Bom dia Todos.
Filtro para BGP em Mikrotik com 1 ou 2 Operadoras!!!
Alguem pode mandar mas dicas, quero otimizar ainda mas esses filtros.
Obrigado
Versão Imprimível
Bom dia Todos.
Filtro para BGP em Mikrotik com 1 ou 2 Operadoras!!!
Alguem pode mandar mas dicas, quero otimizar ainda mas esses filtros.
Obrigado
Boa Tarde
Atualmente uso apenas para um link
/routing filter
add action=discard chain=in prefix=!0.0.0.0/0
Vou ativar o segundo breve, então gostaria de trocar ideia para aperfeiçoar esse Links.
Então, recomendo o uso do TeamCymru em primeiro lugar, outra coisa legal é descartar o seu próprio bloco vindo da internet, existe mais uma infinidade de coisas, mas precisamos saber primeiro qual a sua necessidade, de um modo genérico acredito que seja isso. Você pretende usar Full Routing?
Pretendo usar full routing nao, minha opniao isso so honera o router, pois no momento uso ccr1036.
com seria o filtro teamcymru, e de descartar meu proprio prefixo.
qual seria sua segestao hoje pra um link so, para que meu filtro e o bgp fique 100% funcional. Hoje eu nao to com problemas, mas aperfeiçoar semnpre é bom.....
Teamcymru e descartar seu propeio bloco sao questões de segurança apenas.
Se você ativar o segundo link com a operadora 2, vai precisar receber full routing das duas.Citação:
Postado originalmente por Vitor
Não sei se é isso que você pretende, mas acho bizarro, e deve até causar problemas, receber apenas rota default das duas operadoras por BGP e fazer load balance com PCC ou alguma outra forma com marcação de pacotes/conexões.
CCR1036 suporta 2 full routing tranquilamente.
Com 1 operadora apenas, seu filtro de entrada atual é suficiente.Citação:
Postado originalmente por Vitor
Agora, também há o filtro de saída, e o certo seria você descartar nele tudo, exceto seus prefixos.
Sobre o TeamCymru:
Detalhes de configuração aqui: http://www.team-cymru.org/bgp-exampl...#mikrotik-full
Detalhes de funcionamento e como obter a sessão, aqui: http://www.team-cymru.org/bogon-reference-bgp.html
Bom dia. Pode me passar exemplos de filtro com o cymru e também com duas operadoras?
Grato
Sempre vejo o pessoal falando de descarte do seu próprio bloco vindo da Internet. Gostaria de iniciar uma discussão aqui do porquê desse filtro, e vamos debater algo que seja boa prática.
Uesley Corrêa
Instrutor Oficial Ubiquiti
Perfeito. Podemos debater nesse artigo, para que todos do unde-linux possam ver e agregar em suas administrações de rede.
Pode ser?
Por mim, estou aqui. Pode ser!
Uesley Corrêa
Instrutor Oficial Ubiquiti
Blza. Acima eu coloquei um regra para apenas um link. RO a procura para dois links,pois vou ativar em breve outra operadora e queria já esta com isso em maos para ativar as duas operadoras 100%
Uesley, esse filtro na verdade não é necessario neh ? ou estou enganado.
O BGP não recebe o proprio bloco anunciado para evitar loop.
Acho que foi isso que li em algum lugar.
Me corrija se eu estiver errado.
Abraços a todos.
Citação:
Postado originalmente por uesleycorrea
Ai falou quem entende!!! Bora lá meu amigo... Por padrão o BGP descarta todas as rotas que foram anunciadas por ele mas por qualquer motivo que seja voltaram, isso é um mecanismo para prevenção de loop. Porém é possível que algum administrador de um ASN qualquer, anuncie por "engano" o seu prefixo, para se certificar que esse prefixo não vai entrar em sua tabela de rotas é uma boa prática filtrar isso.Citação:
Postado originalmente por uesleycorrea
Opa!!!
Quanto tempo eu não via o UnderLinux com um nível legal assim. Meus parabéns! Por padrão, o protocolo BGP não anuncia para vizinhos rotas que contenham o ASN do vizinho no AS-PATH. Isso é padrão para prevenir loop no BGP. Pode ser considerado boa prática colocar esse filtro, só que melhor prática ainda, pra evitar anúncios errados como informado pelo Felipe acima, é colocar um filtro de IN no seu cliente de trânsito, permitindo receber somente os prefixos DELE e de clientes de trânsito DELE. Se todos fizerem isso, não há real necessidade de filtrar seus prefixos na entrada.
Parabéns!!
pelo o firewall também se faz filtro?
Janilton,
Não é possível, os filtros em questão nesse tópico são filtros de roteamento, os que estão em questão são filtros de BGP.
Uesley esses filtros seriam algo como ? Só Aspatch que tem AS do seu trasito passa ?
Isso seria feito por regexp?
Citação:
Postado originalmente por uesleycorrea
Vou fala pra vocês pra mim eu achei dificil de fazer fazer filtros no bgp, por que quanto eu mais pesquisava, sempre achava formas diferentes de filtros. Pq o bgp basico muita gente sabe fazer, e acha o passo a passo na net. pra mim o que me ajudou foi estudando este link aqui ( http://www.mikrotikbrasil.com.br/art...e_BGP-Maia.pdf ) não sei se ajuda pra vocês
pq vc nao faz um curso com o Maia MDBRASIL?
