Page 1

Se uma rea OSPF estiver muito grande os seguintes problemas podem aparecer.
Clculos freqentes de SPF: Com uma rede muito grande inevitvel que no haja queda em links e
os roteadores passem muito tempo calculando novamente a tabela de rotas.
As tabelas de link-state e a tabela de rotas vai ficar muito grande .

A soluo para isso separar as redes em reas distintas. Isso que ser tratado mais adiante.

Page 2

O OSPF permite roteamento hierrquico, ou seja, dividir um sistema autnomo em vrias reas menores. As
principais vantagens so:
Reduo o nmero de clculos SPF - Como a informao de roteamento detalhada mantida dentro da
rea, no necessrio enviar todos as mudanas de link-state para todas as reas. Portanto, nem todos os
roteadores vo rodar o algoritmo SPF novamente, somente os afetados pela mudana.
Tabela de rotas menores - Voc pode sumarizar as rotas de uma rea para a outra, no sendo necessrio
enviar detalhes de todas as subredes de sua rea.
Reduo do overhead de LSU - Os LSUs podem conter vrios tipos de LSAs, sendo um deles chamado de
summary LSA. Ao invs de mandar informao de cada rede dentro da rea, pode ser anunciado uma simples
ou um conjunto simples de rotas sumarizadas para reduzir a quantidade de LSUs enviados na rede.

Page 3

Os roteadores so definidos como:

Roteadores Internos - Possuem todas as interfaces dentro de uma nica rea. Eles possuem cpias idnticas
de link-state database.
Backbone Routers - Roteadores que possuem pelo menos uma interface na rea 0.
ABR (rea Border Router) - Roteadores que possuem interfaces em mltiplas reas. Eles possuem link-state
databases separadas para cada rea em que est conectado. Os ABRs so os pontos de sada de uma rea, o
que significa que uma informao de uma rea para outra deve passar por um ABR. Os ABRs sumarizam as
informaes de suas link-state databases das reas em que ele est conectado e envia para a rea backbone.
Da mesma forma ele pega as informaes do backbone e envia para todas as outras reas.
ASBR (Autonomous System Boundary Router) - Os roteadores que possuem pelo menos uma interface em
uma rede externa, ou seja, outro sistema autnomo, como uma rede no OSPF. Esses roteadores podem
importar (redistribuir) rotas no-OSPF dentro da rede OSPF e vice-versa.
Observao: Os roteadores possuem a mesma link-state database para aquela rea em que eles esto
conectados.

Page 4

Page 5

rea Padro:
Essa rea aceita todos LSAs
rea Backbone:
A rea backbone liga todas as reas
Sempre recebe o nmero 0
Todas as reas devem estar conectadas na rea 0.
Possui todas as propriedades da rea padro.
rea Stub:
No aceita informaes sobre rotas externas ao sistema autnomo como rotas no OSPF.
Para essas rotas usado uma rota default (0.0.0.0).
rea Totally Stub:
No aceita rotas externas e nem rotas do summary link.
Para redes fora da rea usada a rota default.
rea Not-so-Stubby:
Como se fosse a rea totally stub. A diferena que aceita rotas externas (LSA tipo 7).

Page 6

r3#sh ip ospf database

OSPF Router with ID (3.3.3.3) (Process ID 6665)
Router Link States (Area 0)
Link ID
ADV Router
Age
Seq#
Checksum Link count
3.3.3.3
r3
1569
0x80000023 0x7EF3 2
36.36.36.36 r3660
641
0x80000022 0x7198 2
...
r3#sh ip ospf database router 3.3.3.3
OSPF Router with ID (3.3.3.3) (Process ID 6665)
Router Link States (Area 0)
LS age: 1632
Options: (No TOS-capability, DC)
LS Type: Router Links
Link State ID: 3.3.3.3
Advertising Router: r3
LS Seq Number: 80000023
Checksum: 0x7EF3
Length: 48
Area Border Router
Number of Links: 2
Link connected to: another Router (point-to-point)
(Link ID) Neighboring Router ID: 36.36.36.36
(Link Data) Router Interface address: 139.2.36.3
Number of TOS metrics: 0
TOS 0 Metrics: 64
Link connected to: a Stub Network
(Link ID) Network/subnet number: 139.2.36.0
(Link Data) Network Mask: 255.255.255.0
Number of TOS metrics: 0
TOS 0 Metrics: 64

O primeiro comando (show ip ospf database) mostra toda a link-state database de forma reduzida. Nesse caso s foi copiada a parte
dos routers LSAs para que voc possa observar o detalhamento atravs do segundo comando (show ip ospf database router 3.3.3.3)
onde foi selecionado para viusaulizao o router LSA com Link State ID de 3.3.3.3.
Observao

Page 7

Quando o link ponto a ponto o OSPF cria uma stub network, fazendo com esse link seja descrito como se fossem dois.

r3660#show ip ospf database

OSPF Router with ID (36.36.36.36) (Process ID 36)
Net Link States (Area 4)
Link ID

ADV Router

139.2.26.60

Age

36.36.36.36

Seq#
1371

Checksum
0x8000001F 0x6549

r3660#show ip ospf database network

OSPF Router with ID (36.36.36.36) (Process ID 36)
Net Link States (Area 4)
Routing Bit Set on this LSA
LS age: 1457
Options: (No TOS-capability, DC)
LS Type: Network Links
Link State ID: 139.2.26.60 (address of Designated Router)
Advertising Router: r3660
LS Seq Number: 8000001F
Checksum: 0x6549
Length: 32
Network Mask: /24
Attached Router: 36.36.36.36
Attached Router: 26.26.26.26

Nesse caso o roteador com 36.36.36.36 possui o link 139.2.26.60 em uma rede broadcast e ele o DR. Existem um roteador nessa
mesma rede que o 26.26.26.26.

