Sistema Autônomo - Migração e Controle

Transcrição

Sistema Autônomo - Migração e Controle
SISTEMA AUTÔNOMO: MIGRAÇÃO E CONTROLE
Carlos Eduardo Bloemker <[email protected]>
Alexandre Timm Vieira <[email protected]> – Orientador
Universidade Luterana do Brasil (ULBRA) – Graduação de Tecnologia em Redes de Computadores – Campus Canoas
Av. Farroupilha, 8.001 – Bairro São Luís – CEP 92420-280 – Canoas – RS
29 de novembro de 2010
RESUMO
Neste trabalho pretende-se introduzir as tecnologias relacionadas ao tema, propondo uma estratégia com as
melhores formas de planejar e implementar práticas de gerenciamento em um Backbone IP, alinhada à necessidade de
roteamento dinâmico com acordos unilaterais de tráfego baseados em regras não-técnicas e topologias arbitrárias, na
migração de uma entidade que têm a sua comunicação com a Internet dentro de um Sistema Autônomo, passando a
ser um Sistema Autônomo. Sugerir uma metodologia a ser seguida, elaborada com o auxilio do Cobit (Control
Objectives for Information and related Technology), propondo etapas nesse processo migratório.
Palavras-chave: Sistemas Autônomos, Border Gateway Protocol(BGP), Internet Protocol(IP)
ABSTRACT
Title: “Autonomous System: Migration and Control”
This work is intended to introduce the technologies related to the topic, proposing a strategy on how best
to plan and implement management practices in an IP Backbone, aligned to the need for dynamic routing
of traffic with unilateral agreements based on non-technical rules and arbitrary topologies, in the
migration of an entity that has its communication with the Internet within an Autonomous System (IntraAS routing), becoming an Autonomous System (Inter-AS routing). Suggest a methodology to be followed,
prepared with the help of the Cobit (Control Objectives for Information and related Technology),
proposing steps in the migration process.
Key-words: Autonomous System, BGP, IP.
1
INTRODUÇÃO
A imersão das entidades na Internet, que se tornou ferramenta essencial nos processos das empresas,
trouxe consigo a constante necessidade de crescimento computacional. Seja com atualização de infraestrutura, aumento de poder computacional e até grandes larguras de banda, esse processo de evolução é
pertinente em qualquer corporação. Nessas entidades o aumento de consumo da Internet é exponencial,
apressando essa necessidade de crescimento. (COMER, 2000)
Na sua maioria, as grandes empresas utilizam enlaces dedicados oferecidos pelas operadoras de
telecomunicações para “chegar” à Internet, e para endereçar os hosts, utilizam endereços IP fornecidos pela
própria operadora. Operadoras de telecomunicação, na prática, são grandes Sistemas Autônomos
(Autonomous System - AS), com backbones distribuídos mundialmente, contribuindo para a malha da
Internet. No intuito de haver contingência, caso haja falhas no serviço fornecido pela operadora, essas
entidades passam a agregar mais enlaces, provenientes de outras operadoras. Mesmo com a agregação de
enlaces, caso haja uma falha em uma das provedoras de acesso, os prefixos de rede provenientes da
operadora em questão se tornam inacessíveis, causando prejuízos às entidades.
A solução para tal problema é se tornar um Sistema Autônomo. Para que uma entidade possa se
tornar um AS, o processo deve se justificar técnica e administrativamente. Passando a entidade a lidar
diretamente com a troca de tráfego com outros Sistemas Autônomos, começa a lidar com variáveis ligadas ao
roteamento de borda, que na sua maioria, além de protocolos, são acordos unilaterais baseados em regras não
técnicas.
Considerando essa necessidade, esse trabalho consiste em propor uma metodologia a ser seguida
nessa migração, auxiliando o administrador. Através de algumas etapas, em que a aplicabilidade é facilitada
com auxílio de frameworks, como o Cobit, sugere-se usar: a análise de situação atual, pré-requisitos,
mudanças e riscos envolvidos, o tratamento com fornecedores, acordos e custos operacionais,
implementação, configuração e liberação.
1
Nas seções a seguir serão abordados conceitos relacionados ao tema em questão, e a proposta de uma
metodologia a ser seguida na migração de uma entidade conectada à Internet através de Sistemas
Autônomos, passando a ser um AS, introduzindo um cenário antecedente, exemplificando tais processos e a
entrega do novo cenário.
2
REFERENCIAL TEÓRICO
Esta seção consiste em conceituar e apresentar definições sobre todos os aspectos envolvidos na
administração de backbone IP, roteamento de borda, governança e protocolos envolvidos.
2.1
A Distribuição da Internet
Na Internet, para que os milhares de computadores possam se conectar é necessário uma ligação
física entre todos e regras bem estabelecidas. Atualmente utiliza-se o protocolo IPv4, definido pela RFC 791,
predominantemente, apesar de já haver o IPv6, definido pela RFC 2460, em algumas redes. Uma das
“regras” do protocolo IP é que cada computador tenha um identificador único, conhecido como endereço IP.
Como não pode haver repetição, a distribuição desses números deve ser feita de forma organizada. Hoje há
uma hierarquia de entidades que controlam a atribuição desses endereços. IANA(Internet Assigned Numbers
Authority) coordena a atividade globalmente. A IANA no poder de suas atribuições repassa para órgãos
menores, distribuídos geograficamente pelo mundo, a responsabilidade de distribuir os endereços IP e alocar
de números de identificação de Sistemas Autônomos, os ASN (Autonomous System Number). Tais órgãos
são chamados de RIR’s (Regional Internet Registry) ou Registro Regional da Internet, que são: American
Registry for Internet Numbers (ARIN); Réseaux IP Européens Network Coordination Centre (RIPE NCC);
Asia-Pacific Network Information Centre (APNIC); Latin American and Caribbean Internet Addresses
Registry (LACNIC); African Network Information Centre (AfriNIC).(IANA, 2010) A Figura 1 abaixo
mostra qual a abrangência de cada órgão:
Figura 1 – RIR’s e suas abrangências geográficas (IANA, 2010)
No Brasil tais atribuições também são de responsabilidade do CGI.br (Comitê Gestor da Internet no
Brasil), onde o LACNIC repassa tais atribuições ao CGI.br.
2.2
Sistemas Autônomos
Segundo Tannenbaum (2003) a Internet não é uma rede, e sim um conjunto delas. Pode-se dizer
então que a Internet é um conjunto de Sistemas Autônomos.
A definição clássica de um Sistema Autônomo é um conjunto de roteadores sob uma única
administração técnica, usando um protocolo de gateway interior (IGP) e métricas comuns para encaminhar
pacotes dentro do AS, e usando um protocolo de gateway exterior (EGP) para rotear pacotes para outros
AS's. De forma mais simplificada, é possível dizer que um AS é um grupo conectado, de um ou mais
prefixos IP, executados por operadores de rede que têm uma única e bem definida política de roteamento
(HAWKINSON E BATES, 1996). Esse documento refere-se ao termo "prefixo" para blocos IP que podem
ser agregados com CIDR, por exemplo: 192.168.0.0/24 - 192.168.1.0/24 - 192.168.2.0/24 - 192.168.3.0/24.
Podem ser simplesmente referidos como: 192.168.0.0/22.
O termo "prefixo" como ele é usado aqui, equivalente a um "bloco CIDR" e, em termos simples,
pode ser pensado como um grupo de uma ou mais redes. Cada Sistema Autônomo possui vinculado a si um
2
prefixo designado pelo RIR que o coordena. Política de roteamento é definida como o modo pelo qual as
decisões serão tomadas para o encaminhamento de pacotes para outro(s) Sistema(s) Autônomo(s).
Os Sistemas Autônomos se dividem em três tipos ou categorias: Stub, Multihomed e Transit. Stub é o
Sistema Autônomo que tem como upstream um único Sistema Autônomo vizinho, que faz trânsito para ele.
Multihomed é o AS que possui dois ou mais upstreams para fazer trânsito para o mesmo. E Transit é o
Sistema Autônomo que faz trânsito de um AS para outros, ou seja, é aquele que conhece, normalmente,
vários AS's vizinhos e que faz trânsito de Subs, Multihomeds e outros Transit. (VAN BEIJNUM, 2002)
Os ASN, números de identificação dos Sistemas Autônomos, foram definidos na R
e se
utili am para sua identificação n meros inteiros entre e
a mesma forma, os n meros de istemas
ut nomos de
its foram definidos pela R
e são utili ados para sua identificação n meros
inteiros de 0 a 42
7
I N ainda designou o intervalo de
N’s entre
até
para uso
privado.
