Arquivo

Archive for the ‘Roteamento’ Category

IPS da APNIC – Ásia e Pacífico!

18 de novembro de 2013 Deixe um comentário

IPS DA APNIC

Regional Internet Registries

Regional Internet Registries

Algumas pessoas como eu, tem um certo receio com relação aos IPS asiáticos, tanto por questões de DOS distribuído, quanto por segurança mesmo. Os caras tão sniffando tudo que encontram pela frente. Caso tenha dúvida, analise as entradas de seu firewall ou roteador de borda. O que mais me chama atenção é o teste de todas as portas em todos os ips… Principalmente de IPS que fazem parte de algum ASN chinês.

Grandes blocos de IPS chineses, eu libero apenas a 80 e 25 in/out no firewall, o resto eu bloqueio.

A questão é… Como saber os blocos da APNIC para que possamos avaliar e bloquear? Simples, basta pegar os últimos reports da APNIC e utilizar um pouco de regex e fazer upload via shell no router ou firewall.

Nesta url tem os últimos registros da APNIC de blocos divulgados: ftp://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-extended-latest

PS: Claro, ips chineses podem tunelar, comprar blocos africanos e propagar no seu ASN, fazer uso de um hosting… e etc..

Anúncios

Internet Routing Registry

25 de outubro de 2013 Deixe um comentário
RIR

RIR

Internet Routing Registry

A finalidade do IRR é garantir a estabilidade e consistência da Internet em todo o roteamento e compartilhamento de informações entre operadoras de rede, é composto por várias bases de dados em que os operadores de rede podem publicar as suas políticas de roteamento e de seus anúncios de roteamento de tal forma que outros operadores de rede podem fazer uso dos dados. Além de tornar a topologia da Internet visível, o IRR é usada por operadores de rede para procurar acordos de peering, determinar as políticas ideais, e, mais recentemente, para configurar seus roteadores.

Cada Registro Regional da Internet tem sua própria rede de informações de banco de dados, parte do qual é utilizada para o encaminhamento de informações. RADB e RIPE são ambas bases de dados públicas (registros), onde qualquer ISP pode publicar suas políticas.

A maioria desses bancos de dados também refletem um ao outro. Isso significa que só é necessário registrar em um banco de dados. Para obter informações de todos os bancos de dados espelhados, você pode consultar banco de dados RIPE usando a flag ‘-a’.

Para quem administra um ASN, conhecer sobre tais registros é muito importante. Isso ajuda a definir de forma coerente sua política de roteamento e as informações sobre o mesmo.

Segue um bom material que foi publicado na GTER.

Download aqui: Internet Routing Registry (IRR)

Categorias:Roteamento, Sem categoria Tags:, , , , ,

Tabela de SubNets IPv4!

11 de dezembro de 2012 Deixe um comentário

Vira e mexe no cotidiano de um administrador de redes ele tem que subnetar uma rede ou definir uma subnet em uma acl, ou quando adiciona uma rota ou mesmo uma regra no firewall. O problema é que fazer esses cálculos é uma coisa complicada que faz com que nós tenhamos que deixar de lado o que estamos fazendo para iniciar um processo de subnet…

Por isso segue aqui uma tabelinha para que possa agilizar nosso trabalho, seja ele subnet, wildcar, hexadecimal, quantidade de hosts e quantidade de redes… Guardem essa tabela, vai ser muito útil quando você estiver configurando um filtro ou uma ACL…

Lembre-se que há uma RFC*¹ que fala sobre essa CIDR, é a RFC 1519.

Tabela CIDR

Tabela CIDR

*¹:  RFC é um acrónimo para o inglês Request for Comments, é um documento que descreve os padrões de cada protocolo da Internet previamente a serem considerados um padrão.

Simulando Ponto de Troca de Tráfego com Cisco – OPSF e Rotas Estáticas – Modelo Rede MetroBel Belém

18 de outubro de 2012 Deixe um comentário

Boas moçada,

A ideia deste post é falar um pouco sobre como funciona o projeto PTT (Ponto de Troca de Tráfego)  do Nic.br. A ideia do PTT é que entidades locais comuniquem entre si através um pontos de troca de tráfego disponibilizados por PIX instalados pelo Nic.br, sem que para isso consumam seus Links-Ethernet das suas operadoras. Atualmente em Belém, temos apenas duas operadoras de Backbone Nacional: Oi e Embratel. As mesmas não se comunicam no Pará, sendo que para uma entidade A que tenha Link da Oi acessar dados em uma empresa B que tenha Link com a Embratel, terá que dar uma volta em São Paulo/Rio de Janeiro para fazer a comunicação da rede da OI com a Embratel e depois voltar para Belém. Isso aumenta o tempo de resposta do acesso e faz com que dê muitos saltos em vários roteadores, aumentando também a presença de pontos de falhas. Isso acontece mesmo que as empresas estejam no mesmo Bairro.

