reteaua – Blogul lui Keeran

Arhive de etichete: retea

Viata si vremurile unui sofer profesionist pentru viteza somer # 3

Concluzia

In ultimele doua luni am avut o serie de urari, neajunsuri, indoieli, zambete, zile proaste si bune etc, dar toate au fost necesare pentru a ajunge la punctul in care ma aflu acum, pentru a ajunge la o concluzie la acest lucru bucata, cand am inceput acest blog, nu as fi crezut niciodata ca voi scrie despre acest subiect. Arata cum viata poate arunca cateva grenade!

Cand ma uit inapoi la toate datele pe care le-am avut, au fost cateva recomandari majore pe care as dori sa le transmit altora pentru a le lua in considerare:

  • Mentineti toate optiunile deschise, dar stiti ce doriti
  • Cereti o opinie si fiti dispus sa va ajutati
  • Pastrand o rutina focalizata, va va mentine pregatit pentru orice
Mentinerea optiunilor deschise, dar stii ce vrei

Initial mi-am spus, am vrut doar sa fac roluri de contractare, intrucat fiind la $ lastjob timp de 6 luni, ar arata rau pe CV-ul meu, daca as merge la o alta companie si se va intampla aceeasi situatie, asa ca mentalitatea mea era sa evit acest lucru cu orice pret. Totusi, am ajuns sa vad repede ca aceasta minte nu va duce nicaieri. Tinand toate usile deschise mi-a permis sa vad cum era intreaga piata a muncii si sa pot evalua setul meu de abilitati pentru a obtine o valoare exacta a pietei asupra mea. In plus, cu ochii larg deschisi, am putut sa confirm exact ce imi doream din urmatoarea mea pozitie si companie. Acest fapt nu trebuie subvaluat si / sau subestimat, desi cautam un loc de munca cat mai curand posibil, a trebuit totusi sa ma gandesc la cea mai buna situatie in care ma voi implica.

Pastrati o rutina

Este posibil ca oamenilor sa nu le placa sentimentul banal de a te ridica si de a merge intr-un birou, dar ceea ce face este sa-ti ofere o rutina. Stii ca la ora X trebuie sa te ridici si sa iesi sau sa faci ceva. Cand esti in cautarea unui loc de munca, te muti practic la propriul ritm. Pentru unii, acest lucru le poate potrivi, dar am descoperit ca, odata ce iesiti dintr-o rutina, devine mai greu sa reveniti la unul mai ales daca ati dansat pe propria melodie. Fie ca inseamna ca iesiti din casa sau ramaneti in interior, pastrarea unui fel de structura de viata va va ajuta atat de mult! Ca o nota laterala, rutina pe care am pastrat-o a fost sa inchiriez spatiu pentru birou de la WeWork in London Fields, Hackney. Eu personal nu doream sa stau acasa, asa ca intrarea intr-un birou si doar pastrarea acelui mediu de birou a fost bine sa ma mentin concentrat.

A cere ajutor este bine

Exista o diferenta intre a solicita opinii si opinii de la oameni, interactionezi cu fiecare zi in parte, sunt un bugger de chat pe NetworkToCode si intrerupe in mod constant intrebari de baza sau „pescuit” de la altii. Acest fapt mi-a luat ceva timp sa ma rezolv, cat de simplu pare. Intrucat am crezut ca a cere opinii / opinii m-ar face sa gasesc doar folosindu-le pentru conexiunile lor profesionale, ceea ce nu a fost niciodata cazul. Oamenii sunt dispusi sa-i ajute pe ceilalti care sunt dispusi sa se ajute pe ei insisi. Nu uita niciodata acest lucru, fa ​​intotdeauna acel pas in plus inainte de a cere, in mod rational, desigur!

Au existat cateva puncte minore, ca atare:

  • Aveti un om de aripi pentru diferite situatii
  • Intalnirea pe cont propriu este, de asemenea, misto
  • Joaca campului este acceptabila

Ar fi util, dar aceste puncte minore se pot incadra in anumite aspecte ale actiunilor majore!

De-a lungul intregii piese, am incercat sa portretizeaza datarea rapida ca o analogie a modului in care am trecut prin procesul de la a deveni un somer auto-specializat la, sa vin 10 august 2018, un nou membru excitat al unei echipe de retea, dar mai important. o organizatie care, sincer, m-a facut sa ma simt dorita si o companie pe care eu, din toata inima, o cred ca va imbunatati setul meu de abilitati actuale, sa ajut la dezvoltarea de noi abilitati si, sper, ca pot renunta la cateva nuggets de cunostinte pentru a ajuta echipa sa avanseze in cel mai bun mod posibil. . Asa cum am spus mai devreme, am avut norocul sa am o echipa puternica de prieteni si familie in spatele meu la nivel personal, care mi-au permis sa progresez in aceasta perioada, dar nu pot uita oamenii care, la nivel profesional , m-au indicat in directia buna. Asa cum am mentionat atat @Ruiari, cat si @irldexter m-au ajutat sa ies din belsug si in ziua in care ajung sa pun chipuri unor nume, le voi datora o bere sau doua! In plus, baietii si fetele de la Hamilton Barnes, au fost de mare ajutor, desi nu mi-am primit pozitia de la ei, sfaturile si nuggeturile de la ei au fost extrem de valoroase!

Acest articol a durat mai mult si mult mai deschis decat ma asteptam, si sa fiu sincer, ma bucur ca acesta este cazul. Notiunea ca trebuie sa iti aliniezi un nou loc de munca, inainte de a parasi pozitia actuala, este intotdeauna ideala, insa nu traim intr-o lume ideala. Aceste cateva luni mi-au aratat ca: Lupta, indoiala, reevaluarea, adaptarea, progresul, esecul si succesul, acestea sunt toate situatiile care pot fi aplicate indiferent daca sunteti angajat sau nu, dar fiind fericit in interiorul dvs. si deciziile pe care le luati este mai important decat sa-l iei intr-un loc in care simti ca nu este cea mai potrivita sau un loc in care ai renuntat mental si emotional. Dupa ce ati ajuns in acel loc, veti vedea ca puteti gasi mai multe oportunitati, facandu-va sprijinul si luand virajul respectiv la stanga spre fericire in comparatie cu a ramane pe dreapta si ingusta.

Durata de viata si timpii unui angajator profesional de viteza someri # 2

Teoria

Cu toata povestea si povestea vietii despre cum m-am scos in somaj din drum, este timpul sa explic partea probabila inca confuza, Professional Speed ​​Dater .

