MSR

Comware: Configurando o atributo Preferred_value (weight) em anúncios de prefixos BGP via route-policy

Diego DiasLeave a comment

O atributo BGP Preferred_value permite ao roteador examinar internamente as atualizações BGP decidir a rota preferêncial.

O atributo não é encaminhado nas mensagens BGP e possui apenas função local em um roteador. Para aqueles que estão acostumados a configuração do protocolo BGP em roteadores Cisco com IOS, a funcionalidade é idêntica a configuração BGP weight, que é proprietária.

Preferred_value é eficiente quando há a necessidade de manipular um destino na saída de um AS, em meio múltiplas rotas.

Vence a rota com maior valor do Preferred_value e é possível configurar valores entre 0 e 65535.

Por padrão os prefixos aprendidos via eBGP possuem o valor como 0 e o Preferred_Value é o parâmetro preferencial para escolha da melhor rota.

Seleção de rotas BGP

Segue abaixo a lista com a ordem para escolha da melhor rota na tabela BGP:

  1. Seleciona a rota com maior preferred_value (similar ao weight da Cisco).
  2. Seleciona a rota com maior Local_Pref.
  3. Seleciona a rota originada pelo roteador local.
  4. Seleciona a rota com menor AS-Path.
  5. ….

Exemplo de Configuração

No exemplo abaixo iremos manipular o roteamento do AS 64507 para o prefixo 2001:db8:3::/64 anunciado pelo AS 64500, para o roteador RA escolher o caminho via RC (next-hop 2001:db8:13::3). O exemplo de configuração é o mesmo para os prefixos IPv4.

Script de configuração de um roteador MSR com o Comware 7

ipv6 prefix-list abc index 10 permit 2001:DB8:3:: 64
! Configurando a prefix-list da rede 2001:db8::3/64
#
route-policy SET_PV permit node 10
 if-match ipv6 address prefix-list abc
 apply preferred-value 200
! Criando a route-map para aplicar o Preferred_value 200 a prefix-list abc
#
bgp 64507
 peer 2001:DB8:12::2 as-number 64500
 peer 2001:DB8:13::3 as-number 64500
 #
 address-family ipv6 unicast
  network 2001:DB8:1:: 64
  peer 2001:DB8:12::2 enable
  peer 2001:DB8:13::3 enable
  peer 2001:DB8:13::3 route-policy SET_PV import
! Aplicando a route-policy SET_PV para os prefixos aprendidos pelo peer
#

Verificando a tabela de roteamento

[RA]display bgp routing-table ipv6
 Total number of routes: 3

 BGP local router ID is 192.168.11.1
 Status codes: * - valid, > - best, d - dampened, h - history,
               s - suppressed, S - stale, i - internal, e – external
               Origin: i - IGP, e - EGP, ? - incomplete
* >e Network : 2001:DB8:2::                            PrefixLen : 64
     NextHop : 2001:DB8:12::2                          LocPrf    :
     PrefVal : 0                                       OutLabel  : NULL
     MED     : 0
     Path/Ogn: 64500i
* >e Network : 2001:DB8:3::                             PrefixLen : 64
     NextHop : 2001:DB8:13::3                           LocPrf    :
     PrefVal : 200                                      OutLabel  : NULL
     MED     : 0                                     
     Path/Ogn: 64500i
*  e Network : 2001:DB8:3::                             PrefixLen : 64
     NextHop : 2001:DB8:12::2                           LocPrf    :
     PrefVal : 0                                        OutLabel  : NULL
     MED     :
     Path/Ogn: 64500i

Veja que a rota “best” para o prefixo 2001:db8:3::/64 está com o Preferred_value como 200.

Até logo

Comware 7 – Autenticação de TACACS com Tac_plus

Diego DiasLeave a comment

Galera, durante a criação de um laboratório para testes de autenticação com TACACS de Roteadores MSR com Comware7, utilizamos o Debian com o tac_plus como Servidor.

