Esto debería ser suficiente. También existe la opción de filtrar los bogons, pero eso se siente un poco exagerado a menos que configure el emparejamiento con Team Cymru o algo así.
No estoy de acuerdo con que todas las direcciones de propósito especial "nunca deben ser enrutadas" o que deberían "al menos ser filtradas". Por ejemplo, hay algunos de los que están marcados como "Reenviables" y "Global", en particular 64: ff9b :: / 96 para NAT64.
zevlag
Obviamente, si está utilizando alguno de estos prefijos, no debe filtrarlos. Tal vez esté utilizando Teredo, etc., pero la posición predeterminada debería ser filtrarlos a menos que esté ejecutando NAT o un túnel.
Daniel Dib
2
¿Por qué quieres filtrar 2002 :: / 16? Eso evitaría que cualquiera que esté usando 6to4 como mecanismo de transición se comunique con usted.
Paul Gear
6
Hay tres opciones a las que puedes ir.
El primero, y el más preciso, es configurar el emparejamiento con el Equipo Cymru, como explica SimonJGreen. Tiene la ventaja de tener la lista más precisa, la desventaja de mantener el emparejamiento, las declaraciones de política / mapas de ruta, etc.
La segunda ruta sería negar los prefijos que "nunca debería ver en la naturaleza", como el prefijo local de enlace, el antiguo prefijo 6Bone 3FFE :: / 16, etc. y combinarlo con los prefijos que debería ver. Vea a continuación un ejemplo. La ventaja es que esta es la configuración más fácil, la desventaja es que no es tan precisa como la primera opción.
La tercera ruta, que nunca debe implementar, es tomar la lista actual de bogones de ipv6, según lo publicado por Team Cymru, y pegarla como filtros estáticos en su configuración. Esto es lo que mucha gente hizo con ipv4 hace unos años, y lleva a mucho sufrimiento hoy ... No esta esta opción. Nunca.
Como ejemplo, aquí hay una lista decente de prefijos ipv6 para permitir y prefijos para negar:
Esto también está disponible a través de DNS , RADB , RIPE o BGP si desea realizar un filtrado automático.
Aquí hay un ejemplo de filtrado automático en Cisco:
router bgp <your asn>
! Session 1
neighbor A.B.C.D remote-as 65332
neighbor A.B.C.D description <your description>
neighbor A.B.C.D ebgp-multihop 255
neighbor A.B.C.D password <your password>
! Session 2
neighbor E.F.G.H remote-as 65332
neighbor E.F.G.H description <your description>
neighbor E.F.G.H ebgp-multihop 255
neighbor E.F.G.H password <your password>
!
address-family ipv4
! Session 1
neighbor A.B.C.D activate
neighbor A.B.C.D soft-reconfiguration inbound
neighbor A.B.C.D prefix-list cymru-out-v4 out
neighbor A.B.C.D route-map CYMRUBOGONS-V4 in
! Session 2
neighbor E.F.G.H activate
neighbor E.F.G.H soft-reconfiguration inbound
neighbor E.F.G.H prefix-list cymru-out-v4 out
neighbor E.F.G.H route-map CYMRUBOGONS-V4 in
!
address-family ipv6
! Session 1
neighbor A.B.C.D activate
neighbor A.B.C.D soft-reconfiguration inbound
neighbor A.B.C.D prefix-list cymru-out-v6 out
neighbor A.B.C.D route-map CYMRUBOGONS-V6 in
! Session 2
neighbor E.F.G.H activate
neighbor E.F.G.H soft-reconfiguration inbound
neighbor E.F.G.H prefix-list cymru-out-v6 out
neighbor E.F.G.H route-map CYMRUBOGONS-V6 in
!
! Depending on IOS version, you may need to configure your router
! for new-style community syntax.
ip bgp-community new-format
!
ip community-list 100 permit 65332:888
!
ip route 192.0.2.1 255.255.255.255 Null0
!
ip prefix-list cymru-out-v4 seq 5 deny 0.0.0.0/0 le 32
!
ipv6 route 2001:DB8:0:DEAD:BEEF::1/128 Null0
!
ipv6 prefix-list cymru-out-v6 seq 5 deny ::/0 le 128
!
route-map CYMRUBOGONS-V6 permit 10
description IPv6 Filter bogons learned from cymru.com bogon route-servers
match community 100
set ipv6 next-hop 2001:DB8:0:DEAD:BEEF::1
!
