By Niammuddin Mz
December 03, 2024

FRR: bgp ebgp-requires-policy

Opsi ebgp-requires-policy pada FRRouting (FRR) adalah fitur yang berfungsi untuk memastikan bahwa semua sesi eBGP (external BGP) memiliki kebijakan (policy) yang diterapkan sebelum menerima atau mengirimkan rute. Fitur ini bertujuan untuk mencegah penerimaan atau penyebaran rute tanpa kontrol, sehingga lebih aman dan terhindar dari masalah seperti prefix leakage.

Penjelasan Fitur

  1. Default Behavior:

    • Jika ebgp-requires-policy diaktifkan, maka:
      • Tidak ada rute yang akan di-accept (diterima) dari peer eBGP kecuali ada policy (seperti route-map, prefix-list, atau filter) yang diterapkan di sesi tersebut.
      • Tidak ada rute yang akan di-advertise (diumumkan) ke peer eBGP kecuali ada policy yang mengatur rute apa saja yang boleh diumumkan.

  2. Kegunaan:

    • Keamanan: Memastikan hanya rute yang diizinkan (di-filter melalui policy) yang masuk atau keluar.
    • Kontrol Trafik: Membantu operator mengontrol kebijakan routing dengan lebih baik, terutama di lingkungan jaringan yang kompleks seperti ISP.
    • Mencegah Kesalahan Konfigurasi: Menghindari penyebaran rute yang tidak diinginkan akibat lupa menambahkan kebijakan pada sesi BGP.

  3. Cara Mengaktifkan: Fitur ini diaktifkan pada level global di konfigurasi BGP:

    router bgp <AS_NUMBER>
   bgp ebgp-requires-policy

    Atau di mode vtysh:

    bgp ebgp-requires-policy

  4. Jika Tidak Ada Policy:

    • Tanpa adanya kebijakan yang ditentukan, rute tidak akan diterima atau diumumkan.
    • Anda perlu menambahkan route-map, prefix-list, atau distribute-list ke sesi BGP tersebut agar rute dapat diproses.

Contoh Konfigurasi

Misalnya, Anda memiliki eBGP dengan peer dan ingin mengatur policy:

1. Membuat Prefix-List

ip prefix-list ALLOW_PREFIXES permit 192.168.0.0/16

2. Membuat Route-Map

route-map OUTBOUND_POLICY permit 10
   match ip address prefix-list ALLOW_PREFIXES

3. Mengaplikasikan ke Peer

router bgp 65000
   neighbor 203.0.113.1 remote-as 65001
   neighbor 203.0.113.1 route-map OUTBOUND_POLICY out
   bgp ebgp-requires-policy

Dampak jika Tidak Digunakan

Tanpa fitur ini, BGP akan menerima dan mengirimkan semua rute secara default jika tidak ada policy yang diterapkan. Hal ini berisiko besar bagi keamanan dan stabilitas jaringan, terutama di lingkungan ISP atau operator besar seperti yang Anda kelola.

Dengan ebgp-requires-policy, Anda dipaksa untuk lebih berhati-hati dan memastikan bahwa semua rute melalui proses filtering yang tepat.

Labels: ,

Powered By Blogger | Privacy Policy