Termenul este ceva cu care am venit pentru a se potrivi cel mai bine situatiei mele. Intregul proces de depunere a candidaturii pentru o slujba, dupa ce ati completat o cerere, este exact ce viteza de intalnire este vanduta! Acest lucru este un pic obraznic, intrucat nu am fost niciodata intalnire rapida inainte de haha, dar daca te uiti la scenariul stereotip de intalnire rapida, as fi crezut ca vei gasi acest lucru:

  • Vedeti un eveniment care va place
  • Creeaza o aplicatie online
  • Cineva te asigura ca esti potrivit pentru eveniment
  • Invitatia la eveniment este confirmata
  • Intoarce-te sperand ce e mai bun si sa fii tu insuti
  • Discutati cu mai multi straini despre acelasi lucru intr-un timp stabilit
  • Cineva te intreaba cum a mers dupa eveniment
  • Asteapta nervos si sper la o veste pozitiva
  • In cele din urma, succesul sau esecul este rezultatul

Cand te uiti la acest proces si il compari cu procesul de interviu de munca, daca nu este acelasi lucru, este al naibii de bine foarte aproape! La fel ca in cazul intalnirilor cu viteza reala, veti avea optiunea de a merge singur, de asemenea, cautarea companiilor si aplicarea directa cu acestea sau sa mergeti cu un om de incredere pentru a face evenimentul putin mai usor stiind ca aveti pe cineva care are spatele. Daca nu ati ghicit deja, in arena de intalniri profesionale de viteza, barbatul dvs. de aripi este recrutorul dvs.

Array

! Rolul recrutorului este sa va gaseasca pozitii potrivite, sa va puna in cea mai buna situatie pentru a reusi, apoi sa urmariti detaliile dupa ce ati terminat. Daca nu este definitia unui om de aripi de calitate, atunci „ boi” , nu stiu nimic despre nimic !!

Din fericire, odata ce am inceput sa-mi scot profilul pe site-urile de locuri de munca si am dat un apel unor recrutati si contacte vechi, am scos destul de mult zgomotul cu privire la rolurile si companiile potentiale. Totusi, am ajuns repede sa vad asta doar pentru ca veti primi mult zgomot catre dvs., asta nu inseamna automat ca va veti bucura de ceea ce se aude.

Toata lumea va avea propriile pareri si opinii cu privire la ceea ce recrutorii pot face de fapt pentru ingineri, indiferent ca sunt un ajutor sau un obstacol. In experienta mea din ultimele doua luni, am constatat ca 70-80% dintre recrutorii care m-au contactat prin gasirea CV-ului meu de la $ jobnu m-a ajutat atat cat am crezut ca vor. De multe ori, as primi un apel despre $ job, as solicita mai multe detalii si / sau o fisa de job intr-un e-mail, apoi nu as primi niciun raspuns inapoi sau ar vorbi despre pozitii care sunt complet in afara setului meu de abilitati … In mintea mea, acest lucru a fost ilogic, deoarece recrutorii vor primi o taxa daca vor completa o functie. Pentru ei sa nu se intoarca la mine sau sa le spuna macar ca au gasit pe altcineva mai potrivit, ar fi fost util. A inceput sa devina de la revedere, daca tipul de recrutatori nu se intorcea la mine.

Recrutorii care mi s-au parut cei mai de ajutor au fost cei cu care am luat primul contact. Fie ca a fost vorba de e-mail sau de a le da un apel, se parea ca sunt mai concentrati si dispusi sa-mi puna numele inaintea altora. Indiferent daca acesta ar fi cazul, din nou nu voi sti niciodata, dar a fost mult mai linistitor sa simt ca de fapt au dat un naibii, iar comunicarea dintre noi a fost mult mai deschisa si mai cinstita in privinta asteptarilor pe care le aveam de la ei, ceea ce au putut fa pentru mine si ce cautam la urmatoarea mea pozitie. Cu retrospectiva, m-as fi angajat activ mai mult cu recrutorii, m-am conectat cu Linkedin (care fusese o resursa uimitoare) din acest motiv exact!

Data noaptea!

Avand toate piesele in loc si o mai buna intelegere despre ce vorbesc de fapt, el este cel mai interesant aspect de a fi Speed ​​Speed ​​Dater… Noapte de intalnire!In ultimele doua luni, am avut parte de un mix interesant de Dating Nights, pentru a fi corect, cred ca am prezentat in cea mai mare parte un show bun, deoarece am reusit sa trec la Speed ​​Dating Event si sa ajung la mai multe nopti de intalnire cu potentiali pretinsi. Desigur, nu toate au mers bine, am avut o data vizibila pe care nu as spune ca este rea, o pot descrie doar ca haha ​​ofensator !!! Nu voi intra in detalii despre niciunul dintre interviuri, dar ceea ce am gasit, in general, toate datele urmeaza acelasi tip de structura, care, din perspectiva mea, poate fi util – dar a creat o problema interesanta. Parcurgand mai multe date intr-un spatiu foarte scurt de timp, urmand acelasi flux, veti ridica in mod natural indicii de la intervievator (i) cu privire la ce tip de intrebari urmeaza.

Nu pot vorbi pentru alte industrii, dar in lumea IT, in mod obisnuit, vei avea doua tipuri de date: soft Skills si Technical (Hard Skills). Oricat de stupida pare acest lucru, dupa parerea mea, soft Skills este mai important pentru a se potrivi cu un rol tehnic in comparatie cu interviurile tehnice in sine.

Avand in vedere ca ai facut-o pana acum, pot sa arunc o declaratie salbatica, dar inainte de a inceta sa citesti, permiteti-mi sa explic.

Orice tehnologie va sti, cand veti intra intr-un interviu tehnic, stiti ca gama de cunostinte tehnice va fi testata. Va asteptati sa obtineti scenarii logice / ilogice care va sunt solicitate, pe care le cunoasteti sau nu. Acest fapt face ca acest tip de interviuri sa fie mult mai usor de facut fata, deoarece este foarte alb-negru. Nu exista zone gri, stiti cum functioneaza BGP, Spanning Tree sau $ Other_Random_Network_Topic sau nu. Probabil spui; „ Ei bine, stiu ca este un interviu tehnic, asa ca pot revizui doar subiectele … „, Dar avand in vedere ca fiecare retea este diferita si depinde cu adevarat de ceea ce face compania $ in mediul lor, incercand sa revizuiasca ceea ce este potentialar putea fi intrebat ar fi inutil.

Array

Asadar, pentru mine, cand a fost vorba de interviuri tehnice, m-as uita la detalii specifice pe care stiam ca le voi uita, cum ar fi detaliile de pachete de nivel inferior, numerotarea porturilor, dar in afara acestui lucru, asa cum am spus, ori il stiu, ori nu „t. Nu are rost sa va scuzati pentru lucruri cu care nu stiti sau nu ati lucrat pana acum. Avand in vedere aceasta logica, daca nu stiti tot ce vi s-a solicitat, puteti incepe sa vedeti de ce abilitatile soft sunt la fel de importante. Acordat, nu am mai stat niciodata pe partea opusa a interviului de masa, deci ceea ce voi spune ar putea fi 100% bollocks, dar cred ca aratand o gama tehnica va va aduce doar pana acum, dar daca puteti arata asta esti un individ bine rotunjit, cu capacitatea de a invata, de a-ti prezenta abilitatile tehnice si fiti suficient de smeriti pentru a cere ajutor, aceste trasaturi ale personajului va vor aduce aminte si potential sa fiti ascunsi cu 1% de cineva care are atat de mult in cunostinte tehnice.