2.3
Trânsito, Peering e Protocolos de Roteamento
Quando um cliente se conecta a um provedor upstream, normalmente o contrato é pago, já que o
provedor se preocupa em entregar os pacotes para todas às suas extremidades ao redor do mundo, na
Internet. Esse serviço é chamado de trânsito. Porém entidades e provedores menores se interconectam de
uma forma um pouco diferente: Pontos de Troca de Tráfego (PTT's). A diferença é que desse modo, apenas o
destino vizinho fica acessível, atalhando o caminho. Essa negociação entre dois AS's implementando uma
sessão BGP é que chamamos de peering.(VAN BEIJNUM, 2002)
Nem todos os provedores são iguais e seguem certa hierarquia, variando de gigantescos com uma
malha distribuída por todo o planeta até menores com uma única ethernet como backbone. Em geral são
divididos em três grupos:
Tier 1 – São aqueles que não pagam por trânsito, pois fazem peering com outros Tier 1, e fazem
trânsito para todos os outros menores;
Tier 2 – São aqueles que possuem um tamanho considerável, mas necessitam de um Tier 1 para
serviço de trânsito contratado;
Tier 3 – São aqueles que possuem uma rede menor, e possuem um Tier 1 ou Tier 2 pelo menos para
lhes fazer trânsito;
Os Tier 1 são na prática grandes operadoras de telecomunicações que servem transporte físico
através de enlaces que atravessam o mundo todo, quilômetros de fibras ópticas interligado continentes, onde
invariavelmente são os que transportam a maioria dos outros Sistemas Autônomos da Internet.
Basicamente administrar trânsito ou fazer peering está relacionado com a administração de tabelas
de roteamento. Então simples: basta configurar manualmente a tabela de roteamento e a conexão está
garantida. Na realidade não. Grandes corporações possuem alocadas centenas de prefixos e além do mais,
qualquer AS precisa administrar suas tabelas de roteamento internas, conforme a topologia de sua rede, mas
também precisa administrar as tabelas recebidas pelo trânsito, ou seja, as tabelas de toda a Internet.
Figura 2 – Visão de tipos de AS’s e aplicações dos diferentes protocolos de roteamento
3
As tabelas de roteamento internas, pertencentes ao AS, são distribuídas pelo operador da rede através
de um protocolo de gateway interior (IGP - Interior Gateway Protocol), como RIP(Routing Information
Protocol) ou OSPF (Open Shortest Path First), ou até de forma estática dependendo do tamanho da rede.
Para que se possa garantir a interopera ilidade com os outros
’s, usa-se um protocolo de gateway exterior
(EGP - Exterior Gateway Protocol) como o BGP (Border Gateway Protocol), protocolo de roteamento
padrão entre Sistemas Autônomos na Internet. A figura 2 vista anteriormente, desenvolve bem esse cenário
de EGP, IGP e tipos de Sistemas Autônomos.
2.4
BGP – Border Gateway Protocol
O BGP (Border Gateway Protocol) é o protocolo de roteamento dinâmico padrão na Internet.
Atualmente na sua quarta versão (pelo fato de versões anteriores estarem obsoletas, será referido BGP como
sendo sempre o BGPv ), o BGP é definido nas R ’s 77 , 77 , 77 , 77 e
7. Para as sessões serem
estabelecidas o BGP utiliza a porta TCP 179 entre os vizinhos. Ao estabelecer a sessão os vizinhos começam
a trocar informações em forma de “mensagens” (TRAINA, 1995). Tais mensagens possuem um cabeçalho,
mais o conteúdo da mensagem, como na Tabela 1 abaixo:
Marcador (Marker)
Tabela 1 – Formato do cabeçalho de mensagens do BGP
Comprimento (Length)
Tipo (Type)
Conteúdo da Mensagem
16 bytes
2 bytes
1byte
0 - 4077 bytes
Habitualmente o marcador é usado para verificar se o remetente e o receptor ainda estão
sincronizados. Se o receptor encontra um valor inesperado no campo marcador, algo deve ter corrido mal, de
modo que o receptor envia de volta uma indicação de erro e fecha a conexão. O campo comprimento contém
o comprimento da mensagem BGP, que tem um comprimento mínimo de 19 bytes (apenas um cabeçalho
com nenhuma mensagem) e um máximo de 4.096 bytes. O tipo indica a finalidade da mensagem, sendo:
open (1), update (2), notification (3), ou keepalive (4).
2.4.1
Mensagem Open
Ambos os lados enviam uma mensagem open após estabelecerem a sessão TCP. Tal mensagem
contém informações importantes sobre a configuração e habilidades do remetente. O formato da mensagem
Open é exemplificado na Tabela 2 abaixo:
Version
1 byte
Tabela 2 – Formato da mensagem Open no BGP
My AS
Hold Time
Identifier
Parlen
Optional Par.
2 bytes
0 – 255 bytes
2 bytes
4 bytes
1 byte
O primeiro campo indica a versão do BGP. O campo seguinte indica o ASN do remetente. O campo
Hold Time é o tempo máximo de segundos que a sessão pode permanecer ociosa antes de ser derrubada por
esgotar o tempo limite. O menor dos valores das mensagens é usado, sendo que o valor mínimo é três
segundos e caso seja zero, significa que a sessão nunca expirará. O campo Identifier contém o endereço IP
do remetente BGP.
Um roteador BGP deve usar o mesmo Identifier para todas as sessões. O comprimento do campo
Parlen indica a ausência (com um valor zero) ou comprimento do campo Optional Parameters. Se houver
algum parâmetro opcional, todos eles são precedidos por um tipo de parâmetro de um byte e um byte de
comprimento do parâmetro. O campo Optional Parameters negocia o uso de autenticação e capacidades
ampliadas, como extensões multiprotocolo e atualização de percurso. (WILLIS, BURRUSS e CHU, 1994)
Se o conteúdo da mensagem aberta condiz com a realidade do roteador, ele envia de volta uma
mensagem de keepalive e começar a enviar mais de uma cópia da tabela de roteamento BGP (a medida que
as políticas configuradas para este ponto permitirem), utilizando mensagens de atualização. Uma vez que
esta está completa, o roteador irá enviar apenas mensagens periódicas de keepalive e atualizações
incrementadas se houver qualquer alteração na tabela de roteamento.
2.4.2
Mensagem Update
A mensagem de update traz as atualizações das listas de retirada de rotas e adição de novas. Ambos
são opcionais, assim, uma mensagem de atualização pode retirar rotas ou adicionar novas, ou ainda ambos,
ou seja adicionar e retirar.
4
UR length
Tabela 3 – Formato da mensagem update no BGP
Withrawn routes
Total PA length
Path attributes
2 bytes
Variável
2 bytes
Variável
NLRI
Variável
A Tabela 3, mostra o formato da mensagem. O campo Unfeasible Routes Length indica o
comprimento total do campo de retirada de rotas ou que o campo não está presente. O campo Withdrawn
Routes contém a lista de prefixos IP que se tornaram inacessíveis. O campo Total Path Attribute Length,
corresponde ao comprimento total do Path Attribute ou se ele não está presente. O campo Path Attributes, ou
atributos do trajeto, descreve as características dos atributos de trajeto difundidos. Alguns atributos possíveis
são:
 Origin: Atributo obrigatório que define a origem da informação do trajeto.
 AS Path: Atributo obrigatório composto por uma seqüência de segmentos de caminho - por quais
sistemas autônomos passou.
 Next Hop: Atributo obrigatório que define o endereço IP do roteador de borda que deve ser usado
como o hop (salto) seguinte para destinos listados no campo NLRI.
 Local Pref: Atributo de descrição usado para especificar o grau de preferência de um percurso
anunciado.
O campo NLRI (Network Layer Reachability Information – Informações de Acessibilidade da
Camada de Rede) Contém a lista de prefixos de rede anunciadas pelos roteadores.
