Die BGP Community NO-EXPORT ist dazu da, Präfixe nicht an externe BGP Nachbarn zu verteilen. An interne Nachbarn werden sie verteilt.
Wie schafft man es nun Präfixe doch an einen externen Nachbarn zu senden, der diese Präfixe aber wiederrum nicht weitergeben darf?
BGP Communities werden zu zwei Zeitpunkten angewandt. Es werden zuerst die Default-Filter auf die Routen in der BGP Tabelle angewandt und beim versenden der Routen an Nachbarn die Route-Maps. Die Ergebnisse dieser Route-Maps werden an Nachbarn übergeben.
Das heißt, die NO-EXPORT Community wird NICHT an Nachbarn übergeben wenn sie mit den Kommandos „network …“ oder „redistribute …“ angewandt werden. Da diese Informationen in die BGP Tabelle eingehen.
Aber sie werden übergeben, wenn sie als Route-Map auf einen Nachbarn angewandt werden!
Wann könnte das hilfreich sein? Zum Beispiel gibt es DDoS Schutz von Providern, hierbei übernimmt der Provider das Announcement des IP Subnetzes vom Kunden. Das passiert üblicherweiser mit zwei kleineren Subnetz als das, das der Kunde hat. Also zwei /17er Netze für das /16er Netz des Kunden.
Aber was tun wenn der Kunde ein /24 hat? Das ist bereits die kleinste Einheit die es im Internet geben darf. Nun, der Provider übernimmt das Announcement dieses /24er Subnetzes. Der Weg zum Provider ist besser als zum Endkunden (der hinter diesem Provider hängt) und der Traffic landet beim Provider. Soweit so gut, aber wie macht nun der Kunde seine Netze dem Provider bekannt? Der Provider hat sich ja schließlich eine Null0 Route für das /24 gesetzt (damit er die Route in BGP aufnehmen kann) und würde den Traffic verwerfen.
Der Kunde sendet dem Provider zwei /25er Netze für sein eigenes /24er Netz. Mit der NO-EXPORT Community, damit der Provider diese kleinen Netze sicher nicht weiterleitet. Diese Community muss mit der Route-Map gesetzt werden, ansonsten würden die Netze den Provider nie erreichen. Da sie ja normalerweise nicht an eBGP Nachbarn gesandt werden sollten. So aber geht es.