Cơ sở kĩ thuật
thông tin mạng truyền thông
CƠ SỞ KỸ THUẬT THÔNG TIN THÔNG TIN MẠNG TRUYỀN THÔNG
KHOA VI N THÔNG IỄ
Giảng Viên : Nguyễn Thị Thu Hằng
Đặng Văn Đạt
Nguyễn Xuân Thứ
Phạm Đình Nguyên
Trần Thị Cúc
BÁO CÁO
Tổng quan về BGP
Nguyên t c đ nh tuy n BGP v i AS đ nắ ị ế ớ ơ
và các kĩ thu t l u l ng trong BGPậ ư ượ
Hoạt động của BGP
Khả năng mở rộng và bảo mật của BGP
Kết luận
B
G
P
T ng quan v BGPổ ề
Khái niệm:
Border gateway protocol (BGP) là các giao th c đ nh tuy n đ trao đ i thông tinứ ị ế ể ổ
đ nh tuy n thông qua m ng internet.ị ế ạ
Các BGP được sinh ra trong sự cần thiết để cho các ISP dễ dàng kiểm soát
được việc lựa chọn đường đi cho các gói tin và phương pháp truyền nó đi như thế
nào. Khi lần đầu tiên được giới thiệu BGP chỉ là một giao thức dẫn đường vector
khá đơn giản, được xem như một sự ghép nối giữa một điểm đến và các thuộc tính
của đường dẫn đến đích.
Hình 1.1 Các mạng được kết nối với nhau nhờ
giao thức dẫn đường vector.
T ng quan v BGPổ ề

BGP hoạt động theo một số nguyên tắc :

Chạy cả bên trong một hệ tự trị và chạy giữa các hệ tự trị.

Chọn con đường tốt nhất và lưu vào trong bảng định tuyến chuyển tiếp.

Các chính sách ảnh hưởng đến việc lựa chọn con đường tốt nhất.
Một số trường hợp sử dụng BGP :
- Khi có nhiều kết nối tồn tại bên ngoài của AS (chẳng hạn như Internet) thông qua các nhà
cung cấp khác nhau.
- Khi có nhiều kết nối tồn tại bên ngoài AS của hàng ngàn nhà cung cấp nhưng kết nối thông
qua một CO riêng biệt.
- Các thiết bị định tuyến hiện tại có thể xử lý các nhu cầu bổ sung
Lợi ích thực sự của BGP là đi sâu vào kiểm soát lưu lượng truy cập vào AS cục bộ.
T ng quan v BGPổ ề
Khi lần đầu tiên được giới thiệu BGP chỉ là một giao thức dẫn đường vector khá đơn
giản , theo thời gian BGP luôn được cải tiến và bổ sung.
Phiên bản BGP đầu tiên đã trở thành một tiêu chuẩn chung của Internet vào năm 1989
và ban đầu được định nghĩa trong RFC 1322.Phiên bản hiện tại của BGP là BGP v4 đã
được thông qua vào năm 1995 và được định nghĩa trong RFC 4271 .BGP v4 hoạt động dựa
trên thuật toán vector khoảng cách (DV) và sử dụng giao thức TCP là giao thức vận tải của
mình trên cổng 179.
BGP v4 cung cấp một loạt các cơ chế hỗ trợ Classless Inter-Domain Routing (CIDR)
được định nghĩa trong RFC 4632.Những cơ chế này bao gồm hỗ trợ cho việc thông báo
một tập hợp các điểm đến như là một tiền tố IP và loại bỏ các khái niệm về lớp mạng trong
BGP .
Hiện nay BGP là một giao đinh tuyến ngoài thức phổ biến nhất trên mạng Internet, và trong
tương lai nó vẫn sẽ tiếp tục được phát triển.
BGP đã chứng minh được khả năng mở rộng ,ổn định và cung cấp các cơ chế cần thiết để
hỗ trợ chính sách định tuyến.

Định tuyến BGP giữa các AS
Mạng Internet bao gồm hàng ngàn AS, được sở hữu và điều hành bởi nhiều tổ chức khác
nhau. BGP là một giao thức định tuyến, được sử dụng để đạt được khả năng trao đổi thông
tin. Trong phần này, chúng ta mô tả BGP dưới góc nhìn của một AS, mô tả sơ bộ giao thức
này khi chuyển giao tuyến đường từ một AS đến một AS khác, sau đó là quá trình quyết
định được sử dụng để lựa chọn tuyến, và cuối cùng là các phương thức được sử dụng trên
tuyến để thực hiện các chính sách truyền tin.
Các đ c đi m c a BGP :ặ ể ủ
Là một giao thức
gia tăng: sau khi
hoàn thành bảng
định tuyến, chỉ
những thông tin
bị thay đổi mới
được đưa ra để
trao đổi giữa các
router
BGP sử dụng
phương thức
vecto đường đi,
dựa trên một danh
sách các AS được
sử dụng để từ đó
tìm ra địa chỉ
đích.
Router được nhận
diên thông qua
các mức prefix,
vậy nên mỗi AS sẽ
gửi một bản cập