2.4.3
Mensagens Notificntion e Keepalive
A mensagem de notification é enviada quando uma condição de erro é detectada. As notificações são
usadas para fechar uma sessão ativa e informar a quaisquer roteadores conectados do porque a sessão está
sendo encerrada. A mensagem de keepalive notifica os pares BGP que um dispositivo está ativo. Keepalives
são enviadas com bastante freqüência para que as sessões não expirem. Elas consistem em nada mais do que
a mensagem de cabeçalho BGP com o campo definido como tipo 4, não havendo dados adicionais.
2.4.4
Estados do BGP
A RFC do BGP possui uma lista de estados específicos em que um roteador BGP pode se enquadrar.
São as chamadas BGP FSM – Finit State Machine, ou estados finitos da máquina, que correspondem ao
estado da sessão desde o nível mais baixo, até o mais alto. Tais estados são os seguintes:
 Idle - O roteador não está tentando criar uma sessão BGP, e se o vizinho estava na tentativa de
criar uma sessão, a conexão TCP seria recusada. O roteador espera por um "start" no caso,
normalmente o usuário permitindo a adição de um vizinho BGP ou uma interface de rede.
 Connect - Neste estado, o roteador aguarda por seu próprio estabelecimento da sessão TCP
completa, escuta para sessões TCP que venham a ser recebidas.
 Active – o roteador espera por uma sessão TCP.
 OpenSent mensagem “a erto” foi enviada, mas uma mensagem “a erto” ainda não foi
recebida do vizinho.
 OpenConfirm - A mensagem de abertura do vizinho foi recebida, mas ainda não o iniciou o envio
de mensagens keepalives, que conclui a fase de configuração de sessão BGP.
 Estabilished - A mensagem de keepalive inicial foi recebida, a sessão está agora pronta para a
transmissão de updates, notifications e mensagens de keepalive.
2.4.5
Propagação de rotas BGP e o processo de seleção de rotas
Quando um roteador BGP recebe uma atualização de rotas ele executa o seguinte procedimento:
Primeiro verifica-se todos os filtros de entrada definidos na sessão BGP. Se alguma rota não é aceita por um
dos filtros ela é ignorada e o procedimento termina. Segundo, insere-se a rota na tabela de roteamento BGP.
Terceiro, compara-se a rota com outras rotas da tabela de roteamento BGP com o mesmo prefixo de rede
(NLRI) e executa o algoritmo de seleção de rotas do BGP. Caso a nova rota não venha a ser considerada a
5
melhor, o procedimento termina. Quarto, considera-se a nova rota a melhor e a inclui na tabela de
roteamento. A antiga melhor rota é removida. Quinto, retira-se a antiga melhor rota nas atualizações do BGP
para todos os vizinhos que receberam uma cópia da rota antiga. E por último, propaga-se a nova rota para os
outros vizinhos BGP nos Sistemas Autônomos externos, caso os filtros deles aceitem.
Para ser capaz de sobreviver a falhas de rede, a maioria dos Sistemas Autônomos, evidentemente
rodando BGP, se conectam a mais de uma rede (multihomed). Isso significa que muitos destinos são
acessíveis por mais vizinhos (upstreams). Com isso o BGP precisa de um mecanismo para selecionar a
melhor rota a partir de um conjunto de rotas disponíveis de vizinhos diferentes. Para esse feito, existem
atributos que são comunicados nos updates (path attributes) entre os "falantes" BGP. Tais atributos é que
participam do processo de seleção de rotas, e ajudam a decidir por onde o roteador vai transmitir o pacote,
funcionando da seguinte forma:
1.
Não deve preferir se a rota não está na tabela de roteamento IGP;
2.
Não deve preferir se o endereço de Next-Hop estiver inacessível;
3.
Preferir a rota de maior peso (weight) – atributo proprietário CISCO e Quagga
4.
Preferir a rota com o Local Preference mais alto;
5.
Preferir rota com AS-path mais curto;
6.
Para caminhos externos escolher rota mais antiga para minimizar efeito de flapping;
7.
Preferir caminhos com o ID (identifier) do roteador vizinho mais baixo;
8.
Preferir a rota com o endereço IP do vizinho mais baixo;
Ainda assim como tie-break (“critério de desempate”) se valem de valores do algoritmo de
encaminhamento do T P/IP como, “menores” prefixos de rede e métricas manuais.
2.5
Governança de TI
Devido à complexidade envolvida em todos os processos de migração e administração de TI, é
evidente que é necessário que haja planejamento e controle. Para tal, o COBIT (Control Objectives for
Information and related Technology) oferece “ oas práticas” com um modelo de domínios e procedimentos
e apresenta processos em uma organização gerenciável e lógica. Tal modelo do COBIT representa uma
opinião em comum dos profissionais. Elas estão centradas diretamente nos controles e menos na execução.
As práticas ajudam a justificar investimentos em TI e asseguram a entrega de serviços e provimento de
métricas para julgar as conseqüências das coisas. (COBIT 4.1, 2007)
No sentido de haver eficiência na governança, é necessário avaliar processos e riscos da TI que
precisam ser gerenciados. Geralmente eles são ordenados por domínios de responsabilidade de planejamento,
construção, processamento e monitoramento. No modelo COBIT esses domínios são denominados: Planejar
e Organizar (PO), Adquirir e Implementar (AI), Entregar e Suportar (DS) e Monitorar e Avaliar (ME).
Com foco no domínio Entregar e Suportar (DS), com seus objetivos de controle, é que se pretende
auxiliar os processos da metodologia de migração de roteamento.
3
METODOLOGIA
Para o desenvolvimento deste trabalho utilizou-se o processo migratório em um ambiente real,
mapeando os ativos de rede, serviços e roteamento para a migração para um Sistema Autônomo.
3.1 Cenário atual
O ambiente para migração de roteamento selecionado foi uma corporação de provimento de acesso à
Internet (ISP – Internet Service Provider), de abrangência estadual, com uma grande malha física, diferentes
upstreams, mapeando e amadurecendo o processo.
A entidade possui três upstreams diferentes. Será referido neste documento às operadoras de
telecomunicação como Operadora1, Operadora2 e Operadora3. Cada operadora concede à entidade dois
prefixos /24 roteáveis, ou seja, são seis prefixos totalizando 1.536 endereços IP. Cada enlace das operadoras
possui larguras de banda diferentes, sendo a Operadora1 com 100Mbps, a Operadora2 com 56Mbps e a
Operadora com
M ps erão usados prefixos e
N’s quaisquer para orientação da seguinte forma:
6
 Operadora1 - AS100 - 200.200.200/24 e 200.200.100/24
 Operadora2 - AS200 - 198.198.200/24 e 198.198.100/24
 Operadora3 - AS300 - 190.190.200/24 e 190.190.100/24
corporação possui “alocado” um prefixo / para serviços, como servidores de e-mail, DNS,
gerentes de rede, e o restante para endereçar roteadores, clientes e outros ativos de rede. A Figura 3 a seguir
demonstra a arquitetura do cenário em questão:
Figura 3 – Cenário atual
É notável que os prefixos são distri uídos “internamente” para vários hosts o ponto de vista das
operadoras, tais prefixos lhes pertencem, ou seja, fazem parte dos seus Sistemas Autônomos e as políticas de
roteamento aplicadas a tais prefixos com outros ASs são invariavelmente das operadoras, sendo que qualquer
erro de configuração nas suas bordas, ou problemas em camadas inferiores, como queda de um enlace, fazem
com que tais prefixos se tornem inacessíveis da Internet.
Além da inacessibilidade dos prefixos em caso de problemas, o fato de uma entidade endereçar seus
hosts e clientes com endereços IP da operadora, faz com que se crie um atrelamento comercial. Caso surja
operadoras com propostas melhores e se deseja efetuar uma substituição de provedora do serviço, se torna
oneroso tecnicamente substituir todos os endereços, além de que em alguns casos ainda existam
configurações extras envolvendo os prefixos, como DNS reverso, que causam mais trabalho ainda.
A mudança para Sistema Autônomo termina com esses problemas. A partir do momento que
empresa passa a administrar seu próprio bloco de endereços, não sofre com a substituição de operadoras,
nem com a agregação de novas, pois possui seus endereços IP exclusivamente.
