Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    🚀 Điều khiển lưu lượng INBOUND bằng BGP Communities (Phân tích lab thực tế)

    🚀 Điều khiển lưu lượng INBOUND bằng BGP Communities (Phân tích lab thực tế)

    📌 1. Bài toán thực tế


    Trong lab này, chúng ta đứng từ góc nhìn của ISP9 để quan sát cách prefix 192.168.0.0/24 của enterprise được chọn đường đi.

    Ban đầu:
    show ip bgp 192.168.0.0 best-path-reason


    Kết quả:
    • 2 đường đi:
      • Qua ISP1: AS Path = 64512 65534
      • Qua ISP2: AS Path = 64513 65534
    • ISP9 chọn ISP1

    👉 Nhưng lý do chọn KHÔNG phải do policy rõ ràng mà là:
    • Route younger
    • Hoặc có thể là router-id

    ➡️ Đây là vấn đề rất quan trọng:
    Nếu bạn không kiểm soát inbound traffic → Internet sẽ chọn đường “random” theo tie-breaker.
    📌 2. Giải pháp: Dùng BGP Community để điều khiển ISP


    Thay vì trực tiếp can thiệp vào ISP, ta sử dụng:
    BGP Community → gửi "hint" cho ISP → ISP thực thi policy (AS-PATH prepend)
    🔧 Cấu hình trên ENT-PEER1

    route-map SET-COMMUNITY permit 10
    set community 64512:104 additive

    router bgp 65534
    address-family ipv4
    neighbor 172.16.1.1 route-map SET-COMMUNITY out
    neighbor 172.16.1.1 send-community 📌 Phân tích sâu:
    • set community 64512:104
      → Gắn tag vào prefix gửi ra ISP1
    • additive
      → Không overwrite community cũ (best practice trong production)
    • route-map ... out
      → Áp dụng khi advertise ra ISP
    • send-community
      BẮT BUỘC, nếu không ISP sẽ không thấy community
    📌 3. Kiểm chứng tại ISP1

    show ip bgp 192.168.0.0


    Output:
    Community: 64512:104


    👉 Điều này xác nhận:
    • Community đã được propagate thành công
    • ISP1 có thể dùng community này để apply policy
    📌 4. Kết quả cuối cùng tại ISP9

    show ip bgp 192.168.0.0 best-path-reason 🔥 Thay đổi quan trọng:
    • Path qua ISP1:
    64512 64512 64512 64512 64512 65534
    • Path qua ISP2:
    64513 65534


    👉 ISP9 chọn ISP2 📌 Lý do:

    Best Path Evaluation: Longer AS path
    📌 5. Insight cực kỳ quan trọng (CCIE level)

    🧠 Chuỗi logic thực sự:
    1. Enterprise gắn community 64512:104
    2. ISP1 nhận community
    3. ISP1 áp policy nội bộ:
      • Nếu thấy community này → prepend AS nhiều lần
    4. Internet (ISP9) thấy:
      • Đường qua ISP1 dài hơn → reject
    5. Traffic inbound chuyển sang ISP2
    📌 6. So sánh với các kỹ thuật khác
    AS-PATH prepend trực tiếp Thấp Không ổn định
    MED Chỉ nội bộ 1 AS Không reliable
    Community (ISP policy) 🔥 Cao nhất 🔥 Production-ready
    👉 Trong thực tế:
    BGP Community là cách “chuẩn enterprise” để điều khiển inbound traffic
    📌 7. Best Practices thực chiến

    🔥 1. Luôn hỏi ISP:
    • Họ support community nào?
    • Mapping community → action là gì?

    Ví dụ:
    • 64512:100 → prepend 2 lần
    • 64512:200 → prepend 5 lần
    • 64512:300 → no-export
    🔥 2. Không assume behavior


    Community chỉ là tag, không có nghĩa gì nếu ISP không define policy.
    🔥 3. Combine với Local Preference
    • Outbound: dùng Local Preference
    • Inbound: dùng Community + prepend

    👉 Đây là mô hình chuẩn:
    Outbound control → Local Preference
    Inbound control → Community + ISP policy
    📌 8. Kết luận


    Lab này cho thấy một điều rất quan trọng:
    Bạn không thể control inbound traffic trực tiếp — nhưng bạn có thể “influence” Internet bằng BGP Communities.

    Và đây chính là tư duy:
    • ❌ Không cố control thứ mình không sở hữu (Internet)
    • ✅ Thay vào đó: gửi signal để hệ thống khác tự điều chỉnh

    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X