{"id":13553,"date":"2024-02-22T08:21:34","date_gmt":"2024-02-22T11:21:34","guid":{"rendered":"https:\/\/made4it.com.br\/how-to-configure-flowspec-on-juniper-routers\/"},"modified":"2024-02-26T17:19:03","modified_gmt":"2024-02-26T20:19:03","slug":"how-to-configure-flowspec-on-juniper-routers","status":"publish","type":"post","link":"https:\/\/made4it.com.br\/es\/how-to-configure-flowspec-on-juniper-routers\/","title":{"rendered":"C\u00f3mo configurar FlowSpec en los routers Juniper"},"content":{"rendered":"\n<p><strong>Visi\u00f3n general:<\/strong> <\/p>\n\n<p><strong>BGP FlowSpec (Border Gateway Protocol Flow Specification)<\/strong> es una extensi\u00f3n del protocolo BGP que se utiliza para definir reglas de filtrado de tr\u00e1fico en los routers o, m\u00e1s sencillamente, para generar reglas de cortafuegos en los routers a partir de un anuncio BGP. A diferencia del BGP convencional, que enruta bas\u00e1ndose en IPv4\/IPv6 e informaci\u00f3n de prefijos, BGP FlowSpec permite a los administradores de red especificar criterios m\u00e1s granulares para el reenv\u00edo de paquetes, incluida informaci\u00f3n de capa 4 (puertos TCP\/UDP) e incluso patrones de paquetes. <\/p>\n\n<p>Para obtener m\u00e1s informaci\u00f3n sobre <strong>BGP<\/strong> Flowspec, visite nuestro art\u00edculo sobre qu\u00e9 es BGP Flowspec a trav\u00e9s de este <a href=\"https:\/\/made4it.com.br\/es\/que-es-flowspec-como-usar-flowspec-para-mitigar-ataques-ddos\/\" target=\"_blank\" rel=\"noopener\" title=\"&#xBF;Qu&#xE9; es FlowSpec? C&#xF3;mo utilizar FlowSpec para mitigar los ataques DDoS?\">enlace<\/a>. <\/p>\n\n<p><strong>Operaci\u00f3n:<\/strong> <\/p>\n\n<p><strong>BGP FlowSpec<\/strong> funciona a\u00f1adiendo nuevos tipos de atributos a BGP, lo que permite a los administradores de red especificar reglas de filtrado detalladas. Estas normas pueden incluir criterios como: <\/p>\n\n<ul class=\"wp-block-list\">\n<li><strong>Direcciones de origen y destino IPv4\/IPv6<\/strong> <\/li>\n\n\n\n<li><strong>Puertos TCP\/UDP<\/strong> <\/li>\n\n\n\n<li><strong>Protocolos<\/strong> <\/li>\n\n\n\n<li><strong>M\u00e1scaras de bits<\/strong> <\/li>\n\n\n\n<li><strong>Valores de los campos del paquete<\/strong> <\/li>\n<\/ul>\n\n<p>Se pueden realizar las siguientes acciones con BGP FlowSpec: <\/p>\n\n<ol class=\"wp-block-list\" start=\"1\">\n<li><strong>deny<\/strong>: Bloquea el tr\u00e1fico correspondiente a la regla. <\/li>\n\n\n\n<li><strong>rate-limit:<\/strong> Limita la tasa de tr\u00e1fico correspondiente a la regla. <\/li>\n\n\n\n<li><strong>redirect<\/strong>: Redirige el tr\u00e1fico correspondiente a la regla. <\/li>\n\n\n\n<li><strong>muestra:<\/strong> Recoge una muestra del tr\u00e1fico correspondiente a la regla. <\/li>\n\n\n\n<li><strong>mark<\/strong>: Marca los paquetes que coinciden con la regla con una marca espec\u00edfica. <\/li>\n\n\n\n<li><strong>redirect-to-ip:<\/strong> Redirige el tr\u00e1fico correspondiente a la regla a una direcci\u00f3n IP espec\u00edfica. <\/li>\n\n\n\n<li><strong>traffic-rate<\/strong>: Limita la tasa de tr\u00e1fico correspondiente a la regla a un valor espec\u00edfico. <\/li>\n\n\n\n<li><strong>traffic-action<\/strong>: Define la acci\u00f3n para el tr\u00e1fico correspondiente, como aceptar, descartar o reenviar. <\/li>\n\n\n\n<li><strong>redirect-to-blackhole<\/strong>: Descarta silenciosamente todo el tr\u00e1fico correspondiente