3.3 SLA’s e plano de migração
Fatores de risco e potencial de indisponibilidades devem ser bem acordados antes de efetuar
qualquer mudança na rede. É factível que operações de mudança na estrutura da TI sempre estejam alinhadas
aos negócios da empresa. Envolvendo um plano de migração que impacta diretamente nos serviços, deve
haver boa preparação e planejamento. Tanto da visão da empresa como negócio quanto tratamento com
serviços terceiros isso é imprescindível, já que falhas durante o processo de mudança podem acarretar em
prejuízos financeiros e de respaldo perante os clientes.
Um dos principais pontos de impacto deve ser a negociação com a operadora de telecomunicações,
pois como fornecedora do enlace e brevemente trânsito Internet, é quesito chave para impacto no negócio da
empresa. Antes de tudo deve estar bem acordado com a operadora trabalhar paralelamente. Criar aliases nos
roteadores da operadora para que funcione tanto a “rede antiga” quanto a “nova” ocar na L como sendo
primordial que a disponibilidade não se perca com a migração, ou seja, isso deve ser transparente ao máximo
para o usuário.
No processo de migração determinadas etapas são possíveis somente com a conclusão de outras, é
por isso que um plano de migração é tão importante, pois a conclusão de determinadas tarefas sendo somente
7
possíveis com outras, podem trazer problemas de indisponibilidade e falhas. Para a conclusão desse processo
migratório, serão seguidos os seguintes passos:
1. Aquisição do bloco IP e ASN
2. Criação do planejamento de numeração
3. Inserção dos dados em um IRR e Registro.br
4. Aquisição e mensuração de hardwares e softwares envolvidos
5. Negociação com fornecedores, os upstreams
6. Instalação física e implementação de BGP com Quagga
7. Substituição de endereços e validação da engenharia de tráfego
8. Validação da migração e liberação
9. Boas práticas de controle
4
IMPLEMENTAÇÃO
A seção a seguir refere-se a implementação e migração de roteamento, e a validação dos processos.
4.1 Aquisições do bloco IP e ASN
Primeiro passo para entidade é adquirir o seu bloco IP e o ASN. Para que isso seja possível ela deve
interagir com o RIR responsável pela região. No caso do Brasil, isso é possível fazer on-line através do site
do Registro.br nos recursos de numeração (http://registro.br/provedor/numeracao/solicitacao.html). Para a
entidade se cadastrar e alocar tais recursos deve preencher o formulário solicitado e enviar ao e-mail em
vigor informado no site do Registro.br. Dúvidas em relação ao preenchimento estão disponíveis on-line na
página. Entre os dados solicitados, está a arquitetura da rede atual. Então, é interessante que se faça um breve
relatório da arquitetura da rede, com a sua abrangência geográfica e utilização dos atuais prefixos de rede.
Para alocação do ASN o órgão vigente possui algumas regras e políticas. Uma organização justifica
a designação de um ASN quando é Multi Provedor (multihomed), ou seja, quando a organização está
conectada a dois ou mais provedores de trânsito Internet distintos e independentes e necessita, portanto, fazer
uso de protocolos de roteamento dinâmico, ou, quando possui uma política de roteamento que é distinta
daquela aplicada pelo(s) provedor(es) de trânsito Internet.
Para designação de blocos IP distingue o tipo da organização como sendo ISP ou Usuário Final.
Sendo a primeira para entidades que provêem acesso a terceiros e a segunda para entidades que utilizam
blocos na sua infra-estrutura exclusivamente, limitando o tamanho do bloco IP conforme o tamanho da rede
ou necessidade, tanto para blocos IPv4 quanto para blocos IPv6.
Uma vez que o formulário tenha sido processado, uma mensagem de confirmação será enviada ao
solicitante com um número de pedido (ticket), que identifica esse processo de solicitação. Durante o processo
de análise, informações adicionais podem ser solicitadas. Terminado o processo de análise o solicitante é
comunicado da aprovação ou não de seu pedido.
Em caso de aprovação, pode haver a necessidade de fazer um pagamento inicial, o que será
devidamente comunicado.
Tabela 4 – Valores para aquisição de blocos IP (Registro.br, 2010)
Categoria
Tamanho/Prefixos
Custo Inicial (R$)
Renovação (R$)
Small/Micro
Menor que /20
1.700,00
1.700,00
Small
/20 até /19
3.600,00
3.600,00
Medium
/19 até /16
9.700,00
9.700,00
Large
/16 até /14
20.400,00
20.400,00
Extra Large
/14 até /11
40.000,00
40.000,00
Mayor
Maior que /11
59.500,00
59.500,00
8
Para alocação dos registros de numeração também são necessários pagamentos de anualidades,
conforme o tamanho do bloco alocado. Tais valores são atualizados conforme o repasse dos custos
operacionais do LACNIC. A Tabela 4 mostra os valores para aquisição dos blocos IP em vigor (Novembro
de
) para I P’s
Os tamanhos dos prefixos oferecidos são divididos com CIDR e vão desde /20 (4096 endereços IP,
até /11 (2097152 endereços IP). Ainda é possível adquirir blocos como o /8 (16777216 endereços), mas este
tamanho de prefixo normalmente é para um RIR, ou seja, dificilmente nos dias de hoje uma entidade vai
conseguir alocar um prefixo tão numerável.
À entidade pertinente foi alocado um bloco /20 (4096 endereços IP), tendo um custo operacional de
R$ 3.600,00 mais R$ 1.000,00 para aquisição do ASN. Será usado o ASN 1000 e o bloco designado será
usado o 200.100.224/20 para validação.
4.2 Planejamento de numeração
Com a alocação do ASN e do bloco IP concretizadas é possível fazer o planejamento da substituição
dos endereços IP. No sentido de facilitar o administrador, como colocado a seguir na Tabela 5, é interessante
que se faça um comparativo da utilização dos endereços IP no cenário atual e os endereços que irão substituílos, usando segregação do prefixo 200.100.224/20 alocado, ou seja, vários blocos CIDR, no caso do bloco
/20 são possíveis 15 blocos /24.
Tabela 5 – Tabela de substituição de endereços IP
Aplicação
Prefixo antigo
Novo prefixo
Roteamento IGP
200.200.200/24
200.100.225/24
e Clientes
200.200.100/24
200.100.226/24
198.198.200/24
200.100.227/24
198.168.100/24
200.100.228/24
190.190.200/24
200.100.229/24
Serviços
190.190.100/24
200.100.224/24
Roteamento EGP
-
200.100.239/24
Como demonstrado na tabela, o roteamento de gateway exterior não era utilizado, já que os prefixos
utilizados eram provenientes do IGP da operadora. Como facilidade, segregar o prefixo 200.100.224/20 todo
em fatias menores, como as antigas eram usadas, fica mais claro ao administrador visualizar a utilização dos
prefixos como um todo para o processo de substituição de endereçamento. Também fica claro que os
prefixos 200.100.230.0/24 à 200.100.238/24 ficaram ociosos. A substituição pode impactar diretamente na
engenharia de tráfego, levando em conta o fato de que o consumo dos enlaces era baseado no consumo
interno, e conforme a necessidade, a entidade poderia simplesmente trocar endereços de hosts internos “de
uma operadora para outra”, distri uindo o consumo
4.3 IRR – Internet Routing Registry
Um Internet Routing Registry (IRR), ou registro de roteamento da Internet, é um banco de dados de
objetos. Um compartilhamento de informações relacionadas, utilizadas para configuração de roteadores, a
fim de evitar questões problemáticas entre os prestadores de serviços de Internet.
O IRR funciona fornecendo uma hierarquia de objetos interligados para facilitar a organização de
roteamento IP entre as corporações, e também para fornecer dados em um formato adequado para
automatizar a programação de roteadores. Os engenheiros de rede de organizações participantes são
autorizados a modificar os objetos no registro, para suas próprias redes. Então, qualquer um é capaz de
consultar o registro de rotas e de informações de interesse particular. lista dos IRR’s pode ser acessada
através do endereço http://www.irr.net/docs/list.html. A decisão de qual escolher fica a cargo da entidade. A
necessidade real de um registro em um IRR é discutível. Grandes operadoras de trânsito, na sua maioria, ao
fazer trânsito para entidades menores, já cadastram os prefixos provenientes do peering, isso porque há
entidades na Internet que, caso não haja registro ou conformidade na divulgação, direcionam o tráfego
proveniente dos prefixos que se enquadrarem para black-hole (descarte, “ uraco-negro”)
9
Para garantir na área do RIR a publicação dos objetos, a entidade pode no setor manutenção de
numeração no Registro.BR já cadastrar um política breve de seu roteamento. Essa inserção deve estar
conforme a RFC 1786, porém este documento não se estende a explicá-la. Existe para cadastro a sessão ASIN e AS-OUT, ou seja, a política de entrada e saída. A Figura 4, a seguir, demonstra a imagem adaptada do
Registro.BR para inserção:
Figura 4 - Exemplificação de objetos para publicação de roteamento
Na interface de inserção do AS-IN, ou seja, as políticas de entrada do AS, coloca-se todos os
atributos de filtros e informações necessárias para consulta de todos. No caso exemplificado, deixa claro que
vindo dos
’s vi inhos
,
e
aceita-se qualquer AS. Na interface de inserção AS-OUT, ou seja, as
políticas de anúncios, para todos os
’s vi inhos anuncia-se o AS 1000.