Problema interesanta pe care am mentionat-o anterior, afirmasem ca posibilitatea de a prezice intrebari si situatii a fost o carte excelenta, dar poate fi respinsa epic atunci cand primiti o intrebare simpla care incalca norma de intalnire. Aceasta intrebare, care te face sa rastoarne intreaga data, spunandu-ti pentru tine: Cum am imbracat o intrebare atat de simpla ?!Ceea ce o intrebare simpla, dar neasteptata, poate face unui intervievat slefuit, poate fi de fapt uimitor, asa cum arata Theresa May atunci cand a fost intrebata cum face fata pentru a avea o munca atat de stresanta. Unul dintre acestea a fost aruncat recent intr-o noapte tehnica. A fost o grenada Soft Skills in timp ce incercam sa prezic care va fi urmatoarea intrebare techie. Sincer mi-am dat drumul prin ea, dar am avut noroc ca a fost spre sfarsitul noptii, asa ca am reusit sa o transform intr-o poveste amuzanta!

Cand ma uit inapoi la toate datele si iau in considerare intreaga imagine, sunt putin surprins de faptul ca nu am primit mai multe dintre aceste intrebari neasteptate / din stanga, deoarece probabil le-ar oferi interviului mai mult o idee, cum se ocupa $ candidatul cu situatii neasteptate. Donal O ‘Duibhir aka @irldexter a fost un mare sustinator despre modul de structurare a „noptii datei” actuale in campurile tehnice si despre modul in care este invechit datorita miscarii catre automatizare si functionarea la scara. El a creat un instrument numit Pansift pentru a face screening automat de experti. Pansift poate ajuta companiile sa se asigure de ceea ce $ inginerul a spus ca pot face, pot face de fapt. Pentru mine, acesta este un producator de diferente care ar putea:

  1. Ajutati compania $ sa creeze o companie relevanta, repetabila a cerintelor pe care le pot transmite in timpul unei nopti tehnice, pentru a intelege pe deplin nivelul la care se afla candidatii $
  2. Ajuta-i pe $ candidat sa inteleaga importanta de a fi pregatit si sa-si inteleaga pe deplin propriile limitari si, asa cum am spus mai sus, fii suficient de smerit pentru a spune ca nu stiu acest lucru . In plus, vor cunoaste nivelul de abilitati tehnice pe care compania $ il cauta.

Ultima fraza de la punctul 2, acest punct este important si poate fi subestimat de candidatul $ . A fi suficient de umil sa spun ca nu stiu este un lucru, oricum sa inteleg ca o pozitie, la o companie potentiala buna, poate sa nu fie cea mai potrivita pentru tine personal, este o trasatura atat de valoroasa pentru a putea prelua in timpul oricarui proces de interviu. , naiba in viata in general! Unelte precum Pansift, daca se face corect, ar putea fi tranzactionant atat pentru compania $ cat si pentru $ candidatul, deoarece va oferi ambelor parti posibilitatea de a intelege modul in care functioneaza reciproc si daca vor sa continue sa inainteze impreuna sau mergeti pe caile lor separate.

O alta notiune subestimata, as vrea sa am luat in considerare, a fost sa aflam cate date erau asteptate inainte de a lua o decizie finala. Poate te gandesti, ce se intampla acum , dar era o diferenta destul de mare intre „intalnirea” din Marea Britanie si SUA. De-a lungul carierei mele, in timp ce am scris acest lucru, am avut intotdeauna date din Marea Britanie, care au urmat, in general, acest set de date (vom exclude conversatiile cu aripa noastra):

  • Prima data: apel telefonic
  • A doua intalnire: intalnirea fata in fata
    • Cina: Mama si tata
  • A treia data: casatoria

Cu toate acestea, pentru noptile de date din SUA au urmat aceste tipuri de date:

  • Prima data: apel telefonic / video
  • A doua data: iesire din fata in fata
    • Mic dejun: unchiule
    • Brunch: Matusa
    • Pranz: Frate
    • Cina: Sora
  • A treia data: apel telefonic / video
    • Skype: mama
    • Google Hangout: tata
  • A patra data: casatoria

Nota laterala: am primit un sfat nepretuit de sfaturi de la @Ruirai pe NetworkToCode Slack Channel , care a facut o prezentare asupra procesului de interviu comun pentru companiile din Marea Britanie Tech. Aceste diapozitive au fost un astfel de dumnezeu si as sugera oricui care nu a trecut prin acest proces inainte de a le citi. Am gasit ca a ajutat la stabilirea asteptarilor mele.

Cele mai mari diferente intre datele din Marea Britanie si SUA au fost numarul dintre ele si numarul de persoane cu care trebuie sa interactionati. Acesta a fost un moment plin de minte , deoarece, uneori, am avut ganduri ca trebuie sa fi facut ceva gresit, daca tot imi cer sa vorbesc cu o alta persoana despre aceleasi subiecte, dar intr-un mod usor diferit . Dar atunci cand am luat in considerare acest lucru din punctul de vedere al angajatorului, este important sa obtineti cat mai multe informatii despre $ candidatdupa cum pot si daca ajungeti cu mai multe persoane care ajung la aceeasi concluzie, in general veti ajunge la decizia corecta. Ca sa nu spun, ca modul in care lucrurile se fac in mod obisnuit in Marea Britanie sunt rele. Procesul din Marea Britanie poate fi mai condensat si mai rapid pentru ambele parti implicate in comparatie cu SUA, ceea ce are avantajele sale. Asa cum spune zicala Exista mai multe modalitati de a pieli o pisicaimi vine in minte ????

Pentru gandurile mele finale, indreptati-va catre partea a 3-a!

Durata de viata si timpii unui angajator profesional de viteza someri # 1

Acesta este un pic de la stanga post care sa apara pe un asa-numit blog de retea, dar daca imi imprumutati ochii pentru cateva minute, toate vor fi explicate ????

Fundalul

Asadar, nu am postat nimic de ceva timp, desi am avut subiecte care mi s-au parut interesante. M-am uitat la cateva lucruri diferite, care au variat de la subiecte de script / automatizare, cum ar fi Python si Ansible, pana la participarea la un curs uimitor de automatizare concentrat in retea, condus de NetworkToCode (striga catre Jason Edelman si toti cei de la NetworkToCode). M-am concentrat, de asemenea, pe subiecte de retea Next-Gen , cum ar fi EVPN, VXLAN si m-am gandit sa lucrez pentru certificarile mele JNCIP-SP & JNCDS (si alte biti si bib-uri).

Motivul pentru care nu am postat nimic este acela ca, in ultimele 18-24 de luni, au existat o serie de lucruri (am putea spune situatii provocatoare) cu care am fost nevoit sa fac fata in cariera mea profesionala. Privind in urma, probabil am lasat aceste circumstante sa-mi afecteze prea mult viata personala si, desi acestea au fost extrem de frustrante si enervante, nu m-au omorat, asa ca totul este in gand sa invat (si acum stiu cu ce sunt dispus sa fac fata, dar mai important stiu care este valoarea mea profesionala). Aceste circumstante m-au determinat sa parasesc o pozitie pe care am detinut-o la British Broadcasting Corporation (timp de aproape 4 ani) pentru a urmari oportunitatea pe care am sperat ca ar fi o sansa de a merge mai departe si de a progresa la urmatoarea etapa din cariera mea profesionala. Din pacate, dupa ce a oferit pozitiei o sansa buna, si confirmandu-mi ceea ce am crezut sincer, am decis ca rolul nu este unul potrivit si am ramas cu nimic aliniat. Asadar, la 1 iunie 2018, pentru prima data in 12 ani m-am gasit somer.