Page 8

r7206#show ip ospf database

OSPF Router with ID (72.72.72.72) (Process ID 4)
Summary Net Link States (Area 1)
Link ID

ADV Router

Age

Seq#

Checksum

139.2.26.0

r3

1396

0x80000023 0x8498

139.2.36.0

r3

1396

0x80000023 0xB16B

r7206#show ip ospf database summary 139.2.26.0

OSPF Router with ID (72.72.72.72) (Process ID 4)
Summary Net Link States (Area 1)
Routing Bit Set on this LSA
LS age: 1441
Options: (No TOS-capability, DC, Upward)
LS Type: Summary Links(Network)
Link State ID: 139.2.26.0 (summary Network Number)
Advertising Router: r3
LS Seq Number: 80000023
Checksum: 0x8498
Length: 28
Network Mask: /24
TOS: 0 Metric: 74

Essa a sada detalhada do summary LSA que possui link ID 139.2.26.0. Anuncia as redes de uma rea para outra rea.

Page 9

r7206#show ip ospf database

OSPF Router with ID (72.72.72.72) (Process ID 4)
Summary ASB Link States (Area 1)
Link ID
36.36.36.36

ADV Router
r3

Age
307

Seq#

Checksum

0x80000024 0xDE5D

r7206#show ip ospf database asbr-summary 36.36.36.36

OSPF Router with ID (72.72.72.72) (Process ID 4)
Summary ASB Link States (Area 1)
Routing Bit Set on this LSA
LS age: 394
Options: (No TOS-capability, DC, Upward)
LS Type: Summary Links(AS Boundary Router)
Link State ID: 36.36.36.36 (AS Boundary Router address)
Advertising Router: r3
LS Seq Number: 80000024
Checksum: 0xDE5D
Length: 28
Network Mask: /0
TOS: 0 Metric: 64
Observe que o o ASBR o roteador 36.36.36.36.
Page 10

r7206#sh ip ospf database

Type-5 AS External Link States
Link ID

ADV Router

Age

Seq#

150.100.0.0

r3660

1022

0x8000001E 0xB24F 0

Checksum Tag

192.128.10.0

r3660

24

0x80000021 0xC8E5 0

r7206#sh ip ospf database external 150.100.0.0

OSPF Router with ID (72.72.72.72) (Process ID 4)
Type-5 AS External Link States
Routing Bit Set on this LSA
LS age: 1124
Options: (No TOS-capability, DC)
LS Type: AS External Link
Link State ID: 150.100.0.0 (External Network Number )
Advertising Router: r3660
LS Seq Number: 8000001E
Checksum: 0xB24F
Length: 36
Network Mask: /16
Metric Type: 2 (Larger than any link state path)
TOS: 0
Metric: 10
Forward Address: 0.0.0.0
External Route Tag: 0
O roteador r3660 o ASBR e ele est anunciando duas rotas externas (150.100.0.0 e 192.128.10.0). O endereo de envio (forward
address) 0.0.0.0 indicando que os pacotes com destino s redes externas devem ser enviados ao roteador que as anunciou (ASBR).

Page 11

A configurao do ABR simples, basta colocar suas interfaces em diferentes reas, uma ou mais na rea
backbone(0) e uma ou mais em outra rea que ser interliga na backbone.
A Cisco recomenda que at 50 roteadores por rea OSPF, bem como, no se colocar hosts na rea 0.

Page 12

A sumarizao de rotas extremamente importante para fazer com que uma rede seja eficiente, diminuindo as tabelas de rotas dos
roteadores e facilitando anlise e atualizao da rede. Para isso, o trabalho deve comear no plano de endereamento IP. Se ele for
realizado considerando a caracterstica de hierarquia do OSPF sua rede ser otimizada.
No nosso exemplo temos a rede 130.130.0.0 que foi segmentada em subredes em duas reas. As subredes 130.130.0.0/24 at
130.130.31.0/24 esto na rea 0. E as subredes 130.130.32.0/24 at 130.130.63.0/24. A rea 0 no precisa ter na tabela de rotas uma
linha para cada subrede e o mesmo vale para a rea 1. Nesse caso, usamos a sumarizao.
Como fazemos para definir a mscara de sumarizao?
Vamos analisar o terceiro octeto em binrio:
130.130.0.0 - 130.130.00000000.0
130.130.1.0 - 130.130.00000001.0
130.130.2.0 - 130.130.00000010.0
130.130.3.0 - 130.130.00000011.0
130.130.4.0 - 130.130.00000100.0
130.130.5.0 - 130.130.00000101.0
130.130.6.0 - 130.130.00000110.0
130.130.7.0 - 130.130.00000111.0
130.130.8.0 - 130.130.00001000.0
130.130.9.0 - 130.130.00001001.0
130.130.10.0 - 130.130.00001010.0
130.130.11.0 - 130.130.00001011.0
130.130.12.0 - 130.130.00001100.0
130.130.13.0 - 130.130.00001101.0
130.130.14.0 - 130.130.00001110.0
130.130.15.0 - 130.130.00001111.0

130.130.16.0
130.130.17.0
130.130.18.0
130.130.19.0
130.130.20.0
130.130.21.0
130.130.22.0
130.130.23.0
130.130.24.0
130.130.25.0
130.130.26.0
130.130.27.0
130.130.28.0
130.130.29.0
130.130.30.0
130.130.31.0

- 130.130.00010000.0
- 130.130.00010001.0
- 130.130.00010010.0
- 130.130.00010011.0
- 130.130.00010100.0
- 130.130.00010101.0
- 130.130.00010110.0
- 130.130.00010111.0
- 130.130.00011000.0
- 130.130.00011001.0
- 130.130.00011010.0
- 130.130.00011011.0
- 130.130.00011100.0
- 130.130.00011101.0
- 130.130.00011110.0
- 130.130.00011111.0

Sempre os trs primeiros bits do terceiro octeto so iguais at a rede 130.130.31.0. Poderia ser usada a mscara de 255.255.224.0 para
sumarizao, pois essa mscara representaria a toda a faixa de endereos desejada.

