Configurar BGP

[michellantunes]

Obrigado alexandrecorrea,

no último teste feito com o pessoal da Oi, todas estas opções estavam desmarcadas (inclusive Redistribute Static e Connected).

Vi em diversos foruns filtros para Cisco onde bloqueiam todos os anuncios saintes pelo peer (0.0.0.0/0 le 32) e permitindo somente o anuncio do próprio AS.

Agora não tenho em mãos estes filtros e coloco pela manhã.

Att

[michellantunes]

O Exemplo abaixo foi retirado do documento A How To Guide To BGP de autoria de Lane Patterson e Louis Lee encontrado em A How-To Guide to BGP Multihoming

Pelo que observei ilustra bem o cenário que tenho hoje onde quero fazer a ligação com as duas operadoras.

Se entendi corretamente o básico dos filtros BGP nesta configuração temos uma chain chamada BOGON a qual ser utilizada para filtrar a entrada das redes indesejadas (inválidas) e uma chain ANNOUNCE que será utilizadas para permitir somente a saída dos meus anuncios.

Example 1 Router Configuration

Código :

! Single-router, PA-space, Basic Config 
 ! 
 ! Define your BGP ASN on your router 
 autonomous-system 900 
 ! 
 ! Define static NULL route to networks that 
 ! will be announced to providers via BGP. 
 ip route 198.18.1.0 255.255.255.0 Null0 200 
 ! 
 ! Define ANNOUNCE prefix list, of your netblocks to announce  
 ! via BGP to your providers.  You will apply this prefix- 
 ! list outbound on the BGP session to each provider. 
 ip prefix-list ANNOUNCE description Our External Netblocks 
 ip prefix-list ANNOUNCE seq 10 permit 198.18.1.0/24 
 ! 
 ! Define BOGONS prefix list, of bad netblocks you 
 ! need to block from being accepting from your providers. 
 ! Don’t just trust your provider to run a clean network! 
 ! You will apply this prefix-list inbound on the BGP 
 ! session to each provider. 
 ip prefix-list BOGONS description Bad Routes to Block In 
 ip prefix-list BOGONS seq 10 deny 0.0.0.0/8 le 32 
 ip prefix-list BOGONS seq 15 deny 10.0.0.0/8 le 32 
 ip prefix-list BOGONS seq 20 deny 127.0.0.0/8 le 32 
 ip prefix-list BOGONS seq 25 deny 172.16.0.0/12 le 32 
 ip prefix-list BOGONS seq 30 deny 192.0.2.0/24 le 32 
 ip prefix-list BOGONS seq 35 deny 192.168.0.0/16 le 32 
 ip prefix-list BOGONS seq 40 deny 224.0.0.0/3 le 32 
 ! Prevent someone else from announcing your own prefix(es) 
 ! back to you, for security: update this with YOUR 
 ! actual announced block(s)! 
 ip prefix-list BOGONS seq 1000 deny 198.18.1.0/24 le 32 
 ! Accept any other routes bigger or equal to /27.  You 
 ! can tweak this up to /24 if you like. 
 ip prefix-list BOGONS seq 9999 permit 0.0.0.0/0 le 27 
 ! 
 