Facand pasul catre necunoscut nu a fost o alegere usoara si nu as recomanda-o nimanui, deoarece este o decizie care nu ar trebui luata usor. In acelasi timp, ar trebui sa ia in considerare o serie de factori diferiti care sunt importante pentru tine si dvs. situatia generala de viata. Inainte de a face un astfel de pas sau cand ma gandeam sa-mi parasesc pozitia, am inceput a doua sa ghicesc si sa iau in considerare modul in care decizia mea ii poate afecta pe ceilalti; indiferent daca era vorba de familie, prieteni sau mai ales colegii mei. Ideea de a-i considera pe colegii mei intr-o astfel de decizie, privind in urma, a fost una interesanta. Am crezut ca sunt:

  • Ii arunca in rahat prin cresterea volumului de munca
  • Imi face griji daca as fi explicat ce faceam pe deplin
  • Potential lasand munca pe jumatate terminata
  • Dandu-mi seama ca am fost un singur punct de cunoastere in cazuri sau proiecte

Acestea au fost motive puternice la acea vreme, dar cu privire la retrospectiva, desi am crezut ca acestea sunt motive valide, in opinia mea, nu ar fi trebuit sa fie o consideratie la fel de mare in imaginea de ansamblu. A-mi face viata colegilor mai usori m-ar face un bun coleg / persoana, cu toate acestea, asteptarea celorlalti atunci cand nu sunteti multumit intr-un cadru de lucru, pur si simplu va indepartati de ceea ce este mai bine pentru dvs. si in aceasta situatie a fost daunator pentru mine. Petreceam mai mult timp intr-o situatie negativa, incercand sa fac ceea ce este mai bun pentru altii. Acest lucru poate parea destul de egoist si negativ, insa uneori, a fi egoist si a fi focalizat pe sine este singura modalitate de a lua cea mai buna decizie.

Odata ce decizia a fost luata si procesul a inceput, a fost o usurare in afara ciclului negativ in care fusesem. M-am sprijinit sa gasesc o situatie mai buna si am putut face un pas inapoi pentru a reevalua ceea ce faceam si unde am vrut sa merg. Acestea fiind spuse, am avut repede realizarea de „ oh rahat, nu am venit sau job”coborand ca un tren fara frane, care a adus stresul si complicatiile sale. Din fericire am un cerc uimitor de familie si prieteni, care sunt atat de sustinatori si au inteles ceea ce cautam sa obtin. Cu toate ca, a ramas faptul ca ma facusem somer si trebuia sa-mi gasesc un loc de munca inainte de a incepe sa mananc in economiile mele de casa, iar pentru aceia dintre voi care locuiesc in Londra, veti sti cat de importante sunt aceste economii cat de rusinoase sunt prea scumpe proprietatile din capitala Regatului Unit sunt!

Daca v-am atins maximul … Faceti partea 2?

Protocolul Gateway Gateway (BGP)

Bazele BGP

Ce este BGP

Protocolul de poarta frontiera (BGP) este considerat cel mai influent protocoal de retea, deoarece este coloana vertebrala a internetului de azi. BGP este un Path Vector Routing Protocol, care spre deosebire de alte protocoale de rutare foloseste TCP (portul 179, ca strat de transport) pentru a stabili conectivitatea inainte de a schimba informatii de rutare cu un alt difuzor BGP (peer). Comunicarea BGP se poate face intre aceleasi si / sau diferite retele, aceste retele sunt cunoscute sub denumirea de Sisteme autonome (AS), AS-ul fiind un set de routere gestionate de o singura entitate, intreprindere si / sau companie. BGP foloseste informatii de rutare pentru a mentine o baza de informatii de rutare BGP (RIB) de informatii de reabilitare a nivelului de retea (NLRI) pe care le va schimba cu alte sisteme inter pares BGP sau peer AS. BGP este un protocol fara clasa, poate suporta orice prefix IP indiferent de clasa, acesta este atat pentru IPv4 cat si pentru IPv6. Este important sa retineti ca este necesara conexiunea TCP mai intai inainte de a construi conexiune BGP, fara ca prima sesiune stabilita sa nu se intample niciodata o evaluare BGP, insa, odata ce sesiunea este conectata, nu va trebui sa se faca din nou decat daca se va face o modificare. BGP utilizeaza mesaje Keepalive pentru a asigura fiabilitatea sesiunii, deoarece nu foloseste niciun mecanism de retinere bazat pe un protocol de transport pentru a determina daca colegii pot fi accesibili.

Utilizare BGP

BGP este utilizat in mare parte (dar nu exclusiv) in intreprinderile mari si in mediile de gazduire a centrelor de date, unde este nevoie de conexiuni simple sau multihomed la mai multe furnizori de servicii Internet (ISP), aceasta este cunoscuta sub numele de Exterior BGP (eBGP). BGP este utilizat pe scara larga cu mediile Furnizorului de servicii. BGP permite o gama larga de controale bazate pe politici pentru ca un AS sa influenteze si / sau sa manipuleze traficul de intrare si de iesire rutat pentru a ajuta la optimizarea circulatiei traficului pentru propriile nevoi. In plus, BGP poate fi utilizat intre routerele BGP din cadrul aceluiasi AS pentru a face publicitate rutelor interne cu acelasi nivel de control ca eBGP, cu unele mici diferente, dar importante, aceasta este cunoscuta sub numele de Interior BGP (iBGP).

eBGP vs iBGP

Exista cateva diferente cheie intre eBGP si iBGP care sunt importante de retinut:

eBGP

  • Sesiunea eBGP se face intre colegii BGP cu diferite numere AS
  • Comunicarea inter-AS se face prin eBGP
  • eBGP respecta atributul calea AS_Path
  • Rutele invatate prin eBGP vor fi publicitate altor colegi eBGP si iBGP

iBGP

  • sesiunea iBGP este intre colegii BGP cu acelasi numar AS
  • Comunicarea intra-AS se poate face prin intermediul iBGP
  • iBGP foloseste in mod obisnuit un IGP pentru accesibilitatea retelei si pentru a stabili sesiunea BGP TCP prin adresa Loopback
  • Rutele invatate prin intermediul iBGP nu vor fi anuntate altor colegi iBGP, cu toate acestea vor face reclame rute catre un coleg eBGP

Cele de mai sus nu sunt diferentele complete, ci doar cateva dintre principalele diferente care trebuie amintite. In plus, exista situatii in care unele dintre aceste reguli ar putea fi manipulate si pot fi realizate in proiectare si / sau configuratie, dar care este pentru mai tarziu

Statele peering BGP

Cand se stabileste o sesiune BGP, exista 6 state care trebuie finalizate inainte ca sesiunea peering sa apara. Primele 3 stari trebuie sa asigure conectivitatea stratului de transport TCP acolo, odata ce aceasta a fost finalizata, atunci conectivitatea BGP este stabilita cu cele 3 stari finale:

BGP stat Connect Descriere Idle TCP Acest lucru este atunci cand toate conexiunile BGP vor fi refuzate. O stare de repaus apare atunci cand sesiunea BGP nu a fost configurata pe celalalt BGP peer sau BGP nu este deloc activata. In mod obisnuit, un eveniment de inceput este necesar de la celalalt coleg pentru a pregati conectivitatea TCP. Conectarea TCP Routerul ascultand conexiunile TCP si asteapta terminarea strangerii de mana cu 3 cai TCP:

  • Daca acest lucru este finalizat, atunci este trimis un mesaj Open si este tranzitionat in statul OpenSent .
  • Daca conexiunile TCP nu reusesc, peerul BGP reporneste ConnectRetryTimer si asteapta ca peerul de la distanta sa initieze o conexiune TCP si tranzitiile intr-un stat activ .

