[GTER] RES: Filtros BGP

Juliano Primavesi ♕ KingHost juliano at kinghost.com.br
Wed Jun 15 15:57:45 -03 2011


Tá... isso ocorre por conta da máscara usada.

O ip do gateway 177.x.x.x está no mesmo /20 ou /21 ou /22 ou /23 ou /24 qu eo IP do servidor final. Por isso, em vez de ele passar pelo roteador intermediário, ele entrega direto na interface do servidor, que para que isto funcione, está ligado no mesmo switch que o roteador do meio e que o roteador da ponta.

Para que o roteador de ponta faça com que os acessos passem pelo roteador do meio, ele não poderá ter acesso ao servidor. Justamente por este motivo que ele entrega diretamente: é mais fácil.

Para que isso aconteça, sugiro alterar a máscara do IP 177.x.x.x do teu roteador de ponta para um /30 por exemplo, cujo outro /30 estará no roteador do meio. Assim ele não vai ter acesso direto ao servidor e não vai entregar o acesso diretamente no servidor, obrigando a passar pelo roteador do meio.

Quando você faz um tracert de dentro do servidor para fora, ele vai passar pelo roteador do meio, pois ele é o gateway do teu servidor. Como o roteador do meio não sabe chegar na internet se não por meio do roteador de borda, ele necessariamente vai passar pelo roteador de borda. Por isso na "entrada", aparecem 4 hops e na "saída", 5.

Reforço que para que na entrada apareçam "5 hops", o roteador de borda não pode ter acesso direto ao servidor final, ou seja, não pode estar na mesma máscara (255.255.X.Y). Não basta alterar a máscara da borda, pois ele precisará fazer par com alguém para chegar no servidor. Assim, é necessário alterar a máscara do 177.x.x.x da Borda e do roteador "intermediário", que imagino, seja um Firewall, IPS ou IDS, daí a necessidade de os acessos passarem por ele.

Juliano

Em 14/06/2011 17:30, Rubens Kuhl escreveu:
> 2011/6/14 Pós vendas - Host Corpore<info at hostcorpore.com.br>:
>>    Vou tentar exemplificar o que preciso:
>>
>>    Traceroute de como está atualmente:
>> 2    201.20.8.225    g3-2-edge-01-sp.alog.com.br    0.0%    5    0.5    0.7
>> 1.0
>> 3    200.219.130.X    asXXXXXX.sp.ptt.br    0.0%    5    0.7    8.5    2.6
>> 4    177.x.x.x        0.0%    5    0.9    11.5    3.3
>>
>>    Traceroute de como eu quero que fique:
>> 2    201.20.8.225    g3-2-edge-01-sp.alog.com.br    0.0%    5    0.5    0.7
>> 1.0
>> 3    200.219.130.X    asXXXXXX.sp.ptt.br    0.0%    5    0.7    8.5    2.6
>> 4    177.x.y.x        0.0%    5    0.9    11.5    3.3
>> 5    177.x.x.x        0.0%    5    0.9    11.5    3.3
> Ele está seguindo diretamente para 177.x.x.x porque a rota mais
> específica ou de menor distância ou de melhor métrica aponta para
> lá... é só fazer com que o 200.219.130.X tenha uma única rota para seu
> bloco CIDR apontando para o 177.x.y.x. Se ele tiver uma interface na
> rede 177.x.x.x, coloque duas rotas mais específicas dividindo as
> atuais rotas em duas, apontando para o 177.x.y.x, apesar de que talvez
> fizesse mais sentido mover a conectividade externa para outra subnet.
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list