[GTER] [caiu] AS19611 anunciando toda a tabela para a Level 3

Marcelo Balbinot marcelo at gegnet.com.br
Fri Jul 25 12:38:22 -03 2014


Douglas,

Na verdade, a Unisinos não estava originando os anúncios, estava sim 
exportando todos os prefixos da sua tabela para a level 3, prefixos 
esses, que aprendeu de suas conexões com o PTT-RS (ao qual também estou 
conectado), UFRS (que aprendia da rnp, que por sua vez aprendia do 
PTT-SP ao qual também estou conectado).

No meu primeiro teste, vi no route-server.he.net que nossos prefixos 
chegavam "3549 19611 53062",
verifiquei e vi que o AS19611 estava no PTT-RS, então parei minha 
conexão com o PTT-RS.

Verifiquei novamente no lg da he e nossos prefixos continuavam chegando 
como trânsito pela Unisinos "3549 19611 2716 1916 53062".

Parei nossa conexão com PTT-SP (pois tenho anúncios menores por lá) e 
entrei em contato com a Unsinos (via INOC, muito útil).

Eles estavam ativando um circuito com a L3, então solicitei a eles que 
derrubassem a sessão BGP e verificassem suas politicas de export.

Sobre o problema, eu particularmente, uso filtros baseados em 
prefix-lists, as-path, communities e prefix-limit.

Se listas são inviáveis para provedores de grande porte, acho que pelo 
menos um simples prefix-limit deveria sempre ser implementado.

[]'s

---
Marcelo Balbinot
GegNET Telecomunicações
Operação de Redes e Serviços IP
AS 53062
INOC-DBA 53062*200

Em 2014-07-25 10:40, Douglas Fischer escreveu:
> Desculpe...
> Pelo que entendi, não foi trânsito pura e simplesmente.
> 
> P.S.: Tá Aí! Seria legal haver um relato oficial do ocorrido. Das 
> múltiplas
> partes.
>       Sem caça às bruxas, apenas para promover o aprendizado com o 
> equívoco
> alheio.
> 
> Pelo que andei vendo, o que aconteceu foi que ele redistribui todos os
> blocos que recebeu como se fossem dele.
> E sendo assim, como eram todos prefixos miúdos(por causa do PTT) e o
> AS-Path ficou bem curtinho (Orgin-AS sendo ele mesmo) todo mundo 
> começou a
> preferir as rotas dele.
> 
>    O que já me aconteceu(mas não deixei vazar para a internet)
>    foi que o BGP estava sendo redistribuído para um IGP em um
>    dos Border-Routers(EIGRP no meu caso) e o IGP redistribuiu
>    todos aqueles blocos para o outro Border-Router, e aquilo
>    tudo caiu para o BGP.
>    Por sua vez, o BGP repassou tudo aquilo para o outro
>    trânsito como se ele fosse o Origin-AS daqueles blocos.
>       Na verdade não repassou eu havia
>       aplicado um filtro para meus blocos.
> 
> \SE/ o que aconteceu com eles foi o mesmo que aconteceu comigo, e
> \SE/ a operadora tivesse filtrado com base em RPKI, o filtro diria:
>   "Ei, mas você não é o dono do prefixo 8.8.8.0/24.
>    Não vou aceitar essa rota!
>    Seu roteador bobo, feio, e chato!"
> 
> 
> 
> Em 25 de julho de 2014 10:13, Frederico A C Neves <fneves at registro.br>
> escreveu:
> 
>> Douglas,
>> 
>> On Fri, Jul 25, 2014 at 08:56:17AM -0300, Douglas Fischer wrote:
>> ...
>> >
>> > No caso específico da Unisinos, salvo engano, o source das rotas
>> > redistribuídas era "?" confere?
>> > O RPKI não teria protegido a Internet nesse caso?
>> 
>> Este evento, como o outro que você cita, novamente foi alguém dando
>> trânsito que não devia. Não, RPKI, somente com validação de origem,
>> não ajuda em nada.
>> 
>> Fred
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 



More information about the gter mailing list