Active TCP Acest lucru este atunci cand colegul BGP incearca sa stabileasca conexiunea TCP. OpenSent BGP Cand este in OpenSent , un mesaj deschis a fost trimis de colegul BGP, cu toate acestea nu a fost primit de catre colegul local:

  • Dupa ce mesajul a fost primit, verificat si nu are erori, colegul local va trimite un mesaj Keepalive.
  • Daca se primeste un mesaj, se verifica si se constata o eroare, atunci starea este trecuta inapoi la o stare de repaus .

OpenConfirm BGP Cand este in OpenConfirm , BGP asteapta un mesaj Keepalive sau Notification:

  • Odata ce colegul primeste un mesaj Keepalive, acesta va trece in starea stabilita
  • Daca colegul local nu primeste un Keepalive in cadrul temporizatorului de retinere a sesiunii negociate, acesta va trimite un mesaj de notificare si trecerea inapoi la starea de repaus . La fel se va intampla daca colegul local trimite un mesaj de notificare.

BGP stabilita Dupa ce am primit mesajul Keepalive, sesiunea BGP este pe deplin infiintata . Acum, colegii pot schimba mesaje de actualizare, notificare si Keepalive

Tipuri de mesaje BGP

Dupa cum s-a aratat mai sus, exista o serie de mesaje diferite trimise intre colegii BGP pentru a stabili o sesiune si atunci cand chiar si peering a fost stabilit, mesajele sunt utilizate pentru a se asigura ca ambii colegi au informatii de rutare sincronizate. BGP poate prelucra un mesaj numai dupa ce a fost primit intregul mesaj, dimensiunea maxima a mesajului este de 4096 octeti, cu 19 octeti fiind cea mai mica dimensiune a mesajului, acesta ar fi doar un antet fara date. Fiecare tip de mesaj foloseste o dimensiune de antet fixa ​​de 19 octeti cu BGP Keepalives nu include date dupa antet, asa ca vor folosi intotdeauna dimensiunea minima.

Fiecare mesaj va include urmatoarele:

Tip mesaj Descriere Deschis Odata ce conexiunea TCP a fost finalizata, ambii colegi vor trimite un Mesaj Deschis . Acest mesaj incepe sesiunea de peering, ofera detalii despre colegul de la distanta, pe langa detalii despre optiunile acceptate si optionale.

Aceste detalii sunt incluse:

  1. Versiunea BGP (in mod normal versiunea 4)
  2. Numar AS
  3. Opreste timpul
  4. ID router
  5. Par-Len
    • Daca acest set, informeaza peer ca ar trebui sa fie asteptati parametrii optionali
  6. Parametri optionali
    • Aici sunt indicati parametrii negociabili, acestia ar fi extensia de autentificare si capacitate, cum ar fi Extensiile Multiprotocol si actualizarea traseului.

Actualizare Un mesaj de actualizare trimite o lista de rute noi, retrase sau tipuri de rute de la colegul de la distanta. In functie de politica de rutare a colegilor de la distanta, acestea pot fi sau nu introduse in tabelul de rutare.

Aceste detalii sunt incluse:

  1. Lungimea rutei imposibila
    • Daca acest lucru este setat, acesta va anunta peer, lungimea rutelor de retragere
  2. Rute retrase
    • Listeaza prefixele IP care au fost eliminate, deoarece nu mai sunt considerate accesibile
  3. Lungimea atributului caii
    • Aceasta indica lungimea totala a campului Atribute de cale. Valoarea sa permite determinarea lungimii campului de reabilitare a stratului de retea. O valoare de 0 determina faptul ca nici Path Attribute si NLRI nu sunt prezente in actualizare.
  4. Atribut de cale
    • Urmatoarele proprietati pentru un traseu sunt incluse:
      1. Origine
      2. CA calea
      3. Urmatorul pas
      4. Discriminator multi-iesire (MED)
      5. Preferinta locala
  5. Informatii privind lungimea retelei (NLRI)
    • Listeaza prefixurile IP care vor fi anuntate ca accesibile prin AS

Keepalive Este important sa ne amintim intotdeauna ca Mesajele Keepalive nu sunt utilizate pentru a asigura conexiunea TCP intre colegi. Acestea sunt utilizate pentru a se asigura ca BGP Hold Timers nu expira pentru a mentine in viata schimbul de rute. Notificare Notificare Mesajul este utilizat pentru a informa un coleg ca exista o eroare cu sesiunea BGP.

Exista 6 numere de cod de eroare:

  1. Eroare la antetul mesajului
  2. Deschideti mesajul de eroare
  3. Actualizare eroare mesaj
  4. Tineti cronometrul expirat
  5. Eroare a masinii cu stare finita
  6. Inceta

Pe langa 17 coduri de eroare secundare (6 erori de mesaj deschise si 11 erori de mesaje de actualizare). Acestea pot fi gasite in RFC4271

Actualizare In mod normal, BGP nu poate readverti rutele care au fost deja recunoscute de un coleg, daca pariul BGP a fost configurat pentru a sterge cu usurinta sesiunile BGP, atunci colegii vor putea schimba mesaje de actualizare . Unii furnizori trebuie sa configurati acest lucru in mod explicit, in Cisco trebuie sa configurati reconfigurarea soft, in timp ce cu Juniper este setat in mod implicit in JunOS.

Atribute BGP

Spre deosebire de alte protocoale de rutare, functia principala BGP este de a gasi calea cea mai buna catre o destinatie si nu cea mai scurta cale. BGP utilizeaza o serie de atribute pentru a calcula calea cea mai buna pentru orice prefix de destinatie dat. Aceste atribute pot fi defalcate in 4 tipuri:

Tipuri de atribute bine cunoscute Obligatoriu binecunoscut Aceste atribute trebuie sa fie cunoscute si intelese de toti vorbitorii BGP. In plus, trebuie sa existe in cadrul mesajelor de actualizare BGP.

Atribute clasificate ca atribute bine cunoscute:

  • Origine
  • CA calea
  • Urmatorul pas

Bine cunoscut Optional Aceste atribute trebuie sa fie cunoscute si intelese de toti vorbitorii BGP. Cu toate acestea, nu trebuie sa existe intr-un mesaj de actualizare BGP.

