Hlavní navigace

Na co si dát pozor při zavádění protokolu BGP

Směrovací protokol BGP přináší nezávislost a flexibilitu i snižuje náklady na internetovou konektivitu.

Pro mnoho menších firem je BGP ale spíše technickou výzvou a vedle výhod přináší i větší zodpovědnost, neboť u BGP platí přísloví, že je dobrý sluha, ale špatný pán.

Prerekvizitami pro provoz protokolu BGP jsou vlastní Internetové prostředky, konkrétně čísla autonomního systému a bloky IP adres. Dále pak je nutné vytvořit dohody o propojení s partnerskými sítěmi, pořídit vhodný hardware a nakonec je zapotřebí i technická kompetence správců sítě.

Nejmarkantnějším problémem BGP a hlavním důvodem obav z jeho nasazení je komplexita Internetového routovacího systému a z toho plynoucí nutnost proškolení správců. Paradoxně z hlediska zkušených správců sítí je BGP jen jedním z mnoha směrovacích protokolů, které rutinně konfigurují a udržují v běhu. Naproti tomu pro nováčky je BGP zpravidla velké téma k pochopení a k nasazení v reálném provozu. A chyby v konfiguraci BGP mohou vést nejen k výpadkům vlastní sítě a z toho plynoucím ztrátám, ale za jistých podmínek lze napáchat škody třetím stranám a to v bezprostředním okolí i na druhé straně planety. Takové chyby mají potenciál způsobit ostudu v technické komunitě a u větších případů i ztrátu dobrého jména u široké veřejnosti.

Vložení prefixů do BGP a jejich úspěšnost rozšíření závisí na nastavení filtrů. Rozmanité druhy filtrů lze aplikovat na každou BGP session v příchozím i odchozím směru a očekává se, že správci budou filtry používat podobně, jako programátoři používají kontroly při defenzivním programování: ověřovat všechny vstupy a maximálně ručit za vlastní výstupy. I tak se občas stává, že je velmi těžké zajistit univerzální viditelnost správně oznamovaných a korektně dokumentovaných prefixů. A nebo se může stát, že do DFZ (Default Free Zone, zjednodušeně směrovací tabulka pro celý Internet) uniknou prefixy, které tam nemají co dělat. To může vést k přilákání packetů cizích sítí do míst, kam by vůbec neměly zavítat a v důsledku to může vést k zahlcení chybující sítě a k přerušení komunikace sítí třetích stran.

Pokud provoz BGP dává pro organizace smysl na straně přínosů a pustí se do něj, je třeba mu věnovat stálou pozornost a zejména udržovat vyškolený tým, který je schopen postihnout všechny technické i organizační aspekty a vyhnout se případným problémům.

Pro zájemce o BGP je v Akademii CZ.NIC přichystán kurz, který posluchače seznámí s vlastnostmi a principy tohoto směrovacího protokolu, popíše nejběžnější konfigurace BGP, metody implementace směrovací politiky a možnosti zabezpečení BGP. V průběhu kurzu si účastníci také prakticky vyzkouší konfiguraci a troubleshooting BGP. Přihlásit se na tento kurz je možné na https://akademie.nic.cz/.