a la regla. <\/li>\n<\/ol>\n\n<p>Cuando estas reglas se propagan a trav\u00e9s de la red BGP, los routers pueden utilizar esta informaci\u00f3n para filtrar o manipular el tr\u00e1fico de acuerdo con las pol\u00edticas definidas. <\/p>\n\n<p><strong>Funcionamiento &#8211; M\u00e1s detalles:<\/strong> <\/p>\n\n<p>En el contexto de <strong>BGP FlowSpec<\/strong>, las acciones se especifican como parte de las reglas de filtrado. Cada regla de filtrado contiene tres partes principales: <\/p>\n\n<ul class=\"wp-block-list\">\n<li><strong>Campos de coincidencia (Matching Fields)<\/strong>: especifican los criterios de Campos de coincidencia:, como las direcciones IP de origen y destino, los puertos TCP\/UDP, los protocolos, las m\u00e1scaras de bits y los valores de los campos de paquetes. <\/li>\n<\/ul>\n\n<ul class=\"wp-block-list\">\n<li><strong>Campos de Acci\u00f3n (Action Fields):<\/strong> Especifique las acciones que se tomar\u00e1n para el tr\u00e1fico que corresponde a la regla. <\/li>\n\n\n\n<li><strong>Campos de Protocolo (Protocol Fields):<\/strong> Especifique el protocolo que debe aplicar la regla de filtrado. <\/li>\n<\/ul>\n\n<p>Las acciones en <strong>BGP FlowSpec<\/strong> se codifican utilizando comunidades BGP. Cada acci\u00f3n se asigna a una comunidad BGP espec\u00edfica: <\/p>\n\n<ul class=\"wp-block-list\">\n<li>La acci\u00f3n<strong>&#8216;deny&#8217;<\/strong> puede ser representada por una comunidad BGP espec\u00edfica, como &#8216;65535:666&#8217;. <\/li>\n\n\n\n<li>La acci\u00f3n<strong>&#8216;rate-limit<\/strong>&#8216; puede ser representada por otra comunidad BGP espec\u00edfica, como &#8216;65535:777&#8217;. <\/li>\n\n\n\n<li>La acci\u00f3n<strong>&#8216;redirect<\/strong>&#8216; puede ser representada por una comunidad BGP diferente, como &#8216;65535:888&#8217;. <\/li>\n<\/ul>\n\n<p>Cuando se crea una regla <strong>BGP FlowSpec<\/strong>, se especifican los campos coincidentes, la acci\u00f3n deseada y, opcionalmente, los campos de protocolo. A continuaci\u00f3n, esta regla se codifica como una comunidad BGP y se incluye en un mensaje de actualizaci\u00f3n BGP que se env\u00eda a los routers vecinos. Los routers que reciben esta regla aplican las acciones especificadas a los paquetes que cumplen los criterios de coincidencia. <\/p>\n\n<p>Tenga en cuenta que las comunidades BGP espec\u00edficas para cada acci\u00f3n pueden variar en funci\u00f3n de la implementaci\u00f3n de BGP FlowSpec en su equipo de red. Le recomiendo que consulte la documentaci\u00f3n de su equipo para obtener informaci\u00f3n detallada sobre las comunidades BGP asociadas a cada acci\u00f3n en BGP FlowSpec. <\/p>\n\n<p><strong>Casos pr\u00e1cticos:<\/strong> <\/p>\n\n<p><strong>1. **Mitigaci\u00f3n de ataques DDoS:<\/strong> <\/p>\n\n<p><strong>BGP FlowSpec<\/strong> puede utilizarse para bloquear o redirigir tr\u00e1fico malicioso durante ataques de denegaci\u00f3n de servicio distribuidos (DDoS). Se pueden aplicar reglas precisas para filtrar el tr\u00e1fico no deseado y mantener los servicios en l\u00ednea. <\/p>\n\n<p><strong>2. **Pol\u00edticas de calidad de servicio (QoS):<\/strong> <\/p>\n\n<p>Los administradores de red pueden utilizar BGP FlowSpec para garantizar la calidad del servicio priorizando determinados tipos de tr\u00e1fico en funci\u00f3n de puertos o protocolos espec\u00edficos. <\/p>\n\n<p><strong>3. **Aplicaci\u00f3n