Atribute clasificate ca atribute optionale bine cunoscute:

  • Preferinta locala
  • Agregator atomic

Tipuri de atribute optionale BGP Atributele tranzitorii optionale nu trebuie sa fie intelese de catre un vorbitor BGP, insa steagurile setate vor trebui transmise altor vecini.

Atribute clasificate ca optionale tranzitive:

  • agregator
  • Comunitate
  • Comunitate extinsa

Optional Non-tranzitiv Aceste atribute nu trebuie sa fie intelese de un vorbitor BGP, iar steagurile setate nu vor fi transmise altor vecini.

  • Discriminator multi-iesire
  • ID de origine
  • Lista grupurilor
  • Multiprotocol Rachable NLRI
  • Multiprotocol NLRI de neatins

Un mesaj de actualizare BGP ar putea include unele, daca nu toate, din urmatoarele atribute:

  Informatii despre mesaj Originea (codul atributului 1) Atributul origine confirma sursa rutei, de unde a fost invatata ruta. Originea unui traseu poate fi:

  1. I: Intern (0) Traseul este invatat de la IGP

  2. E: extern (1) Traseul este invatat de la EGP

  3. ?: Incomplet (2) Traseul se invata prin ceva care nu este prin metode interne sau externe

Regula folosita pentru Origine este aceea ca: Intern este mai bun decat Extern, care este mai bun decat Incomplet

 AS Path (cod atribut 2) AS Path este o lista de numere AS care se afla intre routerul sursa AS la propriul nostru AS. Calea AS este ca principalele utilizari sunt pentru a preveni buclele de rutare, pentru a ajuta la selectarea caii si rutarea bazata pe politici (PBR). Routerul BGP va renunta la orice ruta primita acolo unde isi poate vedea propriul numar AS in Calea AS, astfel este impiedicat buclele de rutare. Calea permite routerului sa ia decizii de politica bazate pe prezenta anumitor sisteme AS pe cale. In plus, rutele cu un traseu AS mai scurt sunt preferate decat rutele cu mai mult timp AS Path Next-Hop (Cod de atribut 3) Acest atribut contine adresa IP a colegului BGP care face reclama. Next-Hop este utilizat pentru accesibilitate si fiabil pentru sesiunea BGP. Pentru eBGP este de obicei adresa peering asociata legaturii fizice cu un alt AS. iBGP functioneaza diferit, intrucat puteti avea situatii in care, datorita regulilor cu iBGP, urmatoarea adresa de hop nu este accesibila datorita invatarii traseului de la un alt coleg iBGP, in aceasta situatie Next-Hop poate fi modificat dupa politica. Discriminator multi iesire (cod atribut 4) Discriminator multi iesire (MED) este utilizat atunci cand exista mai multe rute catre acelasi AS din amonte. Ruta cu cea mai mica valoare MED este intotdeauna preferata in mod implicit. Preferinta locala (cod atribut 5) Preferinta locala este un atribut important, deoarece este primul atribut evaluat in procesul de selectie a caii. Preferinta locala este utilizata pentru comunicatiile de trafic Infra-AS pentru sesiunea BGP. Ca si nume, sugereaza este utilizat doar pentru a influenta traficul in cadrul unui AS. In mod ciudat, BGP prefera rutele cu cea mai mare preferinta locala. Atomic Aggregator (Codul atributului 6) Atributul Agregator Atomic este o notificare care spune altor vorbitori BGP din AS-Path ca unele informatii au fost pierdute si / sau modificate din cauza agregarii rutei. Aceasta poate afecta cea mai buna selectie a caii, deoarece a fost selectata o ruta mai putin specifica pe o ruta mai specifica. Agregator (Codul atributului 7) Atributul agregator este setat atunci cand a fost agregata un traseu publicitat. Acest atribut contine numarul AS si ID-ul Router-ului Router-ului care a efectuat comunitatile de agregare (Codul atributului 8) Atributul comunitar este o eticheta care este folosita pentru a modifica, filtra si / sau influenta un grup comun de prefixuri IP pentru a actiona. intr-un mod definit de utilizator. Comunitatile utilizeaza 4 octeti de spatiu pentru a-i reprezenta valoarea. Comunitatile sunt utilizate impreuna cu PBR. O comunitate are o valoare pe 32 de biti, care este comuna definita ca adresa AS / IP: definita de utilizator, adica 100: 1 sau 192.168.100.1:1. 100 ar fi AS sau 192.168.100.1 fiind adresa de bucla a dispozitivului cu 1 fiind o valoare semnificativa in AS100. Identificator de origine (Codul atributului 9) Atributul de origine este un mecanism de prevenire a buclelor utilizat in reteaua iBGP folosind un Reflector de ruta. Route Reflector ataseaza daca router-ID-ul este propriul rutelor, deci daca primeste o ruta cu propriul ID de router, va ignora ruta. Cluster List (Cod de atribut 10) Lista de cluster similara cu atributul ID de initiator este un mecanism de prevenire a buclelor, insa daca se foloseste o retea iBGP un set de grupuri de Reflectori de Ruta, atunci rutele au ID-ul Cluster Reflectors Route atasat la rutele publicitate.

  1. Negociaza ce familii unicast non IPv4 vor fi anuntate intre doi colegi BGP.

  2. Defineste adresa stratului de retea a routerului care ar trebui sa fie urmatorul salt al familiilor de destinatie. Adica daca ati facut publicitate familiei l2vpn bgp, urmatorul salt pentru aceasta familie bgp va fi definit in acest atribut.

Cand acest atribut este utilizat intr-un mesaj de actualizare BGP, trebuie sa fie incluse atributele Origin si AS Path. Atributul Local Preference este adaugat suplimentar la Mesaje de actualizare pentru sesiunile de peering iBGP.

Multi-Protocol Unreachable NLRI (Codul atributului 15) Atributul NLRI Multi-Protocol Unreachable este utilizat pentru a retrage orice familii BGP care nu mai sunt publicitate intre colegii BGP. Comunitati extinse (Cod de atribut 16) Comunitatile extinse sunt aceleasi ca un atribut al Comunitatii, cu toate ca are 8 octeti de spatiu pentru a reprezenta comunitatea comparativ cu 4 octeti cu comunitati normale. Aceasta permite o valoare pe 64 de biti, poate fi reprezentata ca Tip: Administrator global: Local-Administrator. Este important sa retineti ca ati setat cantitatea de biti pe care o puteti utiliza. Veti avea 16 biti pentru Type, 16 biti, pentru Global-Administrator (in mod obisnuit adresa ASN / IP) si 32 biti, pentru Local-Administrator (in mod uzual definit de utilizator).   

