[GTER] Situação estranha VRF
Iure da Luz
iurekamai at gmail.com
Thu Nov 3 19:53:19 -02 2016
Olá Mauro,
O ttl-propagation eu desativei, justamente pois não quero que o cliente
veja o backbone, porém o que acontece não é isso. De qualquer forma eu
ativei e mas mesmo assim não tive sucesso.
<http://www.eletronluz.com.br/>
*Eletron Luz - Soluções em Tecnologia*
Rua José Magalhães, 151A - Centro
Boa Vista - RR - Brasil
Tel: 95 3224-7751
Fax: 95 3623-7751
www.eletronluz.com.br
*Iure da Luz*
Diretor Comercial
Skype: iuredaluz
Fixo: 95 3198-8700
Móvel: 95 99902-3303
Em 2 de novembro de 2016 10:51, Mauro Lucio Silva <
maurolucio.silva at gmail.com> escreveu:
> Verifique se no sistema operacional do seu router existe a opção de
> "ttl-propagation" ou "icmp-tunneling" esta feature são as que permitem
> visualizar o backbone no traceroute vindo do CPE.
>
> 2016-11-02 12:00 GMT-02:00 <gter-request at eng.registro.br>:
> > Send gter mailing list submissions to
> > gter at eng.registro.br
> >
> > To subscribe or unsubscribe via the World Wide Web, visit
> > https://eng.registro.br/mailman/listinfo/gter
> > or, via email, send a message with subject or body 'help' to
> > gter-request at eng.registro.br
> >
> > You can reach the person managing the list at
> > gter-owner at eng.registro.br
> >
> > When replying, please edit your Subject line so it is more specific
> > than "Re: Contents of gter digest..."
> >
> > Today's Topics:
> >
> > 1. Re: Situa??o estranha VRF (Diogo Montagner)
> > 2. Re: Filtro IPv6 para RE no Juniper (Diogo Montagner)
> >
> >
> > ---------- Mensagem encaminhada ----------
> > From: Diogo Montagner <diogo.montagner at gmail.com>
> > To: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>
> > Cc:
> > Date: Wed, 2 Nov 2016 08:44:55 +1100
> > Subject: Re: [GTER] Situação estranha VRF
> > Use ping com record-route.
> >
> > On Wednesday, 2 November 2016, Iure da Luz <iurekamai at gmail.com> wrote:
> >
> >> Amigos,
> >>
> >> Eu tenho uma seguinte situação nos roteadores PE onde uso VRF chamada de
> >> VRF-INTERNET, nessa VRF coloco todas as interfaces de clientes com link
> >> dedicado.
> >>
> >> Nessas interfaces eu uso um /30 para enlace e entrego um /29 para o
> >> cliente, até aí tudo bem.
> >>
> >> Porém no traceroute a partir do cliente sempre visualizo o IP da rede de
> >> gerencia que faz enlace entre PE e P, ao invés do /30 de enlace entre
> PE e
> >> CPE do cliente.
> >>
> >> Alguém pode dizer se é possível contornar essa situação de algum jeito?
> >>
> >> Os roteadores são RouterOS.
> >>
> >>
> >>
> >> <http://www.eletronluz.com.br/>
> >>
> >>
> >> *Eletron Luz - Soluções em Tecnologia*
> >>
> >> Rua José Magalhães, 151A - Centro
> >> Boa Vista - RR - Brasil
> >>
> >> Tel: 95 3224-7751
> >>
> >> Fax: 95 3623-7751
> >> www.eletronluz.com.br
> >>
> >>
> >>
> >> *Iure da Luz*
> >>
> >> Diretor Comercial
> >>
> >>
> >> Skype: iuredaluz
> >> Fixo: 95 3198-8700
> >>
> >> Móvel: 95 99902-3303
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >
> >
> >
> > --
> > ./diogo -montagner
> > JNCIE-SP 0x41A
> >
> >
> >
> > ---------- Mensagem encaminhada ----------
> > From: Diogo Montagner <diogo.montagner at gmail.com>
> > To: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>
> > Cc:
> > Date: Wed, 2 Nov 2016 10:13:47 +1100
> > Subject: Re: [GTER] Filtro IPv6 para RE no Juniper
> > O livro MX-Series apresenta alguns exemplo:
> >
> > https://www.safaribooksonline.com/library/view/juniper-mx-
> series/9781449358143/ch04s01.html
> >
> > []s
> >
> > ./diogo -montagner
> > JNCIE-SP 0x41A
> >
> > On Wed, Nov 2, 2016 at 5:22 AM, HugLeo <hugocanalli at gmail.com> wrote:
> >
> >> Encontrei uma falha nesse filtro com relação ao bgp-reply.