de pol\u00edticas de seguridad**:<\/strong> <\/p>\n\n<p><strong>BGP FlowSpec<\/strong> puede utilizarse para aplicar pol\u00edticas de seguridad granulares, bloqueando el tr\u00e1fico asociado a malware o actividades sospechosas. <\/p>\n\n<p><strong>Ejemplos de configuraci\u00f3n:<\/strong> <\/p>\n\n<p>La configuraci\u00f3n de <strong>BGP FlowSpec<\/strong> puede variar en funci\u00f3n del equipo de red utilizado. <\/p>\n\n<p>Este ejemplo explora c\u00f3mo dise\u00f1ar una soluci\u00f3n de mitigaci\u00f3n DDoS en la que un proveedor de servicios permite a sus clientes anunciar rutas BGP FlowSpec para \u00e9l. <\/p>\n\n<p>Tambi\u00e9n analiza algunas de las mejores pr\u00e1cticas que deben tenerse en cuenta antes de implementar este tipo de soluci\u00f3n y, por \u00faltimo, algunos de los comandos de Junos disponibles para ayudarle a comprobar que su soluci\u00f3n Flow-spec funciona correctamente. <\/p>\n\n<p><strong>Escenario topol\u00f3gico del ejemplo:<\/strong> <strong><\/strong> <\/p>\n\n<p>Empecemos por ver c\u00f3mo se configurar\u00e1 nuestra soluci\u00f3n: <\/p>\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/made4it.com.br\/wp-content\/uploads\/2024\/02\/Imagem1-2.png\" alt=\"\" class=\"wp-image-13525\"\/><\/figure>\n\n<p>Como podemos ver en la topolog\u00eda anterior, existe el BORDA, que es un dispositivo Juniper que act\u00faa como enrutador BGP para la red, el <strong>Made4Flow<\/strong> que es el software que analizar\u00e1 los flujos y generar\u00e1 reglas para <strong>BGP FlowSpec<\/strong> din\u00e1micamente y anunciarlo v\u00eda BGP al router BGP llamado BORDA.<\/p>\n\n<p>En este escenario, el ejemplo de ataque es un ataque de amplificaci\u00f3n DNS. Esto significa que la red est\u00e1 recibiendo un gran volumen de paquetes UDP puerto 53 que en realidad no necesita para que el ISP funcione con normalidad.<\/p>\n\n<p>El ataque llena el circuito entre el ISP y los operadores y deja la red inoperativa.<\/p>\n\n<p>Cuando el atacante decide lanzar el ataque, el ISP puede utilizar el <strong>Made4Flow <\/strong>para generar una ruta BGP FlowSpec s\u00f3lo para paquetes UDP puerto 53 y anunciarla al Router BORDA BGP, que puede convertir esta ruta en un filtro firewall en sus interfaces de comunicaci\u00f3n con los Operadores.<\/p>\n\n<p>Y entonces esto bloquea los paquetes de amplificaci\u00f3n DNS en el borde de la red del ISP y tambi\u00e9n en el operador (si el operador soporta sesiones FlowSpec), pero permite que el tr\u00e1fico leg\u00edtimo siga llegando.<\/p>\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n<p>En primer lugar, vamos a analizar la configuraci\u00f3n de la sesi\u00f3n BGP <strong>FlowSpec<\/strong> en el router BGP BORDA con <strong>Made4Flow<\/strong>, suponiendo que el router ya est\u00e1 configurado para el enrutamiento unicast BGP normal (sesi\u00f3n BGP normal para anunciar rutas Blackhole o Mitigation\/Scrubbing Center).