Segue abaixo os scripts utilizados:

#
# tacacs configuration file
# Pierre-Yves Maunier – 20060713
# /etc/tac_plus.conf
# set the key
key = labcomutadores
accounting file = /var/log/tac_plus.acct
# users accounts
user = student1 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-admin"
       }
}
user = student2 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-operator"	
        }
}

Configuração do Roteador MSR HP

wtacacs scheme tac
primary authentication 192.168.1.10
primary authorization 192.168.1.10
primary accounting 192.168.1.10
! endereço do servidor TACACS
key authentication simple labcomutadores
key authorization simple labcomutadores
key accounting simple labcomutadores
user-name-format without-domain
#
domain tac.com.br
authentication login hwtacacs-scheme tac local
authorization login hwtacacs-scheme tac local
accounting login hwtacacs-scheme tac local
#
domain default enable tac.com.br
#
user-interface vty 0 4
authentication-mode scheme

Até logo

Comandos comparativos para Troubleshooting, Reset e Refresh do BGP : Comware 5 x IOS Cisco

Diego DiasLeave a comment

Segue uma lista para rápida comparação de comandos para troubleshooting, reset e refresh para o processo BGP comparando os comandos entre equipamentos 3Com,H3C e HP baseados no Comware 5 e Cisco IOS.

Troubleshooting

Comware                                           IOS

display ip routing-table                          show ip route
display ip routing-table x.x.x.x                  show ip route x.x.x.x
display ip routing-table x.x.x.x longer-match     show ip route x.x.x.x longer-prefixes
display ip routing-table protocol bgp             show ip route bgp
display bgp routing-table                         show ip bgp
display bgp routing-table x.x.x.x                 show ip bgp x.x.x.x
display bgp routing peer                          show ip bgp summary
display bgp routing regular-expression AS-number  show ip bgp regexp AS-number

Reset e Refresh

Comware                                           IOS

reset bgp x.x.x.x            (modo user-view)     clear ip bgp x.x.x.x
refresh bgp x.x.x.x import   (modo user-view)     clear ip bgp x.x.x.x in
                                                  clear ip bgp x.x.x.x soft in

refresh bgp x.x.x.x export                        clear ip bgp x.x.x.x out
                                                  clear ip bgp x.x.x.x soft out

Comware 7: QoS – Marcação, Filas “Local Precedence” e Tabela “Mapping Table”

Diego DiasLeave a comment

Os Switches Comware possuem 8 filas (0 a 7) para encaminhamento de pacotes em uma interface, para assim,  serem trabalhadas em diferentes modelos de QoS, permitindo configurar uma preferência a determinadas filas de saída em caso de congestionamento na interface.

O encaminhamento de pacotes para as filas de saída é baseado na marcação de pacotes,quadros e labels, sendo efetuado na entrada dos dados (no Switch) ou já marcados por qualquer Aplicação ou Telefone IP.

Para confiar na macação já efetuada em outro dispositivo ou aplicação digite na interface qos trust [ auto | dot1p | dscp | exp ]

[SW1-Ethernet1/0/1]qos trust ?
  auto   Trust auto
  dot1p  Trust 802.1p Precedence
  dscp   Trust DSCP
  exp    Trust EXP

Caso pretenda marcar os pacotes de entrada de uma interface baseado por protocolo/aplicação (HTTP, FTP, SAP, etc) siga os seguintes passos:

  1. selecione o tráfego com uma ACL (match),
  2. vincule  a ACL no Classifier
  3.  crie o Behavior com a marcação
  4.  vincule o Classifier com o Behavior dentro de uma policy
  5.  Atribua a policy a uma ou mais interfaces de entrada do tráfego ou VLANs.

No exemplo abaixo, mostramos a marcação do trafego HTTP com o valor DSCP 24 e o trafego de Voz com o DSCP 46. Depois, aplicamos a policy na interface de entrada do trafego no Switch.

