Re: [FUG-BR] BGP e RFC 2385 (TCPMD5)
Em 2/16/18 8:33 AM, Edinilson J. Santos escreveu: Em 15/02/2018 17:25, Felipe N. Oliva escreveu: Boa tarde senhores, Aproveitando que a lista voltou ao normal... Não estou conseguindo usar o TCPMD5 pra fechar sessão BGP(meus cenários com openbgp) no FreeBSD 11.1-p6 e no 11.1-STABLE(r329156), até o 10.3 estava normal. Eu uso o IPSec pra fazer isso, um caso clássico é sessão com o Google. /etc/ipsec.conf: add -4 187.16.216.55 tcp 0x1000 -A tcp-md5 "senha"; add -4 187.16.218.58 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::55 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::218:58 tcp 0x1000 -A tcp-md5 "senha"; Kernel: options IPSEC options TCP_SIGNATURE Existe um bug relatado sobre algo semelhante, mas sem TSO e LRO habilitado nas interfaces, o que não é o meu caso. Alguém enfrentando o mesmo problema? Você compilou um kernel personalizado ou está usando o GENERIC do 11 ? Pergunto pois, no GENERIC do 11 já vem ativado por padrao o suporte ao IPsec [1] , com as opçoes: options IPSEC device crypto CASO esteja utilizando um kernel personalizado, seria bom seguir as recomendacoes em [2], onde se inclui o GENERIC no seu kernel e desativa ou ativa opções. Outro detalhe que deve observar é no rc.conf se está: ipsec_enable="YES" além de outras variaveis como: ipsec_program ipsec_file Edinilson [1] https://www.freebsd.org/doc/handbook/ipsec.html [2] https://www.freebsd.org/doc/handbook/kernelconfig-config.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Edinilson, sim todas as entradas referentes ao IPSEC estão no kernel inclusive, como mensionei, o "options TCP_SIGNATURE". O comando "setkey -D" mostra que as configuração do /etc/ipsec.conf estão subindo. Grato, -- Felipe N. Oliva NetAdmin/SysAdmin BSDA BSDDCG-ID: 2016144190112430459 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP e RFC 2385 (TCPMD5)
Em 15/02/2018 17:25, Felipe N. Oliva escreveu: Boa tarde senhores, Aproveitando que a lista voltou ao normal... Não estou conseguindo usar o TCPMD5 pra fechar sessão BGP(meus cenários com openbgp) no FreeBSD 11.1-p6 e no 11.1-STABLE(r329156), até o 10.3 estava normal. Eu uso o IPSec pra fazer isso, um caso clássico é sessão com o Google. /etc/ipsec.conf: add -4 187.16.216.55 tcp 0x1000 -A tcp-md5 "senha"; add -4 187.16.218.58 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::55 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::218:58 tcp 0x1000 -A tcp-md5 "senha"; Kernel: options IPSEC options TCP_SIGNATURE Existe um bug relatado sobre algo semelhante, mas sem TSO e LRO habilitado nas interfaces, o que não é o meu caso. Alguém enfrentando o mesmo problema? Você compilou um kernel personalizado ou está usando o GENERIC do 11 ? Pergunto pois, no GENERIC do 11 já vem ativado por padrao o suporte ao IPsec [1] , com as opçoes: options IPSEC device crypto CASO esteja utilizando um kernel personalizado, seria bom seguir as recomendacoes em [2], onde se inclui o GENERIC no seu kernel e desativa ou ativa opções. Outro detalhe que deve observar é no rc.conf se está: ipsec_enable="YES" além de outras variaveis como: ipsec_program ipsec_file Edinilson [1] https://www.freebsd.org/doc/handbook/ipsec.html [2] https://www.freebsd.org/doc/handbook/kernelconfig-config.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BGP e RFC 2385 (TCPMD5)
Boa tarde senhores, Aproveitando que a lista voltou ao normal... Não estou conseguindo usar o TCPMD5 pra fechar sessão BGP(meus cenários com openbgp) no FreeBSD 11.1-p6 e no 11.1-STABLE(r329156), até o 10.3 estava normal. Eu uso o IPSec pra fazer isso, um caso clássico é sessão com o Google. /etc/ipsec.conf: add -4 187.16.216.55 tcp 0x1000 -A tcp-md5 "senha"; add -4 187.16.218.58 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::55 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::218:58 tcp 0x1000 -A tcp-md5 "senha"; Kernel: options IPSEC options TCP_SIGNATURE Existe um bug relatado sobre algo semelhante, mas sem TSO e LRO habilitado nas interfaces, o que não é o meu caso. Alguém enfrentando o mesmo problema? -- Felipe N. Oliva NetAdmin/SysAdmin BSDA BSDDCG-ID: 2016144190112430459 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BGP e OSPF na mesma caixa
Bom dia Senhores, Tenho o seguinte cenário que está me dando uma canseira. FreeBSD com OpenBGPD rodando em um ServerU. Tudo perfeito. Porém preciso subir um OSPF, pois o cliente já tem 2 CCR autenticando os PPPoE com RADIUS centralizado. No momento estamos forçando a autenticação de blocos específicos em autenticador específico. Mas precisamos dessa entrega totalmente dinâmica. Hoje rodo o BGP com o OpenBGPD e tentei subir o OSPF com o BIRD, mas quando o BIRD sincroniza as rotas com as caixas Mikrotik, ele remove as rotas recebidas da FIB. Pensei sinceramente em subir o BGP e OSPF juntos pelo BIRD, mas acho a forma de filtros do OpenBPG mais intuitiva. Tentei rodar o Quagga pra fazer o OSPF mas a instalação conflita com o OpenBGP. No DNS (também em FreeBSD) tenho o BIRD rodando OSPF, fechando vizinhança tranquilamente com os Mikrotiks. Alguém tem esse cenário rodando OpenBGP para o BGP e BIRD para o OSPF na mesma caixa? Aceitando sugestões. Atenciosamente, Wenderson Souza - wendersonso...@gmail.com +55 (43) 9162-4333 Vivo Mobile Skype: wendersonsouza - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] bgp-spamd
Ola, Estou usando o bgp-spamd no 10-RELEASE porém sempre acontece esse erro de tempo em tempo: 155 Jun 6 20:50:48 bgpd[2860]: neighbor 64.142.121.62: socket error: Operation timed out 156 Jun 6 20:54:03 bgpd[2860]: neighbor 64.142.121.62: socket error: Operation timed out 157 Jun 6 21:47:33 bgpd[2860]: neighbor 64.142.121.62: sending notification: HoldTimer expired, unknown subcode 0 158 Jun 6 21:49:18 bgpd[2860]: neighbor 64.142.121.62: socket error: Operation timed out 159 Jun 6 22:20:02 bgpd[2860]: neighbor 64.142.121.62: sending notification: HoldTimer expired, unknown subcode 0 160 Jun 6 22:21:47 bgpd[2860]: neighbor 64.142.121.62: socket error: Operation timed out 161 Jun 6 22:25:02 bgpd[2860]: neighbor 64.142.121.62: socket error: Operation timed out 162 Jun 6 22:40:56 bgpd[2858]: pftable_change ioctl: Cannot allocate memory 163 Jun 6 22:40:56 bgpd[2860]: neighbor 64.142.121.62: sending notification: Cease, administratively down o openbgpd cai tambem: $ bgpctl show bgpctl: connect: /var/run/bgpd.sock: No such file or directory as vezes vai de boa: 505 Jun 7 04:46:40 bgpd[1098]: neighbor 64.142.121.62: state change Connect - OpenSent, reason: Connection opened 506 Jun 7 04:46:40 bgpd[1098]: neighbor 64.142.121.62: state change OpenSent - OpenConfirm, reason: OPEN message received 507 Jun 7 04:46:40 bgpd[1098]: neighbor 64.142.121.62: state change OpenConfirm - Established, reason: KEEPALIVE message received -- Fernando Gilli - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BGP Spamd