<\/p>\n\n<p>Para configurar una sesi\u00f3n BGP FlowSpec en dispositivos Juniper, utilizamos los siguientes comandos:<\/p>\n\n<pre class=\"wp-block-code\"><code>set routing-options flow term-order standard\nset protocols bgp group MADE4FLOW type internal\nset protocols bgp group MADE4FLOW local-address 10.70.0.67\nset protocols bgp group MADE4FLOW family inet unicast\nset protocols bgp group MADE4FLOW family inet flow no-validate FLOWSPEC_IMPORT\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 description IBGP_MADE4FLOW\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 local-adddress 10.70.0.67\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 import FLOWSPEC_IMPORT\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 family inet flow prefix-limit maximum 1000\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 family inet flow no-validate FLOWSPEC_IMPORT\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 family inet flow legacy-redirect-ip-action receive\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 export DENY-ALL\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 peer-as XXXXXX\n<\/code><\/pre>\n\n<p>\n          <strong>Buenas pr\u00e1cticas: <\/strong>\n          <strong><\/strong>\n        <\/p>\n\n<p>Existen buenas pr\u00e1cticas para proteger esta soluci\u00f3n. Tanto las rutas BGP FlowSpec como los filtros de cortafuegos resultantes que crean son recursos finitos en el router.<\/p>\n\n<p>Por lo tanto, el enrutador BGP BORDA puede filtrar las rutas entrantes para asegurarse de que recibe demasiadas rutas inesperadas o err\u00f3neas.<\/p>\n\n<p>\n          <strong>L\u00edmite del prefijo:<\/strong>\n        <\/p>\n\n<p>As\u00ed que lo primero que hay que hacer es establecer un l\u00edmite de prefijos para las rutas BGP FlowSpec.<\/p>\n\n<p>Podr\u00eda simplemente definir un l\u00edmite de prefijo \u00fanico para las rutas <strong><em>inet unicast<\/em><\/strong> e<strong><em> inet flujo<\/em><\/strong>sin embargo, este ejemplo definir\u00e1 un l\u00edmite separado para las rutas <strong><em>flujo inet<\/em><\/strong>. Para que <strong>Made4Flow<\/strong> s\u00f3lo pueda enviar diez rutas BGP Flowspec a la vez, fijemos el l\u00edmite de prefijos en 10 (esta configuraci\u00f3n debe ajustarse en funci\u00f3n de cada escenario):<\/p>\n\n<pre class=\"wp-block-code\"><code>set protocols bgp group MADE4FLOW neighbor 10.70.0.68 family inet flow prefix-limit maximum 10<\/code><\/pre>\n\n<p>\n          <strong>Pol\u00edtica de rutas :<\/strong>\n        <\/p>\n\n<p>Lo siguiente que hay que hacer es aplicar una pol\u00edtica de rutas entrantes. Esta pol\u00edtica limitar\u00e1 el router a recibir prefijos que provengan del propio ISP con prefijos \/24 a \/32, que son los anunciados por Made4Flow.<\/p>\n\n<p>A\u00f1adamos tambi\u00e9n una Comunidad <strong><em>64496:86<\/em><\/strong> para que pueda identificar las rutas como rutas BGP <strong>FlowSpec<\/strong>.<\/p>\n\n<p>Para el resto de rutas, basta con filtrarlas en funci\u00f3n de la asignaci\u00f3n de rutas del cliente:<\/p>\n\n<p>1. Cree la definici\u00f3n de la pol\u00edtica:<\/p>\n\n<pre class=\"wp-block-code\"><code>set policy-options community COMM-FLOWSPEC members 64496:86\nset policy-options policy-statement FLOWSPEC_IMPORT term 1 from rib inetflow.0\nset policy-options policy-statement FLOWSPEC_IMPORT term 1 from route-filter 203.0.113.0\/24 prefix-length-range \/24-\/32;\nset policy-options policy-statement FLOWSPEC_IMPORT term 1 then community add COMM-FLOWSPEC\nset policy-options policy-statement FLOWSPEC_IMPORT term 1 then accept \nset policy-options policy-statement FLOWSPEC_IMPORT term 999 then reject\n<\/code><\/pre>\n\n<p>2. Aplique la pol\u00edtica como pol\u00edtica de importaci\u00f3n en la sesi\u00f3n BGP con Made4Flow:<\/p>\n\n<pre class=\"wp-block-code\"><code>set protocols bgp group MADE4FLOW family inet flow no-validate FLOWSPEC_IMPORT\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 import FLOWSPEC_IMPORT\nset protocols bgp group MADE4FLOW neighbor 10.70.0.68 family inet flow no-validate FLOWSPEC_IMPORT\n<\/code><\/pre>\n\n<p>\n          <strong>Prefijos m\u00e1ximos:<\/strong>\n        <\/p>\n\n<p>Lo \u00faltimo que hay que hacer es establecer un n\u00famero m\u00e1ximo de prefijos BGP FlowSpec que se pueden instalar en la tabla de enrutamiento.