 ! 
 router bgp 900 
  ! don’t require your IGP to be in synch with BGP, 
  ! synchronization has been outmoded for some time. 
  no synchronization 
  ! tell your  router to log changes to your BGP  
  ! sessions, you’ll want to be concerned with BGP 
  ! sessions when they go up and down, it’s just as 
  ! important to your routing as a link up/down. 
  bgp log-neighbor-changes 
  ! enable BGP dampening to minimize adverse impact 
  ! of “flapping” routes (routes that are announced 
  ! and withdrawn repeatedly). 
  bgp dampening 
  ! define your BGP network statements: these are the 
  ! aggregate external IP blocks you will be announcing 
  ! to the Internet.  Note that the network statement 
  ! will not be effective unless there is an underlying 
  ! route for the network, which is why we defined a 
  ! static NULL route for this block above. 
  network 198.18.1.0 mask 255.255.255.0 
  Version 1.2  A How-To Guide to BGP Multihoming  Lane Patterson 
 Feb 2004    Louis Lee 
 Page 10 of 10 
  ! define our BGP session with ISP-1 (ASN 200) 
  ! 
  neighbor 1.1.1.1 remote-as 200 
  ! description allows you to put add a text label 
  neighbor 1.1.1.1 description BGP Transit to ISP-1 
  ! hard-code version 4 to short-cut BGP version negotiation 
  neighbor 1.1.1.1 version 4 
  ! send-community is nice if you will be setting communities 
  ! on routes you announce to influence how your upstream 
  ! provider re-announces the routes to the Internet.  Many 
  ! providers support sophisticated community sets to allow 
  ! this kind of customer control. 
  neighbor 1.1.1.1 send-community 
  ! Soft reconfiguration is nice, it prevents complete   
  ! withdrawal and relearning of routes when doing “clear 
  ! ip bgp” command.  But it does require enough RAM to 
  ! cache an extra copy of the table. 
  neighbor 1.1.1.1 soft-reconfiguration inbound 
  ! Filter out bogus prefixes from your upstream.  Don’t 
  ! trust your ISP to do this for you. 
  neighbor 1.1.1.1 prefix-list BOGONS in 
  ! Limit your announcement just to your public prefix(es). 
  ! This enforces aggregation, and prevents you from  
  ! announcing ASN 200’s routes to ASN 300, which would   
  ! accidentally make yourself a transit between the two 
  ! ISPs. 
  neighbor 1.1.1.1 prefix-list ANNOUNCE out 
  ! enforce max-prefix limit: just in case your provider 
  ! blows up their routing tables, this keeps your router 
  ! from melting under the stress by shutting off the 
  ! mis-behaving BGP session instead.  Once your ISP fixes 
  ! the problem, you can re-enable with a “clear ip bgp ...” 
  neighbor 1.1.1.1 maximum-prefix 140000 
 
  ! define BGP session with ISP-2 (ASN 300) 
  neighbor 2.2.2.1 remote-as 300 
  neighbor 2.2.2.1 description BGP Transit to ISP-2 
  neighbor 2.2.2.1 version 4 
  neighbor 2.2.2.1 send-community 
  neighbor 2.2.2.1 soft-reconfiguration inbound 
  neighbor 2.2.2.1 prefix-list BOGONS in 
  neighbor 2.2.2.1 prefix-list ANNOUNCE out 
  neighbor 2.2.2.1 maximum-prefix 140000 
  ! 
 end

Os filtros que aqui criei (Mikrotik) estão abaixo. Na minha regra AS_out que utilizo no filter out dos meus peers é para descartar todos os prefixos diferentes dos do meu AS.

Código :

 /routing filter export 
# may/20/2010 09:34:38 by RouterOS 4.9
 
/routing filter
add action=discard chain=AS_out comment="" disabled=no invert-match=no  prefix=!187.1xx.xxx.0/20 prefix-length=32 set-bgp-weight=20
add action=accept chain=AS_out comment="yes" disabled=no invert-match=no  prefix=187.1xx.xxx.0/20 prefix-length=32 set-bgp-weight=20
add action=passthrough chain=AS_out comment="" disabled=no  invert-match=no prefix=187.1xx.xxx.0/20 set-bgp-weight=20
add action=passthrough chain=AS_out comment="" disabled=no  invert-match=no set-bgp-weight=20
add action=discard bgp-as-path-length=!0-2 chain=AS_out comment=""  disabled=no invert-match=no
add action=discard chain=BOGONS comment="" disabled=no invert-match=no  prefix=0.0.0.0/8 prefix-length=32
add action=discard chain=BOGONS comment="" disabled=no invert-match=no  prefix=10.0.0.0/8 prefix-length=32
add action=discard chain=BOGONS comment="" disabled=no invert-match=no  prefix=127.0.0.0/8 prefix-length=32
add action=discard chain=BOGONS comment="" disabled=no invert-match=no  prefix=172.16.0.0/12 prefix-length=32
add action=discard chain=BOGONS comment="" disabled=no invert-match=no  prefix=192.0.2.0/24 prefix-length=32
add action=discard chain=BOGONS comment="" disabled=no invert-match=no  prefix=192.168.0.0/16 prefix-length=32
add action=discard chain=BOGONS comment="" disabled=no invert-match=no  prefix=224.0.0.0/3 prefix-length=32
add action=discard chain=BOGONS comment="" disabled=no invert-match=no  prefix=187.19.96.0/21 prefix-length=32
add action=discard chain=BOGONS comment="" disabled=no invert-match=no  prefix=0.0.0.0/0 prefix-length=27
[admin@rtborder] >

Coloco aqui para melhor entendimento as configurações do BGP.

