RFC 4760: MP-BGP - VPNv4 a IPv6 v jednom peeringu

Multiprotocol BGP (MP‑BGP), specifikovaný v RFC 4760, přináší BGP‑4 do nového dimenzionálního světa. Původně BGP přenášel jen IPv4 unicast prefixy. MP‑BGP ale umožňuje přenášet různé adresní rodiny – IPv6, VPNv4/v6, multicast, a dokonce externí NLRI – skrze jedinou TCP session. To je klíčové pro moderní MPLS VPN, dual‑stack prostředí a ISP architektury. Bez MP‑BGP by bylo nutné provozovat vícero BGP instancí – komplikované a těžko spravovatelné řešení.

Proč MP‑BGP vznikl?

Jak rostoucí potřeby sítí tloukly na BGP, jeho původní návrh nestačil:

Chybí podpora IPv6 – rostoucí počet uživatelů potřebuje nové adresy.
Požadavky na VPN‑MPLS = VPNv4 prefixy nejsou IPv4 unicast.
Multicast vyžaduje přenos S‑P‑E‑C‑I‑A‑L‑N‑Í prefixů.

MP‑BGP řeší vše elegantně pomocí dvou hlavních NLRI attributek:

MP_REACH_NLRI: Označuje dosah (next hops) a poskytuje seznam prefixů.
MP_UNREACH_NLRI: Označuje stornování NLRI prefixů.

Tímto mechanismem se přenáší odlišné NLRI typy přes vytvářené TCP 179 spojení – bez nutnosti nových peerings.

Co je AFI a SAFI?

Pro podporu více protocol families se definují dvě hodnoty:

AFI (Address Family Identifier): typ rodiny – IPv4, IPv6 atd.
SAFI (Subsequent Address Family Identifier): typ služby (unicast, multicast, VPN…)

Některé běžné kombinace:

AFI = 1, SAFI = 1 → IPv4 unicast
AFI = 2, SAFI = 1 → IPv6 unicast
AFI = 1, SAFI = 128 → VPNv4
AFI = 2, SAFI = 128 → VPNv6

Router sám řekne, které AFI/SAFI peer podporuje – a už se s ním komunikuje jen pro tyto typy.

Struktura MP_REACH_NLRI

Zpráva zahrnuje:

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

AFI / SAFI – identifikace rodiny
Next-Hop – adresa, na kterou se má pakety doručovat
NLRI prefixy – seznam prefixů, délka + maska

Příklad:

MP_REACH_NLRI:
 AFI 1, SAFI 128
 Next-Hop: 192.0.2.1
 NLRI:
  10.10.0.0/16
  10.20.0.0/24

Pokud se prefix ruší, přijde MP_UNREACH_NLRI.

Příklady konfigurace MP‑BGP v Cisco IOS

router bgp 65001
 bgp log-neighbor-changes
 neighbor 203.0.113.2 remote-as 65002
 !
 address-family ipv6 unicast
  neighbor 203.0.113.2 activate
 exit-address-family
 !
 address-family vpnv4
  neighbor 203.0.113.2 activate
 exit-address-family

Tímto způsobem zapnete MP‑BGP pro IPv6 a VPNv4. Samotné směrování VPN prefixů se řídí pomocí route‑map a prefix_listů, které filtrují AFI/SAFI.

Běžné provozní příkazy

show bgp ipv6 unicast – ověřte IPv6 prefixy
show bgp vpnv4 unicast – ověřte VPNv4 prefixy
show bgp afs – zobrazuje, které rodiny jsou aktivní

Bezpečnost a kompatibilita

MP‑BGP nenarušuje základní BGP bezpečnostní detaily – stále doporučujeme:

MD5 nebo TCP‑AO authentication mezi peer‑utěmi
prefix‑filtrování (prefix‑list, route‑map)
max‑prefix limit (chrání před útokem/opomenutím)

Když peer nezná konkrétní SAFI, tuto omítne – a zbytek běží stále dál.

Praktický rozdíl v labu

Na našich Cisco labech zobrazujeme dvě IPA rodiny naráz. Postup:

Nasadit BGP peering bez MP‑BGP → uvidíte jen IPv4 prefixy
Přidat IPv6 AFI/SAFI → objeví se IPv6 prefixy vedle
Přidat VPNv4 AFI/SAFI → objeví se VPNv4 prefixy (MPLS VPN)
Přidat route‑map → upravíte AS_PATH, MED a vidíte změnu best‑path
Vypnout SAFI → ověřujete, že pakety jsou řádně odstraněny a neunikají

FAQ – často kladené otázky

Je pro každý AFI/SAFI potřeba nový TCP spoj?
Ne – všechny AFI/SAFI typy používají **jedno** TCP spojení (port 179).
Mohu přenášet IPv6 a VPNv4 zároveň?
Ano! Každý AFI/SAFI je povolený zvlášť.
Co když peer VPNv4 nepodporuje?
Ignoruje MP‑BGP, dál běží IPv4 a IPv6.
Proč používat VPNv4?
Když běží MPLS VPN, každá VPN se spravuje VPNv4 NLRI.
Co zabezpečí, že MP‑BGP funguje správně?
Důležitý je **next-hop**, route‑mapy, a limity prefixů.

Top 5 zajímavých faktů o MP‑BGP

MP‑BGP je základem MPLS L3VPN architektury.
Umožňuje více adresních rodin přes jednu session: IPv6, VPNv4, EVPN atd.
AFI/SAFI definují, co peer posílá a přijímá.
VPNv6 a EVPN (SAFI 70) jsou plně podporované – nejen unicast.
MP‑BGP je plně zpětně kompatibilní s původním BGP‑4.

Závěr

RFC 4760 – MP‑BGP přetváří BGP‑4 na moderní protokol pro hybridní i plně MPLS/IP sítě. Umožňuje přenášet IPv6, VPNv4/v6 a další služby přes jedno spojení – což ocení každý síťový inženýr a student CCNP/CCIE. Chceš‑li zvládnout MPLS VPN, dual‑stack routing, EVPN nebo jen efektivní peeringy – MP‑BGP je tvůj základ. A nejefektivněji to pochopíš v našich Cisco labech.

Kurz NA0 - Administrace a návrh LAN/WAN TCP/IP sítí - základní koncepty

Kurz NA1 - Základy administrace sítí LAN/WAN a směrování v TCP/IP sítích

Jak začít programovat?

Úvod do programování pro každého bez předchozích znalostí.

Stáhněte si náš ebook teď výjimečně zdarma!!!

STÁHNOUT TEĎ

Viac informacií preberáme na kurze:

Kurz NP9 - Směrovací protokol Border Gateway Protocol (BGP)

Marián Knězek