# Criando as ACL para match no tráfego
!
acl number 3001 name MATCH_WWW
 rule permit tcp destination-port eq www
rule deny ip
! Selecionando o tráfego HTTP porta 80 como destino
!
acl number 3002 name MATCH_VOZ
rule permit ip source 10.248.0.0 0.0.255.255
rule deny ip
! Selecionando  a rede de Telefonia IP
!
# Classificando o tráfego baseado nas ACL’s
!
traffic classifier MATCH_HTTP 
 if-match acl  3001
! Classificação do tráfego da ACL  MATCH_WWW
!
traffic classifier MATCH_VOIP 
if-match acl  3002
! Classificação do tráfego da ACL MATCH_VOZ
!
#  Criando os Behavior’s para futura marcação
!
traffic behavior HTTP_MARK_CS3
remark  dscp  24
! Criando o behavior para a marcação com o dscp 24 (CS3)
!
traffic behavior VOIP_MARK_EF
remark  dscp  46
! Criando o behavior para a marcação com o dscp 46 (EF)
!
# Criando a policy para o vinculo da classificação (classifier)
! com o comportamento (behavior)
!
qos policy QOS_MARK_ONLY
classifier MATCH_HTTP  behavior HTTP_MARK_CS3
classifier MATCH_VOIP  behavior VOIP_MARK_EF
!
# Vinculando a policy para a Interface  de entrada do tráfego
interface Ethernet1/0/1
 port link-mode bridge
 qos apply policy QOS_MARK_ONLY inbound
!

Local Precedence e Mapping Table

Com os dados já marcados (pelo Switch, ou não) é possível tratar o encaminhamento de pacotes com diversas técnicas de enfileiramento como Priority Queue, Weight Round –Robin, Weight Fair Queue, etc. Há também a possíbilidade de configurar o descarte de pacotes por amostra ou prioridade para descarte (drop) para evitar o congestionamento de uma interface.

A tabela “Mapping Table” nos Switches 3Com/H3C/HPN com o Sistema Operacional Comware 5 permite a visualização de qual fila (do total de 8 filas do Switch) o Switch encaminhará o pacote marcado. A tabela também demonstra qual será o mapeamento  em caso de troca de marcação de um valor para outro, por exemplo, Cos para DSCP.

Já a fila local do Switch para onde serão encaminhados os pacotes marcados é chamada de “Local Precedence”.

Para visualizar o mapeamento digite display qos map-table

<4800G>display qos map-table
! Comando digitado em um Switch 3Com 4800G
MAP-TABLE NAME: dot1p-lp   TYPE: pre-define
IMPORT  :  EXPORT
0    :    2
1    :    0
2    :    1
3    :    3
4    :    4
5    :    5
6    :    6
7    :    7
< saída omitida>

Caso seja necessário a troca da fila de saída para um determinado tráfego marcado é possível trocar via comando qos map table. No exemplo abaixo é vizualizamos que a marcação DSCP 24 está na fila  local-precedence 3 do Switch, então faremos na seguida o mapeamento local no Switch para que a marcação citada faça parte da fila 2.

[Switch]display qos map-table | begin dscp-lp

MAP-TABLE NAME: dscp-lp   TYPE: pre-define
IMPORT  :  EXPORT
0    :    0
1    :    0
2    :    0
3    :    0
4    :    0
5    :    0
6    :    0
7    :    0
8    :    1
9    :    1
10    :    1
11    :    1
12    :    1
13    :    1
14    :    1
15    :    1
16    :    2
17    :    2
18    :    2
19    :    2
20    :    2
21    :    2
22    :    2
23    :    2
24    :    3
<saida omitida>

# Configurando a mudança de fila para o valor DSCP 24
#
qos map-table dscp-lp
import 24 export 2
#

Agora você pode me perguntar: “-  Ah, mas após  a marcação e também a alteração da fila local do Switch, como podemos usar isso na prática?”

Simples, podemos usar qualquer algoritimo de enfileiramento  para determinar as prioridades ou garantia de banda. No exemplo abaixo, faremos a garantia de banda de 10Mb para a fila 2 em caso de congestionamento na interface usando o algoritmo WFQ  

interface Ethernet1/0/1
 description INTERFACE_OUTBOUND_INTERNET
 qos wfq 
 qos bandwidth queue 2 min 10240
 qos bandwidth queue 5 min 4096
#

O tráfego marcado com EF (DSCP 46) já está mapeado por padrão pelo Switch na fila 5 e terá a garantia de 4Mb de banda. O tráfego não marcado ( geralmente mapeado para a fila zero) utilizará o restante da banda, mas não terá a garantia de reserva.

