeleri için RIP ile lo0 networklerinin anonsları yapılmıştır. Sonrasında hedeflenen RouterA üzerinde BGP ile anons edilen tüm networklere ISP-A nın birincil yol olarak belirlenmesidir. Aşağıdaki ekran çıktısında bunun başarıldığı görünmektedir. Test etmek isteyenler ISP-B üzerinde traceroute komutunu girip hedef ip adresini RouterA lo1, kaynak ip adresini ISP-B lo 1 verip paketlerin izlediği yolu gözlemleyebilir.
BGP’de as-path prepend komutu ile yol seçimini belirlemek
Bir ISP de gerçekleşecek olası sorunlardan etkilenmemek için bazı şirketler farklı servis sağlayıcılardan internet hizmeti alarak yedeklilik sağlar. Yedek olarak alınan hat genel olarak daha düşük bir hıza sahiptir. Bu sebeple birincil hattın çalıştığı durumlarda trafiğin bu hat üzerinden akması bu hatta sorun oluşması durumunda ise diğer hattın kullanılması istenir. İstenildiği takdirde iki hat ortak olarak çalıştırılıp belirli rotalar birincil hat üzerinden, geri kalanları ikincil hat üzerinden akıtılabilir. Müşteriler burda belirtilen durumlarda servis sağlayıcı ile arasında BGP konuşurlar. BGPde en iyi yol hesaplanması ile ilgili Cisco da bulunan dökümana bu adres üzerinden erişebilirsiniz. Dökümanda da görüldüğü gibi weight, local_pref, MED, origin gibi değerlerin aynı olması durumunda dış networklerden bize ulaşan paketler distance vektor routing protokollerinde olduğu gibi en kısa AS bulunan rotayı seçer. Networkümüzden dış dünyaya anons yaparken AS_PATH değeri ile oynayabiliriz. Her ne kadar ISP'mizin istemesi durumunda bunu engelleme yeteneği olsa da yedeklilik durumunda uygulanabilecek sık kullanılan yollardan birisi budur.
ip prefix-list
Bir routing protokolünde anons edilecek rotalar düzenlenirken ip prefix listlerden yararlanılır. Bu işlem sırasında access listler de kullanılabilecek olmasına rağmen prefix listler tercih edilir.
Ip prefix listler prefix bazlı filitreleme sağlayan çok güçlü araçlardır. Normal access listlere göre çok daha geniş kapsamlı olarak kullanılabilirler. Ip access-listlerde sadece belirlenen bitlerin eşleşip eşleşmediği kontrol edilirken; prefix-listlerde bu bitlere ek olarak belirlenen subnetmaskın istenilen kriterlere uygun olup olmadığı kontrol edilir. Örneğin 10.0.0.0/8 networkünde 10.1.0.0/16, 10.2.0.0/16 şeklinde /16lık tüm subnetlere izin verilmek istenildiğinde bunu bir acces-list ile gerçekleştirmek zordur. Çünkü 10.0.0.0/8 e izin verilmesi durumunda tüm 10.0-255/16lık ip grubu bu izine dahil olcaktır bunun yanında /9-10-11-12-... lik subnetler de bu izinden yararlanılacaktır. Bu tip durumlarda prefix-listler bize büyük kolaylık sağlar, onlar sayesinde sadece /16 ya da sadece istenilen subnet maskesine sahip networklerin bu izinden yararlanması sağlanır.
Router de la router -VRF
Fransızcada bir deyim vardır. Creme de la creme diye. Kaymağın kaymağı anlamına gelir 
Ben de bu yazı da routerın routerı diyebilieceğimiz, bir router içinde sanal routerlar oluşturma yani vrf’e değineceğim.
Genelde ISPlerin kendi müşterilerine ayrı vpn atamak için kullandığı sistem olduğu için adı vpn routing and forwarding diye de geçebiliyor. MPLS teknolojisinin yaygınlaşmasıyla vrf kullanmak bir çok kolaylık sağlamıştır.
IRDP
Bu ay uzun zamandır var olan ama pek kullanılmayan bir protokolden bahsedicem. Bir istemciye birden fazla default gateway belirtmek çoğu zaman sorun yaratan bir durumdur. Yedek bir çıkış yönlendiricisi oluşturmak için yönlendirici tarafında çalışan HSRP,VRRP ve GBLP gibi protokoller uzun zamandır bulunmaktadır.
Bunların yanı sıra, istemci tarafında da yönlediricide sorun cıktığı zaman alternatif bir yönlendiricin keşfini sağlayan IRDP (ICMP Router Discovery Protocol) protokolü (RFC1256) kullanılabilir. Bunun için IRDP'nin açılımından da anlaşılaçağı özünde ICMP protokolu kullanılır.
Bu protokole istemci tarafında günümüz işletim sistemlerinin çoğu destek verdiği gibi, Cisco gibi yönlendiriciler de destek vermektedir. Bu desteği açmak için Cisco yönlendiricilerde kullanılması gereken komut:
bart(config)#interface vlan 1 (fiziksel bir interface'de olabilir)
bart(config-if)#ip irdp
Route Redistribution
Ütopik olarak tek bir routing protokolü ile tüm routing işlemlerinin yapılacağı düşünülebilir. Ama böyle bi dünya olmadığı için birden fazla routing tablosunun oluşturulduğu ve bu tabloların birbirleri ile bilgi paylaşımı yaptığı topolojiler olabilecektir. Bu gibi durumlarda “route redistribution” kullanılır. Route redistribution ile farklı protokollerin routing bilgileri arasında paylaşım sağlanır.
Cisco Router’da SSH ve NTP Konfigürasyonu
SSH Konfigürasyonu
1-) SSH konfigürasyonunun yapılabilmesi için öncelikle router’a bir hostname verilmelidir.
Router#configure terminal
Router (config)#hostname TEST_ROUTER (Router ismi değiştirildi)
TEST_ROUTER#
2-) Konfigürasyon için mutlaka bir domain name belirtilmesi gerekmektedir.
TEST_ROUTER#configure terminal
TEST_ROUTER(config)#ip domain-name itu.edu.tr
(Domain name “itu.edu.tr” olarak ayarlandı)
3-) SSH bağlantısının şifreli bir şekilde yapılması için kriptolu bir anahtar oluşturulur.
TEST_ROUTER(config)#crypto key generate rsa
How many bits in the modulus [512] ?
(kaç bit’lik kripto anahtarı kullanılacağını soran bir uyarı satırı çıkar. 360 ile 2048 arasındaki değerleri alabilir, default değeri 512’dir)
Juniper PBR ( Policy Based Routing)
Juniper SSG ve Netscreen Firewall
Juniper SSG ve Netscreen Firewall ürünlerinde birde fazla wan bağlantısı kullanılarak yedekli ve esnek bir yapı kurmak mümkündür. Örneğin bir firma mail trafiği ya da kritik uygulamaları g.shdsl ya da leased-line gibi görece yüksek maliyetli wan bağlantısı üzerinden gerçekleştirirken, daha az öneme sahip olan kullanıcıların internete çıkması için ucuz bir bağlantı olan adsl kullanabilir. Cisco ürünlerde route-map ile yapılan işlem Juniper Firewall ürünlerinde PBR (Policy-Based Routing) ile yapılmaktadır.
Konfigürasyon Açıklaması
set vrouter trust-vr -> trust zone’a geçiş
set access-list extended 1 dst-port 110-110 protocol tcp entry 2 -> destination port tcp:110 için yazılan access-list {entry 1} 2. satıra yazıldığını belirtir.
