[GTER] Anúncio de Redes Delegadas de Outro ASN
Douglas Fischer
fischerdouglas at gmail.com
Wed Jun 20 15:33:01 -03 2018
Usei isso durante bastante tempo Uesley.
Mas a medida que as políticas de segurança acerca dos anúncios de prefixos
estão sendo melhoradas, as "soluções de contorno" acabam caindo por terra
também.
Num pequeno DC que eu atendia, um cliente deles tinha ido para lá e levado
justamente um /23.
Tudo ia lindo até que um dia o BGPMon começou a avisar alucinadamente ao
dono do ASN sobre Sequestro de Prefixo.
Mesmo o ASN dele sendo o primeiro do caminho(eu tinh uma sessão BGP de um
VRF no próprio borda com ele mesmo na tabela global).
Até hoje eu não sei como o BGPmon sabia que "era highjack".
Na época fiquei imaginando que eles estavam analisando a versão da
tabela... Sei lá.
Em qua, 20 de jun de 2018 às 15:20, Uesley Correa <uesleycorrea at gmail.com>
escreveu:
> Opa!
>
> Já pensaram em usar a opção LOCAL-AS do BGP? Eu uso ela onde preciso fazer
> isso, fechando o neighbor com o ASN atual e o UPSTREAM, mas do lado do
> UPSTREAM ele fecha com o ASN de origem real do bloco. Levanto duas sessões,
> uma pra tratar cada bloco de cada ASN. Tem funcionado sem grandes
> problemas. O único entrave é a operadora e vocês precisarem subir duas
> sessões pra tratar isso. De resto, muito tranquilo.
>
> Att,
>
> Uesley Corrêa - Analista de Telecomunicações
> Instrutor Network Education
> CEO Telecom Conectividade
>
> Em 20 de junho de 2018 08:23, Joelson Vendramin via gter <
> gter at eng.registro.br> escreveu:
>
> > Uma outra opção seria manipular o AS-PATH das rotas, fazendo com que
> sejam
> > originadas com ASN em questão, já no instante que você as declara no seu
> > BGP.
> >
> > Já fiz isso em roteadores Huawei usando uma route-policy com ação "apply
> > as-path <ASN> overwrite" associada ao comando network do BGP.
> >
> > Sds,--Joelson Vendramin
> >
> > De: Douglas Fischer <fischerdouglas at gmail.com>
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> > gter at eng.registro.br>
> > Enviadas: Terça-feira, 19 de Junho de 2018 21:56
> > Assunto: Re: [GTER] Anúncio de Redes Delegadas de Outro ASN
> >
> > O nome disso é highjack, tenho 3 situações que faço isso e é um problema
> > com o qual eu tenho que lidar frequentemente.
> >
> > Para pelo menos ter um Origin Validation o ideal seria que ele fechassem
> um
> > peer com você(pode ser sobre tunnel ou ate eBGP-Multi-Hop) e te
> anunciassem
> > esses prefixos.
> >
> > Você recebe esses prefixos e manipula eles para fora.
> >
> > Por isso o ideal é que eles te anunciem o /23 e os 2x/24, aí você escolhe
> > oque vai fazer.
> > - Anunciar ou não aquele prefixo
> > - Prepends
> > - Communities
> >
> >
> > Em ter, 19 de jun de 2018 às 18:17, Jonatas M. Victor <
> jonatasmv at gmail.com
> > >
> > escreveu:
> >
> > > Srs,
> > >
> > > Ao ter um ponto remoto ou datacenter remoto. Vou receber uma rede
> /23
> > de
> > > um ASN
> > > delegado ao meu CNPJ. Não estando essa rede anúnciada no ASN que
> delegou
> > eu
> > > posso
> > > configurar meu ASN no local e anúnciar essas redes para esse
> > funcionamento
> > > local?
> > > Ou qual seria a solução certa para isso?
> > >
> > > Obrigado,
> > >
> > > --
> > > .:Abraços:.
> > >
> > > <<< Jonatas M. Victor >>>
> > > jonatas at jmv.eti.br
> > > jonatasmv at gmail.com
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> >
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list