Page 13

Para os casos de rotas externas a sumarizao feita no ASBR com o comando summary-address. A palavra
chave no-advertise suprime rotas que possuem mesma mscara. O tag serve para casos de controle
redistribuio via route map.

Page 14

Existem dois tipos de rotas externas que sero colocados dentro do sistema autnomo. Os tipos so E1 e E2.
As rotas E1 possuem mtrica que sero alteradas conforme ela vai sendo anunciada na rede. Por exemplo se
a mtrica inicial era 2 e ela passou por dois links com mtrica 10 a mtrica final ser 22.
Nas rotas E2 a mtrica permanece a mesma em toda rede. Se a mtrica inicial 3 ela ser igual em toda a
rede.

Page 15

O ASBR anuncia para o sistema autnomo do OSPF as rotas externas, mas no anuncia uma rota default.
Se for necessrio que os roteadores OSPF usem uma rota default (por exemplo, uma sada para a Internet), o
ASBR deve ser forado a faz-lo.
Os argumentos do comando so:

always - faz com a rota default seja gerada mesmo que o ASBR no possua a mesma.
metric - define qual ser o custo dessa rota
metric-type - Se a rota ser tipo 1 ou tipo 2.
Route-map - se haver um route-map asscociado a esse comando.

Observao
O ASBR deve ter configurada uma rota default atravs dos comandos:
ip route 0.0.0.0 0.0.0.0 [destino] ou
ip default-network [rede destino]

Page 16

A rea stub uma rea que no aceita rotas externas ao sistema autnomo, no lugar delas essa rea usa rotas
default.
Essa uma maneira de otimizar o projeto OSPF diminuindo o tamanho das tabelas de rotas.

Page 17

Para configurar os roteadores em uma rea stub usa-se o comando:

area [x] stub.
Esse comando deve ser digitado em todos os roteadores.

Page 18

A rea stub sumariza todas as rotas externas rea. Ela s conhece as rotas internas do AS.

Page 19

A configuraco da rea totally stub requer o comando no primeiro roteador (ABR):

area [x] stub no-summary.
Nos demais deve-se usar o comando para rea stub:
area [x] stub.

A palavra no-summary no permite a entrada de summary LSA.

Page 20

Uma rea stub o fim da linha. No existem outros caminhos para sair da rea exceto pelo ABR (podem ter
mais de um ABR). A razo para reas stubs otimizar redes grandes.
As principais caractersticas so:
No podem ter ASBR.
No podem ser rea de trnsito, ou seja, no podem ter links virtuais.

Page 21

Imagine uma situao em que deve-se ligar duas redes, uma est rodando RIP e outra OSPF. Nesse exemplo,
a rea 1 teria um ASBR, portanto ela no poderia ser uma rea stub.
Os roteadores RIP no precisam aprender rotas do OSPF, mas os roteadores OSPF devem saber as rotas do
RIP.
A rea NSSA (RFC 1587) permite que rotas externas podem ser anunciadas dentro do sistema autnomo do
OSPF, enquanto mantm as caractersticas de uma rea stub.
Para isso foram criados os LSA tipo 7, que so enviados em toda rea NSSA, mas so bloqueados no ABR. O
ABR recebe o LSA tipo 7 e transforma em LSA tipo 5.
As rotas externas de uma rea NSSA so conhecidas pela representao N1 e N2, que possuem as mesmas
caractersticas das E1 e E2.

Page 22

A configurao dos roteadores na rea NSSA simples basta usar o seguinte comando em todas os
roteadores da rea NSSA:
area [x] nssa.

Page 23

Todas as reas em uma rede OSPF devem estar ligadas atravs da rea 0. Quando isso no possvel
fisicamente deve-se usar os links virtuais. Esse recurso deve ser usado apenas para resolver problemas em
carter de urgncia e, assim que possvel, deve ser desfeito em favor de uma rede corretamente estruturada.
A implementao de links virtuais nos roteadores Cisco feito como demand circuits.

Observao
O endereo IP a ser utilizado no comando ID do roteador com o qual ser estabelecido o link virtual.
Um exemplo do comando show ip ospf virtual-links :
r3#sh ip ospf virtual-links
Virtual Link OSPF_VL0 to router 72.72.72.72 is up
Run as demand circuit
DoNotAge LSA allowed.
Transit area 1, via interface Serial0, Cost of using 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:08
Adjacency State FULL (Hello suppressed)

Observao
O hello supressed, ou seja, no h hello peridico. Na link-state database os LSA que se referem ao link
virtual ser marcado como DNA - Do Not Age, porque no h hello peridico.
Page 24

No exemplo acima a rea 1 usado como transporte para unir as rea 0 e rea 4. Para verificar o
funcionamento use o comando nos ABRs:
show ip OSPF virtual-links.

Page 25

Nesse caso os links virtuais foram usados para ligar duas reas 0, que poderia estar segmentada pelo fato de
duas empresas terem se unido, por exemplo.

Page 26

Page 27

BGP um protocolo de roteamento externo usado para estabelecer polticas de decises de

roteamento entre sistemas autnomos. Um sistema autnomo (AS) um conjunto de
roteadores sob uma nica administrao. Roteadores dentro de um AS utilizam um protocolo
de roteamento IGP, como OSPF, para rotear pacotes internamente e utilizam um protocolo
exterior para trocar pacotes entre distintos ASs.

O BGP foi desenvolvido para trabalhar em redes enormes, como a Internet.