Olá Vitor. O principal filtro que você deve criar quando se tem mais de um upstream, é um filtro de SAÍDA, que descarta todas as rotas que NÃO são suas, prevenindo que você receba rotas da operadora A e as envie para a operadora B. Caso isso aconteça, a sua sessão com a operadora provavelmente irá cair, pois por segurança sempre configuramos na sessão com o cliente um limite de prefixos que ele poderá enviar. Caso esse limite seja ultrapassado, a sessão é desconectada.Citação:
Postado originalmente por Vitor
Olá TsouzaR. Na verdade não precisa de full routing. Mesmo você com dois ou mais upstreams, pode desonerar o seu roteador ficando apenas com uma rota default para uma das operadoras (ou mais de uma rota default, caso use ECMP), não exite problema algum e é uma prática corriqueira em provedores que tem roteadores de pequeno porte :)Citação:
Postado originalmente por TsouzaR
Usamos full routing quando somos trânsito para algum cliente e este desejar receber uma tabela completa. Simplifica também o controle minucioso do upload, pois com o ajuste dos filtros você pode direcionar o upload para um determinado destino, selecionando por qual parceiro eBGP você quer "sair".
Caso você não tenha clientes AS, eu ficaria apenas na default mesmo, ou no máximo tabela parcial + default.
Olá Uesley, tudo certo? Existe um cenário, onde atendemos uma cidade que não tem ligação fisica com o nosso backbone, então contratei dois parceiros eBGP para que eu pudesse anunciar alguns blocos nossos nesta cidade. Por padrão, o BGP não receberia as rotas que contivessem o meu próprio número de AS no AS-PATH do prefixo.Citação:
Postado originalmente por uesleycorrea
Para resolver o problema, no RouterOS, você deve usar a opção "AllowAS In" na configuração do Peer, informando quantos prefixos com o seu próprio numero de AS no AS-PATH você deseja receber.
No meu cenário, são apenas 2 prefixos, então setei o valor 2 neste parâmetro e os meus dois prefixos anunciados lá na outra cidade, chegaram no meu backbone principal. Agora, quem garante que alguém anuncie um outro pedaço da minha rede por ai, e o BGP decida instalar essa rota na FIB e deixar os prefixos verdadeiros de fora? Neste caso, uso o filtro na entrada do peer permitindo os blocos que anuncio na outra cidade, e descarto todo o resto dos meus blocos. Digamos que o meu bloco seja 172.16.0.0/20, e eu anuncie na cidade remota o bloco 172.16.0.0/22 e seus sub-blocos.
Código :
Talvez tenha ficado um pouco confuso, mas fiquem à vontade para discutirmos.
Abraço
Gabriel Mineiro
Olá @gamineiro.Citação:
Postado originalmente por gamineiro
Sem full routing, nem mesmo o tráfego do próprio provedor vai sair sempre pelo melhor caminho (com uma rota default o tráfego vai ser forçado por um upstream, mesmo que ele seja o pior caminho para o destino em específico). Com ECMP isso apenas fica aleatório: uma hora sai pelo melhor caminho, na outra, pelo pior.
Em MikroTik há um detalhe com o ECMP, onde o cache da tabela de rotas é refeita a cada 10 minutos para evitar ataques DoS (com 2 upstreams, há 50% de chance de o gateway para um determinado destino mudar quando isso ocorre), e até mesmo outros sistemas devem ter algo semelhante (se não tiver, já é uma chance a mais de tomar um ataque do tipo na borda, segundo a MK). Imagine a cada 10 minutos ocorrerem problemas em toda a rede do provedor com bancos, jogos e outras aplicações?
Além disso, vamos supor que um dos upstreams sofra algum problema de conectividade com um datacenter, ou um problema geral com rotas internacionais. Não vai conseguir desviar o tráfego para o outro upstream que está normal sem receber full routing.
Eu acho besteira ter a possibilidade de receber a tabela completa e não o fazer. Banda terá, mas e toda a redundância e estabilidade possível, vai jogar fora sem motivo?
Se não tiver equipamento que suporte isso, aí não tem jeito, é rota default mesmo, mas no caso do autor do tópico, ele tem uma CCR1036 dando sopa. Conheço provedor com 4 upstreams + PTT-SP, e mais de 10 sessões de clientes de trânsito em cada CCR1036, além do OSPF, cada uma roteando de 1Gbps a 4Gbps tranquilamente (total de aproximadamente 10Gbps, incluindo outras muitas CCR1036 geograficamente distantes, com trânsitos diferentes), sem problemas nem gargalos. Claro que quase sempre há um processador em 100%, mas não prejudica nada, pois todos os outros estão trabalhando também com cargas de 10% a 40% equilibradamente.
Exato. Por isso me referi à pequenos provedores. Não são muitos que fazem um debug e alteram os filtros de UP quando necessário. Também no RouterOS o fantasma da rota presa pode incomodar.
Do mais, você está corretíssimo.
Abraço
Gabriel Mineiro