[BPF] Problemas com a mudança de máscara no IX.br de São Paulo

Junior Corazza corazza em telic.com.br
Sexta Janeiro 10 10:21:08 -03 2020 

Estou tendo problemas com isso!

Apesar do paliativo de se filtrar a subnet do IX, não consigo entender o motivo de alguém propagar isso por BGP.

De qualquer forma, hoje comuniquei o NOC de 2 AS's por conta dessa erro. Peço que quem tiver esse problema, faça o mesmo.

Abraços

Date: Thu, 9 Jan 2020 18:52:13 +0000
From: Tiago Carrijo Setti <tiago em nuitec.com.br>
To: "bpf em listas.brasilpeeringforum.org"
	<bpf em listas.brasilpeeringforum.org>
Subject: [BPF] Problemas com a mudança de máscara no IX.br de São
	Paulo
Message-ID:
	<CP2P152MB12662F104F363E8E18600075FF390 em CP2P152MB1266.LAMP152.PROD.OUTLOOK.COM>
	
Content-Type: text/plain; charset="iso-8859-1"

Boa tarde,

Algumas pessoas relataram problemas de conectividade e queda nas sessões BGP na vlan do ATM no IX.br de São Paulo após a mudarem a máscara de /21 para /20.

Conforme informado pelo IX.br nesse documento http://old.ix.br/doc/sp-mudanca_mascara-20200108-v2.pdf
A mudança de /21 para /20 deverá ser feita por todos os participantes até o dia 09/Março/2020.

Essa mudança não afeta a troca de tráfego e não derruba nenhuma sessão BGP, mas os problemas relatados mostraram que a maioria dos casos onde aconteceu algum problema foi por existir na tabela de roteamento uma rede mais específica, ou seja, o /21 continuava existindo na tabela do roteador mesmo após a mudança.
Lembrando que a rede LAN /21 do IX.br não deveria aparecer em nenhuma tabela de nenhum roteador, apenas no roteador diretamente conectado ao IX.
Na maioria dos casos essa rede /21 estava sendo aprendida pelo roteador através de uma rota estática, ou uma sessão iBGP ou até de uma sessão eBGP (trânsito/peering).

Sabemos que algumas empresas que fornecem serviço de trânsito e estão indevidamente divulgando a rede LAN /21 do IX.br para seus clientes e peering e mesmo após alertados não resolveram o problema.

Portanto, a melhor alternativa para evitar esses problemas é aplicar um filtro em TODAS suas sessões BGP descartando o prefixo LAN do IX.br. (inclusive pode ser feito um filtro para todos prefixos LAN de todos os IX.br nacionais e também de outros IX internacionais que sua rede participe)

Uma alternativa já levantada seria a possibilidade do IX.br assinar um ROA do prefixo LAN com AS0, ou até mesmo com o próprio ASN do IX, e quem estivesse aplicando descarte de prefixos inválidos por RPKI ficaria protegido desse problema. Mas o IX.br ainda não se pronunciou a respeito desse ROA, portanto no momento a melhor alternativa é o filtro nas sessões BGP.

E pra quem está exportando a rede LAN do IX.br por BGP para outros AS, está na hora de rever essa política né???

More information about the bpf mailing list