A verso atual de BGP a verso 4 e ele est definido nas seguintes RFCs:
RFC 1771 - Border Gateway Protocol
RFC 1773 - Experience with the BGP-4 protocol
RFC 1774 - BGP-4 Protocol Analysis
RFC 1518 - An Architecture for IP Address Allocation with CIDR
RFC 1519 - Classless Inter-Domain Routing (CIDR): An assignment and Aggregation
Strategy.

BGP um protocolo Distance Vector que roda sobre o protocolo TCP com porta 179.
Existem duas diferenas ignificantes entre BGP e os outros protocolos DV.
BGP no envia updates peridicos, mas somente as mudanas.
BGP sempre seleciona caminhos sem loop, pois as rotas anunciadas possuem a
informao de caminho completo (as-path), no somente o next-hop.

Page 28

O protocolo BGP foi projetado para permitir que os ISPs (Internet Service Providers) se
comunicassem. Esses ISPs devem ter vrios links entre eles e todos devem concordar em
rodar um protocolo que manipule como e em que condies a comunicao vai ser
estabelecida. BGP um protocolo baseado em polticas de roteamento (policy based
routing) que implementa esses acordos entre os ISPs.

Page 29

Esses dados so do ano 2000 e, como a Internet est crescendo continuamente eles sofrem
alteraes muito grandes.
Para verificar o quanto cada protocolo de roteamento est usando de memria use o
comando show ip route summary

Page 30

BGP nem sempre apropriado e deve ser evitado sempre que possvel.
Se somente h um caminho utilize uma rota default. Se usar BGP voc s ir conseguir que
o roteador use CPU e memria sem necessidade. Para rodar BGP e aceitar toda a tabela de
rotas da Internet h um consumo de mais 30 Mbytes de memria, sendo 4Mbytes de
alterao em mdia por minuto (dados do ano 2000).
BGP usado para selecionar o caminho para deixar seu sistema autnomo e recomendar
para os outros AS o melhor ponto de entrada no seu AS. A nica poltica que pode ser
alterada como um pacote entra ou sai do seu AS. Uma vez que o pacote entra em outro
AS, a poltica interna desse AS passa a controlar e decidir como tratar o pacote.
Nesse curso veremos como o BGP trata e estabelece as polticas de roteamento.

Page 31

Page 32

O comando router bgp autonomous-system habilita o protocolo BGP.

O comando network nmero da rede mask mscara permite que o BGP anuncie uma rota IGP que j est
na tabela de rotas IP. Esse comando difere do comando network do OSPF, RIP e EIGRP porque ele no
habilita o protocolo na interface.
O propsito do comando network dizer ao BGP que rota anunciar. Se no for usado o comando mask,
somente ser anunciada rede classful.
Veremos adiante regras para que uma rota seja anunciada.

Page 33

Para se identificar para os outros roteadores que falam BGP, usado um endereo IP. No
caso do BGP escolhido o maior endereo IP ativo configurado no roteador. Se existir uma
interface loopback configurada, mesmo que no possui o maior endereo IP do roteador, ela
ser selecionada. Se houver mais de uma loopback, ser selecionada aquela que possuir o
maior endereo IP.
recomendado utilizar uma loopback como ID pois ela sempre est ativa, a no ser que
todo o roteador saia do ar. Isso traz mais estabilidade rede.

Page 34

O BGP mantm sua tabela para armazenar informaes recebidas de outros roteadores.
Essa tabela separada da tabela de rotas IP do roteador. Essas tabelas podem compartilhar
suas informaes dependendo da configurao.
Para ver o contedo da tabela BGP use o comando show ip bgp.

Page 35

Os detalhes que esto descritos na tabela sero discutidos ao longo do curso. Por enquanto
apenas lembre que existem duas tabelas - a do BGP e a tabela de rotas. Essas tabelas
podem ou no interagir conforme o que estiver configurado.

Page 36

Inicialmente os vizinhos BGP iro trocar as tabelas de rotas BGP. partir da sero enviadas somente as
mudanas que ocorrerem. Pacotes de keepalive so enviados para manter a conexo e pacotes de notificao
so enviados em eventos especiais.
Depois que uma conexo TCP estabelecida, a primeira mensagem enviada o open message, que
respondida com um ack se ele for aceito. Depois que o o open confirmado a conexo BGP estabelecida,
e as mensagem de atualizao, keepalive e notificao podem ser enviadas.
O open message contm:
Hold Time - Mximo tempo entre keepalives ou atualizaes. Ao receber um open message, o roteador
calcula o valor do hold time usando o menor entre o que est configurado e o recebido no open message. Se
hold time terminar e no for recebido nenhum keepalive o vizinho considerado morto. Se hold time zero no
so trocados keepalives.
ID do roteador - Identificao do roteador que est enviando a mensagem.
As mensagens de atualizao possuem informaes sobre um nico caminho. Para cada caminho deve ter
uma mensagem. Uma mensagem de atualizao pode incluir as informaes de rotas e seus atributos.
As mensagens de notificao so enviadas quando ocorrem erros. A conexo BGP fechada imediatamente
aps ser enviada uma notificao. Nas notificaes esto especificadas os cdigos dos erros, subcdigo e
outros dados relacionados.

Page 37

Antes de dois roteadores trocarem informaes BGP eles devem estabelecer uma conexo
TCP entre eles. Essa conexo monitorada atravs de keepalives.
Vizinhos Externos: Roteadores que esto fora do seu sistema autnomo. A conexo entre
eles chamada eBGP e normalmente eles esto diretamente conectados.
Vizinhos Internos: Roteadores que esto no mesmo sistema autnomo. A conexo entre
eles chamada iBGP e eles no precisam estar conectados diretamente, basta ter
conectividade IP.