4.4 Hardware e Software
Para implementação do roteamento o hardware usado será um modelo Dell Power Edge R610 com
processador Intel Xeon E
de
GH , GB
de memória R M e H ’s
KRpm de
G
com RAID 5 para fail-over e ainda cinco interfaces de rede gigabit PCI-Express Intel 10/100/1000. Sistema
Operacional GNU/Linux Centos 5.5 com kernel 2.6.18-X. Para configuração de roteamento e aplicação do
BGP será usado o software Quagga versão 0.99.17.
Tabela 7 – Custo operacional envolvendo hardwares e softwares
Hardware/Software
Custo
Dell Power Edge R610
R$ 15.000,00
Switch 3COM 4200G
R$ 9.000,00
GNU/Linux Centos 5.5
-
Quagga 0.99.17
-
No intuito de haver uma conectividade em paralelo, será usado um switch antes do roteador de
borda, modelo 4200G 48 Portas da 3COM. A Tabela 7 demonstra o custo dos equipamentos.
É interessante salientar que a carga gerada pelo encaminhamento que “atravessa” o roteador é
intensa. Para tal tarefa, o computador mensurado consegue facilmente suprir a demanda com grande
“escala ilidade” Porém, existem perfis de appliances que conseguem atingir níveis muito superiores e além
do mais são criados exclusivamente para encaminhamento, por exemplo roteadores de core de fabricantes
como Cisco e Juniper, que possuem barramentos exclusivamente para tratar da pilha TCP/IP e aplicações de
roteamento dinâmico, possivelmente serão saídas únicas caso a demanda aumente exponencialmente.
4.5 Tratamento com fornecedores
No sentido de tornar possível a comunicação com as operadoras, a corporação deve negociar a
10
habilitação das sessões BGP. Para que isso se concretize, após terem sido feitas as solicitações, a operadora
deve passar um formulário de ativação do BGP. Nos formulários das operadoras estão contidas informações
técnicas em relação ao peering, como IP do roteador vizinho com a qual a sessão será estabelecida, assim
como o número do ASN.
Também deve estar no formulário o perfil de tabelas de roteamento a serem entregues.
Habitualmente o upstream dá a opção de o cliente escolher entre toda a tabela de roteamento da Internet (full
routing), somente prefixos do AS vizinho, ou somente rotas dos vizinhos do AS com qual se está fazendo
peering. Há ainda os que oferecem o perfil dividindo entre rotas nacionais e/ou internacionais. A escolha do
“perfil” da ta ela, pode estar relacionada com a capacidade do roteador que fará o roteamento de orda, é por
este fato que alguns tratam como o perfil de encaminhamento quando não é full routing como BGP Light.
Assim como a relação das tabelas de roteamento entrantes, as operadoras podem solicitar à que
vizinhos a entidade deseja que seus prefixos sejam divulgados, como trânsitos Internet internacionais,
nacionais e/ou PTT’s Possivelmente a operadora questionará se o AS em questão faz trânsito para algum
outro Sistema Autônomo, o que no caso não ocorre.
Tendo tais acordos bem definidos, na Tabela 8 abaixo consta o acordo efetuado para o recebimento
de prefixos e a divulgação dos mesmos para os upstreams:
Tabela 8 – Acordo de formulários para divulgação dos prefixos
Prefixos divulgados para
Prefixos
vizinhos da operadora:
recebidos
Operadora 1
Todos
AS + Nacionais
Operadora 2
Todos
AS + Internacionais
Operadora 3
Todos
Full Routing
Depois de escolhidas as políticas aplicadas aos prefixos é necessário determinar os endereços IP que
serão configurados para possi ilitar a sessão BGP omo foi alocado o “ ltimo” prefixo / do loco IP
segregado, será segregado novamente com prefixos menores para cada sessão com operadoras diferentes.
Existe a possibilidade de no roteador de borda fazer com que a origem de atualizações seja na interface
loopback, isso por que em alguma eventualidade, se a sessão for estabelecida com um IP configurado em
uma interface que venha a ter problemas, todas as sessões podem vir a ser comprometidas.
Na Tabela 9 a seguir consta os endereços de rede utilizados para cada sessão com as operadoras de
telecomunicação, segregando o prefixo 200.100.239/24:
Tabela 9 – Relação de endereços IP utilizados na configuração das interfaces para EGP
Endereços de Rede
IP na operadora
IP na entidade
Interface
Operadora1
200.100.239.0/30
200.100.239.2
200.100.239.1
ETH1
Operadora2
200.100.239.4/30
200.100.239.6
200.100.239.5
ETH2
Operadora3
200.100.239.8/30
200.100.239.10
200.100.239.9
ETH3
Para a sessão estabelecida será utilizado o IP 200.100.239.254 futuramente configurado na interface
loopback do roteador. O mesmo IP será designado para o formulário da operadora. Além dos dados contidos
no lado da empresa, existem ainda os dados que os upstreams terão que passar para configuração das sessões
BGP. Na Tabela 10 a seguir as configurações repassadas pelas operadoras:
Tabela10 – Informações das operadoras para sessão BGP
Router ID - Neighbor
ASN
Saltos
Operadora1
50.50.50.50
100
1
Operadora2
60.60.60.60
200
3
Operadora3
70.70.70.70
300
1
Definidas as informações contidas no formulário das operadoras e de utilização para implementação
do roteador, pode-se dar continuidade ao processo migratório.
11
4.6 Implementando BGP com Quagga
Dando continuidade, o passo seguinte é a “elevação” do roteador Primeiramente a instalação física
foi efetuada em paralelo com a rede antiga, ou seja, a instalação do switch 3COM, configurado com 3
VL N’s distintas para cada operadora com interfaces cada, e o restante das VL N’ para serviços e
distribuição da rede. Assim que a instalação do sistema operacional foi concluída instalou-se o Quagga.
O Quagga é um software de implementação com uma suíte de roteamento. Ele possui uma interface
cisco-like, possibilitando aos engenheiros de rede uma familiaridade na configuração desse software. Assim
que elevado o serviço do Quagga no Linux é possível acessar a interface através do software vtysh, que é um
Shell integrado ao Quagga para acesso à interface do mesmo. As primeiras configurações a serem efetuadas
são: o nome do roteador, arquivos de logs, definir o tipo de configuração e habilitar o encaminhamento
(forwarding), como na Figura 5:
vtysh
bgp.dominio.com.br# conf t
bgp.dominio.com.br(config)# hostname bgp.dominio.com.br ← nome do roteador
bgp.dominio.com.br(config)# log file /var/log/quagga/bgpd.log ← arquivo de logs
bgp.dominio.com.br(config)# bgp config-type cisco ← definir configuração cisco-like
bgp.dominio.com.br(config)# forwarding yes ← habilitar encaminhamento
bgp.dominio.com.br(config)# ctrl+z ← volta para raiz
bgp.dominio.com.br# write ←salvar
Figura 5 – Primeiras configurações do roteador de borda
4.6.1 Configurando as Interfaces
A configuração das interfaces de rede podem ser feitas no Linux e no Quagga, enfim, o Quagga
emula as configurações para o Linux. Foi inserido como na Figura 6:
bgp.dominio.com.br# conf t
bgp.dominio.com.br(config)# int lo
bgp.dominio.com.br(config-if)# ip address 200.100.239.254
bgp.dominio.com.br(config)# int eth1
bgp.dominio.com.br(config-if)# ip address 200.100.239.1/30
bgp.dominio.com.br(config)# int eth2
bgp.dominio.com.br(config-if)# ip address 200.100.239.5/30
bgp.dominio.com.br(config)# int eth3
bgp.dominio.com.br(config-if)# ip address 200.100.239.9/30
bgp.dominio.com.br(config-if)# int eth0
bgp.dominio.com.br(config-if)# ip address 200.100.224.1/24
Figura 6 – Configuração das Interfaces do roteador de borda
4.6.2 Rotas estáticas
Como os endereços IP dos upstreams, não estão no mesmo enlace do roteador de borda, para a
sessão BGP se estabelecer é preciso adicionar rotas estáticas através dos endereços IP definidos para cada
operadora, sendo efetuado conforme a Figura 7 a seguir:
bgp.dominio.com.br# conf t
bgp.dominio.com.br(config)# ip route 50.50.50.50/32 200.100.239.2
bgp.dominio.com.br(config)# ip route 60.60.60.60/32 200.100.239.6
bgp.dominio.com.br(config)# ip route 70.70.70.70/32 200.100.239.10
bgp.dominio.com.br(config)# ip route 0.0.0.0/0 200.100.239.10
Figura 7 – Configuração de rotas estáticas para efetuar o peering.