Código :

/routing bgp instance
add as=28xxx client-to-client-reflection=no comment="" disabled=no  ignore-as-path-len=no name=bgp_28xxx out-filter=AS_out  redistribute-connected=no \
    redistribute-ospf=no redistribute-other-bgp=no redistribute-rip=no  redistribute-static=no router-id=187.1xx.xxx.1 routing-table=""
 
/routing bgp network
add comment="" disabled=no network=187.1xx.xxx.0/21 synchronize=no
 
/routing bgp peer
 
add address-families=ip as-override=no comment=""  default-originate=never disabled=no hold-time=3m in-filter=BOGONS  instance=bgp_28xxx max-prefix-limit=20 \
    multihop=yes name=peer_oi nexthop-choice=default out-filter=AS_out  passive=no remote-address=201.40.xxx.1x0 remote-as=8167  remove-private-as=no \
    route-reflect=no tcp-md5-key="" ttl=255 update-source=loopback  use-bfd=no
 
add address-families=ip as-override=no comment=""  default-originate=never disabled=no hold-time=3m in-filter=BOGONS  instance=bgp_28xxx multihop=yes name=\
    peer_gvt nexthop-choice=default out-filter=AS_out passive=no  remote-address=201.47.xxx.1x5 remote-as=18881 remove-private-as=no  route-reflect=no \
    tcp-md5-key="" ttl=default update-source=loopback use-bfd=no

Antecipadamente agradeço pela ajuda,

[jonydboy]

Boa noite,

amigos eu estou tentado a 3 dias solicitar que a OI ative o BGP no meu link, ja tentei diverssas vezes no 0800 mas eles nao sabem o que é. enfim alguem poderia me ajudar?

[xandemartini]

Olá

Mande um email detalhado, com todos os seus dados, número de circuito, etc parta [email protected]. Hoje em dia, por incrível que pareça, é o canal mais efetivo de comunicação com a OI.

Boa noite,

amigos eu estou tentado a 3 dias solicitar que a OI ative o BGP no meu link, ja tentei diverssas vezes no 0800 mas eles nao sabem o que é. enfim alguem poderia me ajudar?

[jonydboy]

Obrigado pela atenção,

mas o email voltou, sera esse mesmo?

Olá

Mande um email detalhado, com todos os seus dados, número de circuito, etc parta [email protected]. Hoje em dia, por incrível que pareça, é o canal mais efetivo de comunicação com a OI.

[xandemartini]

Obrigado pela atenção,

mas o email voltou, sera esse mesmo?

[email protected], tenta este. São os 2 q tenho...

[jonydboy]

Vlw, mas meu link n é coorporativo, vou terntar [email protected]...

e ontem eu axei isso aqui

Peering Networks Detailed View


vlw

[FabricioViana]

Na CTBC os e-mails do BGP são [email protected] e [email protected]

Abraços

Fabrício

[lfdazzi]

boa tarde pessoal !!

estou com uma dúvida sobre o bgp no mikrotik, quando deixo em branco a opção "in filter" ele conecta o ip remoto e recebe as rotas.. algo em torno de 315000 rotas, até ai tudo normal.
O que tenho notado e que a cada 3 ou 4 horas (não é um tempo certo) o meu trafego com a operadora (gvt) da um pico para uns 80 mb como se tivesse atualizando a lista de rotas, mas conferindo a tabela continua o mesmo número. Alguém sabe o porque desse pico?
Meu link com a operadora é de 50 MB e esse pico as vezes chega a 100 MB, sei que isso acontece quando tiro o filtro que fiz no bgp, quando deixo sem nada acontece isso.
Espero que não seja um problema e sim uma atualização de rotas, alguém sabe sobre isso.

grato pelas respostas.

[rubensk]

Pode ser que o Mikrotik tenha pedido um route-refresh para a operadora. Gere uma captura de pacotes BGP e veja se nesse momento ele não mandou uma mensagem BGP tipo 5 - Route-Refresh.

boa tarde pessoal !!

estou com uma dúvida sobre o bgp no mikrotik, quando deixo em branco a opção "in filter" ele conecta o ip remoto e recebe as rotas.. algo em torno de 315000 rotas, até ai tudo normal.
O que tenho notado e que a cada 3 ou 4 horas (não é um tempo certo) o meu trafego com a operadora (gvt) da um pico para uns 80 mb como se tivesse atualizando a lista de rotas, mas conferindo a tabela continua o mesmo número. Alguém sabe o porque desse pico?
Meu link com a operadora é de 50 MB e esse pico as vezes chega a 100 MB, sei que isso acontece quando tiro o filtro que fiz no bgp, quando deixo sem nada acontece isso.
Espero que não seja um problema e sim uma atualização de rotas, alguém sabe sobre isso.

grato pelas respostas.