route-map CYMRUBOGONS-V4 permit 10
description IPv4 Filter bogons learned from cymru.com bogon route-servers
match community 100
set ip next-hop 192.0.2.1
Y aquí hay uno para JunOS:
/*
* Define BGP peer group
*/
delete protocols bgp group cymru-bogons
set protocols bgp group cymru-bogons type external
set protocols bgp group cymru-bogons description "cymru fullbogon bgp feed (ipv4 + 6)"
set protocols bgp group cymru-bogons multihop ttl 255
set protocols bgp group cymru-bogons import cymru-bogons-in
/*
* Define MD5 password in quotes
*/
set protocols bgp group cymru-bogons authentication-key "<YOUR PASSWORD>"
set protocols bgp group cymru-bogons export deny-all
set protocols bgp group cymru-bogons peer-as 65332
/*
* Replace values below as appropriate
*/
set protocols bgp group cymru-bogons neighbor A.B.C.D local-address <YOUR IP>
set protocols bgp group cymru-bogons neighbor A.B.C.D family inet unicast
set protocols bgp group cymru-bogons neighbor A.B.C.D family inet6 unicast
set protocols bgp group cymru-bogons neighbor E.F.G.H local-address <YOUR IP>
set protocols bgp group cymru-bogons neighbor E.F.G.H family inet unicast
set protocols bgp group cymru-bogons neighbor E.F.G.H family inet6 unicast
/*
* Define CYMRU import policy
*/
delete policy-options policy-statement cymru-bogons-in
set policy-options policy-statement cymru-bogons-in term 1 from family inet
set policy-options policy-statement cymru-bogons-in term 1 from community comm-cymru-bogon
set policy-options policy-statement cymru-bogons-in term 1 then community add no-export
set policy-options policy-statement cymru-bogons-in term 1 then next-hop discard
set policy-options policy-statement cymru-bogons-in term 1 then accept
set policy-options policy-statement cymru-bogons-in term 2 from family inet6
set policy-options policy-statement cymru-bogons-in term 2 from community comm-cymru-bogon
set policy-options policy-statement cymru-bogons-in term 2 then community add no-export
set policy-options policy-statement cymru-bogons-in term 2 then next-hop discard
set policy-options policy-statement cymru-bogons-in term 2 then accept
set policy-options policy-statement cymru-bogons-in then reject
/*
* Define deny-all export policy
*/
delete policy-options policy-statement deny-all
set policy-options policy-statement deny-all then reject
/*
* Define CYMRU Bogon community
*/
delete policy-options community comm-cymru-bogon
set policy-options community comm-cymru-bogon members no-export
set policy-options community comm-cymru-bogon members 65332:888
/*
* Define internal no-export community
*/
delete policy-options community comm-no-export
set policy-options community comm-no-export members no-export
Hay tres opciones a las que puedes ir.
El primero, y el más preciso, es configurar el emparejamiento con el Equipo Cymru, como explica SimonJGreen. Tiene la ventaja de tener la lista más precisa, la desventaja de mantener el emparejamiento, las declaraciones de política / mapas de ruta, etc.
La segunda ruta sería negar los prefijos que "nunca debería ver en la naturaleza", como el prefijo local de enlace, el antiguo prefijo 6Bone 3FFE :: / 16, etc. y combinarlo con los prefijos que debería ver. Vea a continuación un ejemplo. La ventaja es que esta es la configuración más fácil, la desventaja es que no es tan precisa como la primera opción.
La tercera ruta, que nunca debe implementar, es tomar la lista actual de bogones de ipv6, según lo publicado por Team Cymru, y pegarla como filtros estáticos en su configuración. Esto es lo que mucha gente hizo con ipv4 hace unos años, y lleva a mucho sufrimiento hoy ... No esta esta opción. Nunca.
Como ejemplo, aquí hay una lista decente de prefijos ipv6 para permitir y prefijos para negar:
fuente
Vea la lista de IPv6 Fullbogons en http://www.team-cymru.org/Services/Bogons/http.html
Esto también está disponible a través de DNS , RADB , RIPE o BGP si desea realizar un filtrado automático.
Aquí hay un ejemplo de filtrado automático en Cisco:
Y aquí hay uno para JunOS:
fuente
Esta recomendación de filtrado de IPv6 está un poco anticuada, pero todavía tiene los fundamentos correctos, creo: http://www.space.net/~gert/RIPE/ipv6-filters.html
fuente
Si desea hacer un filtrado "profundo", puede echar un vistazo al proyecto de plantillas y bogons del equipo cymru:
http://www.team-cymru.org/ipv6-router-reference.html
fuente