Caros amigos, voces estao acompanhando ou usando este projeto? O que acham desta abordagem para combater SPAM? http://bgp-spamd.net/client/index.html Interview - Peter Hessler - phess...@openbsd.org / @phessler Using BGP to distribute spam blacklists and whitelists Q: Tell us about yourself and your previous contributions to OpenBSD Q: What is BGP spamd Q: What made you start the project? Q: Why use BGP? What are the pros/cons versus the standard DNS distribution model? Q: (How) can others make use of the project? Q: How can other contribute to the project? Q: What else are you working on? http://www.bsdnow.tv/episodes/2013-09-04_bgp_bsd?goback=.gde_47628_member_271761194#! Edinilson -- ATINET Tel Voz: (0xx11) 4412-0876 http://www.atinet.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP Spamd
Gostei da ideia! Associa uma comunidade e faz null route Ednilson? Em 10/09/13 10:05, Edinilson - ATINET escreveu: Caros amigos, voces estao acompanhando ou usando este projeto? O que acham desta abordagem para combater SPAM? http://bgp-spamd.net/client/index.html Interview - Peter Hessler - phess...@openbsd.org / @phessler Using BGP to distribute spam blacklists and whitelists Q: Tell us about yourself and your previous contributions to OpenBSD Q: What is BGP spamd Q: What made you start the project? Q: Why use BGP? What are the pros/cons versus the standard DNS distribution model? Q: (How) can others make use of the project? Q: How can other contribute to the project? Q: What else are you working on? http://www.bsdnow.tv/episodes/2013-09-04_bgp_bsd?goback=.gde_47628_member_271761194#! Edinilson -- ATINET Tel Voz: (0xx11) 4412-0876 http://www.atinet.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP Spamd
2013/9/10 Edinilson - ATINET edinil...@atinet.com.br Caros amigos, voces estao acompanhando ou usando este projeto? O que acham desta abordagem para combater SPAM? http://bgp-spamd.net/client/index.html Parece o projeto do Team Cymru Bogon[1], que anuncia para você por bgp (multi-hop) os prefixos que não foram alocados ainda. Referência: [1] http://www.team-cymru.org/Services/Bogons/bgp.html -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP Spamd
65066:666 tendo essa communitie.. vc da um blackhole na borda.. assim não haverá conexão com os hosts que fazem spam .. e existe um shell script que le essas rotas recebidas e gera a configuração para o spamd !! sao 105.000 hosts Sds. Alexandre J. Correa Onda Internet http://www.onda.net.br IPV6 Ready !!! On Tue, Sep 10, 2013 at 2:14 PM, Eduardo Schoedler lis...@esds.com.brwrote: 2013/9/10 Edinilson - ATINET edinil...@atinet.com.br Caros amigos, voces estao acompanhando ou usando este projeto? O que acham desta abordagem para combater SPAM? http://bgp-spamd.net/client/index.html Parece o projeto do Team Cymru Bogon[1], que anuncia para você por bgp (multi-hop) os prefixos que não foram alocados ainda. Referência: [1] http://www.team-cymru.org/Services/Bogons/bgp.html -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP [OT] entrando mais um AS na brincadeira
basicamente é isso ai que o pessoal falou, dependendo da operadora isso é bem rápido, se for uma das grandes teles, te prepara para passar raiva, um contato com o pessoal do bgp dessa tele ajudaria bastante nesse momento. Em 14 de setembro de 2012 12:17, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Em 14/09/2012 12:13, Otavio Augusto escreveu: Em 14 de setembro de 2012 12:08, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Aproveitando a movimentação da lista hoje rsrsrsr sou conhecedor básico, bem básico de bgp e estou com uma dúvida. Hoje funciona tudo perfeito aqui no provedor e para o provedor. Vou primeiro passar o cenário atual: Chega link de 2Gbps da Operadora de Upstream no nosso (Router FreeBSD - OpenBGP). Fazemos o BGP com a operadora e estaticamente jogo as rotas dos blocos IPs para um Firewall em cada cidade que atendemos. Minha dúvida é a seguinte: o provedor aqui resolveu vender 500Mbps desse link (somente link, sem IP) para outro provedor parceiro nosso, sendo que esse outro provedor já tem seu AS. Vamos supor que eu coloque uma outra interface de rede no router e interligue com esse outro provedor. Eu poderia anunciar blocos desse outro provedor pela minha sessão BGP com a operadora ou haveriam problemas? Sim pode Mas a sua operadora provavelmente deve conter Filtros para que vc nao anuncie nada errado. Vc deve comunicar a operadora quais blocos do seu seu cliente será anunciando para que eles configurem os filtros corretamente. Tipo ele tem dois /20 vc comunica na operadora que vai anunciar os 2 /20 mesmo que ele anuncie menos prefixos mas eles deve estar dentro destes blocos. Ah sim a operadora hoje faz isso com os meus blocos. Eu precisei informar à eles mesmo porque eles fazem filtro lá. Pelo jeito vou virar trânsito e ver isso com a operadora. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Tiago N. Furbeta Cangere Online Provedor de Internet Ltda. Empresa de Telecomunicações Autorizada SCM/ANATEL tfurb...@cangere.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BGP [OT] entrando mais um AS na brincadeira
Olá pessoal, Aproveitando a movimentação da lista hoje rsrsrsr sou conhecedor básico, bem básico de bgp e estou com uma dúvida. Hoje funciona tudo perfeito aqui no provedor e para o provedor. Vou primeiro passar o cenário atual: Chega link de 2Gbps da Operadora de Upstream no nosso (Router FreeBSD - OpenBGP). Fazemos o BGP com a operadora e estaticamente jogo as rotas dos blocos IPs para um Firewall em cada cidade que atendemos. Minha dúvida é a seguinte: o provedor aqui resolveu vender 500Mbps desse link (somente link, sem IP) para outro provedor parceiro nosso, sendo que esse outro provedor já tem seu AS. Vamos supor que eu coloque uma outra interface de rede no router e interligue com esse outro provedor. Eu poderia anunciar blocos desse outro provedor pela minha sessão BGP com a operadora ou haveriam problemas? Grande abraço à todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP [OT] entrando mais um AS na brincadeira
Em 14 de setembro de 2012 12:08, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Chega link de 2Gbps da Operadora de Upstream no nosso (Router FreeBSD - OpenBGP). Fazemos o BGP com a operadora e estaticamente jogo as rotas dos blocos IPs para um Firewall em cada cidade que atendemos. Minha dúvida é a seguinte: o provedor aqui resolveu vender 500Mbps desse link (somente link, sem IP) para outro provedor parceiro nosso, sendo que esse outro provedor já tem seu AS. Vamos supor que eu coloque uma outra interface de rede no router e interligue com esse outro provedor. Eu poderia anunciar blocos desse outro provedor pela minha sessão BGP com a operadora ou haveriam problemas? Agora a brincadeira fica séria, pois agora você é trânsito. 1) você terá de fechar uma sessão com o AS dele. Faça filtros bem apertados do que ele irá anunciar! match por AS e bloco; 2) você terá de solicitar à sua operadora liberação para os blocos do seu cliente -- isso demora. Mais dúvidas sugiro perguntar na lista GTER. Abs. -- Eduardo Schoedler ESDS Consultoria de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP [OT] entrando mais um AS na brincadeira