12
Além das rotas estáticas para fechar a sessão BGP também foi adicionada a rota default. Ela até
poderia ser retirada pois pelo upstream recebe-se full routing, porém como fail over, caso o upstream caia ou
por alguma política algum prefixo fique retido em algum roteador há uma saída alternativa.
4.6.3 Sessões BGP
Cada sessão com a operadora tem o conceito de neighbor. A configuração da sessão foi efetuada
como demonstrado na Figura 8:
bgp.dominio.com.br# conf t
bgp.dominio.com.br(config)# router bgp 1000
A sintaxe anterior define o ASN local para/com os quais as sessões serão estabelecidas.
bgp.dominio.com.br(config-router)# no synchronization
Evita que rotas internas (IGP) do AS sejam atualizadas nas tabelas da Internet.
bgp.dominio.com.br(config-router)# bgp router-id 200.100.239.254
Identificador do AS, IP com o qual as operadoras irão fazer o peering.
bgp.dominio.com.br(config-router)# network 200.100.224.0 mask 255.255.240.0
Prefixo a ser divulgado, neste caso todo bloco alocado.
bgp.dominio.com.br(config-router)# redistribute kernel
Distribuir rotas para o Kernel
bgp.dominio.com.br(config-router)# redistribute connected
Distribuir rotas do mesmo enlace
A seguir serão passados os comandos utilizados para configurar a sessão com a Operadora1, e a
explicação de cada sintaxe:
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 remote-as 100
Define o vizinho e o ASN do mesmo.
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 description "AS100–Op1"
Descrição da sessão em questão.
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 interface eth1
Interface utilizada para conexão com AS vizinho.
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 update-source lo
Sintaxe para fazer atualização através da interface loop-back.
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 weight 150
Define um peso para o processo de seleção de rotas.
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 soft-reconfiguration inbound
Permite que modificações sejam feitas sem que precise limpar toda a sessão BGP.
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 distribute-list 199 in
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 distribute-list 199 out
Listas de distribuição de entrada e saída, serve para aplicar filtros.
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 route-map OP1_IN in
bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 route-map OP1_OUT out
Listas de route-maps ou mapa de rotas de entrada e saída.
Figura 8 – Configuração de uma das sessões BGP do roteador de borda
Nas outras operadoras os comandos utilizados foram os mesmos, somente mudando o IP do
neighbor, os pesos para o processo de seleção de saída e as descrições das operadoras onde necessário. No
caso da Operadora2 que no seu formulário de entrega, deixou claro que para chegar até o IP com o qual será
efetuado o peering há 3 saltos, ainda é necessário adicionar a linha neighbor 200.100.239.6 ebgp-multihop 3,
sintaxe utilizada quando o vizinho está alguns saltos de distância.
Em relação ao weight, a escolha foi feita conforme o perfil de entrada dos prefixos. Como pela
Operadora 1 entram os prefixos dela e mais os prefixos dos upstreams nacionais da mesma, foi dado um peso
de valor 150. Para Operadora2 que repassa seus prefixos e de seus upstreams internacionais foi dado um
peso 100. E para Operadora 3 que repassa full-routing, foi aplicado um peso 50. Essa diferenciação de
valores está relacionada ao número de prefixos recebidos, ou seja, operadoras que repassam mais prefixos,
13
com certeza serão as mais selecionadas para encaminhar o tráfego, por isso maior peso para as que menos
prefixos repassarem.
4.6.4 Prefix-lists
Os prefix-lists são listas de prefixos as quais são aplicadas as divulgações. Se na configuração da
sessão foi adicionada um prefixo a ser divulgado, ou vários, com o prefix-list pode se dizer por qual
upstream ele vai ser divulgado, ou seja, na divulgação o bloco inteiro /20 pode ser segregado divulgando
vários /24, e através do prefix-list definir a lista de prefixos que é divulgada por uma operadora e outra lista
prefixos por outras operadoras. Brevemente será referenciado o prefix-list como ponto crucial para
engenharia do tráfego. Apenas para inserção, a sintaxe foi colocada como na Figura 9 a seguir:
bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP1 description "Prefixos anunciados para OP1 – AS100"
bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP1 seq 10 permit 200.100.224.0/20
bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP2 description "Prefixos anunciados para OP2 – AS200"
bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP2 seq 11 permit 200.100.224.0/20
bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP3 description "Prefixos anunciados para OP3 – AS300"
bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP3 seq 12 permit 200.100.224.0/20
Figura 9 – Configuração de prefix-lists para anúncio de prefixos.
Por padrão, se não fossem inseridos os prefix-lists, o roteador anunciaria todo bloco /20 para todas as
operadoras, ou seja, faria a mesma coisa, porém futuramente se desejável anunciar prefixos exclusivos para
determinadas operadoras o prefix-list já está pronto.
4.6.5 Filtros
Quando passa-se a trocar tráfego entre Sistemas Autônomos existem algumas precauções que se
deve tomar. Visto que a entidade não entra mais no perfil de filtros de segurança e boas práticas de
roteamento de borda das operadoras, a entidade deve agora aplicá-las no seu roteador de borda. Os filtros são
criados através de access-lists, aplicados no perfil de entrada dos distribute lists.
A RFC 1918 determina que certos endereços não sejam utilizados na Internet, tais endereços também
chamados de Bogon. A sintaxe foi aplicada como demonstrado na Figura 10 a seguir:
bgp.dominio.com.br# conf t
bgp.dominio.com.br# access-list 199 deny ip host 0.0.0.0 any
bgp.dominio.com.br# access-list 199 deny ip 0.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
bgp.dominio.com.br# access-list 199 deny ip 1.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
bgp.dominio.com.br# access-list 199 deny ip 10.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
bgp.dominio.com.br# access-list 199 deny ip 19.255.0.0 0.0.255.255 255.255.0.0 0.0.255.255
bgp.dominio.com.br# access-list 199 deny ip 59.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
bgp.dominio.com.br# access-list 199 deny ip 127.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
bgp.dominio.com.br# access-list 199 deny ip 129.156.0.0 0.0.255.255 255.255.0.0 0.0.255.255
bgp.dominio.com.br# access-list 199 deny ip 172.16.0.0 0.15.255.255 255.240.0.0 0.15.255.255
bgp.dominio.com.br# access-list 199 deny ip 192.0.2.0 0.0.0.255 255.255.255.0 0.0.0.255
bgp.dominio.com.br# access-list 199 deny ip 192.9.200.0 0.0.0.255 255.255.255.0 0.0.0.255
bgp.dominio.com.br# access-list 199 deny ip 192.9.99.0 0.0.0.255 255.255.255.0 0.0.0.255
bgp.dominio.com.br# access-list 199 deny ip 192.168.0.0 0.0.255.255 255.255.0.0 0.0.255.255
bgp.dominio.com.br# access-list 199 deny ip any 255.255.255.128 0.0.0.127
bgp.dominio.com.br# access-list 199 permit ip any any
Figura 10 – Filtros de redes privadas conforme RFC 1918
14
Como os distribute lists foram inseridos nas sessões como sendo 199, que pode ser substituído por
qualquer caractere, da mesma maneira os access-lists foram criados. Assim como os distribute lists, existem
os route-maps. Nos route-maps é que se aplicam as configurações de perfil de roteamento, ou seja, quais os
prefix-lists estão vinculados a quais route-maps.
