BGP x OSPF x Tunnel = Repasse de IPs válidos (última milha)

[Redenet]

Prezados amigos, Boa noite!

Já algum tempo venho tentando buscar soluções para o meu problema.

Temos uma Rede com BGP ativo fazendo trânsito de IPS Válidos para os clientes de última milha e que está rodando perfeitamente em OSPF inclusive.

Porém como tivemos problemas com furto de equipamento e de dois enlaces licenciados de 6 Ghz que atendia um município vizinho, adotamos uma outra solução que foi: Compramos um segundo link com outra operadora local e ligamos na RB de borda desta rede que por sinal virou uma segunda rede.

Então fizemos um túnel para nossa rede principal com intuito de monitorar e que por sinal deu certíssimo.

Só que no município vizinho não temos trânsito de AS via BGP com a Operadora local e todos os clientes daquela localidade detêm ips válidos da nossa Rede Principal e que antes era uma só através de um Enlace licenciado. A internet chega perfeitamente nos clientes da Rede Vizinha após criar uma Nat (masquerade) para cada IP e assim liberando-os provisoriamente.

Mas o que eu estava tentando fazer era que o Túnel responde-se o Trânsito de AS desta segunda rede e assim conseguisse fazer com que todos os IPS válidos fossem publicados na Internet. Lembrando que na Rede principal temos um bloco de ips válidos /22 e na Rede vizinha (Rede 2) temos apenas um /30.

Tentei vários métodos e que somente um deu certo que foi uma VPN entre a rede 1 e a rede 2, com a opção habilitada de Adicionar Rota Default junto as tabelas de roteamento da RB da segunda rede. Só que com esta opção habilitada, todo tráfego da rede é jogado no túnel, assim gerando um consumo altíssimo na Rede principal.

Não sei se será possível fazer, mais precisava de fato de uma solução para este caso e que pelo menos a nossa rede principal pudesse validar os ips válidos da rede do município vizinho através do Túnel, lembrando que tenho OSPF ativo na rede também.

Obrigado a todos e ficarei no aguardo de uma possível ajuda!

[fhayashi]

Se quer utilizar seus ips na rede 2 tem de anunciar que estão ali. Única forma seria via bgp com a operadora de lá.

Acho que o menor bloco que pode anunciar é um /24 mas não tenho certeza

[avatar52]

Carregar isso via túnel não vai ser a melhor prática, sem dúvida pedir uma sessão BGP com sua operadora.

[herlon2008]

A melhor opção é pedir uma sessão BGP a outra operadora e anunciar parte de seu bloco lá.
Ou substituir seu link IP nesta localidade por um clear channel (transporte) até a localidade de seu BGP.
É um serviço mais barato que o IP e também atenderia sua necessidade.

[dpetry]

Bom dia!

Cara se você não tiver como interligar as duas redes "não há alternativa".

Para que os cliente da rede 2 saiam para a internet cada um com ip válido, você deve solicitar IPs da operadora local.

Pelo que entendi, os clientes da rede 2 estão com IPs da rede 1, com masquerade e a navegação deles atravessa via tunnel pelo IP válido que a operadora da rede 2 lhe fornceceu, porém, não há comunicação entre uma e outra em rede "LAN".

Como você não tem AS na rede 2, não tem como anunciar os IPs via BGP para a operadora local, deverá usar os IPs que eles disponibilizarem.

Obs: O menor bloco aceito para anuncio é o /24.

Unica opção que vejo seria, ter a mesma operadora nas duas redes.

A rede 1 continuaria sendo a principal e a rede 2 seria clearchannel da rede 1.

A operadora enviaria tudo da rede 2, para uma outra porta na rede 1 como se fosse rede LAN.

Com isso os clientes da rede 2, receberiam IPs do seu AS e estariam funcionando como se estivessem em rede LAN.

Não sei se conseguiu entender, mas, pelo que sei, só assim seria possível.

Abraço.

[avatar52]

Não precisa ter AS nas duas redes, só dividir os blocos. Tenho assim rodando em vários provedores, inclusive um que tem rede a mais de 100KM de distância.

