[GTER] Anúncio de Redes Delegadas de Outro ASN

Douglas Fischer fischerdouglas at gmail.com
Wed Jun 20 15:33:01 -03 2018


Usei isso durante bastante tempo Uesley.

Mas a medida que as políticas de segurança acerca dos anúncios ​de prefixos
estão sendo melhoradas, as "soluções de contorno" acabam caindo por terra
também.

Num pequeno DC que eu atendia, um cliente deles tinha ido para lá e levado
justamente um /23.
Tudo ia lindo até que um dia o BGPMon começou a avisar alucinadamente ao
dono do ASN sobre Sequestro de Prefixo.
Mesmo o ASN dele sendo o primeiro do caminho(eu tinh uma sessão BGP de um
VRF no próprio borda com ele mesmo na tabela global).

Até hoje eu não sei como o BGPmon sabia que "era highjack".
Na época fiquei imaginando que eles estavam analisando a versão da
tabela... Sei lá.



Em qua, 20 de jun de 2018 às 15:20, Uesley Correa <uesleycorrea at gmail.com>
escreveu:

> Opa!
>
> Já pensaram em usar a opção LOCAL-AS do BGP? Eu uso ela onde preciso fazer
> isso, fechando o neighbor com o ASN atual e o UPSTREAM, mas do lado do
> UPSTREAM ele fecha com o ASN de origem real do bloco. Levanto duas sessões,
> uma pra tratar cada bloco de cada ASN. Tem funcionado sem grandes
> problemas. O único entrave é a operadora e vocês precisarem subir duas
> sessões pra tratar isso. De resto, muito tranquilo.
>
> Att,
>
> Uesley Corrêa - Analista de Telecomunicações
> Instrutor Network Education
> CEO Telecom Conectividade
>
> Em 20 de junho de 2018 08:23, Joelson Vendramin via gter <
> gter at eng.registro.br> escreveu:
>
> > Uma outra opção seria manipular o AS-PATH das rotas, fazendo com que
> sejam
> > originadas com ASN em questão, já no instante que você as declara no seu
> > BGP.
> >
> > Já fiz isso em roteadores Huawei usando uma route-policy com ação "apply
> > as-path <ASN> overwrite" associada ao comando network do BGP.
> >
> > Sds,--Joelson Vendramin
> >
> >       De: Douglas Fischer <fischerdouglas at gmail.com>
> >  Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> > gter at eng.registro.br>
> >  Enviadas: Terça-feira, 19 de Junho de 2018 21:56
> >  Assunto: Re: [GTER] Anúncio de Redes Delegadas de Outro ASN
> >
> > O nome disso é highjack, tenho 3 situações que faço isso e é um problema
> > com o qual eu tenho que lidar frequentemente.
> >
> > Para pelo menos ter um Origin Validation o ideal seria que ele fechassem
> um
> > peer com você(pode ser sobre tunnel ou ate eBGP-Multi-Hop) e te
> anunciassem
> > esses prefixos.
> >
> > Você recebe esses prefixos e manipula eles para fora.
> >
> > Por isso o ideal é que eles te anunciem o /23 e os 2x/24, aí você escolhe
> > oque vai fazer.
> > - Anunciar ou não aquele prefixo
> > - Prepends
> > - Communities
> >
> >
> > Em ter, 19 de jun de 2018 às 18:17, Jonatas M. Victor <
> jonatasmv at gmail.com
> > >
> > escreveu:
> >
> > >  Srs,
> > >
> > >    Ao ter um ponto remoto ou datacenter remoto. Vou receber uma rede
> /23
> > de
> > > um ASN
> > > delegado ao meu CNPJ. Não estando essa rede anúnciada no ASN que
> delegou
> > eu
> > > posso
> > > configurar meu ASN no local e anúnciar essas redes para esse
> > funcionamento
> > > local?
> > >    Ou qual seria a solução certa para isso?
> > >
> > >  Obrigado,
> > >
> > > --
> > > .:Abraços:.
> > >
> > > <<< Jonatas M. Victor >>>
> > > jonatas at jmv.eti.br
> > > jonatasmv at gmail.com
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list