<\/p>\n\n<p>Este ejemplo establece un m\u00e1ximo de 10.000 rutas, pero tambi\u00e9n vamos a configurar el router para notificar al administrador a trav\u00e9s de un <strong><em>syslog <\/em><\/strong>cuando se alcance el l\u00edmite del 90 por ciento. Esta configuraci\u00f3n debe aplicarse a todos los routers de la red del ISP de ejemplo:<\/p>\n\n<pre class=\"wp-block-code\"><code>set routing-options rib inetflow.0 maximum-prefixes 10000 threshold 90<\/code><\/pre>\n\n<p>Puede que no sea muy intuitivo de entender en la sintaxis anterior, pero el conf. <strong><em>umbral 90<\/em><\/strong> es lo que le dice al router que quieres un <strong><em>syslog <\/em><\/strong>cuando se alcance el umbral del 90 por ciento.<\/p>\n\n<p>\n          <strong>Compru\u00e9balo:<\/strong>\n        <\/p>\n\n<p>Lo primero que hay que comprobar es que BGP FlowSpec est\u00e1 configurado correctamente. Veamos los NLRI activados en el peer BGP.<\/p>\n\n<p>Comprobaci\u00f3n del NLRI: Desde el modo operativo en el router BORDA, introduzca el comando Junos OS <strong><em>show bgp vecino 10.70.0.68<\/em><\/strong> y busque el <strong><em>inet-flow<\/em><\/strong> en la salida:<\/p>\n\n<pre class=\"wp-block-code\"><code>lab@BORDA&gt; show bgp neighbor 10.70.0.68\nPeer: 10.70.0.68+45824 AS 64511 Local: 192.0.2.0+63720 AS 64496\n Type: External State: Established Flags: &lt;Sync&gt;\n Last State: OpenConfirm Last Event: RecvKeepAlive\n Last Error: None\n Import: &#91; CUST-IN ]\n Options: &lt;Preference LocalAddress AddressFamily PeerAS PrefixLimit Refresh&gt;\n Address families configured: inet-unicast inet-flow\n Local Address: 10.70.0.67 Holdtime: 90 Preference: 170\n Number of flaps: 0\n Peer ID: 10.70.0.68 Local ID: 10.70.0.67 Active Holdtime: 90\n Keepalive Interval: 30 Group index: 1 Peer index: 0\n BFD: disabled, down\n Local Interface: ge-0\/0\/3.0\n NLRI for restart configured on peer: inet-unicast inet-flow\n NLRI advertised by peer: inet-unicast inet-flow\n NLRI for this session: inet-unicast inet-flow\n Peer supports Refresh capability (2)\n Stale routes from peer are kept for: 300\n Peer does not support Restarter functionality\n NLRI that restart is negotiated for: inet-unicast inet-flow\n NLRI of received end-of-rib markers: inet-unicast inet-flow\n NLRI of all end-of-rib markers sent: inet-unicast inet-flow\n Peer supports 4 byte AS extension (peer-as 64511)\n Peer does not support Addpath\n Table inetflow.0 Bit: 10000\n RIB State: BGP restart is complete\n Send state: in sync\n Active prefixes: 1\n Received prefixes: 1\n Accepted prefixes: 1\n Suppressed due to damping: 0\n Advertised prefixes: 0\n Table inet.0 Bit: 20000\n RIB State: BGP restart is complete\n Send state: in sync\n Active prefixes: 1\n Received prefixes: 1\n Accepted prefixes: 1\n Suppressed due to damping: 0\n Advertised prefixes: 0\n Last traffic (seconds): Received 13 Sent 28 Checked 4\n Input messages: Total 392 Updates 4 Refreshes 0Octets 7552\n Output messages: Total 386 Updates 0 Refreshes 0Octets 7435\n Output Queue&#91;0]: 0 (inetflow.0, inet-flow)\n Output Queue&#91;1]: 0 (inet.0, inet-unicast)\n<\/code><\/pre>\n\n<p>\n          <strong>Comprobaci\u00f3n de rutas:<\/strong>\n        <\/p>\n\n<p>La siguiente cosa a mirar es la ruta de flujo que fue enviado por Made4Flow y recibido en el BORDA:<\/p>\n\n<pre class=\"wp-block-code\"><code>lab@BORDA&gt; show route receive-protocol bgp 10.70.0.68 extensive table inetflow.0\ninetflow.