Selectia cailor BGP

Cand un prefix de destinatie atins de mai multe rute prin BGP in mod implicit, o singura cale va fi publicizata in tabelul de rutare. In acest sens, BGP si-a folosit algoritmul de selectie a rutei pentru a determina ce cale va fi instalata in tabelul de rutare. Algoritmul foloseste urmatorii pasi:

  • Prefera cea mai mare valoare a preferintei locale
  • Verifica ce cale are cea mai scurta cale AS
  • Traseul cu cea mai mica valoare de origine
  • Daca ruta are un MED inferior
  • Daca prefixul este invatat prin eBGP este preferat decat invatat prin iBGP
  • Calea cu o iesire mai buna din AS local. Acest lucru inseamna ca costul metric IGP de baza este luat in considerare, este preferata calea cu cel mai mic IGP
  • Ruta eBGP care are cel mai lung timp de functionare sau prefera rutele de la egal cu cel mai mic ID de router
  • Prefera rutele cu cea mai scurta lungime a listei de cluster. Acest lucru se intampla atunci cand utilizati un Reflector de traseu in cadrul sesiunii de peering iBGP
  • Prefera rutele de la un coleg cu cea mai mica adresa IP

Unii furnizori au propriile lor adaugari specifice ale furnizorului la algoritmul de selectie a cailor. Cisco use Weight inainte de a verifica Preference Local si Juniper verifica daca Next-Hop este accesibil inainte de a verifica Preferinta locala. Cu JunOS, daca Next-Hop nu este verificat, atunci ruta este setata ca o ruta ascunsa si va trebui sa fie investigata.

Ce este BGP FlowSpec?

Am incurcat recent cu unele scripturi Junos Automate la care unul dintre colegii mei lucrase anterior, care ar putea fi folosit pentru a adauga rute statice pentru a activa Remote Triggered Blackhole (RTBH)Filtrare (care poate fi gasita aici), si am gasit ca a fost un pic dur in jurul marginilor (pentru persoanele care nu sunt clisee). In timp ce am inceput, am inceput sa ma uit la RTBH si am vazut ca este o solutie grea in incercarea de a combate atacurile DDoS impotriva unei retele. Tehnologia RTBH este in vigoare de mai multi ani si a fost definita in RFC 3882 si RFC 5635. In termenii cei mai de baza, puteti sa gauriti tot traficul de la o adresa sursa si / sau la o adresa de destinatie, injectand atacul. / prefix atacat in BGP cu o comunitate care va rescrie urmatorul salt catre o ruta de eliminare pre-configurata pe routerele de margine. Daca aveti DDoS masivi care incearca sa blocheze fiecare adresa sursa, ar fi ca sa mergi la pescuit cu o pusca. Prin blocarea adresei de destinatie, atacatorul va obtine rezultatul dorit. In acest sens, folosirea RTBH estein mod ideal, o solutie de ultima solutie. Exista o modalitate alternativa mai subtila de a bloca traficul de atac nedorit din reteaua noastra. Aceasta metoda alternativa este cunoscuta sub numele de BGP FlowSpec .

Ce este BGP FlowSpec

BGP FlowSpec este definit in RFC 5575. RFC 5575 defineste o noua extensie multi-protocol BGP MP-BGP , in plus, cu noi NLRI Informatii privind capacitatea retelei. Noul NLRI colecteaza 12 tipuri de detalii Layer 3 si Layer 4 care sunt utilizate pentru a defini o Specificatie de flux, apoi actiunile sunt alocate acestor rute, in functie de nevoile utilizatorului. Daca doriti sa priviti FlowSpec intr-o forma simpla, este un filtru de firewall care este injectat in BGP pentru a filtra anumite porturi si protocol (e) exact asa cum ar face un ACL normal. BGP foloseste NLRI pentru a schimba detaliile de rutare intre boxele BGP, fiecare dintre extensiile MP-BGP are propriile detalii ale NLRI care sunt identificate prin indicatorul AFI al familiei de adrese.si indicatorul ulterior al familiei de adresa AFI . De obicei, rutele unicast IPv4 (cunoscute si sub numele de familii BGP ) sunt implicite pentru colegii BGP, daca rutele unicast non IPv4 trebuie schimbate, adica rutele IPv6, EVPN, L2VPN, FlowSpec, atunci MP-BGP defineste NLRI-ul relevant al routerului care ar trebui au urmatorul hop al familiilor de destinatie. Acest lucru a fost definit in RFC 2858 si RFC 4760. Asa cum s-a mentionat mai sus, incepand cu scrierea, au existat 12 tipuri NLRI definite pentru BGP FlowSpec, aceste campuri vor fi adaugate in campul NLRI din cadrul mesajului de actualizare BGP si vor fi anuntate colegilor. In plus, FlowSpec nu accepta inca IPv6.

Tipuri FlowSpec NLRI

Acestea sunt cele 12 tipuri de FlowSpec NLRI:

Tipul NLRI Componenta 1 Prefixul destinatiei

Defineste prefixul de destinatie care sa se potriveasca 2 Prefixul sursa

Defineste prefixul sursa 3 Protocolul IP

Contine un set de perechi {operator, valoare} care sunt utilizate pentru a potrivi octetul valorii protocolului IP in pachetele IP. 4 Port

Acesta defineste daca TCP, UDP sau ambele vor fi pachete vor fi influentate 5 Portul

de destinatie Defineste portul de destinatie care va fi influentat de FlowSpec 6 Port sursa

Defineste portul sursa care va fi influentat de FlowSpec 7 ICMP Type 8 Cod ICMP 9 Steaguri TCP 10 Lungimea de pachete de

meci pe lungimea totala a pachetului IP ( cu exceptia Layer 2 , dar inclusiv antetul IP) 11 DSCP

meci pe clasa de pavilion serviciu de 12 Fragment Codare

NOTA: Nu toate cele 12 tipuri trebuie sa fie definite pentru ca FlowSpec sa fie activat

Actiuni FlowSpec

RFC 5575 a definit 4 actiuni minime pe care le pot lua rute care se potrivesc cu tipurile FlowSpec NRLI. Aceste actiuni se desfasoara pe masura ce comunitatile extinse BGP se adauga la ruta FlowSpec. Aceste actiuni sunt:

Comunitatea cu rate de trafic

Comunitatea Traffic-Rate nu este tranzitiva, ceea ce ii spune peer-ului BGP care primeste, la ce sa limiteze rata de potrivire a traficului. Daca traficul trebuie aruncat sau aruncat, aceasta va fi utilizata la limita de 0.

Comunitatea cu actiuni in trafic

Comunitatea Traffic-Action este utilizata pentru esantionarea traficului definit. Aceasta permite colectarea valorilor de esantionare si de inregistrare de pe ruta FlowSpec, care ar putea fi utilizate pentru a intelege mai bine traficul de atac.

Redirectioneaza comunitatea

Comunitatea Redirectionarea permite traficul FlowSpec sa fie redirectionat intr – o rutare virtuala si Forward instanta VRF . Deoarece pot fi utilizate aceleasi Route-Targets si Route-Distinguisher, puteti importa rute intr-un VPN dedicat blackhole sau orice alt VPNv4.