nhật cho mỗi
prefix trong
những prefix khả
dụng của nó.
Các tin nhắn cập
nhật của BGP có
thể chứa rất nhiều
trường .
Định tuyến BGP giữa các AS
Không có các chính sách định tuyến
Cách router chọn một tuyến đường :
Định tuyến BGP giữa các AS
Th t u tiên ch n đ ng trong BGP :ứ ự ư ọ ườ

Chọn đường đi tường minh trong bảng trước (so với đường đi mặc định)

Chọn đường đi có trọng số cao nhất (weight) (chỉ với router của Cisco)

Chọn đường đi có mức ưu tiên cục bộ cao nhất (LocalPref)

Chọn đường đi do chính người quản trị cài đặt trên router (static route, có giá trị origin là
INCOMPLETE)

Chọn đường đi qua ít AS nhất (AS path ngắn nhất)

Chọn đường đi có nguồn gốc bên trong trước (origin = IGP < EGP)

Chọn đường đi có độ ưu tiên xa gần thấp nhất MED

Chọn đường đi ra bên ngoài trước (external path)


Chọn đường đi có giá trị đo IGP đến hop tiếp theo thấp nhất (IGP metric to the nexthop)

Chọn đường đi tồn tại trong bảng lâu nhất

Chọn đường đi đến router tiếp theo có BGP ID thấp nhất
Định tuyến BGP giữa các AS
Cấu hình các chính sách cục bộ :
Kĩ thuật lưu lượng trong BGP
Giảm độ trễ, cải thiện độ tin
cậy, tăng số lượng các router
khả dụng
Thiết lập lưu lượng qua mỗi
router để tối đa hóa hiệu suất
theo tiêu chuẩn nhất định
Kĩ thuật lưu lượng trong BGP
Điều khiển lưu lượng ra (thay đổi LocalPref và IGP cost)

Mục tiêu chung: Early exit routing (định tuyến đảm bảo tín hiệu đến ra sớm nhất có
thể).

Chỉnh sửa các chính sách đầu vào, khiến router có giới hạn đầu vào hợp lí

Chỉnh sửa các giá trị đường dẫn của các ISP

Mục tiêu phụ: Giảm sự tắc nghẽn ở đầu ra tới các hàng xóm

Sử dụng hệ thống cân bằng tải khi có thể (bằng cách thay đổi LocalPref)
Thách thức khi cân bằng tải:
•

Chọn ra các cài đặt riêng của các prefix
•
Thay đổi các thuộc tính một cách thích hợp
Kĩ thuật lưu lượng trong BGP
Điều khiển lưu lượng vào (bằng cách thêm vào các giá trị của AS và MED)
Lí do cần điều khiển: Khả năng tắc nghẽn trong mạng nội bộ có thể bị các hàng xóm làm
trầm trọng hơn vì chúng không biết các mục tiêu lưu lượng của ISP, các cấu trúc và tải
trong các đường dẫn nội bộ.
Cách ISP nhận được sự cho phép điều khiển lưu lượng nhận được
•
Sửa đổi thuộc tính MED
•
Thổi phồng độ dài của AS path (bằng cách tăng thêm nhiều lần giá trị AS path vốn có)
(dùng khi điều khiển lưu lượng giữa các đường dẫn tới các hàng xóm khác nhau)
Kĩ thuật lưu lượng trong BGP
Điều khiển từ xa (bằng cách thay đổi các thuộc tính giao tiếp)

Một ISP quản lí một router từ xa khi cần bổ sung các chính sách mong muốn

Thường được sử dụng để cho phép một khách hàng nói với nhà cung cấp thực thi một
vài hành động thay mặt họ
So sánh giữa điều khiển từ xa và MED
•
Điều khiển từ xa mềm dẻo hơn do có khả năng điều khiển đầu vào sớm hơn
•
Điều khiển từ xa có thể cấu hình để lọc các tuyến đường không cần thiết
•
MED chỉ có thể sử dụng cho các tuyến có chung chỉ số next-hop, còn điều khiển từ xa có
thể so sánh, đối chiếu với tất cả các tuyến đường từ tất cả các hàng xóm
Hoạt động của BGP

Có hai kiểu kết nối BGP:

Kiểu thứ nhất là kiểu kết nối giữa cá router chạy BGP trong cùng 1 AS. Kiểu
này được gọi là Internal BGP (IBGP).