Funcionando como a aplicação de políticas de segurança por AS-PATH, criando access-lists para os
mesmos, ambos aplicados conforme a Figura 11 a seguir:
bgp.dominio.com.br(config)# ip as-path access-list 1 permit ^100_
bgp.dominio.com.br(config)# ip as-path access-list 1 deny ^#
bgp.dominio.com.br(config)# ip as-path access-list 2 permit ^200_
bgp.dominio.com.br(config)# ip as-path access-list 2 deny ^#
bgp.dominio.com.br(config)# ip as-path access-list 3 permit ^300_
bgp.dominio.com.br(config)# ip as-path access-list 3 deny ^#
bgp.dominio.com.br(config)# ip as-path access-list 100 permit ^$
bgp.dominio.com.br(config)# ip as-path access-list 100 deny ^#
Figura 11 – Access-lists para route-maps filtrando AS’s vizinhos
Com essa sintaxe aplica-se a regra de que o access-list 1 está relacionado à Operadora1 pelo ASN
100, o access-list 2 relacionado à Operadora2 pelo ASN 200 e o access-list 3 em relação a Operadora3 pelo
ASN 300. Ainda o access-list 100 relacionado à qualquer outro ASN. A seguir, na Figura 12, a utilização dos
route-map na Operadora1:
bgp.dominio.com.br(config)# route-map OP1_IN permit 10
bgp.dominio.com.br(config)# match as-path 1
bgp.dominio.com.br(config)# route-map OP1_OUT permit 10
bgp.dominio.com.br(config)# match as-path 100
bgp.dominio.com.br(config)# match ip address prefix-list Anuncio-OP1
Figura 12 – Route-map para Operadora1
É notável que no route-map criado na sessão BGP agora pode ser adicionadas regras e filtros. As
linhas anteriores referem-se que no perfil de entrada somente poderão passar updates originados do AS 100,
e no perfil de saída permite-se qualquer AS e permite-se os prefixos em relação aos prefixs-lists criados. O
mesmo ocorre com a Operadora2 e Operadora3 como exemplificado na Figura 13:
bgp.dominio.com.br(config)# route-map OP2_IN permit 10
bgp.dominio.com.br(config-route-map)# match as-path 2
bgp.dominio.com.br(config)# route-map OP2_OUT permit 10
bgp.dominio.com.br(config-route-map)# match as-path 100
bgp.dominio.com.br(config-route-map)# match ip address prefix-list Anuncio-OP2
bgp.dominio.com.br(config)# route-map OP3_IN permit 10
bgp.dominio.com.br(config-route-map)# match as-path 3
bgp.dominio.com.br(config)# route-map OP3_OUT permit 10
bgp.dominio.com.br(config-route-map)# match as-path 100
bgp.dominio.com.br (config-route-map)# match ip address prefix-list Anuncio-OP3
Figura 13 – Route-maps para Operadora2 e Operadora3
15
4.6.6 Validando configurações e visualizando sessões
Para verificar o estado das sessões, basta no terminal inserir a sintaxe show ip bgp neighbors, que a
saída, apresentará informações sobre as sessões, como IP e AS vizinhos, o tempo de vida da sessão, o estado
finito da máquina BGP, o número de prefixos recebidos, os route-maps e etc. Em seguida, na Figura 14, um
resumo de uma sessão com a Operadora3:
BGP neighbor is 70.70.70.70, remote AS 300, local AS 1000, external link
Description: "AS300 – OP3"
BGP state = Established, up for 01w6d11h
Last read 00:00:08, hold time is 180, keepalive interval is 60 seconds
Neighbor capabilities:
Minimum time between advertisement runs is 30 seconds
Default weight 50
Incoming update network filter list is *199
Outgoing update network filter list is *199
Route map for incoming advertisements is *OP3_IN
Route map for outgoing advertisements is *OP3_OUT
328199 accepted prefixes
Figura 14 – Resumo do estado da sessão com Operadora3
É possível verificar que as entradas na tabela de roteamento, provenientes da Operadora3 que repassa
full-routing, que o número de prefixos chega a mais de 328 mil. É justamente pelo fato de na Internet os
Sistemas Autônomos praticarem nas suas bordas políticas de segregação do bloco IP como forma de
engenharia de tráfego.
Existem várias expressões regulares que existem para auxiliar o administrador. Este documento não
se estende para exemplificar todas. Existe outra expressão regular que lista os prefixos recebidos, e conforme
as regras aplicadas os seus atributos, por exemplo, show ip bgp, que trará, aqui de forma resumida tais
resultados na Figura 15:
BGP table version is 0, local router ID is 200.100.239.254
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Network
Next Hop
Metric LocPrf Weight Path
*> 2.16.0.0/13
50.50.50.50
150 100 18881 3549 31377
*
60.60.60.60
100 200 6453 209 31377
*
70.70.70.70
50 300 31377
*> 2.17.128.0/20
50.50.50.50
150 100 18881 3549 4436
*
70.70.70.70
50 300 3491 4436
*> 2.80.0.0/14
50.50.50.50
150 100 8657 3243
*
60.60.60.60
100 200 18881 3549 8657 3243
*
70.70.70.70
50 300 6453 3356 8657 3243
*> 2.94.12.0/23
70.70.70.70
50 300 3549 3491 20485 8402
*> 3.51.92.0/23
60.60.60.60
100 200 18881 3549 7018
*
70.70.70.70
50 300 6453 7018
*> 4.0.0.0/9
70.70.70.70
50 30018881 3549 3356
Figura 15 – Exemplo de uma saída de listagem dos prefixos
16
Pode-se notar que a preferência para a seleção de saída para chegar no prefixo 2.16.0.0/13 será pela
Operadora1, pois no critério weight, que tem maior peso, foi selecionado como melhor next hope. Também é
notável que há prefixos como o 2.94.12.0/23 só foi recebido pela Operadora3, que repassa full routing,
validando o fato de colocar menor peso para seleção para upstreams que repassam mais prefixos.
4.7 Migração de endereçamento e engenharia de tráfego
Após validadas as configurações conforme os testes, é necessário iniciar a migração de
endereçamento. Antes de mais nada, serviços como um DNS resolver já devem ser configurados e
disponibilizados para a troca dos hosts que o utilizam. Assim como serviços vinculados às mudanças devem
ser previamente preparados para fazê-la.
Assim que concluídas as mudanças programadas dos endereços IP dos ativos de rede, roteadores e
clientes, é importante validar a engenharia de tráfego. Para isso deve-se aplicar nos prefix-lists a divulgação
de prefixos segregados, exclusivos, conforme o plano de substituição de endereços. Primeiramente se
divulga no início das sessões BGP os prefixos segregados, ou seja, no local onde está o bloco inteiro sendo
divulgado para os vizinhos, ainda terá que ser adicionado o restante dos blocos menores. A figura 16, a
seguir, demonstra tal aplicação:
bgp.dominio.com.br(config-router)# network 200.100.224.0 mask 255.255.255.0
bgp.dominio.com.br(config-router)# network 200.100.225.0 mask 255.255.255.0
bgp.dominio.com.br(config-router)# network 200.100.226.0 mask 255.255.255.0
bgp.dominio.com.br(config-router)# network 200.100.227.0 mask 255.255.255.0
bgp.dominio.com.br(config-router)# network 200.100.228.0 mask 255.255.255.0
bgp.dominio.com.br(config-router)# network 200.100.229.0 mask 255.255.255.0
Figura 16 – Prefixos a serem divulgados
Depois de concluído esse procedimento, é necessário aplicar nos prefix-lists as saídas dos prefixos
pelas operadoras pré-definidas. A figura 17 demonstra o processo.
bgp.dominio.com.br(config ip prefix-list Anuncio-OP1 seq 13 permit 200.100.225.0/24
bgp.dominio.com.br(config ip prefix-list Anuncio-OP1 seq 14 permit 200.100.226.0/24
bgp.dominio.com.br(config ip prefix-list Anuncio-OP2 seq 15 permit 200.100.227.0/24
bgp.dominio.com.br(config ip prefix-list Anuncio-OP2 seq 16 permit 200.100.228.0/24
bgp.dominio.com.br(config ip prefix-list Anuncio-OP3 seq 17 permit 200.100.229.0/24
bgp.dominio.com.br(config ip prefix-list Anuncio-OP3 seq 18 permit 200.100.224.0/24
Figura 17 – Prefix-lists dividindo divulgação dos prefixos
Os prefixos /20 inseridos no início da configuração permanecem nela. Isso porque podem existir, o
que é pouco provável, Sistemas Autônomos que filtram prefixos /24 e menores. Com a aplicação desses
prefix-lists, é necessário limpar a sessão BGP, primeiramente salvando e depois utilizando clear ip bgp *
soft, que aplica as modificações sem “derru ar” a sessão
Com a divulgação desses prefixos segregados, obrigatoriamente no processo de seleção de rotas dos
roteadores de toda Internet ao enviar pacotes para tais destinos, vão entrar pela operadora na qual o prefixo
menor for divulgado. Assim, é possível aplicar uma engenharia de tráfego baseada no consumo dos prefixos.