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)\n<mark style=\"background-color:rgba(0, 0, 0, 0)\" class=\"has-inline-color has-vivid-red-color\">* 203.0.113.1,*,proto=17,dstport=53\/term:1 (1 entry, 1 announced)<\/mark>\n Accepted\n Nexthop: Self\n AS path: 64511 I\n Communities: traffic-rate:0:0\n<\/code><\/pre>\n\n<p>Y aqu\u00ed se est\u00e1 recibiendo la ruta desde <strong>Made4Flow<\/strong>. Tenga en cuenta que la \u00fanica comunidad adjunta a la ruta es la que especifica que debe establecer una tasa de 0 para el tr\u00e1fico.<\/p>\n\n<p>Ahora echemos un vistazo a la ruta en la tabla de enrutamiento del router BGP BORDA:<\/p>\n\n<pre class=\"wp-block-code\"><code>lab@BORDA&gt; show route table inetflow.0 extensive\ninetflow.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)\n<mark style=\"background-color:rgba(0, 0, 0, 0)\" class=\"has-inline-color has-vivid-red-color\">203.0.113.1,*,proto=17,dstport=53\/term:1 (1 entry, 1 announced)\n<\/mark>TSI:\nKRT in dfwd;\nAction(s): discard,count\nPage 0 idx 1, (group ibgp type Internal) Type 1 val 0x966ef08 (adv_entry)\n Advertised metrics:\n Nexthop: Self\n Localpref: 100\n AS path: &#91;64496] 64511 I\n<mark style=\"background-color:rgba(0, 0, 0, 0)\" class=\"has-inline-color has-vivid-red-color\">  Communities: 64496:86 traffic-rate:0:0\n<\/mark>Page 0 idx 2, (group RR-CLIENT-FLOWSPEC type Internal) Type 1 val 0x966f11c (adv_\nentry)\n Advertised metrics:\n Nexthop: Self\n Localpref: 100\n AS path: &#91;64496] 64511 I\n<mark style=\"background-color:rgba(0, 0, 0, 0)\" class=\"has-inline-color has-vivid-red-color\"> Communities: 64496:86 traffic-rate:0:0\n<\/mark>Path 203.0.113.1,*,proto=17,dstport=53 from 10.70.0.68 Vector len 4. Val: 1 2\n *BGP Preference: 170\/-101\n Next hop type: Fictitious\n Address: 0x9358c04\n Next-hop reference count: 1\n State: &lt;Active Ext&gt;\n Local AS: 64496 Peer AS: 64511\n Age: 3:27:43\n Validation State: unverified\n Task: BGP_64511.10.70.0.68+45824\n Announcement bits (2): 0-Flow 1-BGP_RT_Background\n AS path: 64511 I\n<mark style=\"background-color:rgba(0, 0, 0, 0)\" class=\"has-inline-color has-vivid-red-color\"> Communities: 64496:86 traffic-rate:0:0\n<\/mark> Accepted\n Validation state: Accept, Originator: 10.70.0.68\n Via: 203.0.113.0\/24, Active\n Localpref: 100\n Router ID: 10.70.0.68\n<\/code><\/pre>\n\n<p>La ruta se ha instalado en la tabla de rutas en BORDA y Comunidad <strong><em>64496:86<\/em><\/strong> que fue asignada fue a\u00f1adida a la ruta.<\/p>\n\n<p>Comprueba que el flujo se ha correspondido con la ruta unicast y se ha validado su coherencia.<br\/><br\/>As\u00ed que continuamos&#8230;<\/p>\n\n<p>Comprobaci\u00f3n de los filtros del cortafuegos:<\/p>\n\n<p>Una vez validadas las rutas de flujo, se transforman en filtros cortafuegos.