Apesar de ser apenas um exemplo ilustrativo, outros modelos de enfileiramento poderão ser usados como SP (LLQ) para tráfego de Voz, etc.

Obs: em diversos cenários a marcação poderá ser feito no Switch e o enfileiramento no Roteador, tudo dependerá dos seus equipamentos e a maneira como você deseja aplicar a qualidade de serviço na sua rede.

Até logo!

Comware: Utilizando sub-interfaces nos Rotadores HP

Diego DiasLeave a comment

A utilização de sub-interfaces em Roteadores permite a multiplexação/divisão de um único link físico em múltiplos links lógicos.

Como exemplo nos cenários abaixo, o Roteador poderá atuar tanto como Gateway para roteamento entre as VLANs X e Y no cenário A para casos em que o Roteador possua possua poucas portas disponíveis, por exemplo; como também em casos para rotear pacotes sem que as redes X e Y tenham acesso uma a outra com a utilização de VRFs , chamadas de VPN-Instance nos Roteadores HPN ( para o cenário B).

Para configurar uam sub-interface em um Roteador 8800, utilize o “.”(ponto) + o id da VLAN após o numero indicativo da porta em uma interface no modo routed.

[Roteador]interface Ten-GigabitEthernet 2/1/1.?

#

Segue um exemplo da configuração para o cenário A

interface Ten-GigabitEthernet 2/1/1.30
description VLAN_X
ip adress 192.168.20.1 255.255.255.0
quit
#
interface Ten-GigabitEthernet 2/1/1.31
description VLAN_Y
ip adress 192.168.30.1 255.255.255.0
quit
#

Em alguns modelos de Roteadores como a Serie 6600 será necessário configurar o VLAN ID, com a configuração do vlan-type dot1q vid [id da vlan] dentro da sub-interface, isto em razão do SO do Roteador não entender que é explicito o ID da VLAN no número da sub-interface. Roteadores Cisco funcionam da mesma forma.

interface Ten-GigabitEthernet 2/1/1.30
description VLAN_X
ip adress 192.168.20.1 255.255.255.0
vlan-type dot1q vid 30
quit
#
interface Ten-GigabitEthernet 2/1/1.31
description VLAN_Y
ip adress 192.168.30.1 255.255.255.0
vlan-type dot1q vid 31
quit
#

… então como as sub-interfaces estão diretamente conectadas, as rotas são adicionadas à tabela de roteamento, o equipamento fará  o roteamento de pacotes.

Já para o segundo cenário, a mesma configuração é válida, bastando apenas configurar a sub-interface com a configuração da vpn-instance antes de configurar o endereço IP.

#Criando a VRF para o cliente X
ip vpn-instance clientex
 route-distinguisher 65000:1
 vpn-target 65000:1 export-extcommunity
 vpn-target 65000:1 import-extcommunity
#
#Criando a VRF para o cliente Y
ip vpn-instance clientey
 route-distinguisher 65000:2
 vpn-target 65000:2 export-extcommunity
 vpn-target 65000:2 import-extcommunity
#
interface Ten-GigabitEthernet 2/1/1.30
description 
ip binding vpn-instance clientex
ip adress 192.168.20.1 255.255.255.0
quit
#
interface Ten-GigabitEthernet 2/1/1.31
description VLAN_Y
ip binding vpn-instance clientey
ip adress 192.168.30.1 255.255.255.0
quit
#
# as configurações do compartimento WAN de cada VRF foram omitidas
#

 obs: Uma rede não será roteada para outra a menos que estejam na mesma VRF.

Já para a configuração do Switch basta apenas configurar a interface como trunk permitindo as vlans correspondente. Se o Roteador for da Serie 6600 a configuração vlan-type dot1q vid … também será necessária (para o segundo cenário).