Comunitatea de marcare a traficului

Comunitatea de marcare a traficului este utilizata pentru a modifica bitii DSCP de punct de cod de service diferentiat dintr-un pachet IP tranzitor la valoarea definita. Aceasta poate fi utilizata pentru a seta rutele FlowSpec la cea mai mare probabilitate de eliminare, permitand traficului sa nu scada / sa fie aruncat pana

Comandarea regulilor FlowSpec

Este important de mentionat ca, spre deosebire de filtrele firewall normale, rutele FlowSpec folosesc o metoda diferita de reguli de comanda. Majoritatea filtrelor de firewall si / sau ACL folosesc abordarea de sus in jos, acolo unde, odata ce filtrul are o potrivire, orice alte reguli ulterior nu sunt inspectate. Cu FlowSpec este utilizat un algoritm determinist pentru a comanda regulile. Prin compararea componentei din stanga a fiecarui FlowSpec NLRI, algoritmul va folosi urmatoarele detalii pentru a comanda rutele FlowSpec:

    1. Daca tipurile difera, se foloseste cel mai mic tip. Daca tipurile sunt aceleasi, atunci valorile componentelor din acea componenta sunt comparate
    2. Pentru valorile IP, este ales cel mai mic prefix IP. Daca adresele IP sunt aceleasi, se utilizeaza cel mai specific prefix
    3. Pentru toate celelalte tipuri, sirul binar al continutului este comparat pentru a determina ordinea

Verificari de validare

Validarea verificarilor in cadrul FlowSpec este importanta, deoarece s-ar putea ajunge intr-o situatie in care, daca nu se efectueaza verificari de validare, traseul (rutele) FlowSpec ar putea fi injectat de un atacator care nu detine un set de prefixuri care ar putea sa gaureasca traficul . Ca orice alta ruta BGP unicast, urmatoarea adresa trebuie sa se rezolve pentru ca ruta sa poata fi utilizata, conform procesului normal de selectare a caii BGP. In plus, la un hop-ul valid, RFC 5775 a definit ca urmatorul trebuie sa fie valabil pentru o specificatie de flux:

    1. Originalul specificatiei de flux se potriveste cu cel al celei mai bune potrivite rute unicast pentru prefixul de destinatie incorporat in specificatia fluxului.
    2. Nu exista mai multe rute unicast specifice, in comparatie cu prefixul destinatiei fluxului, care au fost primite de la un alt AS vecin decat ruta de unicast cu cea mai buna potrivire, care a fost determinata la pasul 1

Obiectivul general este de a confirma ca initiatorul traseului FlowSpec este acelasi cu cel al initiatorului unicast-ului BGP, acest lucru se face fie folosind atributul AS Path al BGP, fie daca acesta nu este prezent (in situatia iBGP), atunci peering Adresa IP este utilizata.

FlowSpec si Junos

Configurarea FlowSpec pe un dispozitiv JunOS este de fapt destul de simpla. Sunt obraznic si nu am de fapt o topologie configurata pentru a afisa iesirile complete de „ afisare a comenzii” de verificare pe cli, dar cand voi ajunge timpul pentru a configura ceva, voi reveni pentru a edita aceasta postare . Cu toate cele spuse, Hai sa ne crapam: p

Scenariul este ca avem un atac din 172.90.87.15 pe portul TCP 80 catre serverul web 8.9.0.1. Mai intai vom injecta o ruta FlowSpec pentru a arunca tot portul TCP 80 pana la 8.9.0.1 cand sursa este din 172.90.87.15. Va trebui sa ne asiguram ca putem comanda termenii conform cerintei RFC, acest lucru se realizeaza sub stanza de flux a optiunilor de rutare :

[email protected] # arata standardul de comanda a termenului pentru fluxul de optiuni de rutare;

Apoi activati fluxul familiei MP-BGP catre grupul BGP

[email protected] # show protocols bgp group test type intern; family inet {unicast; curgere

Apoi configurati ruta FlowSpec sub stanza de ruta a fluxului cu optiuni de rutare:

[editarea optiunilor de rutare a fluxului de testare] [email protected] # show match {destination 8.9.0.1/32; sursa 172.90.87.15/32; protocol tcp; port 80; } apoi aruncati;

Cu acestea sunt optiunile disponibile la meci si apoi steagurile. Veti observa ca sunt in mare parte aceleasi steaguri care au fost mentionate in RFC

Potriveste Steagurile Atunci cand Steagurile

[editati fluxul de optiuni de rutare] [protejat prin e-mail] # setare potrivire test test? Completari posibile: + aplicati-grupuri Grupuri din care sa mosteneasca date de configurare + aplicatii-grupuri-cu exceptia Nu mostenesc date de configurare de la aceste grupuri Destinatie destinatie pentru acest flux de trafic + destinatie-port Destinatie TCP / UDP port + dscp Servicii diferentiate ( DiffServ) punct de cod (DSCP) (0-63) + fragment + cod icmp Cod de mesaj ICMP + icmp-tip tip de mesaj ICMP + pachet lungime Lungime pachet (0-65535) + port Sursa sau destinatie Port TCP / UDP + protocol Sursa valorii protocolului IP Prefixul sursa pentru acest flux de trafic + port sursa Sursa port TCP / UDP + flaguri tcp steaguri TCP
[editati fluxul de optiuni de rutare] [protejat prin e-mail] # setati testul de ruta atunci? Completari posibile: acceptati Permite traficul prin + aplica-grupuri Grupuri din care sa mosteneasca date de configurare + aplicatii-grupuri-cu exceptia Nu mostenesc date de configurare din comunitatea acestor grupuri Numele comunitatii BGP aruncati Elimina tot traficul pentru acest flux pe termen viitor Continua evaluarea filtrului dupa potrivirea acestei limite a debitului Rata in biti / sec pentru a limita traficul de flux (9600..1000000000000) instanta de rutare Redirectionati catre instanta identificata prin esantionul comunitatii Ruta tinta Trafic de proba care se potriveste cu acest flux

Odata angajat, veti putea verifica rutele Flowspec, deoarece sunt instalate in propriul tabel de rutare inetflow.0 si daca sunt dedicate, VRF pentru rutele FlowSpec si tabelul va fi sub ruta-instanta-nume.inetflow.0 . Puteti verifica, de asemenea, filtrul pentru firewall-ul FlowSpec ruland filtrul de firewall de comanda show __flowspec_default_inet__

Filtru FlowSpec TableFlowSpec Firewall

[email protected]> arata tabelul rutelor inetflow.0 extensiv inetflow.0: 6 destinatii, 6 rute (6 active, 0 retinere, 0 ascunsa) 8.9.0.1,172.90.87.15, proto = 6, port = 80 / termen: 3 (1 intrare, 1 anuntata) STI: KRT in dfwd; Actiuni (e): aruncati, numarati * Preferenta fluxului: 5 Tipul urmator de hamei: Fictiune Adresa: 0x94359c4 Numar de referinta la urmatorul salt: 6 Stat: Local AS: 65123 Varsta: 4:10 Stare de validare: neverificat Sarcina: RT Flux de anunturi biti ( 1): calea 0-Flow AS: I Comunitati: rata de trafic: 0: 0
[email protected]> show firewall filter __flowspec_default_inet__ Filtru: __flowspec_default_inet__ Contori: Pachetele de bytes de nume 8.9.0.1.172.90.87.15, proto = 6, port = 80 0 0

Post Navigation