[GTER] Filtrar ASN privados agregados, ou n?o? ( www.sbfisica.org.br)
Douglas Fischer
fischerdouglas at gmail.com
Thu Apr 22 10:53:30 -03 2021
Alexandre, peço a gentileza de ao responder digest, fazer com que essa
resposta não quebre as threads...
Obrigado.
E sobre sua colocação...
Sim!
Se for ASN Privado que você usa e sua rede interna para alguma lógica de
roteamento, deve remover mesmo.
Mas se for ASN privado que venha no AS-Path de Downstream... NÃO DEVE
REMOVER.
ALTERAR AS-PATH DE ROTA ALHEIA É ERRADO.
Na verdade não deveria nem aceitar rotas assim.
Em qui., 22 de abr. de 2021 às 10:33, Alexandre Vinicius Scaldelai Bernardi
<Alexandre.Bernardi at sercomtel.net.br> escreveu:
> Gilson,
>
> Aqui eu removo AS privado em todos as sessões que vão para fora (WAN).
>
> Atenciosamente,
> Alexandre
>
>
>
>
> De: gter-request at eng.registro.br
> Para: gter at eng.registro.br
> Data: 21/04/2021 12:00
> Assunto: gter Digest, Vol 217, Issue 28
> Enviado por: "gter" <gter-bounces at eng.registro.br>
>
>
>
> Send gter mailing list submissions to
> gter at eng.registro.br
>
> To subscribe or unsubscribe via the World Wide Web, visit
> https://eng.registro.br/mailman/listinfo/gter
> or, via email, send a message with subject or body 'help' to
> gter-request at eng.registro.br
>
> You can reach the person managing the list at
> gter-owner at eng.registro.br
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gter digest..."
>
>
> Today's Topics:
>
> 1. Re: LOG's CGNAT Cisco ASR (Michael Stein)
> 2. Re: [Fork] Entrevista com IX.BR (Era F?rum IX.BR - Fale com o
> IX - Resumo) (Julio Sirota)
> 3. Filtrar ASN privados agregados, ou n?o? ( www.sbfisica.org.br
> ) (Paiva, Gilson de)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Tue, 20 Apr 2021 17:09:33 +0000
> From: Michael Stein <michafelipe at hotmail.com>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Subject: Re: [GTER] LOG's CGNAT Cisco ASR
> Message-ID:
>
> <
> CP2PR80MB20012D5C6A9DE0581B4E20EAB2489 at CP2PR80MB2001.lamprd80.prod.outlook.com
> >
>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Boa tarde,
>
> Alguem tem a solu?ao para este problema em questao?
>
>
> Att;
>
> Michael Stein
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de tiago martini
> <tiago at martiniti.com.br>
> Enviado: quinta-feira, 4 de mar?o de 2021 15:15
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Assunto: Re: [GTER] LOG's CGNAT Cisco ASR
>
> Pessoal, estou com sintoma parecido aqui.. Conseguiram contornar de alguma
> forma, tendo em vista que o modo "syslog" faz com que o processamento da
> caixa dispare?
>
>
>
>
>
> Atenciosamente,
>
>
>
>
> Tiago Martini
>
> MARTINI TI
>
> Consultoria em Redes, Servidores e ISPs
>
> (51) 98654-1890
>
>
>
>
>
>
>
>
>
>
> ---- Ativado Qui, 28 jan 2021 17:24:57 -0300 Wagner Bento
> <wagner at seanet.com.br> escreveu ----
>
>
> Aqui tamb?m tenho essas linhas no meu:
>
> parameter-map type inspect global
> log flow-export v9 udp destination IP-SERVER PORTA
> log flow-export template timeout-rate 1
> multilink bundle-name authenticated
>
>
> Atenciosamente.
>
>
> Em qui., 28 de jan. de 2021 ?s 15:04, Maicon R Fracasso <
> mailto:fracassomaicon at gmail.com> escreveu:
>
> > Ol? a todos.
> >
> > Estou tendo alguns problemas quanto ? exporta??o de flows CGNAT em
> caixas
> > cisco ASR 1002 e 1006.
> > Ocorre que, os dados coletados pela ferramenta retornam campos nulos,
> mais
> > especificamente, port e nf_dst.