Um grande abraço

Comware 7 – Configuração de rota estática IPv6

Diego DiasLeave a comment

Durante o recebimento de pacotes para comunicação entre máquinas IPv6, o Roteador efetua uma consulta na sua tabela de roteamento IPv6 para verificar se existe alguma rota para o destino. Se a rota existir o pacote será encaminhado, senão, o pacote será descartado.

A maior parte dos parâmetros de configuração de rotas estáticas em IPv6 são idênticos ao IPv4. Como por exemplo, rota estática padrão, sumarizada e flutuante.

Os parâmetros para inserir uma rota estática IPv6 em equipamentos baseados no Comware, são:

[MSR] ipv6 route [endereço-ipv6-de-destino] [tamanho-do-prefixo] [próximo-salto]

O next-hop (ou próximo salto) pode ser identificado por um endereço IPv6, interface de saída ou ambos.

É possível verificar a tabela de roteamento IPv6 com o comando display ipv6 routing-table.

A rota “ipv6 route-static ::0 0 [próximo-salto]” é uma “rota padrão” e corresponde a qualquer prefixo IPv6 (utilizado quando uma rota específica não é encontrada na tabela de roteamento).

Exemplo de Configuração

Endereço do next-hop como link-local

Caso haja a necessidade de configurar o endereço de next-hop como endereço IPv6 link-local, é necessário configurar a interface de saída, como no exemplo abaixo:

ipv6 route-static 2001:db8:222::2 64 GigabitEthernet0/0 fe80::88e5:7aff:fe7

Testes

Para validar as rotas configuradas resumimos alguns comandos abaixo:

ping ipv6 [endereço do host em IPv6]
! Testes de Ping

tracert ip [endereço do host em IPv6]
! Testes de tracerout

display ipv6 routing-table
! Verificar tabela de roteamento IPv6

display ipv6 interface [interface com endereço IPv6 no roteador]
! Verifique todos os endereços IPv6 da interface ( global, link-local, etc)

Perguntas e Respostas: VRF x VPN-instance

Diego DiasLeave a comment

Pessoal, segue abaixo um pequeno resumo sobre a nomenclatura utilizada nas documentações Cisco x HP sobre o assunto VRF. Acredito que possa ajudar de forma rápida a entender alguns conceitos:

VRF: Virtual Routing and Forwarding
A utilização de VRFs (Virtual Routing and Forwarding) em Roteadores permite a criação de tabelas de roteamentos virtuais que trabalham de forma independente da tabela de roteamento “normal”, protegendo os processos de roteamento de cada cliente de forma individual. Utilizado em cenários MPLS L3VPN com MP-BGP.

VRF Lite
A mesma funcionalidade que a VRF para criação de tabelas de roteamento independentes, mas nomeado para cenários sem MPLS L3VPN. Chamado também de Multi-VRF.

VPN-Instance
Termo utilizado nas documentações HP para VRF no Comware.

MCE (Multi CE)
Termo utilizado nas documentações HP para VRF-Lite.

Dúvidas e colocações, deixe um comentário.

Configurando IRF em Roteadores HP MSR

Diego DiasLeave a comment

Os novos Roteadores MSR da HP possuem suporte para a configuração em IRF. O IRF é uma tecnologia que permite transformarmos diversos Switches ou Roteadores físicos em um único equipamento lógico. Todos os equipamentos serão visualizados como uma única “caixa”, aumentando a disponibilidade da rede.

A recomendação é efetuar o IRF com equipamentos da mesma família e modelo, mas há dispositivos que suportam equipamento da mesma família, mas com diferentes modelos. É bom pesquisar caso a caso.

O cenário abaixo foi construído utilizando o simulador HCL utilizando 2 Roteadores em IRF conectando um Router-Aggregation com um Switch 5820.

Configurando o IRF

Segue abaixo o passo-a-passo da configuração:

1º altere o irf-member ID do segundo Roteador (por padrão o member ID é 1) e o priority de cada equipamento para eleição do Master (vence o maior valor).

