[GTER] ASN's privados sendo anunciados
Rinaldo Vaz
rinaldo at anid.com.br
Tue Oct 9 17:14:59 -03 2012
A MPLS-VPN funciona assim com a Intelig. Em cada circuito utilizamos um
"neigbor A.B.C.D local-as 65xxx"
Cada circuito tem um AS privado diferente, e só é possível funcionar assim.
As rotas que chegam do outro lado ficavam na FIB mas não vazavam para
UPSTREAM por não serem redes do site local.
Quase perdi os cabelos no começo até descobrir que precisava fazer filtros
de prefix-list + as-path access-list como condição dupla de mach.
Em contrapartida, o router do PTT utilizava filtros unicamente baseado em
prefixos, e acabava vazando para o PTT rotas com os AS's privados da
VPN-MPLS do site originator. Depois passei a uitilizar a expressão "^$"
para evitar esse problema.
Tem alguma forma de verificar o status atual desses AS's privados? Se eles
ainda estão vazando?
Temos muitas sessões BGP, sempre ajurá saber como aparecem os nossos
anúncios, e todas as anormalidades serão resolvidas com a devida urgência.
Em 9 de outubro de 2012 16:55, Rubens Kuhl <rubensk at gmail.com> escreveu:
> 2012/10/9 Rinaldo Vaz <rinaldo at anid.com.br>:
> >>Quem usar os mesmos filtros não receberá rotas da ANID. Tem certeza
> >>que quer estimular isso ? Eu sou a favor...
> >
> > Rubens,
> >
> > Essas são da MPLS-VPN, e não são anunciadas para UPSTREAM.
> > Estimulo isso sim.
>
> No que rotas anunciadas para outras redes que são peers não deveriam
> ter o mesmo cuidado ?
>
> >>Sendo que estas acima são da ANID e estão anunciadas publicamente:
> >
> > Não, não estão sendo anunciadas publicamente conforme consulta no HE,
> note
> > que não tem o AS privado.
>
> Não há visão única da DFZ, por isso o RIPE tem coletores de rotas
> distribuídos... O RIS dashboard
> (http://www.ris.ripe.net/dashboard/177.46.28.0/22) diz:
>
> This prefix had multiple originating ASes:
>
> Origin AS AS Name First Seen Last Seen
> AS28135 2012-03-30 00:00:03 UTC 2012-10-09 16:00:00 UTC
> AS65500 -Private Use AS- 2012-06-25 21:53:52 UTC 2012-07-24
> 21:06:52 UTC
>
> O que mostra que já houve um tempo com um vazamento mais amplo desse
> anúncio com AS privado...
>
>
> > Agora esse /32 (177.46.0.20/32) vazou errado mesmo e foi consertado, não
> > anunciamos /32 para UPSTREAM, esse foi para o PTT ;-)
>
> Apesar de serem apenas uma centena de redes e não milhares de rede,
> essa centenas gostariam que o esmero atribuído aos provedores de
> trânsito também lhes fosse extendido...
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Rinaldo Vaz
Chefe de operações do NOC
Associação Nacional para Inclusão Digital
Tim - 083 99975736
INOC - 28135*100
*********************************************************
Dias 10,11,12,13 e 14 de dezembro de 2012
Curso Avançado em Belo Horizonte-MG
anid.com.br/cursobgp
*********************************************************
More information about the gter
mailing list