[FUG-BR] OpenBGP
Ricardo Ferreira
ricardo.ferreira em sotechdatacenter.com.br
Quinta Outubro 25 10:05:53 BRST 2012
Em 23-10-2012 20:09, Levi Lins escreveu:
>
> Boa tarde a todos,
> Gostaria da ajuda dos amigos no seguinte:
> Tenho um AS com duas operadoras instaladas e um bloco /20 Então precisamos de configurar em outra localidade o mesmo AS subdividindo o bloco /20 em um /21 e dois /22. Um dos /22 coloquei nessa localidade com as mesmas operadoras. Configurei a primeira operadora e está funcionando tudo OK! Pelo menos para Internet. Mas entre os roteadores com mesmo AS não. No novo link do /22 colocamos uma RB1100x2 para agilizar a instalação até substituir por um openBGP com FreeBSD. Na RB colocamos allow-as-in=1 tanto na RB quado no FreeBSD com OpenBGP recebo os anúncios só que no openbgp ele está na rib, mas, não está valid nem qualificado como best. É restrição na operadora ou na configuração do openbgp.
> Segue config:
> # global configurationAS XXXXXrouter-id 186.XXX.XXX.X#holdtime 180#holdtime min 3#listen on 127.0.0.1# listen on ::1fib-update yes# route-collector no# log updates#transparent-as yes
> #Bloco IPv4network 186.XXX.XXX.0/21#network 186.XXX.XXX.0/22 #Bloco Outra Localidadenetwork 186.XXX.XXX.0/22
>
> #Neighbors Conectoway (1TELECOM)neighbor 177.XXX.XXX.XX { descr "1TELECOM" remote-as 52965 announce self multihop 3}
> #Neighbors Intelig Telecomneighbor 186.230.XX.XX { descr "INTELIG" remote-as 26615 announce self set prepend-self 2
> }
> # filter out prefixes longer than 24 or shorter than 8 bits for IPv4# and longer than 48 or shorter than 16 bits for IPv6.deny from anyallow from any inet prefixlen 8 - 24allow from any inet6 prefixlen 16 - 48
>
> #Rota para BGP 1TELECOMmatch from 177.XX.XX.XX set nexthop 177.XX.XX.YY
> # deny a default route (since the previous rule blocks this)deny from any prefix 0.0.0.0/0
> # filter bogus networks according to RFC5735deny from any prefix 0.0.0.0/8 prefixlen>= 8deny from any prefix 10.0.0.0/8 prefixlen>= 8deny from any prefix 127.0.0.0/8 prefixlen>= 8deny from any prefix 169.254.0.0/16 prefixlen>= 16deny from any prefix 172.16.0.0/12 prefixlen>= 12deny from any prefix 192.0.2.0/24 prefixlen>= 24deny from any prefix 192.168.0.0/16 prefixlen>= 16deny from any prefix 198.18.0.0/15 prefixlen>= 15deny from any prefix 198.51.100.0/24 prefixlen>= 24deny from any prefix 203.0.113.0/24 prefixlen>= 24deny from any prefix 224.0.0.0/4 prefixlen>= 4deny from any prefix 240.0.0.0/4 prefixlen>= 4
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Levi...
Só uma ressalva no que vc colocou. Desculpe se entendi errado mas...
Seu /20 tem que ser dividido em dois /21, quatro /22, oito /23,
dezesseis /24 etc...
Anuncie os dois /20 para os dois upstream e um /21 para cada um e o
mesmo para os /22...
Para controlar o tráfego sainte e manter a simetria ajuste o atributo
local-preference conforme sua necessidade e para tráfego entrante
ajuste o AS-PATH também de acordo com suas políticas...
Além disso se vc está em outra localidade com o mesmo AS não tem como
escapar de um iBGP configurado de forma correta a fim de manter controle
sobre os prefixos aprendidos tanto em uma localidade como em outra....
Ficaria assim mais ou menos se entendi seu cenario...
+++++++++++++ ++++++++++++
+ UPSTREAM #1 + + UPSTREAM#2 +
+++++++++++++ ++++++++++++
| |
| |
++++++++++ ++++++++++
+ AS XXXXX-X + + AS XXXXX-Y +
++++++++++ ++++++++++
| iBGP |
------------------------------------------
/20 /20
/21A /21B
/22A /22C
/22B /22D
Em cada um de seus roteadores de borda existirão prefixos na RIB
anunciados pelos seus UPSTREAM
e o que vai pra FIB depende dos atributos como AS-PATH, WEIGHT, etc....e
para se se certficar que
as RIBs sejam absolutamente iguais o iBGP leva os prefixos de um
UPSTREAM para o outro e vice-versa, garantindo assim que o que vai pra
FIB tanto em um roteador de borda como em outro está correto e reflete
seu cenário...
Este é o mínimo estabelecido pelas BCP....
Além disso existem ainda as communities que vc deve consultar seus
upstreams afim de ter seu tráfego sob controle e evitando inclusive ser
trânsito para quem quer que seja...
Cuidado ao anunciar seus blocos para não ser barrado nos fgiltros de
seus upstreams...
E lembre-se so vai pra FIB o prefixo que puder ser alcançado via o
next-hop existente....
É o que lembro ppor ora... mas cxomo os colegas disseram dúvidas mais
específicas do BGP poste no GTER que lá vc vai encontrar ajuda também...
[]s
--
Cordialmente,
Ricardo Ferreira
Meios de Pagamento - Tecnologia IP
Telecom, Tecnologia e Segurança da Informação
-------------------------------------------------------------------
Sotech Soluções Tecnologicas
Rua da Alfazema, 761, 1o. andar - 102/103
41820-710 - Caminho das Árvores - Salvador-BA - Brasil
Tel : 55 71 3472.9400 Cel : 55 71 9138 4630
Email:ricardo.ferreira em sotech.com.br
Site: www.sotech.com.br
Esta mensagem é dirigida apenas ao seu destinatário e pode conter
informações confidenciais, não passíveis de divulgação nos termos da
legislação em vigor. Caso tenha recebido esta mensagem por engano,
solicitamos notificar a Sotech Soluções Tecnológicas e excluí-la de sua
caixa postal.
This message, including its attachments, may contain confidential
information. If you have improperly received this message, please delete
it from your system and notify immediately the sender. Any form of
utilization, reproduction, forward, alteration, distribution and/or
disclosure of this content in whole or in part, without the prior written
authorization of the sender, is strictly prohibited.
Thanks for your cooperation.
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome : ricardo_ferreira.vcf
Tipo : text/x-vcard
Tam : 443 bytes
Descr.: não disponível
Url : http://www.fug.com.br/historico/html/freebsd/attachments/20121025/523ec45c/attachment.vcf
Mais detalhes sobre a lista de discussão freebsd