Em 14 de setembro de 2012 12:08, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Aproveitando a movimentação da lista hoje rsrsrsr sou conhecedor básico, bem básico de bgp e estou com uma dúvida. Hoje funciona tudo perfeito aqui no provedor e para o provedor. Vou primeiro passar o cenário atual: Chega link de 2Gbps da Operadora de Upstream no nosso (Router FreeBSD - OpenBGP). Fazemos o BGP com a operadora e estaticamente jogo as rotas dos blocos IPs para um Firewall em cada cidade que atendemos. Minha dúvida é a seguinte: o provedor aqui resolveu vender 500Mbps desse link (somente link, sem IP) para outro provedor parceiro nosso, sendo que esse outro provedor já tem seu AS. Vamos supor que eu coloque uma outra interface de rede no router e interligue com esse outro provedor. Eu poderia anunciar blocos desse outro provedor pela minha sessão BGP com a operadora ou haveriam problemas? Sim pode Mas a sua operadora provavelmente deve conter Filtros para que vc nao anuncie nada errado. Vc deve comunicar a operadora quais blocos do seu seu cliente será anunciando para que eles configurem os filtros corretamente. Tipo ele tem dois /20 vc comunica na operadora que vai anunciar os 2 /20 mesmo que ele anuncie menos prefixos mas eles deve estar dentro destes blocos. Grande abraço à todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP [OT] entrando mais um AS na brincadeira
Em 14/09/2012 12:11, Eduardo Schoedler escreveu: Em 14 de setembro de 2012 12:08, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Chega link de 2Gbps da Operadora de Upstream no nosso (Router FreeBSD - OpenBGP). Fazemos o BGP com a operadora e estaticamente jogo as rotas dos blocos IPs para um Firewall em cada cidade que atendemos. Minha dúvida é a seguinte: o provedor aqui resolveu vender 500Mbps desse link (somente link, sem IP) para outro provedor parceiro nosso, sendo que esse outro provedor já tem seu AS. Vamos supor que eu coloque uma outra interface de rede no router e interligue com esse outro provedor. Eu poderia anunciar blocos desse outro provedor pela minha sessão BGP com a operadora ou haveriam problemas? Agora a brincadeira fica séria, pois agora você é trânsito. 1) você terá de fechar uma sessão com o AS dele. Faça filtros bem apertados do que ele irá anunciar! match por AS e bloco; 2) você terá de solicitar à sua operadora liberação para os blocos do seu cliente -- isso demora. Mais dúvidas sugiro perguntar na lista GTER. Abs. Opa Eduardo, valeu. Era isso que estava em dúvida mesmo. Eu me tornaria trânsito. :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP [OT] entrando mais um AS na brincadeira
Em 14/09/2012 12:13, Otavio Augusto escreveu: Em 14 de setembro de 2012 12:08, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Aproveitando a movimentação da lista hoje rsrsrsr sou conhecedor básico, bem básico de bgp e estou com uma dúvida. Hoje funciona tudo perfeito aqui no provedor e para o provedor. Vou primeiro passar o cenário atual: Chega link de 2Gbps da Operadora de Upstream no nosso (Router FreeBSD - OpenBGP). Fazemos o BGP com a operadora e estaticamente jogo as rotas dos blocos IPs para um Firewall em cada cidade que atendemos. Minha dúvida é a seguinte: o provedor aqui resolveu vender 500Mbps desse link (somente link, sem IP) para outro provedor parceiro nosso, sendo que esse outro provedor já tem seu AS. Vamos supor que eu coloque uma outra interface de rede no router e interligue com esse outro provedor. Eu poderia anunciar blocos desse outro provedor pela minha sessão BGP com a operadora ou haveriam problemas? Sim pode Mas a sua operadora provavelmente deve conter Filtros para que vc nao anuncie nada errado. Vc deve comunicar a operadora quais blocos do seu seu cliente será anunciando para que eles configurem os filtros corretamente. Tipo ele tem dois /20 vc comunica na operadora que vai anunciar os 2 /20 mesmo que ele anuncie menos prefixos mas eles deve estar dentro destes blocos. Ah sim a operadora hoje faz isso com os meus blocos. Eu precisei informar à eles mesmo porque eles fazem filtro lá. Pelo jeito vou virar trânsito e ver isso com a operadora. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP
Opa o peer que a operadora fechou a vizinhança BGP é um endereço na mesma subrede da sua caixa rodando bgp? Normalmente isto acontece quando o nexthop está em outra subrede. Por exemplo: Endereço de WAN: 200.2.2.2/30 Peer BGP 200.100.100.1. No exemplo acima, as rotas que foram aprendidas teriam o gateway 200.100.100.1, porém ele não é local, fazendo com que o kernel se recuse a injetá-la(já que ela so seria acessível atrás o gateway, não fazendo lógica). Não sei no quagga, como falo aqui larguei este bicho a tempos, mas no opebgpd você faz um filtro tipo o abaixo e resolve: match from 200.100.100.1 set nexthop 200.2.2.1 Ou seja, as redes entregues pelo peer 200.100.100.1, o openbgpd vai falar pro kernel colocar o next-hop como 200.2.2.1, que é o endereço do router da operadora, ficando com a rota válida. Eventualmente, em cenários mais complexos como um PTT, você pode precisar usar enforce neighbor-as no, mas acredito que não é seu caso. Note que em um cenário igual o seu, com 1 operadora só, aprender 300mil e tantas rotas seria mesmo só para fins de aprendizado, 1 operadora somente defaultroute aprende, você pode eventualmente fazer um filtro para ignorar as rotas, poupando memória e no futuro desfazer o filtro, quando tiver 2 operadoras. Sobre sua outra dúvida, sim, quando você fechar a 2a sessão e receber full-routing, o sistema vai decidir, via redes aprendidsa pelo bgp, qual é o caminho mais curto para um destino. você pode usar manobras como pbr(análogo a isto no mundo bsd tem o route-to do pf e o fwd do ipfw) para forçar a saída por um link e manobras como divulgar redes mais específicas(ou preprends - não recomendado) para tentar forçar o retorno por um link, sempre mantendo redundância. Em 04/02/12 23:40, Levi Lins escreveu: Boa Noite pessoal, conseguir colocar o link para funcionar em full-routing. Agora apareceu uma dúvida em muitos arquivos de conf que vi. A opção fib-update no estava configurada. Só que quando ativo essa configuração, não é colocado as rotas que pego na tabela de roteamento do kernel e fico sem rota. No BGP consigo pegar todas as rotas, mas, como não esta na tabela de roteamento do kernel não consigo saída para internet. Notei também que essa opção normalmente só vinha habilitada nos cenários com dois links. Essa configuração específica é feita para dois links? Pergunto, pois, também vou levantar uma segunda sessão com outra operadora. A impressão que tive é que quando as rotas vão para a tabela de roteamento do kernel o BGP não tem poder de decidir qual melhor rota seguir. Não sei se é a ideia correta. Outra dúvida é quanto quando ativar o segundo trânsito. Vou pegar as rotas de ambos os trânsito mas quando for saír, vai saír pela melhor rota com a opção fib-update yes? desde já muito obrigado pela atenção de todos. :) Date: Wed, 25 Jan 2012 01:03:58 -0200 From: lis...@intersolinformatica.com.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP já conseguiu? tenho este cenário com o quagga nao está completo mas posso passar, se precisar avisa falou - Mensagem original - De: Levi Linslevitl...@hotmail.com Para: freebsd@fug.com.br Enviadas: Segunda-feira, 23 de Janeiro de 2012 18:09:42 Assunto: Re: [FUG-BR] BGP Muito obrigado Otavio. Date: Mon, 23 Jan 2012 18:01:10 -0200 From: otavi...@gmail.com To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP Acredito que vc contratou um link e irá fechar uma sessão BGP com a operadora. Se este for o caso vc deve pedir para eles fornecerem full ou partial routing. Em full ele irão publicar para vc todas as rotas que eles possuem ( normalmente todos os AS da internet). Se for parcial ele irão mandar pra vc apenas os ASs mais próximos deles e/ou os nacionais. Nos dois casos o OpenBGP será configurado da mesma forma. Dica.: Como vc é iniciante execute a configuração mínima para fechar a sessão com a Operadora e depois acrescente suas personalização dos filtros. Em 23 de janeiro de 2012 17:54, Levi Linslevitl...@hotmail.com escreveu: Boa tarde a todos, Galera Como é que faz para configurar full-routing ou partial-routing no openbgpd? Alguém pode mim ajudar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP
Obrigado Renato pelas explicações. Realmente era o que você imaginou, estamos em uma subrede diferente do bgp da operadora e temos que colocar uma rota estática para alcançar o BGP da operadora. incluir o match redirecionado o nexthop Realmente, na tabela rib antes ficava o ip do BGP da operadora, agora está o do gateway da rede /30. ok Acabei de saber pelo diretor financeiro que renovamos o contrato com a nosso segunda operadora a que antes seria cancelada. Então vou ter que fechar a segunda sessão BGP.: ) Mesmo depois de colocar o match e o nexthop fica o gateway da minha rede /30. Tentei disabilitar a opção fib-update recebir todas as 392 mil rotas no BGP e nenhuma rota na tabela do Kernel mas quando tento pingar para qualquer ip da internet não pinga. Da a mensagem: no route to host . Quando ativo a opção, fib-update yes, ele funciona blz. Quando eu colocar a segunda operadora mesmo com a opção, -- fib-update yes -- , não tem problemas? é necessário a opção, -- fib-update no --, para duas operadora? muito obrigado a quem puder ajudar. fiquem com Deus... Date: Mon, 6 Feb 2012 08:13:24 -0200 From: ren...@frederick.eti.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP Opa o peer que a operadora fechou a vizinhança BGP é um endereço na mesma subrede da sua caixa rodando bgp? Normalmente isto acontece quando o nexthop está em outra subrede. Por exemplo: Endereço de WAN: 200.2.2.2/30 Peer BGP 200.100.100.1. No exemplo acima, as rotas que foram aprendidas teriam o gateway 200.100.100.1, porém ele não é local, fazendo com que o kernel se recuse a injetá-la(já que ela so seria acessível atrás o gateway, não fazendo lógica). Não sei no quagga, como falo aqui larguei este bicho a tempos, mas no opebgpd você faz um filtro tipo o abaixo e resolve: match from 200.100.100.1 set nexthop 200.2.2.1 Ou seja, as redes entregues pelo peer 200.100.100.1, o openbgpd vai falar pro kernel colocar o next-hop como 200.2.2.1, que é o endereço do router da operadora, ficando com a rota válida. Eventualmente, em cenários mais complexos como um PTT, você pode precisar usar enforce neighbor-as no, mas acredito que não é seu caso. Note que em um cenário igual o seu, com 1 operadora só, aprender 300mil e tantas rotas seria mesmo só para fins de aprendizado, 1 operadora somente defaultroute aprende, você pode eventualmente fazer um filtro para ignorar as rotas, poupando memória e no futuro desfazer o filtro, quando tiver 2 operadoras. Sobre sua outra dúvida, sim, quando você fechar a 2a sessão e receber full-routing, o sistema vai decidir, via redes aprendidsa pelo bgp, qual é o caminho mais curto para um destino. você pode usar manobras como pbr(análogo a isto no mundo bsd tem o route-to do pf e o fwd do ipfw) para forçar a saída por um link e manobras como divulgar redes mais específicas(ou preprends - não recomendado) para tentar forçar o retorno por um link, sempre mantendo redundância. Em 04/02/12 23:40, Levi Lins escreveu: Boa Noite pessoal, conseguir colocar o link para funcionar em full-routing. Agora apareceu uma dúvida em muitos arquivos de conf que vi. A opção fib-update no estava configurada. Só que quando ativo essa configuração, não é colocado as rotas que pego na tabela de roteamento do kernel e fico sem rota. No BGP consigo pegar todas as rotas, mas, como não esta na tabela de roteamento do kernel não consigo saída para internet. Notei também que essa opção normalmente só vinha habilitada nos cenários com dois links. Essa configuração específica é feita para dois links? Pergunto, pois, também vou levantar uma segunda sessão com outra operadora. A impressão que tive é que quando as rotas vão para a tabela de roteamento do kernel o BGP não tem poder de decidir qual melhor rota seguir. Não sei se é a ideia correta. Outra dúvida é quanto quando ativar o segundo trânsito. Vou pegar as rotas de ambos os trânsito mas quando for saír, vai saír pela melhor rota com a opção fib-update yes? desde já muito obrigado pela atenção de todos. :) Date: Wed, 25 Jan 2012 01:03:58 -0200 From: lis...@intersolinformatica.com.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP já conseguiu? tenho este cenário com o quagga nao está completo mas posso passar, se precisar avisa falou - Mensagem original - De: Levi Linslevitl...@hotmail.com Para: freebsd@fug.com.br Enviadas: Segunda-feira, 23 de Janeiro de 2012 18:09:42 Assunto: Re: [FUG-BR] BGP Muito obrigado Otavio. Date: Mon, 23 Jan 2012 18:01:10 -0200 From: otavi...@gmail.com To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP Acredito que vc contratou um link e irá fechar uma sessão BGP com a operadora. Se este for o caso vc deve pedir para eles fornecerem full ou partial routing. Em full ele irão publicar para vc todas as rotas que eles possuem
Re: [FUG-BR] BGP
você tem que colocar fib-update, senão não vai injetar as rotas no kernel. esta opção, quando setada para no é para que a máquina fique sendo um looking glass(recebe as rotas mas não injeta no kernel, para fins de diagnóstico, algo do tipo http://lg.alog.com.br ). Em 06/02/2012 09:01, Levi Lins escreveu: Obrigado Renato pelas explicações. Realmente era o que você imaginou, estamos em uma subrede diferente do bgp da operadora e temos que colocar uma rota estática para alcançar o BGP da operadora. incluir o match redirecionado o nexthop Realmente, na tabela rib antes ficava o ip do BGP da operadora, agora está o do gateway da rede /30. ok Acabei de saber pelo diretor financeiro que renovamos o contrato com a nosso segunda operadora a que antes seria cancelada. Então vou ter que fechar a segunda sessão BGP.: ) Mesmo depois de colocar o match e o nexthop fica o gateway da minha rede /30. Tentei disabilitar a opção fib-update recebir todas as 392 mil rotas no BGP e nenhuma rota na tabela do Kernel mas quando tento pingar para qualquer ip da internet não pinga. Da a mensagem: no route to host . Quando ativo a opção, fib-update yes, ele funciona blz. Quando eu colocar a segunda operadora mesmo com a opção, -- fib-update yes -- , não tem problemas? é necessário a opção, -- fib-update no --, para duas operadora? muito obrigado a quem puder ajudar. fiquem com Deus... Date: Mon, 6 Feb 2012 08:13:24 -0200 From: ren...@frederick.eti.