[GTER] [caiu] AS19611 anunciando toda a tabela para a Level 3
Douglas Fischer
fischerdouglas at gmail.com
Fri Jul 25 13:31:48 -03 2014
Obrigado pelo relato Marcelo!
Parabéns à você pela pró-atividade e ao pessoal
da Unisinos por estar prontos a atender o INOC.
Pois é, depois desse relato podemos chegar à conclusão que o RPKI não
resolveria.
Mas ainda assim não desacredito do uso dessa ferramenta.
Sequestros de prefixos e lambanças por problemas com IGP seriam evitados.
Em 25 de julho de 2014 12:38, Marcelo Balbinot <marcelo at gegnet.com.br>
escreveu:
> Douglas,
>
> Na verdade, a Unisinos não estava originando os anúncios, estava sim
> exportando todos os prefixos da sua tabela para a level 3, prefixos esses,
> que aprendeu de suas conexões com o PTT-RS (ao qual também estou
> conectado), UFRS (que aprendia da rnp, que por sua vez aprendia do PTT-SP
> ao qual também estou conectado).
>
> No meu primeiro teste, vi no route-server.he.net que nossos prefixos
> chegavam "3549 19611 53062",
> verifiquei e vi que o AS19611 estava no PTT-RS, então parei minha conexão
> com o PTT-RS.
>
> Verifiquei novamente no lg da he e nossos prefixos continuavam chegando
> como trânsito pela Unisinos "3549 19611 2716 1916 53062".
>
> Parei nossa conexão com PTT-SP (pois tenho anúncios menores por lá) e
> entrei em contato com a Unsinos (via INOC, muito útil).
>
> Eles estavam ativando um circuito com a L3, então solicitei a eles que
> derrubassem a sessão BGP e verificassem suas politicas de export.
>
> Sobre o problema, eu particularmente, uso filtros baseados em
> prefix-lists, as-path, communities e prefix-limit.
>
> Se listas são inviáveis para provedores de grande porte, acho que pelo
> menos um simples prefix-limit deveria sempre ser implementado.
>
> []'s
>
> ---
>
> Marcelo Balbinot
> GegNET Telecomunicações
> Operação de Redes e Serviços IP
> AS 53062
> INOC-DBA 53062*200
>
> Em 2014-07-25 10:40, Douglas Fischer escreveu:
>
> Desculpe...
>> Pelo que entendi, não foi trânsito pura e simplesmente.
>>
>> P.S.: Tá Aí! Seria legal haver um relato oficial do ocorrido. Das
>> múltiplas
>> partes.
>> Sem caça às bruxas, apenas para promover o aprendizado com o
>> equívoco
>> alheio.
>>
>> Pelo que andei vendo, o que aconteceu foi que ele redistribui todos os
>> blocos que recebeu como se fossem dele.
>> E sendo assim, como eram todos prefixos miúdos(por causa do PTT) e o
>> AS-Path ficou bem curtinho (Orgin-AS sendo ele mesmo) todo mundo começou a
>> preferir as rotas dele.
>>
>> O que já me aconteceu(mas não deixei vazar para a internet)
>> foi que o BGP estava sendo redistribuído para um IGP em um
>> dos Border-Routers(EIGRP no meu caso) e o IGP redistribuiu
>> todos aqueles blocos para o outro Border-Router, e aquilo
>> tudo caiu para o BGP.
>> Por sua vez, o BGP repassou tudo aquilo para o outro
>> trânsito como se ele fosse o Origin-AS daqueles blocos.
>> Na verdade não repassou eu havia
>> aplicado um filtro para meus blocos.
>>
>> \SE/ o que aconteceu com eles foi o mesmo que aconteceu comigo, e
>> \SE/ a operadora tivesse filtrado com base em RPKI, o filtro diria:
>> "Ei, mas você não é o dono do prefixo 8.8.8.0/24.
>> Não vou aceitar essa rota!
>> Seu roteador bobo, feio, e chato!"
>>
>>
>>
>> Em 25 de julho de 2014 10:13, Frederico A C Neves <fneves at registro.br>
>> escreveu:
>>
>> Douglas,
>>>
>>> On Fri, Jul 25, 2014 at 08:56:17AM -0300, Douglas Fischer wrote:
>>> ...
>>> >
>>> > No caso específico da Unisinos, salvo engano, o source das rotas
>>> > redistribuídas era "?" confere?
>>> > O RPKI não teria protegido a Internet nesse caso?
>>>
>>> Este evento, como o outro que você cita, novamente foi alguém dando
>>> trânsito que não devia. Não, RPKI, somente com validação de origem,
>>> não ajuda em nada.
>>>
>>> Fred
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list