[dpetry]

@avatar52,

Explica para nós, como é sua estrutura, como vc dividiu seu bloco tendo a mesma estrutura que o nosso amigo.

[Redenet]

Pois é galera, boom dia! Consegui compreender sim e é o que eu já imaginava, porém quando criei a VPN e habilitei a rota default funcionou e isso gerou uma expectativa de conseguir! Mas a alegria foi por pouco tempo, pois a VPN com a Rota Default habilitada, gerou consumo nas duas redes e isso seria fora de cogitação devido ao tamanho da banda contratada junto a operadora. Mais com esse cenário, irei realizar um novo trânsito de AS na Operadora 2 e dividir o bloco para resolver o problema! Agradeço imensamente a ajuda de todos vcs!

[Redenet]

avatar52, como vc conseguiu fazer?

[fhayashi]

Vc só precisa "Desanunciar" na rede 1 o bloco que irá reservar para a rede 2.

Fecha a sessão BGP com a operadora da rede 2 e anuncia.

Óbvio mas sempre bom lembrar, as duas redes irão trabalhar de forma autônoma uma da outra. Ou seja, qualquer acessa entre elas é como se fosse com outra rede. Claro que pode fechar uma VPN para acesso direto de conteúdos específicos.

[avatar52]

Simples, um bloco /21 dividi em dois /22, em um lado fechei sessão com a operadora e anunciei o primeiro bloco (usando o meu AS, NÃO precisei de AS novo só pra isso) e do outro lado anunciei o outro bloco restante usando meu AS.

[Redenet]

Há sim, mais neste caso vc publicou via bgp em duas operadoras distintas correto?

[avatar52]

É a mesma operadora, em cidades bem distantes! Mas não muda em nada ser outra operadora.

[Redenet]

Entendi... Mais então neste seu cenário, vc conseguiu transportar via Túnel as requisições de ip para sua RB de borda de boa e sem nenhum problema?! Desculpe, mais preciso muito dessa receita de bolo e ainda não encontrei nada sobre isso, lembrando que já perdi noites e noites em cima disso e nada consegui! Só lembrando que tenho operadoras distintas nas duas pontas. Obrigado!

[fhayashi]

@Redenet,

Fecha a VPN e transporta só o que realmente precisar. Provavelmente a autenticação do seu Radius.

Deixa o resto independente.

[avatar52]

Entendi... Mais então neste seu cenário, vc conseguiu transportar via Túnel as requisições de ip para sua RB de borda de boa e sem nenhum problema?! Desculpe, mais preciso muito dessa receita de bolo e ainda não encontrei nada sobre isso, lembrando que já perdi noites e noites em cima disso e nada consegui! Só lembrando que tenho operadoras distintas nas duas pontas. Obrigado!

Não fechei túnel nenhum, só roteamento BGP!

[Redenet]

@fhayashi

Entendi! Com a VPN funcionou muito bem, porém somente habilitando Rota Default da própria VPN. Mais o problema é que consome a banda das duas operadoras por igual. Neste caso de transportar somente o que eu precisar, juro que estou muito perdido! Será que vc teria como me ajudar?

[fhayashi]

Ao invés da rota default, coloca uma rota estática pelo Gateway da VPN só para os endereços que precisar

[avatar52]

Se você tem um bloco /24 disponível lá, faça uma sessão com a operadora do lado de lá e pronto. Você só vai precisar de túnel para fazer roteamento aos IPs RFC1918 ou 6598 que estiver por lá.

Se você tiver dúvidas maiores pode me chamar no privado.

[Redenet]

@fhayashi

Tentei já na 2º Rede apontar o gateway para VPN e vice e versa e de ambas as formas não vai. Quando eu tento pingar fora da rede para o IP designado ele diz que expirou em trânsito, porém com o IP da minha primeira rede. Já tentei apontar da 2º rede pra primeira na VPN onde tenho trânsito de AS com o bloco responsável por estes Ips e nada.... Tem alguma outra ideia ou alguma regra pra dar mais uma luz?