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP Opa o peer que a operadora fechou a vizinhança BGP é um endereço na mesma subrede da sua caixa rodando bgp? Normalmente isto acontece quando o nexthop está em outra subrede. Por exemplo: Endereço de WAN: 200.2.2.2/30 Peer BGP 200.100.100.1. No exemplo acima, as rotas que foram aprendidas teriam o gateway 200.100.100.1, porém ele não é local, fazendo com que o kernel se recuse a injetá-la(já que ela so seria acessível atrás o gateway, não fazendo lógica). Não sei no quagga, como falo aqui larguei este bicho a tempos, mas no opebgpd você faz um filtro tipo o abaixo e resolve: match from 200.100.100.1 set nexthop 200.2.2.1 Ou seja, as redes entregues pelo peer 200.100.100.1, o openbgpd vai falar pro kernel colocar o next-hop como 200.2.2.1, que é o endereço do router da operadora, ficando com a rota válida. Eventualmente, em cenários mais complexos como um PTT, você pode precisar usar enforce neighbor-as no, mas acredito que não é seu caso. Note que em um cenário igual o seu, com 1 operadora só, aprender 300mil e tantas rotas seria mesmo só para fins de aprendizado, 1 operadora somente defaultroute aprende, você pode eventualmente fazer um filtro para ignorar as rotas, poupando memória e no futuro desfazer o filtro, quando tiver 2 operadoras. Sobre sua outra dúvida, sim, quando você fechar a 2a sessão e receber full-routing, o sistema vai decidir, via redes aprendidsa pelo bgp, qual é o caminho mais curto para um destino. você pode usar manobras como pbr(análogo a isto no mundo bsd tem o route-to do pf e o fwd do ipfw) para forçar a saída por um link e manobras como divulgar redes mais específicas(ou preprends - não recomendado) para tentar forçar o retorno por um link, sempre mantendo redundância. Em 04/02/12 23:40, Levi Lins escreveu: Boa Noite pessoal, conseguir colocar o link para funcionar em full-routing. Agora apareceu uma dúvida em muitos arquivos de conf que vi. A opção fib-update no estava configurada. Só que quando ativo essa configuração, não é colocado as rotas que pego na tabela de roteamento do kernel e fico sem rota. No BGP consigo pegar todas as rotas, mas, como não esta na tabela de roteamento do kernel não consigo saída para internet. Notei também que essa opção normalmente só vinha habilitada nos cenários com dois links. Essa configuração específica é feita para dois links? Pergunto, pois, também vou levantar uma segunda sessão com outra operadora. A impressão que tive é que quando as rotas vão para a tabela de roteamento do kernel o BGP não tem poder de decidir qual melhor rota seguir. Não sei se é a ideia correta. Outra dúvida é quanto quando ativar o segundo trânsito. Vou pegar as rotas de ambos os trânsito mas quando for saír, vai saír pela melhor rota com a opção fib-update yes? desde já muito obrigado pela atenção de todos. :) Date: Wed, 25 Jan 2012 01:03:58 -0200 From: lis...@intersolinformatica.com.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP já conseguiu? tenho este cenário com o quagga nao está completo mas posso passar, se precisar avisa falou - Mensagem original - De: Levi Linslevitl...@hotmail.com Para: freebsd@fug.com.br Enviadas: Segunda-feira, 23 de Janeiro de 2012 18:09:42 Assunto: Re: [FUG-BR] BGP Muito obrigado Otavio. Date: Mon, 23 Jan 2012 18:01:10 -0200 From: otavi...@gmail.com To: freebsd@fug.com.br Subject: Re: [FUG-BR
Re: [FUG-BR] BGP
Valeu Renato, obrigado pela atenção. Date: Mon, 6 Feb 2012 09:24:55 -0200 From: ren...@frederick.eti.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP você tem que colocar fib-update, senão não vai injetar as rotas no kernel. esta opção, quando setada para no é para que a máquina fique sendo um looking glass(recebe as rotas mas não injeta no kernel, para fins de diagnóstico, algo do tipo http://lg.alog.com.br ). Em 06/02/2012 09:01, Levi Lins escreveu: Obrigado Renato pelas explicações. Realmente era o que você imaginou, estamos em uma subrede diferente do bgp da operadora e temos que colocar uma rota estática para alcançar o BGP da operadora. incluir o match redirecionado o nexthop Realmente, na tabela rib antes ficava o ip do BGP da operadora, agora está o do gateway da rede /30. ok Acabei de saber pelo diretor financeiro que renovamos o contrato com a nosso segunda operadora a que antes seria cancelada. Então vou ter que fechar a segunda sessão BGP.: ) Mesmo depois de colocar o match e o nexthop fica o gateway da minha rede /30. Tentei disabilitar a opção fib-update recebir todas as 392 mil rotas no BGP e nenhuma rota na tabela do Kernel mas quando tento pingar para qualquer ip da internet não pinga. Da a mensagem: no route to host . Quando ativo a opção, fib-update yes, ele funciona blz. Quando eu colocar a segunda operadora mesmo com a opção, -- fib-update yes -- , não tem problemas? é necessário a opção, -- fib-update no --, para duas operadora? muito obrigado a quem puder ajudar. fiquem com Deus... Date: Mon, 6 Feb 2012 08:13:24 -0200 From: ren...@frederick.eti.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP Opa o peer que a operadora fechou a vizinhança BGP é um endereço na mesma subrede da sua caixa rodando bgp? Normalmente isto acontece quando o nexthop está em outra subrede. Por exemplo: Endereço de WAN: 200.2.2.2/30 Peer BGP 200.100.100.1. No exemplo acima, as rotas que foram aprendidas teriam o gateway 200.100.100.1, porém ele não é local, fazendo com que o kernel se recuse a injetá-la(já que ela so seria acessível atrás o gateway, não fazendo lógica). Não sei no quagga, como falo aqui larguei este bicho a tempos, mas no opebgpd você faz um filtro tipo o abaixo e resolve: match from 200.100.100.1 set nexthop 200.2.2.1 Ou seja, as redes entregues pelo peer 200.100.100.1, o openbgpd vai falar pro kernel colocar o next-hop como 200.2.2.1, que é o endereço do router da operadora, ficando com a rota válida. Eventualmente, em cenários mais complexos como um PTT, você pode precisar usar enforce neighbor-as no, mas acredito que não é seu caso. Note que em um cenário igual o seu, com 1 operadora só, aprender 300mil e tantas rotas seria mesmo só para fins de aprendizado, 1 operadora somente defaultroute aprende, você pode eventualmente fazer um filtro para ignorar as rotas, poupando memória e no futuro desfazer o filtro, quando tiver 2 operadoras. Sobre sua outra dúvida, sim, quando você fechar a 2a sessão e receber full-routing, o sistema vai decidir, via redes aprendidsa pelo bgp, qual é o caminho mais curto para um destino. você pode usar manobras como pbr(análogo a isto no mundo bsd tem o route-to do pf e o fwd do ipfw) para forçar a saída por um link e manobras como divulgar redes mais específicas(ou preprends - não recomendado) para tentar forçar o retorno por um link, sempre mantendo redundância. Em 04/02/12 23:40, Levi Lins escreveu: Boa Noite pessoal, conseguir colocar o link para funcionar em full-routing. Agora apareceu uma dúvida em muitos arquivos de conf que vi. A opção fib-update no estava configurada. Só que quando ativo essa configuração, não é colocado as rotas que pego na tabela de roteamento do kernel e fico sem rota. No BGP consigo pegar todas as rotas, mas, como não esta na tabela de roteamento do kernel não consigo saída para internet. Notei também que essa opção normalmente só vinha habilitada nos cenários com dois links. Essa configuração específica é feita para dois links? Pergunto, pois, também vou levantar uma segunda sessão com outra operadora. A impressão que tive é que quando as rotas vão para a tabela de roteamento do kernel o BGP não tem poder de decidir qual melhor rota seguir. Não sei se é a ideia correta. Outra dúvida é quanto quando ativar o segundo trânsito. Vou pegar as rotas de ambos os trânsito mas quando for saír, vai saír pela melhor rota com a opção fib-update yes? desde já muito obrigado pela atenção de todos. :) Date: Wed, 25 Jan 2012 01:03:58 -0200 From: lis...@intersolinformatica.com.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP já conseguiu? tenho este cenário com o quagga nao está completo mas posso passar, se precisar avisa falou - Mensagem original
