[GTER] É possível fazer que um determinado AS não alcance o meu através da operadora X?

Andre Almeida andre at bnet.com.br
Wed Nov 29 10:43:58 -02 2017


Eu uso esse procedimento em casos extremos....
Por exemplo, nos PTTs onde não tem community implementada, se você coloca o
AS de destino no meio do seu anuncio, você irá usar o recurso nativo do bgp
anti loop e o as vai recusar as rotas automaticamente.

Já sobre operadoras:
Eu tive problemas para anunciar dessa maneira para a Oi quando tínhamos
link com eles, tive que solicitar ao NOC e inclusive eles foram bem
categóricos, que isso normalmente não se faz.
Inclusive o cara achou que liberando os anuncios do filtro de AS-path, o
anuncio seria barrado em algum Core.
E eu precisava exatamente disso, de barrar o tráfego de facebook vindo pela
Oi.

Claro que não é uma boa prática fazer isso, mas resolve o problema.
No caso, na Oi eu tive que pedir que liberassem esse filtro, pois a boa
prática é realmente ter o filtro de só receber anuncios que contenham seu
AS e de seus clientes (no caso de você fornecer transito).

Outra coisa é que no Mikrotik tem que cuidar na hora de setar o
bgp-prepend-path
Pois o correto é realmente você inserir novamente seu AS no final.

Nao precisa fazer como o Roney falou (de inserir duas vezes seu AS):

-------------------
/routing filter add chain=OUT
set-bgp-prepend-path=SEU-AS,AS-FACEBOOK,SEU-AS action=passthrough
-------------------

Pois seu AS já virá com por default no anuncio.


Então, bastaria deixar assim:
/routing filter add chain=OUT
set-bgp-prepend-path=AS-FACEBOOK,SEU-AS action=passthrough

Se você não inserir o seu AS no final, você terá problema pois irá simular
um hijack.

Outra coisa é que isso vai acumular AS(es) no seu AS-path, ou seja, a rota
não será preferida caso você anuncie a mesma coisa para outra operadora mas
sem o prepend.

E que fique claro que isso é gambiarra. O ideal é pedir pro destino criar o
filtro.

Att,

Andre Almeida

Em 28 de novembro de 2017 20:52, Tiago SR <listas at tiagosr.com> escreveu:

> Interessante isso aí. Me parece mais um hack, hehe.
>
> Como esse AS-PATH seria tratado? Somente o Facebook vai descartar, por ter
> o ASN dele no meio?
> Será que não teria problema com alguma operadora no meio do caminho
> descartando o anúncio devido ao AS-PATH estranho?
>
>
>  ---- On Thu, 23 Nov 2017 18:24:37 -0200 Rôney Eduardo <
> roneyeduardosantos at gmail.com> wrote ----
>  > Você pode anunciar para a operadora pela qual não quer que venha
>  > tráfego do Facebook, da seguinte forma:
>  >
>  > SEU_AS, AS_FACEBOOK, SEU_AS.
>  >
>  > Em Mikrotik, ficaria mais ou menos assim (coloque como a primeira
>  > regra de export):
>  >
>  > /routing filter add chain=OUT
>  > set-bgp-prepend-path=SEU-AS,AS-FACEBOOK,SEU-AS action=passthrough
>  >
>  > --
>  > Rôney Eduardo
>  >
>  > Em 23 de novembro de 2017 09:31, Samuel Lopes dos Santos
>  > <samulosan at gmail.com> escreveu:
>  > > Bom dia,
>  > >
>  > > No caso do IX-SP, por exemplo é necessário apenas usar a communitie
> 65000
>  > > para que o facebook não tente acançar o meu AS através do PTT. Existe
> algo
>  > > semelhante nas operadoras como a Vivo e Algar ?
>  > > Supondo que eu queira que meu somente tráfego para o AS do facebook
> venha
>  > > pela operadora X , a única forma de fazer isso é anunciando os meu
> prefixos
>  > > /24 para essa operadora ? O problema é que fazendo isso otráfego que
> eu não
>  > > desejo que venha por ela será afetado também.
>  > > --
>  > > gter list    https://eng.registro.br/mailman/listinfo/gter
>  > --
>  > gter list    https://eng.registro.br/mailman/listinfo/gter
>  >
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list