É interessante salientar que tal processo deve ser acompanhado da gerência da rede que pode alertar em caso
de saturação ou proximidade da saturação de um enlace. Outro detalhe são os prefixos internos, eles devem
ser distribuídos conforme o plano de endereçamento interno da entidade.
Processo seguinte é executar a migração total. Para isso equipes de serviço devem integrar-se para
que tudo ocorra conforme planejado. Primeiramente devem ser alterados os dados no Registro.br, passando
os domínios de responsabilidade da entidade para o novo bloco IP, como DNS Reverso. Após mudados os
dados é hora de migrar os serviços para a nova rede e liberar a rede antiga para a operadora. Este documento
não se estende a exemplificar a mudanças dos diferentes tipos de serviço nem dos prefixos IGP, porém é
importante salientar que, serviços como DNS e divulgação do DNS reverso devem ser bem preparadas. Caso
17
seja divulgado algo divergente pode arruinar o respaldo da entidade na Internet, levando em conta o fato de
que existem centenas de listas que validam nomes de servidores de e-mail por exemplo, e seus nomes
reversos, e caso haja inconformidade, inserem o bloco IP em listas negras.
4.8 Cenário final
O cenário agora está migrado. A entidade passa agora a assumir com total liberdade a manipulação
de endereços, inclusive se necessário alocar mais prefixos junto ao Registro.br. A figura 18, a seguir, mostra
o cenário migrado com a arquitetura na borda da entidade. Este cenário deixa claro a arquitetura da Internet.
É notável que cada Sistema Autônomo possui sua malha distribuída geograficamente e essa é conectada com
outros Sistemas Autônomos, formando a malha da Internet.
Quanto mais peerings um AS puder fazer, mais contingência e provavelmente menor será o tempo
de resposta para os diferentes destinos disponíveis na Internet.
Figura 18 – Novo cenário
4.9 Boas práticas
Para a verificação dos anúncios na internet ou verificar se os roteadores estão recebendo os anúncios,
utiliza-se os Looking Glass Servers, que os grandes ISP's e centros de operação de rede disponibilizam na
internet. BGP Looking Glass Servers são computadores na Internet que oferecem uma variedade de serviços
implementados para a verificação de roteamento e testes de ICMP. Em um Looking Glass Server (ou LG
server), essencialmente, o servidor roda de forma limitada, um portal read-only para verificação do
roteamento de uma determinada organização. Alguns dos LG servers estão disponíveis em
http://routeserver.org/ para consulta.
Em caso de route-flapping, ou seja, mudanças nos anúncios dos prefixos em curto espaço de tempo,
ou uma mudança em curto espaço de tempo da sessão, roteadores implementam bloqueio de ASN's. Se o
administrador limpar muitas vezes a sessão por exemplo, possivelmente será bloqueado em alguma borda.
Essa prática é conhecida como dumpening.
Essa prática pode ser considerada boa em caso de problemas com algum enlace ou flapping em
alguma interface de rede, fazendo com que sessões caiam a todo momento. O bloqueio temporário inibe que
essa variação seja notada. Mas a prática pode ser ruim. Falha na manipulação do roteador por exemplo, pode
causar inacessibilidade de Sistemas Autônomos causadas por dumpening. Portanto é necessário que as
mudanças aplicadas sejam feitas com cautela e freqüência adequada.
18
5 CONCLUSÃO
O processo de migração de uma entidade conectada à internet através de operadoras de
telecomunicação, passando a ser um Sistema Autônomo é complexa, no sentido de que passe-se a trabalhar
com variáveis desconhecidas. Como qualquer processo de melhoria ou atualização é necessário que haja um
planejamento adequado, para que possam ser diminuídos os riscos e os objetivos concretizados.
Com a entidade migrada, agora pode manter seu crescimento sem dependência de operadoras, por
possuir seu próprio bloco IP e ainda poder aumentá-lo quando necessário. Além disso a negociação
comercial com as operadoras é facilitada, já que essa dependência termina. Por exemplo, na negociação do
preço pago para 1Mbps à operadora pode se tornar diferenciado, já que argumentos como não dependência e
fácil agregação de outras provedoras do mesmo serviço são pouco onerosas. Inclusive tecnicamente, havendo
uma harmonia no fluxo de dados entre roteadores, já que o BGP traz consigo uma contingência dinâmica,
mantendo a alta disponibilidade da entidade na Internet, podendo ainda aplicar suas próprias políticas de
roteamento.
Outro quesito importante a ser concluído após esse processo é o grande potencial do Linux junto ao
Quagga. Pelo fato de ser uma interface cisco-like há bastante documentação, sobre expressões para
configuração e troubleshooting para Cisco. Uma interface livre sem custos, que apesar das suas limitações,
possui um potencial enorme. Ainda é possível mesclar benefícios do Linux, como firewall e serviços de
gerência para melhorias de segurança e monitoramento. Também é fato que appliances como Cisco e Juniper
têm um custo dezenas de vezes maior que um proviosonamento BGP como este.
Este documento também possui algumas limitações. Alguns atributos do BGP não foram explicados
ou mencionados, como MED’s, confederations, route reflactors, communities, peer groups e até a
autenticação da sessão BGP. Atributos que podem auxiliar ainda mais a administração de grandes tabelas de
roteamento e aplicação de engenharia de tráfego. Também não faz menção de técnicas de troubleshooting de
problemas com BGP exemplificando-os. Outra ausência que é importante salientar é, as individualidades de
cada serviço a serem migrados e suas características, justamente pelo fato de não ser o foco do artigo. Porém
deixa claro os passos para o processo migratório. Mas, como forma de oportunidade para um trabalho futuro,
posso vir a estar inserindo tais limitações e alimentado com maior riqueza de detalhes todos esses passos.
REFERÊNCIAS
COMER, Douglas E. The Internet Book: Everything You Need to Know About Computer Networking
and How the Internet Works, 3ª Edição, 2000.
HAWKINSON, John; BATES, TONY. Guidelines for creation, selection, and registration of an
Autonomous System (AS). Disponível em http://tools.ietf.org/html/rfc1930. Acessado em 10 de setembro
de 2010.
VAN BEIJNUM, Iljitsch. Building Reliable Networks with the Border Gateway Protocol. Editora
O'Reilly & Associates, Inc., 1ª Edição, 2002
TRAINA, Paul. BGP-4 Protocol Analysis. 1995. Disponível em http://tools.ietf.org/html/rfc1774. Acessado
11 de setembro de 2010.
WILLIS, Steven; BURRUSS, John; CHU, John. Definitions of Managed Objects for the Fourth Version
of the Border Gateway Protocol (BGP-4) using SMIv2. 1994 Disponível em
http://tools.ietf.org/html/rfc1657. Acessado em 20 de outubro de 2010.
Projeto CobiT-BR – COBIT 4.1 - IT Governance Institute. 2007. Disponível em
http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf. Acessado em 31 de
outubro de 2010.
TANNENBAUM, Andrew. Redes de computadores. Editora Campus. 4ª Edição, 2003
(IANA) Internet Assigned Numbers Authority. Disponível em http://www.iana.org/. Acessado em 30 de
outubro de 2010.
(NIC.br) Núcleo de Informação e Coordenação do Ponto BR. Disponível em http://www.nic.br/. Acessado
em 31 de outubro de 2010.
19