Page 38

Quando estiver utilizando o endereo da loopback necessrio dizer ao seu roteador para us-lo como
endereo origem para todos os pacotes BGP. Se o comando update-source no for usado o roteador usar
como endereo de origem o endereo IP da interface pela qual o pacote est sendo enviado.
Se o comando update-source no for usado e o vizinho estiver apontando para o endereo da loopback do
seu roteador, o vizinho que receber o pacote ir verificar o endereo de origem e verificar que no h
vizinhana com esse endereo, ento o pacote ser descartado.
O comando ebgp-multihop permite que o roteador estabelea a vizinhana com um vizinho externo usando os
endereos da loopback. Nesse caso, no h rota IGP apontando como chegar ao endereo loopback do
vizinho, mas mesmo assim o roteador conseguir estabelecer a vizinhana.

Page 39

O BGP somente envia atualizaes se ocorreu alguma mudana na tabela e somente manda uma vez. Se uma
poltica alterada entre dois vizinhos necessrio reiniciar a conexo para que a alterao passe a valer.
Se o comando clear ip bgp * acima for utilizado sem a palavra soft toda a tabela BGP ser apagada e todas
as rotas sero aprendidas novamente ao mesmo tempo. Isso pode causar muitos problemas se voc tiver
muitos vizinhos. Por essa razo aconselhado que use o comando especfico para cada vizinho, ou seja, o
impacto na rede ser muito menor.
A opo soft faz com que o roteador no reset a sesso BGP, ao invs disso, ele cria uma nova atualizao e
envia toda a tabela para todos vizinhos ou queles especificados.

Page 40

Os vizinhos que esto em estado ACTIVE ainda no esto OK, pois eles no ainda no trocaram as tabelas. Com esse
comando tem-se um resumo dos vizinhos de um roteador.
BGP table version - verso da tabela interna do BGP
Main routing table version - verso da ltima tabela colocada na tabela de rotas
Neighbor - ID do vizinho
V - verso do BGP que est rodando
AS - nmero do AS do vizinho
MsgRcvd - mensagens recebidas
MsgSent - mensagens enviadas
TblVer - verso da ltima tabela enviada pelo vizinho
InQ - mensagens recebidas do vizinho que esto que esto sendo processadas
OutQ - mensagens que esto para ser enviadas para o vizinho
Up/Down - tempo em que a conexo TCP foi estabelecida ou foi encerrada
State/PfxRcd - Estado da conexo e nmero de prefixos recebidos do vizinho. Se exceder o nmero mximo de prefixos
assinalados para serem recebidos de um vizinho (comando neighbor maximum-prefix) a conexo vai para down e o
estado fica em idle.

Page 41

Para maiores detalhes use o comando show ip bgp neighbors. Note que nesse exemplo o vizinho eBGP.

Page 42

As informaes relevantes nesse exemplo so:

No so enviadas atualizaes de RIP entre os sistemas autnomos (passive-interface).
Os vizinhos so externos e esto usando os endereos das interfaces seriais para estabelecer a conexo
TCP. Portanto, no necessrio usar os comandos update-source e ebgp-multithop.

Page 43

Existem trs condies a serem seguidas para que o BGP possa anunciar uma rede. So
elas:
A rede a ser anunciada deve estar presente na tabela de rotas IP.
O processo BGP deve conhecer a rede.
O roteador deve saber chegar no next-hop.
Cada uma dessas regras ser discutida adiante.

Page 44

A primeira condio que a rota a ser anunciada pelo BGP que ela deve estar na tabela
de rotas IP. Essa rota pode ter sido aprendida por protocolo IGP, ser uma rede diretamente
conectada ou ser aprendida por uma rota esttica. Para que uma dessas rotas seja colocada
na tabela BGP usa-se o comando network.

Page 45

Por default a sincronizao est ligada, ou seja, vale a condio 1. A sincronizao pode ser
desligada, o que permitir ao BGP anunciar as rotas mesmo que elas no estejam na tabela
de rotas IP.
A sincronizao serve para evitar buracos negros dentro de um sistema autnomo. seguro
desabilitar essa facilidade quando todos os roteadores esto rodando BGP dentro do sistema
autnomo.

Page 46

Para que uma rota seja anunciada a mesma deve estar dentro do processo BGP. Isso pode
ocorrer das seguintes formas:
Comando network: o administrador configura manualmente.
Redistribuio: as rotas podem ser redistribudas para dentro do processo BGP
Aprendidas de outro roteador BGP: as rotas podem ser aprendidas de um outro roteador
vizinho que est rodando BGP.

Page 47

No exemplo acima, os roteadores Kyoto e Roma so vizinhos eBGP. Paris-Roma e KyotoTaiwan so vizinhos iBGP. Roma ir anunciar a rede 198.101.24.0, que recebeu de Paris
para Kyoto (AS 200) alterando dessa maneira o endereo de next hop, pois houve mudana
de sistema autnomo. No momento que Kyoto anuncia para Taiwan, o endereo next-hop
mantido, o que causar um next-hop desconhecido para Taiwan.
Outro detalhe importante, que se Taiwan no souber chegar at o next-hop ele no
anunciar a rota e no colocar na tabela de rotas IP.

Page 48

Nesse caso deve ser usado o comando neighbor endereo ip next-hop-self em Kyoto.
Resumindo:
para conexes eBGP o endereo next hop ser sempre alterado
para conexes iBGP o endereo next hop mantido.

Page 49

Quando h agregao de endereos feita com endereos de diferentes vizinhos, um

atributo as-set criado. O roteador que gera a rota sumarizada o originador da nova rota e
do atributo as-set. No exemplo acima o roteador no AS 100 est sumarizando as rotas do AS
200 e do AS 300 em uma nica que ser anunciada para o AS 400. Ela ficara da seguinte
forma:
198.101.64.0 /21 100 [200 300] i
Essa informao necessrio para evitar loops de roteamento.

Page 50

 possvel fazer sumarizao com o comando network. No esquea que para que uma rede
ser anunciada via BGP ela precisa estar na tabela de rotas. Para isso, foi usada uma rota
esttica apontando para o interface null.