R1
<ROUTER>system
[ROUTER]irf priority 31

R2
<ROUTER>system
[ROUTER]irf member 2
[ROUTER]irf priority 30

Configurando as IRF-port

R1
[ROUTER]irf-port 1
[ROUTER-irf-port1]port group interface GigabitEthernet 0/0
[ROUTER-irf-port1]quit

R2
[ROUTER]irf-port 2
[ROUTER-irf-port2]port group interface GigabitEthernet 0/0
[ROUTER-irf-port2]quit

Habilitando o IRF

R1
[ROUTER]chassis convert mode irf
The device will switch to IRF mode and reboot.
You are recommended to save the current running configuration and specify the configuration file for the next startup. Continue? [Y/N]:y
Do you want to convert the content of the next startup configuration file flash:/startup.cfg to make it available in IRF mode? [Y/N]:y
Now rebooting, please wait...

R2
[ROUTER]chassis convert mode irf
....

Comandos display

[ROUTER]display irf

MemberID   Role   Priority CPU-Mac       Description
*+1       Master 31       90eb-4082-0100 ---
2       Standby 30       94cc-d87d-0200 ---
--------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.
The Bridge MAC of the IRF is: 90eb-4082-0100
Auto upgrade               : yes
Mac persistent             : 6 min
Domain ID                   : 0
Auto merge                 : yes

 

[ROUTER]display irf configuration
MemberID NewID   IRF-Port1                    IRF-Port2
1       1       GigabitEthernet1/0/0         disable
2       2       disable                       GigabitEthernet2/0/0

 

Configurando o Router-Aggregation nos MSRs em IRF

[ROUTER]interface Route-Aggregation 1
[ROUTER-Route-Aggregation1]link-aggregation mode dynamic
[ROUTER-Route-Aggregation1]ipv6 address 2001:db8:1234::a 64
[ROUTER-Route-Aggregation1]disp this

#
interface Route-Aggregation1
link-aggregation mode dynamic
ipv6 address 2001:DB8:1234::A/64
#
return
[ROUTER-Route-Aggregation1]quit

[ROUTER]interface GigabitEthernet 1/0/1
[ROUTER-GigabitEthernet1/0/1]port link-aggregation group 1
[ROUTER-GigabitEthernet1/0/1]interface GigabitEthernet 2/0/1
[ROUTER-GigabitEthernet2/0/1]port link-aggregation group 1
[ROUTER-GigabitEthernet2/0/1]end

Configuração do Switch

#
interface Bridge-Aggregation1
link-aggregation mode dynamic
#
#
interface GigabitEthernet1/0/1
port link-mode bridge
combo enable fiber
port link-aggregation group 1
#
interface GigabitEthernet1/0/2
port link-mode bridge
combo enable fiber
port link-aggregation group 1
#
interface Vlan-interface1
ipv6 address 2001:DB8:1234::B/64
#
[Router]disp link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected, I – Individual
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired

Aggregate Interface: Route-Aggregation1
Aggregation Mode: Dynamic
Loadsharing Type: Shar
System ID: 0x8000, 90eb-4082-0100

Local:
Port             Status Priority Oper-Key Flag
--------------------------------------------------------------------------------
GE1/0/1         S       32768   1        {ACDEF}
GE2/0/1         S       32768   1         {ACDEF}
Remote:
Actor           Partner Priority Oper-Key SystemID               Flag
--------------------------------------------------------------------------------
GE1/0/1         3       32768   1         0x8000, 94de-65c3-0300 {ACDEF}
GE2/0/1         2       32768   1         0x8000, 94de-65c3-0300 {ACDEF}

 

[Router]ping ipv6 2001:db8:1234::b
Ping6(56 data bytes) 2001:DB8:1234::A --> 2001:DB8:1234::B, press CTRL_C to break
56 bytes from 2001:DB8:1234::B, icmp_seq=0 hlim=64 time=2.000 ms
56 bytes from 2001:DB8:1234::B, icmp_seq=1 hlim=64 time=1.000 ms
56 bytes from 2001:DB8:1234::B, icmp_seq=2 hlim=64 time=0.000 ms
56 bytes from 2001:DB8:1234::B, icmp_seq=3 hlim=64 time=1.000 ms
56 bytes from 2001:DB8:1234::B, icmp_seq=4 hlim=64 time=1.000 ms