Kiểu kết nối thứ 2 là kiểu kết nối giữa các autonomous-system khác nhau.
Kiểu này được gọi là External BGP (EBGP)
Hình 3.1 : Các tuyến IBGP và EBGP
Hoạt động của EBGP
Các router BGP ( EBGP ) là hàng xóm c a nhau có k t n i tr c ti p.ủ ế ố ự ế
Hình 3. 2: C u hình ho t đ ng EBGPấ ạ ộ
thi t l p các giao di n loopback trên các router.ế ậ ệ
thi t l p đ a ch IP trên giao di n loopback. ế ậ ị ỉ ệ
B c ti p theo là b c quan tr ng và cho phép kh i t o m t quá trình BGP trên các router.ướ ế ướ ọ ở ạ ộ
Cấu trúc thông báo của BGP
EBGP do đã chỉ rõ các router hàng xóm nên không cần phải có bước tìm, nhận biết hàng
xóm như ở các giao thức IGPs nữa.Khi EBGP được cho phép chạy trên một giao diện, các
router sẽ cố gắng thực hiện một tiến trình thiết lập mối quan hệ theo các bước dưới đây :
Idle
OpenSent
OpenConfirm Established
Idle Connect

Active Connect
Quảng bá tuyến trong BGP
Khi một router nhận một tuyến từ một BGP hàng xóm, thuộc tính đầu tiên nó kiểm tra là
NEXT_HOP
Với giao thức BGP chạy trên các thiết bị của Cisco có ba cách để địa chỉ mạng có thể được
quảng bá vào trong bảng định tuyến BGP (BGP routing table).
Ba phương thức được sử dụng là :

- Câu lệnh Network:Câu lệnh Network được sử dụng để chuyển các tuyến từ bảng định
tuyến (routing table) tới bảng định tuyến BGP giống như là các tuyến chạy BGP.
- Qua sự phân phối tuyến (Route redistribution):Phương thức này cho phép quảng bá các
tuyến kết nối trực tiếp trên router vào bảng định tuyến BGP. Tính chất tự động tóm tắt tuyến
tương tự như trong phần sử dụng câu lệnh network tức là nếu không hủy bỏ chế độ này các
tuyến sẽ được tóm tắt thành các tuyến có địa chỉ và mask mặc định
- Từ một BGP hàng xóm: Phương thức cuối cùng để quảng bá tuyến BGP vào bảng BGP
là tự BGP chính nó.EBGP quảng bá tuyến học được từ một EBGP hàng xóm tới một hàng
xóm khác
Ho t đ ng c a IBGPạ ộ ủ
Vi c thi t l p s ho t đ ng c a IBGP gi a các router trong AS 1 t ng đ i gi ng ệ ế ậ ự ạ ộ ủ ữ ươ ố ố
so v i vi c thi t l p s ho t đ ng c a EBGP ngo i tr vi c thay đ i s AS.ớ ệ ế ậ ự ạ ộ ủ ạ ừ ệ ổ ố
Các IBGP routers c n m t c u hình full mesh , t t c các routers ch y IBGP đ u ầ ộ ấ ấ ả ạ ề
c n có k t n i đ n t t c các router khác ch y IBGP trong cùng m t AS. ầ ế ố ế ấ ả ạ ộ
Khi các giao di n v t lí g p l i cũng s khi n cho k t n i BGP l i theo. Đ gi i ệ ậ ặ ỗ ẽ ế ế ố ỗ ể ả
quy t v n đ này BGP cũng nh các giao th c IGPs đ a ra gi i pháp v đ a ch ế ấ ề ư ứ ư ả ề ị ỉ
loopback.
Giao diện loopback trong IBGP

Vấn đề đặt ra khi xây dựng cấu hình các router trong AS 1 là chuyện sẽ gì xuất hiện khi
địa chỉ vật lí hoặc tuyến gặp sự cố. Thay cho việc sử dụng địa chỉ trên các giao diện vật lí
người ta sử dụng địa chỉ loopback

Một vấn đề nữa đặt ra khi sử dụng IBGP là việc thực hiện một cấu hình full mesh giữa
các router. Cấu hình full mesh sẽ tạo ra một số lượng các kết nối lớn.
Số kết nối = [(n)(n-1)]/2.