> >> Se um vizinho seu forjar a porta 179 como source ele consegue acessar
> >> qualquer serviço de seu roteador.
> >> Pra resolver use tcp-established.
> >>
> >> Exemplo:
> >>
> >> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP from
> >> source-prefix-list BGP-PEERS
> >> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP from protocol
> >> tcp
> >> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP from
> >> destination-port bgp
> >> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP then accept
> >> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY from
> >> source-prefix-list BGP-PEERS
> >> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY from
> >> protocol tcp
> >> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY from
> >> source-port bgp
> >> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY from
> >> tcp-established
> >> set firewall family inet filter ACCEPT-BGP term ACCEPT-BGP-REPLY then
> >> accept
> >>
> >>
> >> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6
> from
> >> source-prefix-list BGP-PEERS-IPV6
> >> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6
> from
> >> next-header tcp
> >> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6
> from
> >> destination-port bgp
> >> set firewall family inet6 filter ACCEPT-BGP-IPV6 term ACCEPT-BGP-IPV6
> then
> >> accept
> >> set firewall family inet6 filter ACCEPT-BGP-IPV6 term
> ACCEPT-BGP-IPV6-REPLY
> >> from source-prefix-list BGP-PEERS-IPV6
> >> set firewall family inet6 filter ACCEPT-BGP-IPV6 term
> ACCEPT-BGP-IPV6-REPLY
> >> from next-header tcp
> >> set firewall family inet6 filter ACCEPT-BGP-IPV6 term
> ACCEPT-BGP-IPV6-REPLY
> >> from source-port bgp
> >> set firewall family inet6 filter ACCEPT-BGP-IPV6 term
> ACCEPT-BGP-IPV6-REPLY
> >> from tcp-established
> >> set firewall family inet6 filter ACCEPT-BGP-IPV6 term
> ACCEPT-BGP-IPV6-REPLY
> >> then accept
> >>
> >>
> >>
> >>
> >> 2016-10-27 17:41 GMT-02:00 Eduardo Schoedler <listas at esds.com.br>:
> >>
> >> > Tem um exemplo de filtro de RE para Juniper funcional aqui:
> >> > https://tools.ietf.org/html/rfc6192#appendix-A.2
> >> >
> >> > Abs,
> >> >
> >> >
> >> >
> >> > 2016-10-27 16:59 GMT-02:00 Fábio Hernandes <fabio at hernandes.eti.br>:
> >> > > Olá, alguém aplicou filtro IPv6 na RE do MX104 (14.2R4.9) e teve
> algum
> >> > > problema?
> >> > >
> >> > > Se eu ativar, o BGP não sobe, nem usando payload-protocol em vez do
> >> > > next-header.
> >> > >
> >> > > term aceita-bgp {
> >> > > from {
> >> > > next-header tcp;
> >> > > destination-port bgp;
> >> > > }
> >> > > then accept;
> >> > > }
> >> > > term aceita-bgp-reply {
> >> > > from {
> >> > > next-header tcp;
> >> > > port bgp;
> >> > > }
> >> > > then accept;
> >> > > }
> >> > >
> >> > >
> >> > > --
> >> > > Fábio R. Hernandes
> >> > > Fone: (17) 99643 6715
> >> > > Skype: hernandes.fabio
> >> > > --
> >> > > gter list https://eng.registro.br/mailman/listinfo/gter
> >> >
> >> >
> >> >
> >> > --
> >> > Eduardo Schoedler
> >> > --
> >> > gter list https://eng.registro.br/mailman/listinfo/gter
> >> >
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> > --
> > gter digest list https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> []s
>
> Mauro Lúcio
> Se você for enviar esta mensagem para alguém, por favor:
> 1. Apague o MEU ENDEREÇO eletrônico e demais dados pessoais;
> 2. Encaminhe como cco (Cópia oculta) aos seus destinatários;
> 3. Apague também as listas de mails que estiverem abaixo do seu;
> Essa é uma atitude de que preservará o endereço de todos, evitando tantos
> vírus e spams na internet.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list