Computing">
12 Boas Praticas BGP Novo
12 Boas Praticas BGP Novo
12 Boas Praticas BGP Novo
Creative Commons
Atribuição – Não a Obras Derivadas (by-nd)
http://creativecommons.org/licenses/by-nd/3.0/br/legalcode
Você pode:
● Compartilhar — copiar, distribuir e transmitir a obra.
● Fazer uso comercial da obra.
● Sob as seguintes condições:
Atribuição — Ao distribuir essa apresentação, você deve deixar claro que ela faz parte do
Curso de Formação para Sistemas Autônomos do CEPTRO.br/NIC.br, e que os originais podem ser
obtidos em http://ceptro.br. Você deve fazer isso sem sugerir que nós damos algum aval à sua
instituição, empresa, site ou curso.
Vedada a criação de obras derivadas — Você não pode modificar essa apresentação, nem
criar apresentações ou outras obras baseadas nela..
Se tiver dúvidas, ou quiser obter permissão para utilizar o material de outra forma, entre em contato pelo e-mail:
info@nic.br.
Conceitos de BGP
Rota
2001:db8::/32
AS 65538
prepend 5
AS 65536
Rota
2001:db8::/32 AS 65537
Conceitos de BGP
Eu aceito tudo do
● BGP é um protocolo político! 65536 e aumento o
local preference
Rota
2001:db8::/32
AS 65538
prepend 5
AS 65536 Rota
2001:db8::/32 65536 i
AS 65537
Conceitos de BGP
AS 65536
AS 65537
Entendendo o BGP
● Os atributos são
considerados na seleção
dos caminhos
● É usado para:
○ Detectar loops
○ Aplicar políticas
Atributos BGP (MED)
● Multi-Exit Discriminator
● Só vale dentro do AS
Weight
○ Confederation
■ Muito complexo
Escalando o iBGP
● Route Reflector
○ Refletor recebe rotas de todo mundo
■ Seleciona o melhor caminho
● Se o melhor caminho
for de um cliente,
reflete para todos
● Se o melhor caminho
for de um refletor,
reflete somente para
os clientes
Autenticando sessões BGP com MD5
● Por padrão, os pacotes das sessões eBGP são enviados com valor de
TTL/Hop-Limit igual a 1, buscando garantir que quem está enviando o
pacote é um vizinho diretamente conectado. Porém um atacante externo
pode facilmente forjar um pacote com TTL/Hop-Limit igual a 1 no
enlace.
● Clientes
○ Deve-se aceitar apenas os prefixos que foram designados (por você
mesmo) ao cliente, ou alocados a ele pelo NIC.br ou por um RIR.
● Fornecedores de trânsito (upstreams)
○ Você paga seu fornecedor de trânsito para que ele forneça acesso à
toda a Internet (full routing ou rota default).
● Peers (com quem realizamos troca de tráfego)
○ Deve-se combinar antes que prefixos serão anunciados ou aceitos.
○ No caso sessões BGP, em um acordo ATM no IX, deve-se receber
todos os prefixos anunciados, com as seguintes exceções:
■ Se você têm clientes de trânsito no IX, deve-se filtrar os
prefixos deles. Assim evita-se que o tráfego na direção do cliente
passe pelo IX, no lugar de passar no link de trânsito
■ Se você têm upstreams no IX, pode ser desejável filtrá-los,
forçando o tráfego a fluir pelo link de trânsito em ambas as
direções, e evitando assimetrias.
Filtros de entrada
● www.iana.org/assignments/bgp-well-known-communities
○ no-export 65535:65281
■ Não anuncie essa rota para nenhum peer e-BGP
○ no-advertise 65535:65282
■ Não anuncie para nenhum peer BGP
○ no-peer 65535:65284
■ Não anuncie para tráfego bilateral
Dúvidas?
Patrocínio Super Like
Apoio de Mídia
Obrigado !!!