BGP cũng đưa ra các phương án để giải quyết vấn đề này:
M t route reflector là m t router đ c c u hình đ chuy n nh ng c p nh t đ nh ộ ộ ượ ấ ể ể ữ ậ ậ ị
tuy n đ n các router hàng xóm ho c các router ch y BGP bên trong m t AS. ế ế ặ ạ ộ

Phân c p đ nh tuy n trong các AS (Confederations)ấ ị ế
Confederations cũng là m t công ngh nh m gi m s k t n i IBGP. Ho t đ ng ộ ệ ằ ả ố ế ố ạ ộ
c a ph ng pháp này d a trên vi c phân chia AS thành các AS con đ c đánh s ủ ươ ự ệ ượ ố
AS theo qui t c AS riêng ( 64512 đ n 65534).ắ ế

Trên đây là hai phương pháp để giảm số kết nối trong IBGP. Hai phương pháp trên có
thể sử dụng riêng rẽ hoặc có thể kết hợp với nhau. Tuy nhiên sự kết hợp giữa hai
phương pháp trên sẽ kéo theo một cấu hình phức tạp gây khó khăn cho quản trị viên.
Sự khác nhau giữa EBGP với IBGP
Khả năng mở rộng của BGP
Một số cấu hình sai và lỗi trong các neighboring ISP có thể làm chúng tạo ra quá nhiều
thông tin cập nhật. Việc gửi thông tin cập nhật quá thường xuyên có thể gây ra sự bất ổn
định đường truyền , dẫn đến chất lượng dịch vụ kém, có do thể khả năng xử lý quá tải hoặc
quá dung lượng bộ nhớ của bộ định tuyến(router), điều này có thể gây mất điện và lỗi bộ
định tuyến. Thiết lập cấu hình đúng của các chính sách BGP có thể cải thiện khả năng phục
hồi của mạng lưới đến những vấn đề này .
Các biện pháp khắc phục bao gồm :
Hạn chế kích thước bảng định tuyến
Bảo vệ từ các ISP khác
Bảo vệ các ISP khác
1
Hạn chế số lượng thay đổi định tuyến
2
Khả năng mở rộng của BGP
H n ch kích th c b ng đ nh tuy n:ạ ế ướ ả ị ế

Bảo vệ từ các ISP khác : Các ISP có thể tự bảo vệ mình từ các thông báo quá mức
từ neighbors bằng cách:

L c ti n t dài đ khuy n khích s d ng k t h p . ọ ề ố ể ế ử ụ ế ợ


Khi ki m tra an toàn, thi t b đ nh tuy n th ng duy trì m t gi i h n ti n t ể ế ị ị ế ườ ộ ớ ạ ề ố
c đ nh cho m i chu kì làm h n ch s l ng ti n t t m t neighbors có th ố ị ỗ ạ ế ố ượ ề ố ừ ộ ể
thông báo.

M c đ nh đ nh tuy n: m t ISP v i m t s l ng nh các đ ng truy n có ặ ị ị ế ộ ớ ộ ố ượ ỏ ườ ề
th không c n ph i toàn b b ng đ nh tuy n, và thay vào đó có th c u hình ể ầ ả ộ ả ị ế ể ấ
m t đ ng truy n m c đ nh mà thông qua đó nhi u đi m đ n có th đ t đ cộ ườ ề ặ ị ề ể ế ể ạ ượ

Bảo vệ các ISP khác : Một ISP có thể làm giảm số lượng tiền tố nó thông báo bằng
cách sử dụng định tuyến tập trung, thay vì thông báo hai tiền tố lân cận (ví dụ ,
4.1.2.0/24 và 4.1.3.0/24 ) cho một neighbors , nó có thể lọc trong ex-port policy và một
tiền tố ít cụ thể (ví dụ như 4.1.2.0/23 ) được thông báo

Khả năng bảo mật của BGP
AS rất dễ bị thông tin sai lệch trong các cập nhật BGP. Bằng cách gửi thông tin sai lệch, một
ISP có thể phá vỡ mục tiêu định tuyến của một neighbor, khiến các bộ định tuyến quá tải và
thất bại, hoặc làm suy giảm chất lượng dịch vụ. Thông tin sai lệch có thể có một ảnh hưởng
đáng kể trên định tuyến trong một AS. Những thông tin này đôi khi được tạo ra bởi lỗi router
và sai. Nó cũng có thể được cố tạo ra bởi một ISP của neighbor. Do đó một ISP có thể muốn
thực hiện chương trình phòng thủ để bảo vệ mình chống lại các cuộc tấn công.

Loại bỏ các tuyến không hợp lệ (bằng cách lọc nhập khẩu)

Bảo vệ tính toàn vẹn của chính sách định tuyến ( bằng cách viết lại các thuộc tính)

Đảm bảo cơ sở hạ tầng mạng ( bằng cách lọc xuất khẩu)

Ngăn chặn tấn công từ chối dịch vụ (bằng cách lọc và giảm xóc)


Khi phát hiện các bản cập nhật quá mức BGP, các nhà khai thác có thể thay đổi chính sách
truy nhập để loại bỏ thông báo cho các tiền tố vi phạm.
Một số cách để chống lại các cuộc tấn công :
XIN CHÂN THÀNH CẢM ƠN