[GTER] Cisco 2821 com BGP?

[Rubens Kuhl]

Seguem respostas inline, como alguma edição de trechos não comentados:

> o Quagga ainda não tem suporte em versão estável p/ ASN de 4 Bytes, tem
> patch que pode ser aplicado 0.98.6 e suporte nativo na 0.99.10 (unstable).
> Nunca fui fa de patches em sistemas como os que trabalho.

Já que o tópico começou com Cisco, é bom notar que há vários anos é
difícil manter uma rede Cisco apenas com IOS GD (General Deployment),
quando muitas das funcionalidades necessárias(software ou hardware)
fazem parte das versões ED (Early Deployment) ou LD (Limited
Deployment). Eu não vejo diferença fundamental entre usar versões
ED/LD e patches/testing/unstable... em todos os casos, o sub-conjunto
das funcionalidades úteis para cada rede pode ter estabilidade alta ou
sofrível, exigindo um trabalho de testes de aceitação bastante
cuidadoso.


> O OpenBGPD so
> suporta "asdot" como notação e segundo o que andei lendo vc tem que
> implementar também um ASN de 2 Bytes p/ falar (AS-Path) com o que não tem
> suporte a 4 (estranho, ja que o ASN 23456 foi criado justamente p/
> interoperar 16 c/ sistemas 32 bits, posso ter interpretado erroneamente o
> que li sobre o OpenBGPD). Parece que ja tem suporte sem patch em versão
> estável.

Uma coisa não descarta a outra, pode ser que o software esteja apenas
expondo o fato de que é assim que os ASN de 32 bits funcionam...

>O Vyatta ainda não eh recomendado p/ uso com BGP em ambientes de
> produção

Pq não ? O Vyatta é uma ótima integração de Linux para roteamento. A
parte BGP das versões atuais é Quagga, então recai nas questões que
você já levantou de Quagga.

> e temos ainda o routerOS (Mikrotik), que apesar de eu gostar
> muito e inclusive usar em larga escala em meus Access Points (todos
> hardwares x86, nao uso routerboard's, elas nao aguentam o trabalho aqui)

Então você está convidado para comentar na thread de escalabilidade de
MT que eu iniciei na MASOCH-L...

> nao me agrada muito a idéia de usa-lo como roteador (BUGs recentes,
> incluindo um não citado com o clock em sistemas com mais de 1 núcleo que
> "aparentemente" foram resolver so na 3.20, ou 3.19).

A versão 3.x do ROS é nitidamente "Early Deployment", então a
estabilidade tende mesmo a ser variável... o porém é que o BGP da
versão 2.9.x é muito criticado, recaindo no dilema que leva à adoção
de versões não tão "bem passadas".

> Sobre o e-mail na GTER parece que a resposta mais interessante foi a do
> Rubens K., ele inclusive citou a possibilidade de não agüentar sob DoS
> (nem tinha pensado nesse cenário).

Esse cenário fatalmente leva a escolha de dispositivos com forwarding
wire-speed, que em geral são roteadores com forwarding por ASIC ou
arquiteturas x86 bastante sofisticadas.

> Me agrada muito a ideia de um x86_64 operando como router BGP com Linux
> aqui (num dos meus 2x Xeon Quad, com 32/64GB RAM), mas e os problemas
> citados acima? O que escolher e como contornar isso tudo?

Talvez valham alguns testes com outra alternativa não citada acima, o
XORP. Apesar da crítica da Vyatta (que deixou o XORP em favor do
Quagga), o XORP implementa ASN de 32 bits há um bom tempo em versão
release (desde a 1.5 em Jul 2008, já foi lançada a versão 6.) Dá para
baixar um Live CD e experimentar um pouco com ele em http://xorp.org,
mas ele roda no seu SO *nix favorito, qualquer que seja ele.


> Um outro cenário não proposto eh a possibilidade de expansao do link no
> 2821, agora sao 35 e depois? (upgrades). Faltou outro detalhe, são os 35
> já citados + 20 Mbit da outra operadora (outro cenário em avaliação é
> manter apenas os 35 neste roteador).

De todo modo o tráfego de uplink vai ocupar recursos de 1 senão os 2
roteadores quando há 2 roteadores... o tráfego de uplink tem tantos
pps (pacotes por segundo) quanto o de downlink, e é tão importante
para o dimensionamento de roteadores quanto o de downlink.

> Segundo o que andei lendo, há casos de 2821 (com 768M RAM) com 3
> upstream's (2 partial e 1 full routing) funcionando bem e ha casos em que
> há problemas mesmo com um único upstream. Não obtive detalhes sobre tudo
> que estava em execução nesses roteadores.

O mesmo se extende a todas as alternativas apontadas... o importante é
não achar que soluções caras e/ou renomadas são balas de prata.

> Fiquei em duvida também em relação a este tunnel do ASN 23456 (não
> entendi muito bem como ele funciona), significa que em sistemas com BGP sem
> suporte a 32 bits meu AS não irá aparecer nas tabelas/rotas? Como criar
> filtros e efetuar todas as operações rotineiras que envolvam isso?

Vai aparecer o AS 23456...

> E o
> problema do AS_CONFED_SEQUENCE (AS4_PATH)?
>
> Outro detalhe, já vi gente filtrando o 23456 como bogon...

O problema de não atualização de bogons afeta tanto o espaço de ASNs
quanto o de IPs, vide discussões da lista sobre filtro de IPs 187.x...
mas não dá para deixar de usar números novos só porque antes não os
usávamos e as pessoas construíram filtros baseados nisso, do contrário
teríamos que decretar o congelamento da Internet.

> Enfim, se este Cisco não agüenta o cenário citado e é um caminho não
> muito seguro (ainda) implementações software based (BGP sob x86), como
> proceder? Outro Cisco? Outra implementação não citada?

Fora o XORP que já citei, alguém talvez pudesse comentar sobre o
estado do suporte de ASN de 4 bytes no JunOS e no JunOS-ES...


Rubens