Re: [FUG-BR] BGP
Boa Noite pessoal, conseguir colocar o link para funcionar em full-routing. Agora apareceu uma dúvida em muitos arquivos de conf que vi. A opção fib-update no estava configurada. Só que quando ativo essa configuração, não é colocado as rotas que pego na tabela de roteamento do kernel e fico sem rota. No BGP consigo pegar todas as rotas, mas, como não esta na tabela de roteamento do kernel não consigo saída para internet. Notei também que essa opção normalmente só vinha habilitada nos cenários com dois links. Essa configuração específica é feita para dois links? Pergunto, pois, também vou levantar uma segunda sessão com outra operadora. A impressão que tive é que quando as rotas vão para a tabela de roteamento do kernel o BGP não tem poder de decidir qual melhor rota seguir. Não sei se é a ideia correta. Outra dúvida é quanto quando ativar o segundo trânsito. Vou pegar as rotas de ambos os trânsito mas quando for saír, vai saír pela melhor rota com a opção fib-update yes? desde já muito obrigado pela atenção de todos. :) Date: Wed, 25 Jan 2012 01:03:58 -0200 From: lis...@intersolinformatica.com.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP já conseguiu? tenho este cenário com o quagga nao está completo mas posso passar, se precisar avisa falou - Mensagem original - De: Levi Lins levitl...@hotmail.com Para: freebsd@fug.com.br Enviadas: Segunda-feira, 23 de Janeiro de 2012 18:09:42 Assunto: Re: [FUG-BR] BGP Muito obrigado Otavio. Date: Mon, 23 Jan 2012 18:01:10 -0200 From: otavi...@gmail.com To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP Acredito que vc contratou um link e irá fechar uma sessão BGP com a operadora. Se este for o caso vc deve pedir para eles fornecerem full ou partial routing. Em full ele irão publicar para vc todas as rotas que eles possuem ( normalmente todos os AS da internet). Se for parcial ele irão mandar pra vc apenas os ASs mais próximos deles e/ou os nacionais. Nos dois casos o OpenBGP será configurado da mesma forma. Dica.: Como vc é iniciante execute a configuração mínima para fechar a sessão com a Operadora e depois acrescente suas personalização dos filtros. Em 23 de janeiro de 2012 17:54, Levi Lins levitl...@hotmail.com escreveu: Boa tarde a todos, Galera Como é que faz para configurar full-routing ou partial-routing no openbgpd? Alguém pode mim ajudar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP
já conseguiu? tenho este cenário com o quagga nao está completo mas posso passar, se precisar avisa falou - Mensagem original - De: Levi Lins levitl...@hotmail.com Para: freebsd@fug.com.br Enviadas: Segunda-feira, 23 de Janeiro de 2012 18:09:42 Assunto: Re: [FUG-BR] BGP Muito obrigado Otavio. Date: Mon, 23 Jan 2012 18:01:10 -0200 From: otavi...@gmail.com To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP Acredito que vc contratou um link e irá fechar uma sessão BGP com a operadora. Se este for o caso vc deve pedir para eles fornecerem full ou partial routing. Em full ele irão publicar para vc todas as rotas que eles possuem ( normalmente todos os AS da internet). Se for parcial ele irão mandar pra vc apenas os ASs mais próximos deles e/ou os nacionais. Nos dois casos o OpenBGP será configurado da mesma forma. Dica.: Como vc é iniciante execute a configuração mínima para fechar a sessão com a Operadora e depois acrescente suas personalização dos filtros. Em 23 de janeiro de 2012 17:54, Levi Lins levitl...@hotmail.com escreveu: Boa tarde a todos, Galera Como é que faz para configurar full-routing ou partial-routing no openbgpd? Alguém pode mim ajudar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BGP
Boa tarde a todos, Galera Como é que faz para configurar full-routing ou partial-routing no openbgpd? Alguém pode mim ajudar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP
Acredito que vc contratou um link e irá fechar uma sessão BGP com a operadora. Se este for o caso vc deve pedir para eles fornecerem full ou partial routing. Em full ele irão publicar para vc todas as rotas que eles possuem ( normalmente todos os AS da internet). Se for parcial ele irão mandar pra vc apenas os ASs mais próximos deles e/ou os nacionais. Nos dois casos o OpenBGP será configurado da mesma forma. Dica.: Como vc é iniciante execute a configuração mínima para fechar a sessão com a Operadora e depois acrescente suas personalização dos filtros. Em 23 de janeiro de 2012 17:54, Levi Lins levitl...@hotmail.com escreveu: Boa tarde a todos, Galera Como é que faz para configurar full-routing ou partial-routing no openbgpd? Alguém pode mim ajudar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP
Muito obrigado Otavio. Date: Mon, 23 Jan 2012 18:01:10 -0200 From: otavi...@gmail.com To: freebsd@fug.com.br Subject: Re: [FUG-BR] BGP Acredito que vc contratou um link e irá fechar uma sessão BGP com a operadora. Se este for o caso vc deve pedir para eles fornecerem full ou partial routing. Em full ele irão publicar para vc todas as rotas que eles possuem ( normalmente todos os AS da internet). Se for parcial ele irão mandar pra vc apenas os ASs mais próximos deles e/ou os nacionais. Nos dois casos o OpenBGP será configurado da mesma forma. Dica.: Como vc é iniciante execute a configuração mínima para fechar a sessão com a Operadora e depois acrescente suas personalização dos filtros. Em 23 de janeiro de 2012 17:54, Levi Lins levitl...@hotmail.com escreveu: Boa tarde a todos, Galera Como é que faz para configurar full-routing ou partial-routing no openbgpd? Alguém pode mim ajudar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP - trafego balanceado por 2 links
Faz no PF, Rápido, fácil, seguro! []s Em 10 de junho de 2010 13:23, Clynton clynton...@gmail.com escreveu: Caros Colegas. Não estou conseguindo fazer com que uma parte de minha rede saia por um determinado link. Alguem pode me ajudar. conf: ip prefix-list ANUNCIAR-LINK1 description Blocos a Serem Anunciados - OPERADORA1 ip prefix-list ANUNCIAR-LINK1 seq 5 permit 187.126.160.0/20 ip prefix-list ANUNCIAR-LINK1 seq 10 permit 187.126.160.0/21 ip prefix-list ANUNCIAR-LINK2 description Blocos a Serem Anunciados - OPERADORA2 ip prefix-list ANUNCIAR-LINK2 seq 5 permit 187.126.160.0/20 ip prefix-list ANUNCIAR-LINK2 seq 10 permit 187.126.168.0/21 ! route-map OPERADORA1-IN permit 10 match ip address prefix-list ANUNCIAR-LINK2 ! route-map OPERADORA1-OUT permit 10 match ip address prefix-list ANUNCIAR-LINK2 ! route-map OPERADORA1-IN deny 5 ! route-map OPERADORA2-IN permit 10 match ip address prefix-list ANUNCIAR-LINK1 ! route-map OPERADORA2-OUT permit 10 match ip address prefix-list ANUNCIAR-LINK1 ! route-map OPERADORA2-IN deny 5 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BGP - trafego balanceado por 2 links
