[GTER] GVT usando RPF?
Rubens Kuhl
rubensk at gmail.com
Wed Apr 9 13:21:28 -03 2014
2014-04-09 12:43 GMT-03:00 Rinaldo Vaz <rinaldopvaz at gmail.com>:
> >Mas porque você queria ligar o RPF, anti-spoofing ? Anti-spoofing se faz
> >com filtros sem precisar de RPF...
>
> Por dois motivos:
>
> 1-Porque o NIC.br em seu portal de boas práticas ensina a filtrar spooging
> aplicando RPF
>
> http://bcp.nic.br/filtro-antispoofing-exemplo-para-cisco/
>
> ! habilitando Strict uRPF
> ip verify unicast source reachable-via rx
>
Faltou mencionar o contexto aqui. Strict uRPF se aplica a interfaces de
acesso, não à borda. RPF em borda é bem mais complexo exatamente pela
possibilidade de múltiplos caminhos.
>
>
> 2- Para não ter que atualizar uma ACL sempre que o cliente solicitar
> liberação de filtros BGP. As as causas de desvio de tráfego no PTT são no
> meu ver consequência dessa necessidade manual de atualizar filtros. Ativar
> um novo cliente BGP->atualizar as expressões regulares no filtro PTT-IN. Um
> mecanismo manual de bloqueio de spoofing é ineficiente quando se tem o
> tamanho da GVT
>
Quem tem o tamanho de um grande operador tem um grau de automação maior do
que atualização manual de filtros. Pode-se até deixar os comandos para
alguém revisar, mas a construção precisa ser automatizada. Atualizar, um,
dois ou três contextos é normal para provisionar uma alteração. Toda
política de redes precisa ser refletida no plano de controle e no plano de
dados, e filtro BGP é apenas um deles.
Rubens
More information about the gter
mailing list