[GTER] Situação estranha VRF

Mauro Lucio Silva maurolucio.silva at gmail.com
Wed Nov 2 12:51:46 -02 2016


Verifique se no sistema operacional do seu router existe a opção de
"ttl-propagation" ou "icmp-tunneling" esta feature são as que permitem
visualizar o backbone no traceroute vindo do CPE.

2016-11-02 12:00 GMT-02:00  <gter-request at eng.registro.br>:
> Send gter mailing list submissions to
>         gter at eng.registro.br
>
> To subscribe or unsubscribe via the World Wide Web, visit
>         https://eng.registro.br/mailman/listinfo/gter
> or, via email, send a message with subject or body 'help' to
>         gter-request at eng.registro.br
>
> You can reach the person managing the list at
>         gter-owner at eng.registro.br
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gter digest..."
>
> Today's Topics:
>
>    1. Re: Situa??o estranha VRF (Diogo Montagner)
>    2. Re: Filtro IPv6 para RE no Juniper (Diogo Montagner)
>
>
> ---------- Mensagem encaminhada ----------
> From: Diogo Montagner <diogo.montagner at gmail.com>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
> Cc:
> Date: Wed, 2 Nov 2016 08:44:55 +1100
> Subject: Re: [GTER] Situação estranha VRF
> Use ping com record-route.
>
> On Wednesday, 2 November 2016, Iure da Luz <iurekamai at gmail.com> wrote:
>
>> Amigos,
>>
>> Eu tenho uma seguinte situação nos roteadores PE onde uso VRF chamada de
>> VRF-INTERNET, nessa VRF coloco todas as interfaces de clientes com link
>> dedicado.
>>
>> Nessas interfaces eu uso um /30 para enlace e entrego um /29 para o
>> cliente, até aí tudo bem.
>>
>> Porém no traceroute a partir do cliente sempre visualizo o IP da rede de
>> gerencia que faz enlace entre PE e P, ao invés do /30 de enlace entre PE e
>> CPE do cliente.
>>
>> Alguém pode dizer se é possível contornar essa situação de algum jeito?
>>
>> Os roteadores são RouterOS.
>>
>>
>>
>> <http://www.eletronluz.com.br/>
>>
>>
>> *Eletron Luz - Soluções em Tecnologia*
>>
>> Rua José Magalhães, 151A - Centro
>> Boa Vista - RR - Brasil
>>
>> Tel:  95 3224-7751
>>
>> Fax: 95 3623-7751
>> www.eletronluz.com.br
>>
>>
>>
>> *Iure da Luz*
>>
>> Diretor Comercial
>>
>>
>> Skype: iuredaluz
>> Fixo:     95 3198-8700
>>
>> Móvel:  95 99902-3303
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> ./diogo -montagner
> JNCIE-SP 0x41A
>
>
>
> ---------- Mensagem encaminhada ----------
> From: Diogo Montagner <diogo.montagner at gmail.com>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
> Cc:
> Date: Wed, 2 Nov 2016 10:13:47 +1100
> Subject: Re: [GTER] Filtro IPv6 para RE no Juniper
> O livro MX-Series apresenta alguns exemplo:
>
> https://www.safaribooksonline.com/library/view/juniper-mx-series/9781449358143/ch04s01.html
>
> []s
>
> ./diogo -montagner
> JNCIE-SP 0x41A
>
> On Wed, Nov 2, 2016 at 5:22 AM, HugLeo <hugocanalli at gmail.com> wrote:
>
>> Encontrei uma falha nesse filtro com relação ao bgp-reply.
>> Se um vizinho seu forjar a porta 179 como source ele consegue acessar
>> qualquer serviço de seu roteador.
>> Pra resolver use tcp-established.
>>
>> Exemplo:
>>
>> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP from
>> source-prefix-list BGP-PEERS
>> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP from protocol
>> tcp
>> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP from
>> destination-port bgp
>> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP then accept
>> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY from
>> source-prefix-list BGP-PEERS
>> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY from
>> protocol tcp
>> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY from
>> source-port bgp
>> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY from
>> tcp-established
>> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY then
>> accept
>>
>>
>> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6 from
>> source-prefix-list BGP-PEERS-IPV6
>> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6 from
>> next-header tcp
>> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6 from
>> destination-port bgp
>> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6 then
>> accept
>> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6-REPLY
>> from source-prefix-list BGP-PEERS-IPV6
>> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6-REPLY
>> from next-header tcp
>> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6-REPLY
>> from source-port bgp
>> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6-REPLY
>> from tcp-established
>> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6-REPLY
>> then accept
>>
>>
>>
>>
>> 2016-10-27 17:41 GMT-02:00 Eduardo Schoedler <listas at esds.com.br>:
>>
>> > Tem um exemplo de filtro de RE para Juniper funcional aqui:
>> > https://tools.ietf.org/html/rfc6192#appendix-A.2
>> >
>> > Abs,
>> >
>> >
>> >
>> > 2016-10-27 16:59 GMT-02:00 Fábio Hernandes <fabio at hernandes.eti.br>:
>> > > Olá, alguém aplicou filtro IPv6 na RE do MX104 (14.2R4.9) e teve algum
>> > > problema?
>> > >
>> > > Se eu ativar, o BGP não sobe, nem usando payload-protocol em vez do
>> > > next-header.
>> > >
>> > > term aceita-bgp {
>> > >     from {
>> > >         next-header tcp;
>> > >         destination-port bgp;
>> > >     }
>> > >     then accept;
>> > > }
>> > > term aceita-bgp-reply {
>> > >     from {
>> > >         next-header tcp;
>> > >         port bgp;
>> > >     }
>> > >     then accept;
>> > > }
>> > >
>> > >
>> > > --
>> > > Fábio R. Hernandes
>> > > Fone: (17) 99643 6715
>> > > Skype: hernandes.fabio
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> >
>> >
>> > --
>> > Eduardo Schoedler
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> --
> gter digest list    https://eng.registro.br/mailman/listinfo/gter



-- 
[]s

Mauro Lúcio
Se você for enviar esta mensagem para alguém, por favor:
1. Apague o MEU ENDEREÇO eletrônico e demais dados pessoais;
2. Encaminhe como cco (Cópia oculta) aos seus destinatários;
3. Apague também as listas de mails que estiverem abaixo do seu;
Essa é uma atitude de que preservará o endereço de todos, evitando tantos
vírus e spams na internet.



More information about the gter mailing list