Ejemplo: Linux y Network Prefix Translation (NPT)

Introducción:

En este post voy a intentar explicar brevemente que es NPT, por qué es útil y finalmente dejaré un pequeño ejemplo que espero sea de utilidad.

¿Qué es NPT?

NPT por sus siglas en Inglés significa Network Prefix Translation, algunos lo podrás comparar con NAT en IPv6.., y bueno,., es medianamente cierto. Siendo la palabra “medianamente” perfectamente utilizada en la oración previa.

En NPT básicamente lo que se busca es traducir la dirección origen en un datagrama IPv6, pero particularmente la sección del prefijo de red (NET ID) dejando la parte del IID (Host ID) sin modificación.

¿Por qué hacer NPT?

Existen varias razones. Voy a mencionar solo dos.

1. Estoy en una red con dos proveedores de Internet (no tengo IPs propias ni ASN), pero necesito alguna redundancia para salir a Internet. El equipo de borde en vez de realizar un NAT con sobre de carga de puertos a una sola dirección IP (con todos los problemas y limitantes que esto ocasiona) solo modifica los primeros bits del la dirección (digamos, los primeros 64 bits solo como manera de ejemplo).
2. Si necesitar hacer “renumbering” de tu red pero tienes IPs del tipo ULA (u otra propia quizas) tu vida será mucho más sencillo al solo tener que modificar el traductor NPT y no hacer re-enumeración de toda la red.

Diagrama ejemplo

Configurando un equipo Linux para hacer NPT:

Los pasos para configurar NPTv6 (o NPT) en Linux son muy sencillos. Debes hacerlo tanto de paquetes salientes como de paquetes entrantes.

#From internal network to external Network

ip6tables -t nat -A POSTROUTING -d 2000::/3 -s 2001:db8:AAAA:AAAA::/64 -j NETMAP

--to 2001:db8:CCCC:CCCC::/64;

#From external network to internal network

ip6tables -t nat -A PREROUTING -s 2000::/3 -d 2001:db8:CCCC:CCCC::/64 -j NETMAP

--to 2001:db8:AAAA:AAAA::/64;

Mas info:

https://dn42.net/howto/IPv6

http://www.howfunky.com/2012/02/ipv6-to-ipv6-network-prefix-translation.html

Y por supuesto el RFC mismo:

https://tools.ietf.org/html/rfc6296

Verificar el origen de un prefijo BGP

Historia:
  En algunas situaciones queremos estar seguros que el prefijo BGP aprendido en nuestro router sea efectivamente originado por quien debería ser. Han ocurrido ciertas eventualidades en la historia del mundo de Internetworking donde un Sistema Autonomo ha publicado redes no debidas (ej: http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study).
  Hoy en día un poco más del 10% de los prefijos asignados por los RIRs (Lacnic, RIPE, Afrinic, ARIN y APNIC) tienen asignado un ROA (Route Origin Authorization) el cual indica de manera segura quien es el sistema autonomo asignado para publicar cierto prefijo. A lo anterior se le conoce como Resource Public Key Infrastructure (RPKI) 


Problema:
  Deseo saber cual debería ser el sistema autónomo de un prefijo especifico (por ejemplo una red aprendida por BGP). 


Solución:
  Seguramente en un futuro cercano tendremos decenas de páginas Web donde podamos consultar el sistema autonomo que debería publicar cierta red (quizás hoy en día existen y yo no las conozco), en fin, nuestro buen amigo whois nunca nos falla. En esta oportunidad nos apoyaremos en el servidor whois de bgpmon.net


  Aquí les dejo los comandos y unas salidas ejemplos:

• ROA con problemas (
  Se esperaba el AS 17NN9 y esta siendo publicado por el 79NN)):

aacosta@bind:~$ whois -h whois.bgpmon.net 2001:NNNN::0


Prefix:              2001:NNNN::/32
Prefix description:  
Country code:        VE
Origin AS:           79NN
Origin AS Name:      NNNNNN.
RPKI status:         ROA validation failed: Invalid Origin ASN, expected 17NN9

• ROA satisfactorio:

aacosta@bind:~$ whois -h whois.bgpmon.net 2001:NNNN::0


Prefix:              2001:NNNN::/32
Prefix description:  
Country code:        VE
Origin AS:           79NN
Origin AS Name:      NNNNNNN.
RPKI status:         ROA validation successful

• SIN ROA (en este prefijo no podremos saber que AS debería publicarlo):

aacosta@bind:~$ whois -h whois.bgpmon.net 2800:NN::0

Prefix:              2800:NN::/32
Prefix description:  
Country code:        AR
Origin AS:           79NN
Origin AS Name:      NNNNNN
RPKI status:         No ROA found

Más información:
http://acostanetwork.blogspot.com/2011/03/historico-de-tablas-bgp-hijack-de-mi.html (Histórico de tablas BGP)
https://labs.ripe.net/Members/Paul_P_/content-serving-roas-rpsl-route-objects
http://bgpmon.net/blog/?p=414

Comando oculto en Cisco. Conectarse a VIPs

Manejas routers 7500 o 12000 de Cisco?

Probablemente hayas tenido la necesidad o curiosidad de conectarte directamente a una interfaz VIP del router, aquí puedes revisar CPU, memoria, controladoras directamente, etc. Es casi como un pequeño o mini router dentro del router grande (7500/12000).

El comando es el siguiente:
if-con #nro de slot

por ejemplo

coreNNN#if-con 0
Console or Debug [C]:
Entering CONSOLE for VIP4-80 RM7000 0
Type "^C^C^C" or "if-quit" to end this session


VIP-Slot0>ena
VIP-Slot0#sh proc cpu
CPU utilization for five seconds: 18%/18%; one minute: 6%; five minutes: 8%



ETC, aquí puedo hacer lo que desees. Incluso un reload de la VIP

Suerte!

Comando oculto en Cisco. Telefonía

Muchas veces es complicado hacer troubleshooting de llamadas en Cisco, quizás debes contactar a una persona que se encuentra en una localidad remota para hacer algún tipo pruebas etc.
En fin, si deseas simular una llama en un equipo puedes hacerlo con el siguiente comando:

csim start

Con este comando puedes simular la llamada donde es el peer al que deseas llamar.

Te recomiendo que coloques previamente terminal monitor para hacer un troubleshooting con más detalle