Caso as Empresas estivessem conectadas à um PIX do Nic.BR, essas empresas se comunicariam localmente através do PTT , diminuindo o tempo de resposta da comunicação, diminuiria também o número de saltos e consequentemente diminuiria a quantidade de pontos de falhas. Outro fator importante nesse aspecto, é que essas empresas não utilizariam seus links de internet para se comunicar, visto que seria um acesso local e gratuito, diminuindo o consumo do Link com a operadora e otimizando o acesso.

Para este primeiro post da série PTT, iremos utilizar rotas estáticas e OSPF (o PTT real utiliza roteamento dinâmico através do protocolo BGP, é requisito ser ASN e ter uma instância BGP rodando) e também utilizaremos uma rede fictícia das principais Universidades presentes na Região Metropolitana de Belém. Essa rede já Existe desde 2005/2006 e um projeto da RNP chamado Rede MetroBel, não é um PTT real, mas utiliza basicamente o mesmo conceito, exceto de quê provê acesso à Internet para algumas instituições e não utiliza BGP.

Neste projeto, vamos utilizar as seguintes Universidades: Unama, UEPA, UFRA, UFPA. Todas elas (para este post) possuem link de internet com a Embratel, mas entre si vão se comunicar via um ponto de troca de tráfego. Ou seja, possuem uma rota default para a operadora, e utilizam rotas estáticas para comunicarem entre si.

Todos os Roteadores envolvidos são o Cisco 2811s, o Roteador da Embratel comunica com outras operadoras de Backbone provendo acesso à internet. O Roteador PIX-UFPA, situado na UFPA, provê acesso entre as universidades não consumindo acesso de LINK-IP. A Embratel fornece para cada instituição um bloco com prefixo /24 (256 ips). Situação descrita na imagem abaixo:

Cenário

Cenário

Os Roteadores tem duas interfaces FastEthernet (0/0 e 0/1) e duas interfaces Ethernet (0/0/0 e 0/1/0).

Vamos usar o seguinte cenário para as Redes nos Roteadores.

Redes

Redes

E os seguintes endereços IPS nos roteadores.

IPS

IPS

Bom, agora que já sabemos qual topologia vamos utilizar, vamos começar a configurar o nosso roteador. Existem regrinhas que eu utilizo nos roteadores antes de começar a configurar:

– Habilitar o protocolo CDP, com ele podemos visualizar quais dispositivos Cisco estão conectados diretamente nos routers e em quais interfaces, além de fornecer também o ip do vizinho. Para habilitar este protocolo, digite no modo configuração ‘cdp run’.

– Desabilitar a opção de converter comandos, não tem coisa mais chata que isso. No modo config digite ‘no ip domain-lookup’.

– Definir o hostname do roteador, para isto no modo config digite ‘hostname nome_do_router’.

Basicamente fica assim:

conf t
hostname UFPA
no ip domain-lookup
cdp run
exit
wr

Agora vamos definir as interfaces a quais iremos atribuir os endereços IPs. Para isso, utilize o comando ‘show cdp neighbors’, ele lhe dirá qual router está conectado em qual interface. Após isso comece a setar os ips nas interfaces junto com o comando ‘no shutdown’ para que ele habilite a interface. Defina também uma descrição para a interface selecionada. Para facilitar, eu coloquei cada a primeira interface FastEthernet  (fa0/0) de cada instituição conectada no router da Embratel, a segunda interface FastEthernet  (fa0/1) conectada no router do PIX da UFPA e a primeira interface Ethernet (Eth 0/0/0) conectada em um switch Cisco 296da rede local.

Vamos configurar cada interface, atribuir uma descrição, definir um hostname, habilitar o protocolo CDP e desabilitar a opção de tradução de comando, não se esqueça do enable.