Caros Colegas. Não estou conseguindo fazer com que uma parte de minha rede saia por um determinado link. Alguem pode me ajudar. conf: ip prefix-list ANUNCIAR-LINK1 description Blocos a Serem Anunciados - OPERADORA1 ip prefix-list ANUNCIAR-LINK1 seq 5 permit 187.126.160.0/20 ip prefix-list ANUNCIAR-LINK1 seq 10 permit 187.126.160.0/21 ip prefix-list ANUNCIAR-LINK2 description Blocos a Serem Anunciados - OPERADORA2 ip prefix-list ANUNCIAR-LINK2 seq 5 permit 187.126.160.0/20 ip prefix-list ANUNCIAR-LINK2 seq 10 permit 187.126.168.0/21 ! route-map OPERADORA1-IN permit 10 match ip address prefix-list ANUNCIAR-LINK2 ! route-map OPERADORA1-OUT permit 10 match ip address prefix-list ANUNCIAR-LINK2 ! route-map OPERADORA1-IN deny 5 ! route-map OPERADORA2-IN permit 10 match ip address prefix-list ANUNCIAR-LINK1 ! route-map OPERADORA2-OUT permit 10 match ip address prefix-list ANUNCIAR-LINK1 ! route-map OPERADORA2-IN deny 5 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP com QUAGGA
Bom dia Vou responder em seu email: Em 10/4/2010 21:25, Clynton escreveu: Caros Colegas. Estou com duvidas de como configurar o Quagga + bgpd.conf, ate o momento esta funcionando mas acredito que esteja algo de errado em minha configuração. Instalei o quagga e configurei no /usr/local/etc/quagga/bgpd.conf as configurações de bgp, no arquivo /etc/rc.conf configurei o ip para Wan e Lan e Loopback, e começou a receber as rotas bgp, VC recebe Full routing ??? pois bem, quando executei um teste de ping para fora não obtive sucesso, neste momento configurei uma rota default apontando para o ip da operadora, e apartir desde ponto começou a pingar. Minha duvida é a seguinte: 1-Preciso configurar no rc.conf os ips para as ethernet ou posso configurar no arquivo zebra.conf. Sim sim... podes utilizar o zebra.conf para rotas estáticas que precise fazer (exemplo... multi hop) 2-Com BGP eu preciso configurar rotas default? No post do quagga diz para desativar rotas default, o que devo fazer para que funcione sem rotas default. Negativo... pelo que entendi vc recebe uma full routing (isto mesmo ???) Se vc usar rota default... ela só vai ser usada em caso de rotas que o BGP não lhe ensinou... e em tese o BGP deveria lhe ensinar tudo (quase tudo) o que precisa :) 3-Tenho uma classe de ips/20, como faço para que /21 saia por um link e outro /21 saia pelo outro. Precisa quebrar a sua network para divulgar a mesma e depois controlar via ACLS... network xxx.xxx.xxx.0/20 network xxx.xxx.xxx.0/21 network xxx.xxx.xyy.0/21 ip prefix-list xxx.xxx.xxx. seq 5 permit xxx.xxx.xxx ip prefix-list xxx.xxx.xyy seq 5 permit xxx.xxx.xyy Desde já agradeço a todos da lista, se puderem me ajudar, agradeço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Numa visão macro: Esta recebendo Full Routing ? Esta divulgando suas classes ? Esta tendo os controles via ACL ? Esta fazendo pbr´s de saida ? Pelo que notei... vc parece ser iniciante em BGP (desculpe se estiver enganado). eu indicaria fortemente vc ler algumas documentações a respeito. e tb montar alguns labs com o gns3. Pois se utilizar seu ambiente quente como lab, pode fazer com que operadoras CORTEM sessoes bgp com vc, em caso de muitas quedas nas sessoes http://www.ietf.org/rfc/rfc1771.txt http://www.bgp4.as/ ftp://ftp-eng.cisco.com/pfs/seminars/NANOG27-BGP-Intro.pdf ftp://ftp-eng.cisco.com/pfs/seminars/NANOG32-BGP-Multihoming.pdf ftp://ftp-eng.cisco.com/pfs/seminars/NANOG33-BGP-Troubleshooting.pdf http://showipbgp.com/ ftp://ftp.registro.br/pub/gter/gter17/Tutorial-BGP.pdf http://www.apricot.net/apricot2004/doc/cd_content/23rd%20February%202004/05%20-%20MTF%20-%20BGP%20Introduction%20and%20Deployment%20for%20Services%20-%20Philip%20Smith/APRICOT2004-BGP00.pdf http://www.academ.com/nanog/feb1997/BGPTutorial/index.htm http://penta2.ufrgs.br/redes296/cidr/tutorial.html http://www.ittc.ku.edu/EECS/EECS_800.ira/bgp_tutorial/ http://wrc.uoregon.edu/data/2002/15553915964430036b3/tutorial-BGP-cases.pdf Att Christopher Giese SkyWarrior bs...@bsdux.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP com QUAGGA
1-Preciso configurar no rc.conf os ips para as ethernet ou posso configurar no arquivo zebra.conf. Se você tiver o daemon zebra rodando pode configurar no zebra.conf, o daemon zebra é que faz a comunicação quagga - kernel do sistema. 2-Com BGP eu preciso configurar rotas default? No post do quagga diz para desativar rotas default, o que devo fazer para que funcione sem rotas default. depende... vai depender do seu cenário... se você tiver ip´s legados da operadora e dependendo da sua política de roteamento, pode precisar de rota default ou de PBR.. você pode ter uma operadora como preferencial e deixar defaultroute para outra, afim de fazer redundância e não precisar receber fullrouting da 2a.. enfim, vai depender muito do cenário. 3-Tenho uma classe de ips/20, como faço para que /21 saia por um link e outro /21 saia pelo outro. anuncie o /20 para os 2, o /21 mais específico para a que tenha preferência. Cuidado ao ficar configurando BGP em ambiente de producao com operadoras, reiniciar em excesso as sessões pode levar seu prefixo a receber penalidades internet a fora e ficar inacessível durante várias horas para aquelas que ativam a opção dampened-paths(quase 100%) :) Dá uma procurada no histórico da GTER, tem dicas interessantes lá sobre BGP. Desde já agradeço a todos da lista, se puderem me ajudar, agradeço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP com QUAGGA
Tem o tutorial da RNP também: http://www.rnp.br/newsgen/gerais/artigos.html (procurar por BGP) E este site que compila diversas ferramentas e info´s sobre BGP: http://www.bgp4.as/tools http://www.ietf.org/rfc/rfc1771.txt http://www.bgp4.as/ ftp://ftp-eng.cisco.com/pfs/seminars/NANOG27-BGP-Intro.pdf ftp://ftp-eng.cisco.com/pfs/seminars/NANOG32-BGP-Multihoming.pdf ftp://ftp-eng.cisco.com/pfs/seminars/NANOG33-BGP-Troubleshooting.pdf http://showipbgp.com/ ftp://ftp.registro.br/pub/gter/gter17/Tutorial-BGP.pdf http://www.apricot.net/apricot2004/doc/cd_content/23rd%20February%202004/05%20-%20MTF%20-%20BGP%20Introduction%20and%20Deployment%20for%20Services%20-%20Philip%20Smith/APRICOT2004-BGP00.pdf http://www.academ.com/nanog/feb1997/BGPTutorial/index.htm http://penta2.ufrgs.br/redes296/cidr/tutorial.html http://www.ittc.ku.edu/EECS/EECS_800.ira/bgp_tutorial/ http://wrc.uoregon.edu/data/2002/15553915964430036b3/tutorial-BGP-cases.pdf Att Christopher Giese SkyWarrior bs...@bsdux.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP com QUAGGA