> >
> > -----
> > NetFlowV9 [100.64.206.254]:null <> [null]:null proto:1 pkts:0 bytes:0
> >
> > nf_dst
> > null:null
> > -----
> >
> > Esta Ferramenta (graylog) j? est? em produ??o e funcionando bem com
> caixas
> > de outras fabricantes, somente com cisco ASR isso ocorre.
> >
> > Fa?o o export dos log's no ASR com a seguinte linha:
> > ip nat log translations flow-export v9 udp destination x.x.x.x 2055
> source
> > Loopback0 bind-only
> >
> > Algu?m j? passou por algo parecido?
> >
> > Abaixo informa??es de meu cen?rio:
> > - graylog-plugin-netflow 0.1.1
> > - graylog-server 4.0.2-1
> > - elasticsearch 6.8.13
> > - Cisco ASR1002
> > - Cisco ASR1006
> >
> > --
> > Maicon
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> ------------------------------
>
> Message: 2
> Date: Tue, 20 Apr 2021 17:47:46 -0300
> From: Julio Sirota <jsirota at nic.br>
> To: Douglas Fischer <fischerdouglas at gmail.com>, Grupo de Trabalho de
> Engenharia e Operacao de Redes <gter at eng.registro.br>,
> Antonio Galvao
> de Rezende Filho <galvao at nic.br>, "Antonio M. Moreiras"
> <moreiras at nic.br>
> Subject: Re: [GTER] [Fork] Entrevista com IX.BR (Era F?rum IX.BR -
> Fale com o IX - Resumo)
> Message-ID: <8d049e1d-8a5c-07b6-9e38-a334caf76f62 at nic.br>
> Content-Type: text/plain; charset=utf-8; format=flowed
>
>
> Seguem coment?rios abaixo.
>
> Em 14/04/2021 20:43, Douglas Fischer escreveu:
> > Assumindo o papel de ser "o cara chato que tenta falar de coisas do
> > bem", t? passando aqui para lembrar desses que foram mencionados no
> > Fale Com o IX.BR <http://IX.BR> no ultimo IX-F?rum.
> >
> > Vou dar um refresh numas perguntas que s?o de interesse da comunidade
> > ligada ao IX.BR <http://IX.BR>
> >
> > P.S.: Comecei a escrever esse e-mail, e vi que eu fiz tanta pergunta,
> > tanta pergunta...
> > Que virou mais uma entrevista do que s? um Keep-Alive na thread antiga.
> > Ent?o resolvi fazer um fork na thread. Rsrsrs.
> >
> > ---
> > Antes de come?ar a falar de Features novas, seria legal um update
> > sobre o que j? estava em execu??o.
> > ---
> > Foi dito que se estava fazendo um esfor?o para padronizar todas as
>
> > localidades do IX.BR <http://IX.BR> com as vers?es correntes de
> > Route-Server.
> > Salvo engano, a coisa era maior que "s? ativar as communities"...
> > Depois dessas mudan?as, atualiza??es de pol?ticas de filtragem seriam
> > distribu?das automaticamente por todos os Route-Server.
> > Isso est? correto?
> Na semana que vem iniciaremos a implanta??o da nova vers?o
> dos Route
> Servers. Houve um atraso na reta final dos trabalhos pelo fato de uma
> nova vers?o do BIRD (2.0.8) ter sido liberada recentemente, sendo ela
> que ser? instalada. Valem as features apresentadas no ?ltimo IX
> F?rum
> (virtual).
> >
> > Na ?poca do IX-F?rum faltavam 2 ou 3(n?o me recordo) localidades.
> > Como est? isso hoje?
> Todas as localidades est?o utilizando BIRD 1.8 com suporte ?s
> communities. S?o Paulo usa a vers?o 2.0 com a valida??o de origem dos
> prefixos. Com a implanta??o da nova vers?o, todas as localidades ter?o
> as mesmas funcionalidades.
> >
> > ---
> > Agora Falando das novas Features nos?Route-Servers
> > ---
> > Pelo que sei, existe uma a??o que deve acontecer em breve trazendo
> > essas novas funcionalidades nos Route-Servers.
> > Communities de refer?ncia de perda de pacotes no Peer, Lat?ncia do
> > Peer. Algumas coisas novas de engenharia de tr?fego.
> > Al?m disso que foi rapidamente mencionado, tem algo a mais para citar?
> N?o
> > Ser? que vai rolar um Bird 2.0.8 em todas localidades?