ROUTER UFPA

conf  t
hostname UFPA
no ip domain-lookup
cdp run                           
inter fa0/0                    
no shutdown                 
ip address 200.241.248.2 255.255.255.252 
description LINK-INTERNET – EMBRATEL              
exit                                                                                             
inter fa0/1                                                                               
no shutdown 
ip address 172.16.0.2 255.255.255.252
description LINK-PTT 
exit 
inter Eth 0/0/0
no shutdown 
ip address 100.100.100.1 255.255.255.0 
description Rede Local
exit 
exit 
wr 

ROUTER UNAMA

conf t
hostname UNAMA
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 190.10.44.66 255.255.255.252
description LINK-INTERNET – EMBRATEL
exit
inter fa0/1
no shutdown
ip address 172.16.2.2 255.255.255.252
description LINK-PTT
exit
inter Eth 0/0/0
no shutdown
ip address 200.200.200.1 255.255.255.0
description Rede Local
exit
exit
wr

ROUTER UFRA 

conf t
hostname UFRA
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 201.70.44.2 255.255.255.252
description LINK-INTERNET – EMBRATEL
exit
inter fa0/1
no shutdown
ip address 172.16.4.2 255.255.255.252
description LINK-PTT
exit
inter Eth 0/0/0
no shutdown
ip address 50.50.50.1 255.255.255.0
description Rede Local
exit
exit
wr

ROUTER UEPA

conf t
hostname UEPA
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 177.30.20.74 255.255.255.252
description LINK-INTERNET – EMBRATEL
exit
inter fa0/1
no shutdown
ip address 172.16.8.2 255.255.255.252
description LINK-PTT
exit
inter Eth 0/0/0
no shutdown
ip address 25.25.25.1 255.255.255.0
description Rede Local
exit
exit
wr

 ROUTER EMBRATEL 

conf t
hostname EMBRATEL
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 200.241.248.1 255.255.255.252
description LINK-UFPA
exit
inter fa0/1
no shutdown
ip address 190.10.44.65 255.255.255.252
description LINK-UNAMA
exit
inter Eth 0/0/0
no shutdown
ip address 201.70.44.1 255.255.255.252
description LINK-UFRA
exit
inter Eth 0/1/0
no shutdown
ip address 177.30.20.73 255.255.255.252
description LINK-UEPA
exit
exit
wr

ROUTER PIX-UFPA 

conf t
hostname PIX-UFPA
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 172.16.0.1 255.255.255.252
description LINK-UFPA
exit
inter fa0/1
no shutdown
ip address 172.16.2.1 255.255.255.252
description LINK-UNAMA
exit
inter Eth 0/0/0
no shutdown
ip address 172.16.4.1 255.255.255.252
description LINK-UFRA
exit
inter Eth 0/1/0
no shutdown
ip address 172.16.8.1 255.255.255.252
description LINK-UEPA
exit
router ospf 1
log-adjacency-changes
no redistribute connected subnets
network 172.16.0.0 0.0.0.3 area 1
network 172.16.2.0 0.0.0.3 area 1
network 172.16.4.0 0.0.0.3 area 1
network 172.16.8.0 0.0.0.3 area 1
exit
exit
wr

Pronto, aqui os routers já estão configurados com os devidos ips e os roteadores vizinhos já devem estar comunicando entre si.

Faça os seguintes testes no Router PIX-UFPA, digite os comandos abaixo nele.

 show cdp neighbors

 A saída seria algo assim:

Show cdp neighbors

Show cdp neighbors

Faça testes de ping deste roteador para os roteadores das instituições: 

Ping para o Router da UFPA: ping 172.16.0.2
Ping para o Router da UNAMA: ping 172.16.2.2
Ping para o Router da UFRA: ping 172.16.4.2
Ping para o Router da UEPA: ping 172.16.8.2

PING

PING

Agora vamos definir as rotas default das instituições para a internet. Tudo que seja encaminhado para o roteador da Embratel será encaminhado para frente para poder chegar ao seu destino, ou seja, o Roteador da Embratel possui uma sessão BGP full-routing.

Rota default UFPA (conf t):

ip route 0.0.0.0 0.0.0.0 200.241.248.1

Rota default UNAMA (conf t):

ip route 0.0.0.0 0.0.0.0 190.10.44.65

Rota default UFRA (conf t):

ip route 0.0.0.0 0.0.0.0 201.70.44.1

Rota default UEPA (conf t):

ip route 0.0.0.0 0.0.0.0 177.30.20.73

Agora precisamos definir as rotas que irão compor o roteamento local pelo PTT PIX-UFPA. Para isso vamos utilizar o protocolo de roteamento OSPF.