Page 51

Page 52

As atualizaes de rotas enviadas para os vizinhos incluem os atributos, que na verdade so

as mtricas usadas pelo BGP. Algumas definies teis sobre atributos so:

Os atributos so colocados em quatro categorias:

Well-known mandatory - Well-know porque devem ser reconhecidos por todos os
roteadores BGP e mandatory porque deve estar presente nas atualizaes de rotas.
Well-known discretionary - Discretionary porque podem estar presentes nas
atualizaes.
Optional Transitive - No precisa ser suportado por todos as implementaes de BGP.
Transitivo porque se ele no for reconhecido ele marcado como parcial e enviado para
outros.
Optional Non transitive - Descartado se no for reconhecido.

Page 53

Abaixo seguem alguns exemplos:

Well-known mandatory - AS-PATH, Next-hop (discutido anteriormente), Origin
Well-known discretionary - Local Preference, Atomic Aggregate *
Optional Transitive - Aggregator, Community
Optional Non transitive - Multi-exit-discriminator.

* Esse atributo gerado quando usa-se o comando aggegate-address sem nenhuma opo,
porque a rota sumarizada ser gerada e anunciada como se ela fosse gerada do prprio
roteador. Se a sumarizao contm rotas de outros AS essa informao ser omitida e ser
gerado o atributo atomic, para informar que h informaes faltando. Para que a informao
de caminhos seja completa use a palavra-chave as-set que informar o caminho completo e
no ser gerado o atomic attribut.

Page 54

Esse comando permite que um peso seja colocado para todas as rotas originadas de um
vizinho especfico. O peso somente usado pelo roteador onde est configurado. Se a
mesma rede aprendida por diferentes vizinhos, aquele vizinho que possui maior peso ser
selecionado. Por default, todos os vizinhos possuem peso de 32.768. O roteador no passa
o peso para outro roteador. Se a rota recebida de um vizinho o peso zero.
Por default, as rotas geradas internamente (comando network, por exemplo) o peso
32.768. Se uma rota vinda de um vizinho vem com peso 0 (zero).

Page 55

O caminho via AS 300 para rede 198.101.24.0 preferido porque o vizinho do AS 300
recebeu um peso maior.

Page 56

Page 57

Essa mtrica usada internamente em um AS entre roteadores que falam iBGP (internal
BGP). usado para determinar o melhor caminho para deixar o sistema autnomo.
A mtrica por default 100, e valores maiores so preferidos.

Page 58

Os roteadores internos do AS 50 iro escolher o caminho pelo roteador A at o AS 500.

Page 59

Page 60

O MED uma maneira de dizer a outro AS como ele deve escolher a entrada no seu AS. O
MED um atributo opcional no-transitivo.
O MED passado para o outro AS e usado por ele, mas no repassado para outro.
Quando uma rota passada do AS que recebeu para outro, a mtrica ser setada como 0
novamente.
O menor valor preferido.

Page 61

Page 62

O comando bgp always-compare-med faz com o que o roteador BGP sempre compare os
valores de MED de vizinhos de diferentes sistemas autnomos. muito difcil fazer com que
os ISPs usem esse comando.

Page 63

Page 64

O AS-PATH consiste do caminho para chegar em uma rota, ou seja, por quais sistemas
autnomos deve-se passar para chegar em uma determinada rota.
Essa lista pode ser alterada atravs de prepend que ser discutido mais adiante.

Page 65

Page 66

Origin um atributo well-known que define a origem do caminho, que pode ser:
IGP - A rota interior ao AS, geralmente criada com o comando network. Aparece na tabela
com a letra i.
EGP - Aprendida via Exterior Gateway Protocol EGP. Indicada na tabela com a letra e.
Incomplete - A origem da rota desconhecida. Geralmente ocorre quando h redistribuio
de um protocolo IGP dentro do BGP. Na tabela aparece com ?.

Page 67

Page 68

O processo de deciso do BGP o seguinte:

1. Se a rota interna, sincronizao est ligada e a rota no est sincronizada, ignore-a.

2. Se o next-hop no est ao alcance, ignore-a
3. Prefira a rota com maior peso.
4. Se as rotas possuem o mesmo peso, utilize que tiver a maio local preference.
5. Se as rotas possuem a mesma local preference use a que foi originado pelo roteador local
6. Prefere as rotas com menor AS-PATH.
7. Prefere a que possui o menor cdigo de origem (IGP < EGP < incomplete)
8. Prefere o menor MED
Para que o MED de rotas de diferentes AS seja analisado use o comando bgp always-comparemed.
9. Prefira caminho eBGP sobre o iBGP
10. Se os caminhos foram internos prefira o caminho para o vizinho mais prximo.
11. Para vizinhos eBGP use a rota mais antiga *
12. Prefira o roteador com o menor ID
* Se o comando maximum-paths estiver configurado o roteador vai escolher mais de uma rota para colocar na
tabela de rotas, fazendo dessa forma load-balancing.