>
> Sim
>
> >
> > Se n?o me engano, uma das previs?es para execu??o disso seria Mar?o
> > deste anos, mas sabemos que esses tempos de Pandemia atrapalharam bem
> > a agenda de todo mundo.
> > J? existe uma previs?o para deploy dessa nova vers?o de configura??o
> > dos Route-Servers?
> Conforme disse acima, primeiras duas localidades (n?o em todos os RSs),
> na semana do dia 26/04.
> > Podem compartilhar essa data prevista?
> >
> > ---
> > Apertando um pouco sobre um pedido antigo
> > ---
> > E a #BlackHoleNoIX.BR Tamb?m est? nesse mesmo pacote de novas
> features
> > dos Route-Servers?
> Sim
> > Isso depende tanto dos Route-Servers quanto de
> Fabric(ARP/MAC-Filtering).
> > Essa segunda parte j? est? encaminhada?
> Ainda faltam alguns detalhes operacionais, mas ser? em breve.
> > J? existe alguma programa??o de datas para ativa??o desse recurso nas
> > diversas localidades?
> > Vai come?ar por onde?
> Iniciaremos em Vit?ria e Campinas.
> >
> > ---
> > Os famigerados 4 Route-Servers
> > ---
> > Esse ? um tema?que n?o foi discutido no IX-F?rum, mas temos visto que
> > est? trazendo problemas para alguns participantes.
> > Alto consumo de CPU com as BGP-Messages, e de espa?o em RIB com 4
> > vers?es de uma tabela que pode ser dita GRANDE.
> > Alguns participantes deliberadamente desativando sess?es para
> > "aliviarem" seus roteadores.
> > Existe previs?o para a consolida??o dos Route-Servers em
> apenas 2?
> Sim, isto j? estava programado h? um bom tempo. Ap?s finalizarmos a
> implanta??o da nova vers?o, iremos desativar 2 RSs que ficaram em
> standby para os outros 2.
> > J? est? definido quais seriam esses 2?
> Ainda n?o jogamos os dados !!! (n?o temos uma defini??o ainda)
> >
> >
> > Em ter., 8 de dez. de 2020 ?s 10:53, Douglas Fischer
> > <fischerdouglas at gmail.com <mailto:fischerdouglas at gmail.com>> escreveu:
> >
> > Ol? Pessoal!
> >
> > Durante a ?ltima Semana da Infra, no dia 4/12/2020, tivemos uma
> > sess?o do "Fale com o IX".
> > Segue link do v?deo da trasmiss?o?ao vivo no youtube.
> > https://youtu.be/LeQPPLAIhBA?t=9713
> > <https://youtu.be/LeQPPLAIhBA?t=9713>
> >
> > Nos dias que antecediam?a semana da infra, a fiz uma colet?nea de
> > questionamentos e sugest?es para serem enviados ? equipe do IX.BR
> > <http://IX.BR> nesse momento espec?fico do evento.
> > No momento da apresenta??o, enviei essas sugest?es e
> > questionamentos pelo chat do youtube e tamb?m pela lista do GTER...
> > Alguns deles foram abordados, alguns respondidos, alguns foram
> > apagados do chat?, e alguns passaram batido pelo tempo escasso.
> >
> > Sim, sei que eram MUITAS perguntas e sugest?es, e que o tempo n?o
> > permitia contemplar todas essas perguntas.
> > Mas como esse(Fale?com o IX) ? o mais efetivo canal que temos (no
> > sentido de receber uma confirma??o de recebimento da mensagem, e
> > tamb?m um posicionamento) para endere?ar essas quest?es, muitos
> > temas acabam enfileirando no buffer.
> >
> > Considerando as sugest?es acabaram n?o sendo abordadas, gostaria
> > de re-iterar?agora por escrito.
> > Aguardando um posicionamento acerca delas pela equipe do IX.BR
> > <http://IX.BR>.
> >
> > Sobre Chamados
> > --------------
> > A - Existe previs?o para mudar para modo Compartilhado(ou pelo
> > menos alguma intera??o com o Hoster do CIX) para ativa??o/migra??o
> > de participante em porta CIX.
> >
> > B - Existe como estabelecer um fluxo no sistema de chamado do
> > IX.BR <http://ix.br/>?em que, quando um participante desative uma
> > conex?o numa porta CIX(ou migre par outra) o Hoster do CIX seja
> > notificado?