Para que cada roteador divulgue suas redes, precisamos definir quais interfaces irão participar do OSPF. Essa definição é feita através da rede que está conectada na interface. Primeiro devemos habilitar o processo OSPF e depois divulgar as redes que vão participar do processo.

Para habilitar o OSPF, digite no modo config o comando com um identificador: router ospf 1, em seguida diga ao router para habilitar o log das mudanças com os vizinhos (neighbors) e defina as redes com o comando network. Observação, se uma interface que faça parte do OSPF estiver down , a rede não será divulgada (por este motivo coloquei um switch Cisco 2960 ligado em cada roteador das instituições).

Vamos habilitar o OSPF no Router UFPA e divulgar as redes. Lembrando que as redes que fazem parte do enlace com a Embratel, não devem fazer parte do processo OSPF, pois o roteamento é intra-universidades.

OSPF + Rota Estática

OSPF + Rota Estática

PROCESSO OSPF – ROUTER UFPA

Conf t
router ospf 1
log-adjacency-changes
network 100.100.100.0 0.0.0.255 area 1
network 172.16.0.0 0.0.0.3 area 1
exit
exit
wr

PROCESSO OSPF – ROUTER UNAMA

Conf t
router ospf 1
log-adjacency-changes
network 200.200.200.0 0.0.0.255 area 1
network 172.16.2.0 0.0.0.3 area 1
exit
exit
wr

PROCESSO OSPF – ROUTER UFRA

Conf t
router ospf 1
log-adjacency-changes
network 50.50.50.0 0.0.0.255 area 1
network 172.16.4.0 0.0.0.3 area 1
exit
exit
wr

PROCESSO OSPF – ROUTER UEPA

Conf t
router ospf 1
log-adjacency-changes
network 25.25.25.0 0.0.0.255 area 1
network 172.16.8.0 0.0.0.3 area 1
exit
exit
wr

Pronto, agora devemos habilitar o processo OSPF no Router PIX-UFPA e divulgar as redes conectadas nele. Este router será o responsável pelo roteamento em si do PTT.

PROCESSO OSPF – ROUTER PIX-UFPA

Conf t
router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.3 area 1
network 172.16.2.0 0.0.0.3 area 1
network 172.16.4.0 0.0.0.3 area 1
network 172.16.8.0 0.0.0.3 area 1
exit
exit
wr

Pronto, o cenário está pronto e cada Instituição esta comunicado com as outras instituições via o PIX-UFPA do PTT.

Um bom teste seria um traceroute da UFPA para a UEPA:

Traceroute UFPA - UEPA

Traceroute UFPA – UEPA

Para ver as rotas OSPF e estáticas, utilize o comando abaixo

Show ip route ospf

Show ip route ospf

As vantagens deste modelo são várias:

– Otimizar Link de Internet diminuindo o tráfego do mesmo.
– Agilizar a comunicação intra-universidades.
– Independência das operadoras
– Maior gerência sobre a rede.

Desvantagem deste modelo:

– Maior complexidade na rede.

Tudo que uma instituição desejar acessar e que não esteja no processo OSPF, a instituição irá encaminhar os pacotes para a Embratel.

Lembrando-se de não utilizar o redistribute static e não divulgar redes erradas para não se tornar um router de trânsito, isso faria com que outros routers pudessem acessar a internet através de seu link.

Bom, claro que o OSPF deveria estar com senha, algumas ACL’s deveriam estar ae e outras coisas visando segurança. Bem como este modelo está longe de ser igual a um PTT real que utiliza BGP, AS e filtros de anúncios, mas a ideia é basicamente essa!

Espero que tenham entendido, pois é assim que a internet e os acessos hoje em dia funcionam. Grandes empresas como Google, Facebook, Yahoo, Aol e etc estão se conectando à PTT locais para agilizar a comunicação.

Se alguém quiser o arquivo do Packet Tracer que utilizei, bem como tirar dúvidas ou os arquivos de configuração dos routers deste post, entre em contato através do email beijer00@gmail.com

Até outro post pessoal!

Abraços

Jacques de Beijer