[GTER] Problemas com bogons (no fake)

Rinaldo Vaz rinaldo at anid.com.br
Tue Apr 10 09:40:15 -03 2012 

Houve uma falha nos POPs que originavam essas redes, cada um deles possui
um range de IPs privados, que são distribuídos via IBGP, após a troca de
Mikrotik para Quagga, não foram inseridos os filtros que aplicam "Local-AS"

As políticas de filtros para os PTTs são baseadas em communities, de
maneira que todas as rotas anunciadas para o RR recebem a community
28135:1, todas as rotas com a community 28135:1 estão permitidas no
routemap:


...
ip community-list standard ANUNCIAR-PTT permit 28135:1
...
...
route-map PTT-NATAL-OUT permit 20
 match community ANUNCIAR-PTT
...


O POPs que originavam as redes 10.5.0.0/16 e 10.0.0.0/16 não haviam
inserido a community "Local-AS", o que fez o router de Natal (conectado ao
PTT-RN) interpretar assim:

BGP routing table entry for 10.5.0.0/16
...
...
      Origin IGP, metric 0, localpref 260, valid, internal, best
*      Community: 28135:1 *
      Originator: 177.46.32.1, Cluster list: 201.20.36.146
...

O router não tinha como saber que era um prefixo local.

Após corrigido o anúncio no POP de origem o router Natal está recebendo o
mesmo prefixo com uma community a mais:


BGP routing table entry for 10.5.0.0/16
Paths: (1 available, best #1, table Default-IP-Routing-Table, *not
advertised outside local AS)*
  Not advertised to any peer
  Local
    200.184.253.105 (metric 1) from 201.70.240.158 (177.46.32.1)
      Origin IGP, metric 0, localpref 260, valid, internal, best
*      Community: 28135:1 local-AS*
      Originator: 177.46.32.1, Cluster list: 201.20.36.146
      Last update: Tue Apr 10 08:47:47 2012


Contudo, mesmo com a ausência do Local-AS, não havia o risco desses
prefixos privados serem exportados para qualquer um dos UPSTREMS, já que
para estes as políticas de filtros são baseadas em prefix-list.

http://bgp.he.net/AS28135#_prefixes


PS: Notem pela ausência de erros de concordância verbal que essa mensagem
não é mais um "fake"


-- 
Rinaldo Vaz
Chefe de operações do NOC
Associação Nacional para Inclusão Digital
Tim - 083 99975736
INOC - 28135*100

More information about the gter mailing list