> >
> > C - ? possivel disponibilizar no painel do IX.BR <http://ix.br/>,
> > as informa??es de L2(Vlans ATM e Bilaterais, MACs, etc) atuais do
> > participante?
> >
> > D - ? possivel disponibilizar no painel do IX.BR <http://ix.br/>,
> > para os participantes que s?o CIX, as informa??es de
> L2 de todos
> > os paticipantes?de sua porta?
> >
> > Sobre necessidades muito importante
> > -----------------------------------
> > E - Automatiza??o dos reversos de DNS - (gera muitos mal-entendidos)
> >
> > Sobre Recursos extras
> > ---------------------
> > F - Sugest?o - Incluir no http://status.ix.br/
> > <http://status.ix.br/>?um painel de Status resumido de diversas
> > informa??es de TODOS os participantes:
> > ?F.1 - Sess?o ativa em todos Routeservers(se participar do ATM)
> > ?F.2 - RTT m?dio?
> > ?F.3 - Loss m?dio?
> > ?F.4 - Broadcast abaixo do m?ximo aceit?vel?
> > ?F.5 - Est? emitindo pacotes de tipos n?o aceit?veis?
> > ?F.6 - Broadcast abaixo do m?ximo aceit?vel?
> > ?F.7 - Pol?tica de Roteamento de Blackhole Testada e Funcional?
> > ?F.8 - Est? com a conex?o ao IX.BR <http://IX.BR> devidamente
> > cadastrada no PeeringDB?
> > ?F.9 - Est? com alguma rota sendo rejeitada pelos Route-Servers?
> > (Caso achem muito invasivo essa colet?nea de informa??es que J?
> > S?O P?BLICAS estarem publicadas em um ponto central, a sugest?o ?
> > de pelo menos colocar essa informa??o dispon?vel no
> > http://meu.ix.br/ <http://meu.ix.br/> para cada ASN.)
> >
> > G - Host de preenchimento. Host Dummie respondendo ICMP de todos
> > os IPv4 VAGOS do ATM.
> > (Grandes possibilidades para um projeto de honeypot)
> >
> > H - Jumbo Frame - MTU 9100+ - Acharam que a gente ia esquecer n??
> > Mudar SOMENTE no L2 do fabric
> > ?H.1 - Vlans Bilaterais... Sem impacto generalizados
> > ?H.2 - Sendo um dos ?nicos IXPs do mundo com Vlans diferentes para
> > IPv4 e IPv6, e como o PMTUD ? melhor resolvido no IPv6, ?
> uma
> > ?tima possibilidade in?cio.
> >
> > I -? Iniciar a Filtragem nos Route-Servers baseada em IRR - AS-SET
> >
> > J - Disponibilizar publicamente, de forma a ser consult?vel por
> > API, o n?mero m?ximo de prefixos a ser limitado nas sess?es com os
> > Route-Servers de cada localidade.
> >
>
>
> ------------------------------
>
> Message: 3
> Date: Tue, 20 Apr 2021 16:01:21 -0300
> From: "Paiva, Gilson de" <gilson.paiva at el.com.br>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Subject: [GTER] Filtrar ASN privados agregados, ou n?o? (
> www.sbfisica.org.br )
> Message-ID:
> <CACMfvMzYzRQNfbkdY1pXtC4T2vWsD+03EGOfUZUibFhaj5oFbg at mail.gmail.com>
> Content-Type: text/plain; charset="UTF-8"
>
> Ol? a todos,
>
> Investigando o n?o acesso ao endere?o www.sbfisica.org.br (
> 143.107.152.210
> ) me deparei com AS PATH contendo ASN privados agregados por 28571 (
> {10429
> 65001 65210 65220 65240 65250} ).
>
> Qual a boa pr?tica em rela??o ? agrega??es tendo o caso espec?fico como
> exemplo?
>
> Sem mais,
>
> --
> Gilson de Paiva
> Administrador de Redes
> N?cleo de Pesquisa e Desenvolvimento
> --------------------------------------
> Telefax:+55 (27) 3268-3123
> http://www.el.com.br/
>
>
> ------------------------------
>
> Subject: Digest Footer
>
> --
> gter digest list https://eng.registro.br/mailman/listinfo/gter
>
>
> ------------------------------
>
> End of gter Digest, Vol 217, Issue 28
> *************************************
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list