[FUG-BR] OpenBGPD + 2 links com mesma operadora

Wenderson Souza wendersonsouza em gmail.com
Segunda Junho 6 00:21:14 BRT 2011 

Em 5 de junho de 2011 23:31, Patrick Tracanelli
<eksffa em freebsdbrasil.com.br> escreveu:
> Bom dia,
> Enviado via iPad

Grande Mestre Patrick,

>
> Em 05/06/2011, às 22:40, Wenderson Souza <wendersonsouza em gmail.com> escreveu:
>
>> Boa noite,
>>
>> Depois da migração, muito bem sucedida por sinal, do CentOS para o
>> FreeBSD, agora estou configurando meu BGP e mais uma vez preciso da
>> ajuda dos companheiros de lista.
>>
>> Recebi meu ASN (32 bits) + CIDR /22 recentemente e estou começando a
>> configuração do OpenBGPD para ativar o mesmo com minha atual
>> operadora.
>>
>> No momento estou single-homed com 2 circuitos da mesma operadora, já
>> assinei contrato com a 2ª operadora e esperando o prazo (sempre
>> moroso) que a mesma pediu para a ativação de mais 2 circuitos por esta
>> segunda.
>>
>> Minha dúvida é a seguinte, como faço para anunciar, especificamente,
>> um /23 para cada circuito que tenho hoje.
>>
>> Devo configurar isso dentro de ...
>>
>> group "as4230" {
>>        remote-as 4230
>>        neighbor $ebt1 {
>>                descr "circuito xxx-ip-00xx2"
>>                # configuro algo aqui para anunciar o /23 e o /22 ?
>>                announce self
>>        }
>>
>>        neighbor $ebt2 {
>>                descr "circuito xxx-ip-00xx9"
>>                # configuro algo aqui para anunciar o /23 e o /22 ?
>>                announce self
>>        }
>> }
>>
>> ... ou são os filtros que definem o que vai ser anunciado por cada sessão ?
>
>
> Sim, deve filtrar.
>
> deny to group as4230
> allow to $ebt1 prefix { meuprimeiro/23, meu/22 }
> allow to $ebt2 prefix { meusegundo/23, meu/22 }

Fiz esses filtros, mas de forma diferente.

> Outra estrategia eh negar o prexix q vc nao quer dentro da definicao do neighbor:
>
> neighbor $ebt1 {
>  ...
>  ...
>  deny prefix meusegundo/23
>  ...
>  ...
> }
>

Essa estratégia parece a mais adequada para mim, que tenho poucos
prefixos para anunciar e filtrar.

>
>> Já solicitei para meu Gerente de Contas a ativação de 1 sessão
>> full-routing para cada circuito meu, estou esperando o contato da
>> operadora para ativar e provavelmente devo usar filtros (communities
>> ?) de AS nacionais para um circuito e de AS internacionais para o
>> outro.
>
> Normalmente a estrategia mais eficiente eh declarar alguns prefixes por uma op e outros por outros.

No momento é como vou usar, estava pensando em fazer nacional e
internacional, mas pelo jeito assim é a melhor forma mesmo, sem contar
que com a entrada dos dois novos circuitos ainda vai dar para jogar um
/24 para cada, mais no próximo upgrade vou precisar solicitar mais
blocos ao Registro.BR. :-)

>> Segue minha prévia configuração do meu OpenBGPD e espero poderem me
>> ajudar, agradecido desde já.
>>
>>
>> # inicio do bgpd.conf
>> #
>> # Configuracao OpenBGPD
>> #
>>
>> #
>> # meu AS
>> #
>> AS 26xx72
>>
>> router-id 177.x.x0.1
>> local-address 177.x.x0.1
>>
>> listen-on 127.0.0.1
>>
>> holdtime 30
>> fib-update no
>>
>>
>> #
>> # anuncios
>> #
>> network 177.x.x0.0/23
>> network 177.x.x2.0/23
>> network 177.x.x0.0/22
>>
>> #
>> # Peers
>> #
>>
>> # circuito xxx-ip-00xx2
>> ebt1="200.200.200.200"
>>
>> # circuito xxx-ip-00xx9
>> ebt2="222.222.222.222"
>>
>> group "as4230" {
>>        remote-as 4230
>>        neighbor $ebt1 {
>>                descr "circuito xxx-ip-00xx2"
>>                announce self
>>        }
>>
>>        neighbor $ebt2 {
>>                descr "circuito xxx-ip-00xx9"
>>                announce self
>>        }
>> }
>>
>>
>> #
>> # filtros
>> #
>>
>> # xxx-ip-00xx2
>> deny to $ebt1
>> allow to $ebt1 prefix 177.xx.xx0.0/23 prefixlen 23
>> allow to $ebt1 prefix 177.xx.xx0.0/22 prefixlen 20
>>
>> # xxx-ip-00xx9
>> deny to $ebt2
>> allow to $ebt2 prefix 177.xx.xx2.0/23 prefixlen 23
>> allow to $ebt2 prefix 177.xx.xx0.0/22 prefixlen 20
>>
>> #
>> # outros filtros
>> #
>>
>> # apenas prefixos menores  que /24
>> deny from any prefixlen 8 >< 24
>>
>> # default route
>> deny from any prefix 0.0.0.0/0
>>
>> # bogon
>> deny from any prefix 10.0.0.0/8 prefixlen >= 8
>> deny from any prefix 127.0.0.0/8 prefixlen >= 8
>> deny from any prefix 172.16.0.0/12 prefixlen >= 12
>> deny from any prefix 169.254.0.0/16 prefixlen >= 16
>> deny from any prefix 192.168.0.0/16 prefixlen >= 16
>> deny from any prefix 192.0.2.0/24 prefixlen >= 24
>> deny from any prefix 224.0.0.0/4 prefixlen >= 4
>> deny from any prefix 240.0.0.0/4 prefixlen >= 4
>
> Faca peering com o cymru e use bogon dinamicas ok?

Já providenciando, tinha lido em algum lugar sobre essa forma de
filtro de bogons mas não lembrava o nome do projeto.

>>
>> # fim do bgpd.conf
>>
>> Novamente obrigado desde já.
>>
>> --
>> Wenderson Souza
>> -------------------------

--
Wenderson Souza

Mais detalhes sobre a lista de discussão freebsd