Page 69

Route reflectors mudam o comportamento default do BGP. Um vizinho BGP no envia

atualizaes recebidas de um vizinho interno para outro vizinho interno, por default. Um
roteador configurado como route reflector ir ignorar essa regra para os vizinhos que so
listados como cliente. Geralmente, o core da rede full-meshed e cada roteador do core
route reflector para os roteadores de acesso. OS roteadores de acesso tero poucas linhas
para definir vizinhos comparado com o core da rede.
A regra de atualizaes para o route reflector:
Atualizaes vindas de no-clientes so enviados para todos os clientes
Atualizaes vindas de clientes so enviados para todos no-clientes e clientes
Atualizaes de vizinhos externos so enviadas para todos os clientes e noclientes

Page 70

As configuraes so as seguintes:
router bgp 100 (220.110.55.1)
neighbor 64.1.1.1 remote-as 100
neighbor 64.1.1.1 route-reflector-client
neighbor 200.100.50.1 remote-as 100
neighbor 200.100.50.1 route-reflector-client
neighbor 198.101.24.1 remote-as 100
neighbor 198.101.24.1 route-reflector-client
neighbor 132.56.1.1 remote-as 100
bgp cluster-id 555
router bgp 100 (132.56.1.1)
neighbor 64.1.1.1 remote-as 100
neighbor 64.1.1.1 route-reflector-client
neighbor 200.100.50.1 remote-as 100
neighbor 200.100.50.1 route-reflector-client
neighbor 198.101.24.1 remote-as 100
neighbor 198.101.24.1 route-reflector-client
neighbor 220.110.55.1 remote-as 100
bgp cluster-id 555
router bgp 100 (198.101.24.1)
neighbor 220.110.55.1 remote-as 100
neighbor 132.56.1.1 remote-as 100
router bgp 100 (64.1.1.1)
neighbor 220.110.55.1 remote-as 100
neighbor 132.56.1.1 remote-as 100
router bgp 100 (200.100.50.1)
neighbor 220.110.55.1 remote-as 100
neighbor 132.56.1.1 remote-as 100
Atente para o fato de que no necessrio configurar nada Page
no cliente
71com relao ao route reflector.

As listas de acesso so usadas para filtrar o trfego que passa atravs dos roteadores, por
motivos de segurana ou por motivos de perfomance. Trfego no autorizado ou desejado
pode ser evitado usando listas de acesso.
Todos os protocolos, como IP, IPX, AppleTalk,etc., possuem listas de acesso especficas
que se adequam s suas caractersticas. Nesse captulo, sero enfocadas apenas as listas
de acesso referentes ao protocolo IP.

Page 72

Existem dois tipos de acesso utilizadas em IP: standard e Extended.

Lista de acesso Standard: Faz a anlise do trfego olhando apenas o endereo de origem
dos pacotes. Ela possui nmero de ndice que varia entre 1 e 99.
Lista de acesso Extended:Faz a anlise do trfego de forma mais detalhada, olhando os
endereos IP destino e origem e alm disso, pode analisar protocolos e portas, permitindo
um filtro mais especfico do trfego.
As listas de acesso, aps serem criadas, podem ser aplicadas s interfaces como Inbound
e Outbound.
Inbound: significa que o trfego que est entrando na interface ser analisado.
Outbound: significa que o trfego que est saindo da interface ser analisado.

Page 73

Utilizando uma lista de acesso outbound como exemplo, vamos verificar como um pacote
tratado quando entra em um roteador.
Ao entrar por uma interface o roteador vai verificar na tabela de rotas se existe uma entrada
para esse destino. Se no encontrar nada na tabela de rotas o pacote ser descartado. Caso
contrrio, ser selecionada uma interface de sada. Aps seleo da interface de sada o
roteador ir verificar se existe uma lista de acesso aplicada a ela. Se no houver a lista de
acesso o pacote enviado diretamente para a interface de sada. Se existir uma lista de
acesso, o pacote ser verificado e se ele for permitido passar ele ser enviado para a
interface de sada. Se o pacote no for permitido ele ser descartado.
Perceba que quando existem listas de acesso o roteador obrigado a analisar o pacote
mais vezes e com mais detalhes. Isso aumenta a latncia do roteador.

Page 74

As listas de acesso so analisadas de cima para baixo, linha por linha. Quando uma linha
satisfizer o contedo do pacote, ento esse ser permitido ou negado conforme o que estiver
escrito na linha.
Se nenhuma linha satisfizer a condio, existe no final de todas as listas de acesso um
deny all (nega tudo) implcito , ou seja, o pacote ser descartado.

Page 75

Alguns detalhes importantes das listas de acesso que devem ser lembrados:
O nmero da lista define que protocolo ser filtrado. Como dito anteriormente,
existem listas de acesso para todos os protocolos.
Uma interface somente pode ter uma lista de acesso por direo para cada
protocolo. Por exemplo se na interface estiver rodando IP e IPX ela pode ter duas
listas de acesso para IP (uma inbound e outra outbound) e duas listas de acesso
para IPX ((uma inbound e outra outbound).
A ordem de teste sequencial e feita de cima para baixo. Portanto, as linhas
mais especficas devem ser colocadas primeiro.
No final de toda lista de acesso h uma linha deny all, que nega qualquer pacote.
Primeiro crie a lista de acesso e depois aplique na interface.
As listas de acesso filtram trfego que passa pelo roteador e no trfego gerado
pelo mesmo.
As linhas adicionais criadas na lista de acesso so colocadas por ltimo. Ou seja,
se for necessrio colocar mais uma linha na lista de acesso e essa deve ficar, por
exemplo, no meio da lista a mesma deve ser apagada e criada novamente com
essa nova linha. muito til usar um editor de texto para fazer esse trabalho e
copi-la inteira para o roteador.

Page 76

Para definir quais endereos sero testados utiliza-se uma mscara especial chamada
wildcard. Na wildcard, um bit em zero significa que o bit correspondente no endereo ser
testado. O bit em 1 que o correspondente bit no endereo no ser testado, ou seja, pode
ter o valor que quiser que no ser levado em considerao.

Page 77

Nesse exemplo queremos que um endereo especfico seja testado. Por exemplo, queremos
permitir que somente uma determinada estao possa dar telnet para o roteador. Nesse
caso a wildcard usada todos os bits em zero, como mostrado no desenho acima.
Quando a wildcard for tudo zero, ou seja, 0.0.0.0, ela pode ser substituda na programao
pela palavra host.

Page 78

Suponha que voc queira negar telnet de qualquer estao de uma determinada rede para
os roteadores. Nesse caso, utiliza-se a wilcard com os bits todos setados em 1 e o
endereo do host com todos os bits em zero, como:
host 0.0.0.0 e wilcard 255.255.255.255.
Nesse caso pode-se substituir essa combinao host/wilcard pela palavra any, durante a
programao.