O bgpd apenas mantém e controla a tabela de roteamento bgp. Para que as rotas sejam instaladas e usadas pelo servidor, você precisa rodar o daemon do zebra. Quanto a ter ou não rota default, se a tabela de rotas via bgp não for completa ( full-routing ), você precisa sim de uma default. Ela só sera usada quando não houver uma rota mais específica para o prefixo de destino. Para dividir o anúncio do seu /20 em dois /21 , você pode criar um prefix-list para cada /21 , e depois dois route-map, cada um dando match em um dos prefix-list. Para cada neighbor você exporta um route-map. Date: Sat, 10 Apr 2010 21:25:52 -0300 From: clynton...@gmail.com To: freebsd@fug.com.br Subject: [FUG-BR] BGP com QUAGGA Caros Colegas. Estou com duvidas de como configurar o Quagga + bgpd.conf, ate o momento esta funcionando mas acredito que esteja algo de errado em minha configuração. Instalei o quagga e configurei no /usr/local/etc/quagga/bgpd.conf as configurações de bgp, no arquivo /etc/rc.conf configurei o ip para Wan e Lan e Loopback, e começou a receber as rotas bgp, pois bem, quando executei um teste de ping para fora não obtive sucesso, neste momento configurei uma rota default apontando para o ip da operadora, e apartir desde ponto começou a pingar. Minha duvida é a seguinte: 1-Preciso configurar no rc.conf os ips para as ethernet ou posso configurar no arquivo zebra.conf. 2-Com BGP eu preciso configurar rotas default? No post do quagga diz para desativar rotas default, o que devo fazer para que funcione sem rotas default. 3-Tenho uma classe de ips/20, como faço para que /21 saia por um link e outro /21 saia pelo outro. Desde já agradeço a todos da lista, se puderem me ajudar, agradeço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ O seu navegador também te ajuda a ficar longe de vírus. Leia mais sobre segurança. http://www.microsoft.com/brasil/windows/internet-explorer/?WT.mc_id=1500 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BGP com QUAGGA
Caros Colegas. Estou com duvidas de como configurar o Quagga + bgpd.conf, ate o momento esta funcionando mas acredito que esteja algo de errado em minha configuração. Instalei o quagga e configurei no /usr/local/etc/quagga/bgpd.conf as configurações de bgp, no arquivo /etc/rc.conf configurei o ip para Wan e Lan e Loopback, e começou a receber as rotas bgp, pois bem, quando executei um teste de ping para fora não obtive sucesso, neste momento configurei uma rota default apontando para o ip da operadora, e apartir desde ponto começou a pingar. Minha duvida é a seguinte: 1-Preciso configurar no rc.conf os ips para as ethernet ou posso configurar no arquivo zebra.conf. 2-Com BGP eu preciso configurar rotas default? No post do quagga diz para desativar rotas default, o que devo fazer para que funcione sem rotas default. 3-Tenho uma classe de ips/20, como faço para que /21 saia por um link e outro /21 saia pelo outro. Desde já agradeço a todos da lista, se puderem me ajudar, agradeço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BGP
Bom dia a todos, Gostaria da opinião de vocês quanto a utilização do Full Routing e do parcial routing em BGP, estou criando o servidor para utilizar meu ASN que chegou a poucos dias, e conversando com os técnicos de uma das teles que me atende ele indicou o partial routing, alegando ser uma estrutura requer menos atenção na sua manutenção. Conversando com o Renato Frederick, grande amigo e um profissional que respeito muito, ele me fez a indicação de usar o full routing, por permitir um maior controle sobre o sistema de roteamento. Minha rede não tem um grande volume de dados ainda, estamos ajustando para que possamos atender um volume realmente grande de clientes, hoje temos em torno de 3 Teles nos atendendo, uma com 6MB, outra com 8MB e outra com 2MB, esses números tendem a se alterar assim que o BGP estiver estável. A Minha duvida é qual a vantagem do Full Routing em realção ao Partial routing e vice-versa. Desde já agradeço João Luiz Pedrosa Viana cid:image002.jpg@01C74F9E.4139E9D0 Esta mensagem, incluindo seus anexos, pode conter informações privilegiadas e/ou de caráter confidencial e seu conteúdo é para conhecimento exclusivo do destinatário. O seu uso, divulgação, reprodução e/ou cópia são proibidos. cid:image003.jpg@01C74F9E.4139E9D0 This message is intended only for the individual or organization to which it is addressed and contains confidential and privileged information. Any retransmission, dissemination or other use of this information by anyone other than the intended recipient is prohibited. image001.jpgimage002.jpg- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP
João Luiz Pedrosa Viana escreveu: Bom dia a todos, Gostaria da opinião de vocês quanto a utilização do Full Routing e do parcial routing em BGP, estou criando o servidor para utilizar meu ASN que chegou a poucos dias, e conversando com os técnicos de uma das teles que me atende ele indicou o partial routing, alegando ser uma estrutura requer menos “atenção” na sua manutenção. João, Eu acompanhei essa sua mesma dúvida na lista do GTER, [1], pra mim esclareceu algumas dúvidas principalmente quanto ao uso de roteadores. [1] http://eng.registro.br/pipermail/gter/2007-October/016318.html Abraço, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP
João Luiz Pedrosa Viana escreveu: Bom dia a todos, Gostaria da opinião de vocês quanto a utilização do Full Routing e do parcial routing em BGP, estou criando o servidor para utilizar meu ASN que chegou a poucos dias, e conversando com os técnicos de uma das teles que me atende ele indicou o partial routing, alegando ser uma estrutura requer menos “atenção” na sua manutenção. João, Eu acompanhei essa sua mesma dúvida na lista do GTER, [1], na verdade uma thread, pra mim esclareceu algumas dúvidas. Espero que ajude. [1] http://eng.registro.br/pipermail/gter/2007-October/016318.html Abraço, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP
João Luiz Pedrosa Viana escreveu: Bom dia a todos, Gostaria da opinião de vocês quanto a utilização do Full Routing e do parcial routing em BGP, estou criando o servidor para utilizar meu ASN que chegou a poucos dias, e conversando com os técnicos de uma das teles que me atende ele indicou o partial routing, alegando ser uma estrutura requer menos “atenção” na sua manutenção. Conversando com o Renato Frederick, grande amigo e um profissional que respeito muito, ele me fez a indicação de usar o full routing, por permitir um maior controle sobre o sistema de roteamento. Minha rede não tem um grande volume de dados ainda, estamos ajustando para que possamos atender um volume realmente grande de clientes, hoje temos em torno de 3 Teles nos atendendo, uma com 6MB, outra com 8MB e outra com 2MB, esses números tendem a se alterar assim que o BGP estiver estável. A Minha duvida é qual a vantagem do Full Routing em realção ao Partial routing e vice-versa. Desde já agradeço João Luiz Pedrosa Viana Joao, quantas operadoras? Pelo que entendi parece ser so uma. Se e so uma operadora, nem partial nem full, coloca so rota padrao e boa. Nao vai mudar absolutamente nada. Ja se forem inumeras, FULL. Com FULL voce tem controle pleno pra fazer prepend e outras decisoes de trafego pro seu Upstream e escolher melhor downstream por rede ou ASN. As operadoras sempre recomendam PARTIAL ou DEFAULT pq custa menos recurso pra eles. De forma geral 80% dos provedores nao precisam de FULL mesmo. A maioria faz por ego, pra dizer que tem FULL. Conheco inumeros ambientes onde tem FULL sem sequer ter um prepend. De qualquer forma depende do seu ambiente. Se voce precisa de decisoes de engenharia de trafego flexiveis, FULL. Se preciso so colocar seu CIDR pro mundo, DEFAULT ROUTE serve, nem PARTIAL é necessário. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
