[GTER] Communities no IX.br

Andrez eduardo.andrez at gmail.com
Thu Nov 3 22:21:18 -02 2016 

2016-10-29 12:37 GMT-03:00 Lucenildo Lins Aquino Júnior <lucenildo at nic.br>:
> Oi Rafael,
>
>
> Rubens tem razão. Caso você queria mais informação pode olhar a RFC 7947
> na sessão 2.3.2.2.2.
>
> Adicionado a funcionalidade do Add-path pode-se propagar múltiplos
> caminhos independente de filtros.
>
> Sobre a funcionalidade do Add-path está no nosso road map estudar e
> inclui-la caso haja demanda da comunidade.
>
> Gostaria de ressaltar que o Add-path propaga vários caminhos para o
> mesmo prefixo,  ou seja, poderia potencialmente causar a propagação de
> rotas inativas, caminhos inválidos ou até mesmo perde de acessibilidade
> a outros clientes do servidor de rota, dependendo de como o router do
> recebedor trata as informações enviadas.
>
>
> Grato.
>
>

Cheguei atrasado na discussão mas vamos lá... Estou muito feliz em ver
isso sendo implementado.

- Quanto a transparência das communities: Por que as communities de
filtros serão removidas?


- Quanto a Identificação de origem: Sugiro que recomendem aos
participantes a identificação do local efetivo do uso da bloco ou onde
ele foi recebido. Ex: Alguém anuncia um bloco usado em Teresina no IX
de SP e o participante poderia marcar isso com 26162:64XXX. Essa
informação pode ser útil para outros participantes.

- Quanto a validação: Poderia validar também com base em um IRR
informado pelo participante já que ele ainda suporta apenas RFC 1786 ?

- Quanto ao ADD-PATH: Acho que ganhamos o multipath para participantes
que tenham mais de 1 IP no IX, com sorte até diminuiria o tamanho da
tabela de rotas, e na RFC 7947 cita que o uso unidirecional de
ADD-PATH resolveria os problemas. Olhando rápido me parece bom.

- Quanto ao blackhole: Para garantir que o ataque vai parar antes de
chegar no participante atacado me parece que só com filtros L3 pois
nada garante que o participante atacante vai aceitar um blackhole ou
um /32 e depois disso nada mais funciona. Essa possibilidade ruim não
invalida as outras tentativas e acho que mudar o next-hop e responder
a arp para um mac que será dropado no IX é bom. Como já comentaram o
melhor é que os participantes participem da defesa e não deixem o
ataque chegar ao IX.

Pegando carona na onda dos participantes participarem sugiro que o
IX.br sugira políticas, como as do blackhole e de informar onde o
bloco está sendo usado, e que os participantes possam marcar no portal
opções para quais políticas ele não adere, deseja aderir mas não
implementou e que já implementou. Claro que isso é para ser público,
ou no mínimo comunitário para os participantes do IX, como participar
do ATM v4, v6 e etc.


-- 
Eduardo

More information about the gter mailing list