<\/p>\n\n<p>Echemos un vistazo al filtro cortafuegos:<\/p>\n\n<pre class=\"wp-block-code\"><code>lab@BORDA&gt; show firewall filter __flowspec_default_inet__\nFilter: __flowspec_default_inet__\nCounters:\nName Bytes Packets\n<mark style=\"background-color:rgba(0, 0, 0, 0)\" class=\"has-inline-color has-vivid-red-color\">203.0.113.1,*,proto=17,dstport=53 0 0\n<\/mark><\/code><\/pre>\n\n<p>Todo bien.<\/p>\n\n<p>Comprueba el registro del sistema:<\/p>\n\n<p>EJEMPLO: Si ha seguido las mejores pr\u00e1cticas anteriores y ha establecido un l\u00edmite de prefijos en la sesi\u00f3n BGP, ver\u00e1 un mensaje de registro cuando se alcance el m\u00e1ximo:<\/p>\n\n<pre class=\"wp-block-code\"><code>lab@BORDA&gt; show log messages | match BGP_PREFIX\nSep 5 17:51:04 pe3 rpd&#91;2812]: BGP_PREFIX_LIMIT_\nEXCEEDED: 10.70.0.68 (External AS 64511): Configured maximum prefixlimit(1) exceeded for inet-flow nlri: 2 (instance master)\n<\/code><\/pre>\n\n<p>Resumen final del ejemplo:<\/p>\n\n<p>Como vemos, configurar una soluci\u00f3n BGP FlowSpec es sencillo.<\/p>\n\n<p>Entre ISP puede resultar un poco m\u00e1s complicado, ya que requiere coordinaci\u00f3n entre el cliente y el proveedor de servicios. Lamentablemente, no todos los operadores ofrecen sesiones FlowSpec.<\/p>\n\n<p>Consulte con su operador sobre esta posibilidad, ya que es esencial tenerlo configurado antes de un ataque DDoS.<\/p>\n\n<p><\/p>\n\n<p>Obtenga m\u00e1s informaci\u00f3n sobre c\u00f3mo optimizar el encaminamiento del tr\u00e1fico con BGP FlowSpec y simplificar la gesti\u00f3n de la seguridad de la red. Explore <strong>Made4Flow<\/strong>, nuestra herramienta de <strong>an\u00e1lisis de flujos de red<\/strong>, y lleve su infraestructura de red al siguiente nivel. <\/p>\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link has-vivid-cyan-blue-background-color has-background wp-element-button\" href=\"https:\/\/made4flow.com.br\/es\" target=\"_blank\" rel=\"noreferrer noopener\">Conozca Made4Flow<\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Visi\u00f3n general: BGP FlowSpec (Border Gateway Protocol Flow Specification) es una extensi\u00f3n del protocolo BGP que se utiliza para definir reglas de filtrado de tr\u00e1fico en los routers o, m\u00e1s sencillamente, para generar reglas de cortafuegos en los routers a partir de un anuncio BGP. A diferencia del BGP convencional, que enruta bas\u00e1ndose en IPv4\/IPv6 [&hellip;]<\/p>\n","protected":false},"author":13,"featured_media":13532,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"postBodyCss":"","postBodyMargin":[],"postBodyPadding":[],"postBodyBackground":{"backgroundType":"classic","gradient":""},"footnotes":""},"categories":[282],"tags":[],"class_list":["post-13553","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categorizar"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/13553","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/comments?post=13553"}],"version-history":[{"count":4,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/13553\/revisions"}],"predecessor-version":[{"id":13604,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/13553\/revisions\/13604"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/media\/13532"}],"wp:attachment":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/media?parent=13553"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/categories?post=13553"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/tags?post=13553"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}