[lfdazzi]

rubensk,
abrigado pela resposta, mas como faço isso no mikrotik?
ainda estou "engatinhando" no assunto bgp.
grato pela resposta.

[rubensk]

rubensk,
abrigado pela resposta, mas como faço isso no mikrotik?
ainda estou "engatinhando" no assunto bgp.
grato pela resposta.

/tool sniffer filter-address1=<ip do bgp no Mikrotik> filter-address2=<ip de bgp da operadora> file-name=captura-bgp interface=<interface de conexão com a operadora> memory-limit=999999
/tool sniffer start
<deixe capturando>
/tool sniffer stop

Baixe o arquivo via WinBox ou WebBox para sua máquina e olhe o conteúdo com o Wireshark.

[thenet]

galera..

pedi a ativação do bgp pra global crossing, e me disseram que eles só tem 16bits e minha as é de 32bits. como faço?
tenho que pedir mudança no registro pra uma de 16bits ou da pra fazer funcionar?

a ctbc não disse nada, e creio que eles tem 32 bits então.

obrigado.

[alexandrecorrea]

thenet: fala pra gblx que teu as é 23456 (as_trans) .. que da certo

no seu router, vc poe o seu AS normal. (32 bits) e na gblx eles colocam 23456 .. dai fecha blz..

[thenet]

thenet: fala pra gblx que teu as é 23456 (as_trans) .. que da certo

no seu router, vc poe o seu AS normal. (32 bits) e na gblx eles colocam 23456 .. dai fecha blz..

alexandre,

primeiramente obrigado pela atenção.

ja enviei a resposta pra eles e vamos ver o que eles me respondem.

no caso, você ja fez isso com eles ou conhece alguem? pra numa possível negação, tenha argumentos de que ja efetuaram tal configuração.

obrigado novamente.

[alexandrecorrea]

esse as 23456 é o as de transição.. é uma pratica comum... nao é gambiarra nao heheh .. eh escrito no RFC e talz.. tudo certinho

[thenet]

esse as 23456 é o as de transição.. é uma pratica comum... nao é gambiarra nao heheh .. eh escrito no RFC e talz.. tudo certinho

realmente, procurei e isso tem no RFC, mas... A gblx não quis fazer..rsrs e pra ajudar mais ainda, o Registro.br fez a alteração pra 16 bits (só mandei email perguntando se teria como fazer e como faria pra pedir, e eles só me responderam confirmando que já mudaram..rsrs).

Agora estou levantando com a CTBC se com eles pode ser usado 16 bits. Não é mole não né. rsrs
Sabe se quem usa 32 bits, obrigatoriamente faz com 16 bits também?

obrigado novamente.

[alexandrecorrea]

se eles trocaram seu AS.. vc deve usar somente o de 16bits.. tanto com ctbc quanto com a gblx.. o as de 32bits eles devem cancelar..

estranho a gblx nao ativar as_trans ....

[rubensk]

Existe um problema com uso de AS_TRANS que é rastreabilidade e suporte; no caso de problemas, você não sabe pelo AS se quem está gerando aquele prefixo é o cliente X ou Y. Isso tem uma solução de contorno que é marcar uma community com um número de 16 bits que seja um identificador de contrato ou algo similar, mas esse novo procedimento de provisionamento e operação precisa ser trabalhado com todo mundo na organização, algo que para quem é grande como a Global Crossing pode ser complexo.

Eu pessoalmente acho um pouco decepcionante alguém hoje não ter um procedimento para isso, mas assim é.
Já quanto a não ter suporte nativo para 32 bits, ainda é razoável em função do ciclo de vida dos backbones. Troca de versão é algo que pode ser muito dolorido.

[thenet]

me falaram que só em 2011 que vão ter suporte a 32 bits na rede deles.

A gblx cresceu muito pelo menos na região, melhorando a qualidade em 100%, pois era a rede da Impsat, e creio que poderia estar um pouco ruim já e por isso estão modificando tudo.