[GTER] [Inclusão Digital]Problemas com bogons (no fake)

Rinaldo Vaz rinaldo at anid.com.br
Tue Apr 10 14:31:00 -03 2012 

Eduardo,

Não tenho como utilizar IGP, todos os POPs estão interligados através de
uma VPN-multiponto, todo roteamento dinâmico precisa ser através BGP.

Em 10 de abril de 2012 12:44, Eduardo Schoedler <listas at esds.com.br>escreveu:

> O certo não seria separar seu IGP do EGP ?
> Aparentemente você está usando BGP para ambos, qualquer errinho em filtros
> dá isso que aconteceu.
>
> --
> Eduardo Schoedler
>
>
>
> Em 10 de abril de 2012 09:40, Rinaldo Vaz <rinaldo at anid.com.br> escreveu:
>
> > Houve uma falha nos POPs que originavam essas redes, cada um deles possui
> > um range de IPs privados, que são distribuídos via IBGP, após a troca de
> > Mikrotik para Quagga, não foram inseridos os filtros que aplicam
> "Local-AS"
> >
> > As políticas de filtros para os PTTs são baseadas em communities, de
> > maneira que todas as rotas anunciadas para o RR recebem a community
> > 28135:1, todas as rotas com a community 28135:1 estão permitidas no
> > routemap:
> >
> >
> > ...
> > ip community-list standard ANUNCIAR-PTT permit 28135:1
> > ...
> > ...
> > route-map PTT-NATAL-OUT permit 20
> >  match community ANUNCIAR-PTT
> > ...
> >
> >
> > O POPs que originavam as redes 10.5.0.0/16 e 10.0.0.0/16 não haviam
> > inserido a community "Local-AS", o que fez o router de Natal (conectado
> ao
> > PTT-RN) interpretar assim:
> >
> > BGP routing table entry for 10.5.0.0/16
> > ...
> > ...
> >      Origin IGP, metric 0, localpref 260, valid, internal, best
> > *      Community: 28135:1 *
> >      Originator: 177.46.32.1, Cluster list: 201.20.36.146
> > ...
> >
> > O router não tinha como saber que era um prefixo local.
> >
> > Após corrigido o anúncio no POP de origem o router Natal está recebendo o
> > mesmo prefixo com uma community a mais:
> >
> >
> > BGP routing table entry for 10.5.0.0/16
> > Paths: (1 available, best #1, table Default-IP-Routing-Table, *not
> > advertised outside local AS)*
> >  Not advertised to any peer
> >  Local
> >    200.184.253.105 (metric 1) from 201.70.240.158 (177.46.32.1)
> >      Origin IGP, metric 0, localpref 260, valid, internal, best
> > *      Community: 28135:1 local-AS*
> >      Originator: 177.46.32.1, Cluster list: 201.20.36.146
> >      Last update: Tue Apr 10 08:47:47 2012
> >
> >
> > Contudo, mesmo com a ausência do Local-AS, não havia o risco desses
> > prefixos privados serem exportados para qualquer um dos UPSTREMS, já que
> > para estes as políticas de filtros são baseadas em prefix-list.
> >
> > http://bgp.he.net/AS28135#_prefixes
> >
> >
> > PS: Notem pela ausência de erros de concordância verbal que essa mensagem
> > não é mais um "fake"
> >
> >
> > --
> > Rinaldo Vaz
> > Chefe de operações do NOC
> > Associação Nacional para Inclusão Digital
> > Tim - 083 99975736
> > INOC - 28135*100
> >
> _______________________________________________
> Inclusaodigital mailing list
> Inclusaodigital at anid.com.br
> http://mail.anid.com.br/mailman/listinfo/inclusaodigital
>



-- 
Rinaldo Vaz
Chefe de operações do NOC
Associação Nacional para Inclusão Digital
Tim - 083 99975736
INOC - 28135*100

More information about the gter mailing list