[GTER] BGP com ips inválidos

[Henrique de Moraes Holschuh]

On 15-06-2011 12:56, Altair Soares wrote:
> Aproveitando a mensagem pois minha dúvida é semelhante:
>
> A vizinhança BGP sempre é fechada com IPS válidos? Trabalho em um
> órgão

Não, usar IP privado e/ou IP não anunciado na verdade até dificulta as
coisas.

O ideal seria que a operadora utilizasse uma /31 com IPs públicos
roteados (RFC 3021), e GTSM (RFC 5082): não desperdiça IPv4 ao mesmo
tempo que não quebra ICMP, e protege a sessão BGP contra ataques TCP sem
o custo de computar o MD5.

Mas a compatibilidade disso não é das melhores (por exemplo, que eu
saiba a Júniper *AINDA* não suporta GTSM de forma decente.  E Linux, se
você usar ifconfig ao invés do iproute2 para colocar o prefixo /31 na
interface, quebra tudo ao designar um dos endereços para broadcast... ao
invés de fazer a coisa certa, e o kernel rejeitar o endereço de
broadcast inválido).

> governamental (TJMS) e já temos o ASN e o range. Aqui no meu estado
> existem poucos ASes e nem os técnicos locais das operadoras conseguem
> responder esse questionamento. Pelo que eu entendi até o momento, e
> com base no nosso

Motivo pelo qual você não deve pedir para eles fazerem nada com o que
não estejam acostumados, eles vão meter o pé na jaca na certa.

> ambiente onde iremos fechar vizinhança com dois ISPs, a operadora
> deve fornecer um /30, e o nosso range ficar "atrás" do nosso roteador
> que anunciará as rotas. É isso mesmo?

Bom, a operadora vai rotear esse /30 no enlace com você usando algum IGP
(muitas gostam de usar RIP para isso) ou até mesmo rota estática, e você
precisa utilizar a /30 para subir a sessão BGP (que precisa de TCP/IP
funcional para subir).

Você terá que anunciar seus prefixos por esta sessão BGP, com um NEXTHOP
que a operadora "conheça" por outros meios.  Neste caso, o NEXTHOP é o
seu lado do tal /30.   Assim, tráfego entrando na rede da operadora
_direcionado_ aos prefixos que você está anunciando, fluirão para esse
NEXTHOP, que é um IP de interface em seu roteador.

Uma vez que o tráfego esteja no seu roteador, você faz o que quiser.
Normalmente, usa um IGP (tipo OSPF ou IS-IS) para rotear ele para algum
outro roteador mais interno, mas nada impede de rotear para algum
segmento de rede diretamente conectado.

O importante é lembrar que qualquer roteador no caminho de tráfego
"público" (ou seja: de e para IPs públicos) pode precisar gerar ICMP, e
portanto precisa ter IP público na interface que vai originar o ICMP.

> Pesquisei o oráculo, mas só encontro cenários de BGP e vizinhança
> utilizando IPS "inválidos".

É só para efeito de documentação, e para que, caso algum sem noção copie
o exemplo na íntegra (sem alterar os IPs) e instale num roteador ligado
à Internet, não cause problemas.  Poderiam ter utilizado o 192.0.2.0/24
(prefixo de documentação) também.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.