Tùy trường hợp, mình đơn cử 1 ví dụ như sau:
Giả sử R2 quảng bá network X đến R1 qua giao thức eBGP, địa chỉ next-hop của network X này chính là địa chỉ IP mà R2 sử dụng để khai báo BGP peering với R1 (giả sử trong trường hợp này là 10.1.1.2), nếu R1 tiếp tục quảng bá network X này đến 1 router khác (ví dụ R3) qua giao thức iBGP thì nó sẽ giữ yên next-hop. R3 chỉ đưa network X vào bảng route của nó khi nó ping tới được địa chỉ next-hop (10.1.1.2), hay nói cách khác trong bảng route của R3 phải có network 10.1.1.0/30. Trong trường hợp này bạn có 2 giải pháp:
1) quảng bá network 10.1.1.0/30 trong giao thức BGP trên R1
2) cấu hình next-hop-self trên R1 khi cấu hình neighbor với R3.

Em cảm ơn anh vì đã reply.

BGP vốn là 1 routing protocol được dùng để advertise các network dựa trên các policy (giữa enterprise & ISP hay giữa ISP với ISP v.v..). Chúng ta dùng BGP để advertise các network mà chúng ta muốn, và chặn unwanted traffic từ các network khác. Mục đích cũng là để enhance security. Câu in đậm này chính là điều mà em muốn hỏi mọi người. Vì nếu như chúng ta advertise network giữa các BGP peers thì em nghĩ chúng ta đã đi ngược lại mục đích của BGP.

Em muốn mạo muội mở rộng vấn đề vì em muốn hiểu rõ hơn. Em mong anh rintrum cũng như mọi người cùng tham gia thảo luận nhé :D. Để mở rộng vấn đề bàn luận này em muốn thay đổi câu hỏi một chút. Đó là liệu chúng ta có nên advertise network giữa các BGP peers hay không (cả iBGP và eBGP) mà ko chỉ đơn thuần là eBGP?

Để dễ hiểu hơn, em muốn demo 1 chút. Ví dụ, lúc đầu chúng ta sẽ có 1 topo như anh rintrum đã đưa ra, có thêm 1 router thứ 3 nối với R1, trong cùng AS 100 và sẽ không nối với nhau qua serial interface mà sẽ qua 1 multiaccess network để có thể hiểu rõ hơn về vấn đề advertise các network trong BGP.



- Config EIGRP và iBGP giữa R1 và R3
- Config eBGP giữa R1 và R2
- Advertise network 2.2.2.0/24 và 3.3.3.0/24 vào BGP

Trên R3:
-----
router eigrp 100
network 3.3.3.0 0.0.0.255
network 192.168.1.0
no auto-summary

router bgp 100
no synchronization
bgp log-neighbor-changes
network 3.3.3.0 mask 255.255.255.0 => chỉ advertise duy nhất network 3.3.3.0/24 vào BGP
neighbor 192.168.1.1 remote-as 100
no auto-summary
!
-----
Trên R1:

router eigrp 100
network 192.168.1.0
no auto-summary

router bgp 100
no synchronization
neighbor 10.1.1.2 remote-as 200
neighbor 192.168.1.3 remote-as 100
neighbor 192.168.1.3 next-hop-self
no auto-summary
-----
Trên R2

router bgp 200
no synchronization
network 2.2.2.0 mask 255.255.255.0 => Chỉ advertise duy nhất mạng 2.2.2.2
neighbor 10.1.1.1 remote-as 100
no auto-summary

Sau khi config thế này, chỉ có các máy trong mạng LAN 3.3.3.0/24 mới có thể ping được các máy trong mạng 2.2.2.0/24 và ngược lại.
Trên R3: (trường hợp 1)

Trên R2: (trường hợp 2)


Nếu chúng ta ping 2.2.2.2 với source address là 192.168.1.3 (trên R3) hoặc 3.3.3.3 với source address là 10.1.1.2 (trên R2) sẽ ko ping được:
Trên R3: (trường hợp 3)

Trên R2: (trường hợp 4)


--------------------------------------------------------------------------------------------
Giờ chúng ta sẽ advertise các network giữa iBGP (192.168.1.0/24) và eBGP (10.1.1.0/30)
Trên R3:
router bgp 100
network 192.168.1.0 mask 255.255.255.0

Trên R1
router bgp 100
network 192.168.1.0 mask 255.255.255.0
network 10.1.1.0 mask 255.255.255.252

Trên R2
router bgp 200
network 10.1.1.0 mask 255.255.255.252

Và kết quả cho thấy ping luôn thành công với trường hợp 3 và 4 như ở trên:
Trên R3:


Trên R2:


------------------------------------------------------------------------------------
Vấn để nảy sinh bây giờ là chúng ta sẽ connect 1 PC vào trong switch SW1, gọi là 1 HackerPC. và chúng ta sẽ dễ dàng nhận thấy PC này dễ dàng ping được tới network 2.2.2.0/24.



Như vậy chúng ta có thể thấy rõ ràng việc nguy hiểm nếu network giữa các BGP peer được advertise vào trong BGP. Tất nhiên trong thực tế sẽ có nhiều phương pháp route filtering được xử dụng, nhưng đây chỉ là vấn đề em đưa ra để hỏi ý kiến mọi người. Trong sách em thấy họ làm ví dụ cũng không thấy có advertise những network giữa BGP peer như vậy.

Hình như có gì đó lầm lẫn rồi bạn, BGP đâu phải thứ để enhance security.
Nhiệm vụ chính của BGP là định tuyến giữa các AS thỏa mãn những policy nhất định.
Việc quảng bá các mạng eBGP peer hay không, còn tùy vào mục đích của bạn. Nhưng theo mình, mình sẽ không quảng bá eBGP peer, mình thích giải pháp next-hop-self hơn. Vừa tiết kiệm IP, vừa đỡ rối bảng định tuyến.
Còn về iBGP, cũng tùy mục đích của bạn. Nếu bạn muốn quảng bá cái mạng đấy ra ngoài AS thì network nó.
Vấn đề hacker thì mình chẳng thấy BGP có liên quan gì. Bạn chú ý rằng BGP chặn route, chứ không phải chặn traffic. Traffic không đi được là do không có route.