--- Ping6 statistics for 2001:db8:1234::b ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/1.000/2.000/0.632 ms
[Router]%Jan 26 13:40:07:783 2016 Router PING/6/PING_STATISTICS: Ping6 statistics for
2001:db8:1234::b: 5 packets transmitted, 5 packets received, 0.0% packet loss, round-trip
min/avg/max/std-dev = 0.000/1.000/2.000/0.632 ms.

Até logo

Comware7: Template para IPv6 Prefix-list

Diego DiasLeave a comment

Um prefixo ‘bogon’ é uma rota que nunca deve aparecer na tabela de roteamento da Internet. Um pacote roteado pela Internet pública nunca deve ter um endereço de origem em um intervalo ‘bogon'(não incluindo VPNs ou outros tipos túneis). Estes são geralmente encontrados como  endereços de origem de ataques DDoS.

A equipe 6Bogon mantém recomendações atualizadas para Filtro de Pacotes e para Filtro de rotas IPv6 para xSP, descrevendo as recomendações para filtragem de pacotes e filtragem de rotas para uso em roteadores de borda que falam IPv6 em/com xSPs.

Roteadores utilizam prefix-list para filtro de rotas em processos de roteamento, como por exemplo, o protocolo BGP. Uma vez que a prefix-list é criada, ela é utilizada no processo para filtrar as rotas aprendidas ou ensinada a um roteador par.

Voltando aos ‘bogons’, há a seguinte sugestão de prefixos que devem ser permitidos em uma tabela de roteamento IPv6 para o Comware7:

ipv6 prefix-list global-routes deny   2001:0DB8:: 32 less-equal 128
ipv6 prefix-list global-routes permit 2001:0200:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0400:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0600:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0800:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0A00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0C00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0E00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1200:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1400:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1600:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1800:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1A00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1C00:: 22 le 64
ipv6 prefix-list global-routes permit 2001:2000:: 20 le 64
ipv6 prefix-list global-routes permit 2001:3000:: 21 le 64
ipv6 prefix-list global-routes permit 2001:3800:: 22 le 64
ipv6 prefix-list global-routes permit 2001:4000:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4200:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4400:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4600:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4800:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4A00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4C00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:5000:: 20 le 64
ipv6 prefix-list global-routes permit 2001:8000:: 19 le 64
ipv6 prefix-list global-routes permit 2001:A000:: 20 le 64
ipv6 prefix-list global-routes permit 2001:B000:: 20 le 64
ipv6 prefix-list global-routes permit 2002:0000:: 16 le 64
ipv6 prefix-list global-routes permit 2003:0000:: 18 le 64
ipv6 prefix-list global-routes permit 2400:0000:: 12 le 64
ipv6 prefix-list global-routes permit 2600:0000:: 12 le 64
ipv6 prefix-list global-routes permit 2610:0000:: 23 le 64
ipv6 prefix-list global-routes permit 2620:0000:: 23 le 64
ipv6 prefix-list global-routes permit 2800:0000:: 12 le 64
ipv6 prefix-list global-routes permit 2A00:0000:: 12 le 64
ipv6 prefix-list global-routes permit 2C00:0000:: 12 le 64

Referência

http://www.team-cymru.org/ipv6-router-reference.html
http://www.team-cymru.org/Reading-Room/Templates/IPv6Routers/xsp-recommendations.txt

Vídeo: Comware – Tabela de Roteamento

Diego DiasLeave a comment

A tabela de roteamento possui registro dos destinos para encaminhamento dos pacotes. As rotas  podem ser aprendidas manualmente (rotas estáticas ou redes diretamente conectadas) e dinamicamente (aprendidos via protocolo de roteamento dinâmico como OSPF, BGP,etc).

Nesse vídeo faremos uma breve descrição do funcionamento, aprendizado e escolha das rotas por um Roteador.