Page 79

Para colocar um grupo de hosts que ser filtrado para o mesmo fim, ou por exemplo, um
grupo de hosts ou uma determinada subrede no poder acessar o servidor web, pode-se
utilizar variadas combinaes de wilcard. No exemplo acima todas as subredes que entre
10.10.16.0 at 10.10.31.0 estaro sendo filtradas.

Page 80

Para cada linha da lista de acesso standard use o seguinte comando no modo de
configurao global:
access-list nmero {permit|deny} endereo origem {wildcard-mask}
nmero - identifica a lista de acesso
permit/deny - define se a linha ir permitir ou negar o pacote
endereo origem - endereo ip de origem
wilcard-mask - wildcard mask

O comando no access-list nmero apaga a lista inteira.

Depois de pronta a lista de acesso deve ser aplicada a uma interface, com o comando no
modode configurao de interface:
ip access-group nmero {in|out]
nmero - nmero da lista
in/out - define se a lista ser Inbound ou Outbound

O comando no ip access-group nmero {in|out}, tira a interface da interface.

Page 81

Nesse exemplo, somente um grupo de hosts que vai de 172.16.3.1 at 172.16.3.254 pode
enviar pacotes saindo pela interface ethernet 0. O restante ser negado.
Lembre-se que no fim de toda lista de acesso h uma linha deny all. Ento a nossa lista de
acesso, na verdade da seguinte maneira:
access-list 1 permit 172.16.3.0 0.0.0.255
access-list 1 deny all.

Page 82

Nesse caso deseja-se negar uma rede especfica e permitir qualquer outra. Na primeira linha
da lista de acesso nega-se a rede desejada e na outra linha no se deve esquecer de
permitir as demais. A lista est aplicada interface ethernet 0. Qualquer rede, para lista de
acesso representada pela palavra any.
Ento existem duas maneiras de escrever a segunda linha:
access-list 5 permit any ou
access-list 5 permit 0.0.0.0 255.255.255.255

Page 83

Por uma questo de segurana o administrador da rede est permitindo somente uma
estao enviar pacotes pela interface serial do roteador B.
A lista de acesso pode ser escrita de duas formas diferentes:
access-list 1 permit host 10.1.1.1
access-list 1 permit 10.1.1.1 0.0.0.0

Page 84

O roteador permite que at 5 usurios o acessem via Telnet. Para tanto disponibiliza cinco
portas virtuais numeradas de 0 a 4 (vty 0 4). Esse acesso pode ser controlado pela lista de
acesso, como ser visto a seguir.

Page 85

A lista de acesso criada da mesma maneira, o que acontece que ela ser aplicada s
interfaces virtuais, por onde o acesso telnet chega. Para aplicar a lista nas interface virtuais
usa-se o comando no modo de configurao global:

line vty range - entra nas interfaces vty.

range: vai de 0 a 4 Geralmente todas so selecionadas porque no possvel determinar
por qual porta um determinado usurio ir acessar o roteador.
access-class nmero {in|out}
nmero - nmero da lista
{in} - Define quais hosts podero acessar o roteador via Telnet
{out} - Define para quais hosts o roteador poder iniciar uma sesso telnet partir de de
suas portas vty. Observe que nesse caso o endereo da lista de acesso passa a ser
endereo de destino.

Page 86

Para esse exemplo, somente hosts entre 10.1.1.1 e 10.1.1.254 poder acessar o roteador via
telnet.

Page 87

Os argumentos do comando para lista de acesso extended so:

Nmero da lista: para extended vai de 100 at 199
Permit/deny: define se a linha vai permitir ou negar
Protocol: define que protocolo ser filtrado: IP, TCP, UDP, ICMP, GRE, IGRP.
Endereo origem/wildcard: define endereos ou range de endereos de origem
Endereo destino/wildcard:define endereos ou range de endereos de destino
Operador de porta: usado para definir portas a serem filtrados. Por exemplo, pode-se permitir
qualquer porta TCP menor ou igual a 80. Os operadores so: lt, gt, eq, neq (menor que, maior que,
igual a, no igual a). Abaixo esto alguns exemplos de nmeros de portas:
Portas Padro (decimal)

Protocolo

20 (TCP)

FTP Data

21 (TCP)

FTP Program

23 (TCP)

Telnet

53 (TCP/UDP)

DNS

80 (TCP)

HTTP

Established: Permite conexes TCP entrarem, desde que tenha sido inciada internamente, ou seja,
estabelecida internamente.
Log: Envie mensagens de log para a console.

Page 88

O primeiro exemplo mostra uma lista de acesso extended sendo utilizada para negar acesso
dos hosts que esto entre 10.1.1.1 e 10.1.1.254 na porta destino tcp 80, que representa
trfego http. O restante do trfego permitido.

Page 89

O segundo exemplo o mesmo que o exemplo 1, mas dessa a porta filtrada a 23, ou seja,
telnet.

Page 90

As verses mais atuais de IOS ( partir de 11.2) permitem utilizar um novo tipo de accesslist - as nomeadas. Essas listas de acesso so mais flexveis porque permitem que linhas
possam ser apagadas separadamente, sem haver a necessidade de apagar toda lista de
acesso. No caso de inserir linhas ocorre o mesmo problema que nas listas de acesso
numeradas.
A maneira de implementao na interface a mesma das listas convencionais vistas at
aqui.

Page 91

Page 92

Com o comando show ip interface interface pode-se verificar se existem listas de acesso
aplicadas em uma determinada interface.

Page 93

O comando show access-lists mostra todas as listas de acesso configuradas no roteador.

Se voc deseja ver uma lista especfica use o comando: show access-list nmero

Page 94