2010/8/14 Juliao Braga <[email protected]>: > Que tal você exibir um exemplo completo para Cisco
Abaixo segue um exemplo bem simples de como fazer os filtros p/ todos os itens que comentei no outro e-mail. Usei o seguinte no exemplo: * 200.219.130.253 é um dos refletores do PTTMetro São Paulo * 10.0.0.0/20 é o meu hipotético CIDR (lembrem-se de que isso é RFC1918) * AS65001 é o hipotético ASN de um também hipotético downstream do meu AS Bogons, blocos reservados e não alocados pelos RIR's sugiro utilizar o Bogon Route Server Project do Cymru [1], a versão full. Sobre os filtros que citei no outro e-mail: ! nega rota default ip prefix-list teste-in deny 0.0.0.0/0 ! nega prefixos maiores que um /24 ip prefix-list teste-in deny 0.0.0.0/0 ge 25 ! nega o proprio CIDR ip prefix-list teste-in deny 10.0.0.0/20 ge 20 ! aceita todo o resto ip prefix-list teste-in permit 0.0.0.0/0 le 32 ! prefixos que serao anunciados aos refletores do PTT ip prefix-list teste-out permit 10.0.0.0/21 ip prefix-list teste-out permit 10.0.8.0/21 ! anuncia apenas prefixos originados localmente ! evita que vc anuncie sem querer o que nao deve ip as-path access-list 1 permit ^$ ! se for upstream de algum outro AS inclua o ! ASN desse AS no filtro, algo como ip as-path access-list 1 permit ^$ ip as-path access-list 1 permit ^65001_ ! peering (onde as regras sao aplicadas) neighbor 200.219.130.253 prefix-list teste-in in neighbor 200.219.130.253 prefix-list teste-out out neighbor 200.219.130.253 filter-list 1 out Anunciar os dois /21 (menores que o /22 que citei no outro e-mail) é p/ aumentar a preferência dos membros do IXP pelo meu CIDR via IXP (já que são dois anuncios mais específicos do meu CIDR), os upstreams recebem o anúncio agregado (ou seja, o /20). Filtrar qualquer coisa maior que um /24 (e não um /22) é por conta de haver alocações de /24 na internet, então não dá p/ filtrar a partir do /22. Lembrem-se de que isso é apenas o plano de controle, ou seja, anúncios e política (como uma pessoa muito participativa em muitas listas bem lembrou em private), falta o plano de dados (com acl's na interface de entrada), ou seja, filtrar pacotes. Sugiro como dica os templates do Cymru [2] (em especial o secure-ios-template e o secure-bgp-template). Observação, quase todos estes exemplos contam de documentos descrevendo BCP's para BGP (incluindo os que citei aqui na lista). [1] http://www.team-cymru.org/Services/Bogons/ [2] http://www.team-cymru.org/ReadingRoom/Templates/ -- Herbert _______________________________________________ GT-AS mailing list [email protected] http://lists.abranet.org.br/mailman/listinfo/gt-as
