En el video se realiza un demo del funcionamiento de una ruta estática flotante utilizando IPv6. Comienza explicando que es una ruta estática flotante y luego se procede al demo donde existen tres enrutadores, dos de ellos hablan OSPFv3 mientras que el enlace de backup se realiza de manera estática, la ruta flotante configurada se encuentra en el primer router/enrutador. El demo fue realizado utilizando equipos Cisco sin embargo el principio es el mismo en cualquier sistema operativo.
Blog en espanol destinado a diferentes temas tecnicos principalmente en IT y Networking. Se desea cubrir Linux, DNS, DNSSEC, RPKI, BGP, Cisco, Programacion (Bash, Python, etc), Protocolos de Enrutamiento, Seguridad en Redes, VoIP.
Mostrando entradas con la etiqueta router. Mostrar todas las entradas
Mostrando entradas con la etiqueta router. Mostrar todas las entradas
miércoles, 9 de junio de 2021
viernes, 30 de abril de 2021
Como conectarse via consola a un router Cisco desde una MAC
Pasos:
- Conecta el puerto USB a la consola del router
- Conecta el puerto USB (o usb-c) a la computadora MAC
- Enciende el router
- Abre una venta terminal
* Ejecuta:
$cd /dev
- Identifica el puerto USB local en la computadora haciendo:
$ls -ltr /dev/*tty*usb*
- Devolverá algo como:
crw-rw-rw- 1 root wheel 9, 2 Apr 30 08:33 /dev/tty.usbserial-14320
- La salida anterior indica que /dev/tty.usbserial-14320 es el puerto USB que posees (el nombre puede variar)
- Finalmente ejecuta el comando screen asociado al puerto obtenido en la salida anterior y la velocidad
$ screen /dev/tty.usbserial-14320 9600
martes, 23 de marzo de 2021
RFC 7911- BGP Add-path en acción
En el video se realiza un demo de la capacidad de BGP llamada Add-Path definida en el RFC 7911 utilizando FRR sobre Ubuntu. Para la realización del video se utilizó únicamente prefijos IPv6 a pesar de que la capacidad es agnóstica al prefijo transportado
lunes, 25 de enero de 2021
Roles en BGP - Reduciendo fugas de redes/prefijos en BGP con mensajes OPEN y UPDATE
El video muestra una característica muy novedosa aún discutida dentro de IETF de como prevenir routing leaks utilizando un nuevo concepto llamado: "Roles BGP"
miércoles, 5 de agosto de 2020
miércoles, 22 de julio de 2020
Alta disponibilidad utilizando VRRP e IPv6 con IPv6 en VyOS 1.3
En el video se realiza una demostración básica de VRRP y BGP con IPv6 en VyOS 1.3. Se realiza
la configuración de VRRP entre dos dispositivos y configuración BGP entre 3 diferentes routers.
sábado, 23 de mayo de 2020
BGP Conditional en el mundo IPv6 - BGP Condicional
En el video se muestra la característica de BGP condicional aplicado
al mundo IPv6. En la demostración se conectan 3 ASs y uno de ellos solo realiza el anuncio de un prefijo IPv6 solo cuando una condición se cumpla.
jueves, 31 de octubre de 2019
Una mirada al uso de BGP AS_SET en la DFZ
Introducción:
Como algunos de ustedes saben, en BGP existe un argumento llamado AS-SET, en muchas
nomenclaturas lo conseguiremos como route-aggregation.
¿Qué es BGP AS-SET?
El AS-SET en pocas palabras lo que permite es agregar/sumarizar varias rutas en un prefijo
más grande. Como muchas cosas, tiene ventajas (reducir el tamaño de la tabla global BGP)
y además tiene inconvenientes (prevenir loops y validación de origen RPKI).
¿Por qué el estudio?
Para el momento que se escriben estas líneas (Octubre 2019), en IETF existe un draft
(que pensamos se convertirá en estándar) donde se propone que AS-SET pase a ser obsoleto.
El draft puede se conseguido
Si este draft pasa a ser RFC eventualmente los fabricantes van a dejar de soportar
AS-SET y puede existir (pero no pensamos que ocurra) algún riesgo de perder algunos
prefijos & ASs en la tabla global
Origen de la data para el presente estudio
Se utilizó las tablas BGP de Potaroo.net. Se pueden obtener en:
IPv4: http://bgp.potaroo.net/as2.0/bgptable.txt
Para la información sobre los recursos se utilizó los APIs de RIPE.
Fecha del estudio
Mes de Octubre de 2019
Estudios realizados
- Buscar ASs que hagan AS_SET
- Buscar prefijos que sean sometidos a AS_SET
¿Cómo se identifica un AS-SET en la tabla BGP?
Identificar AS-SET puede variar según el vendor/fabricante del software que realiza BGP.
Para el presente estudio utilizamos la tabla BGP publicada por Potaroo.net, la misma
es una salida BGP del comando “show ip bgp” de Cisco.
En la salida del comando se puede apreciar líneas similares a:
* i2001:QWER::/32 QWER:300::6 0 152 0 65412 65001 {65002,65003}
La salida anterior se puede leer:
- AS 65002 realiza al menos un anuncio BGP
- AS 65003 realiza al menos un anuncio BGP
- AS 65001 Realiza AS-SET y anuncia el prefijo 2001:cd8::/32 (una supernet de los
- prefijos recibidos por 65002 y 65002)
- 65412 hace tránsito a los AS anteriores sin embargo no es relevante para este estudio
Gracias a las llaves ( { } ) es sencillo ubicar quien hace el AS-SET
Resultados generales:
Tabla #1 Resumen General
IPv4
|
IPv6
| |
Prefijos en la tabla
|
803999
|
77438
|
Prefijos sometidos a AS-SET
|
387
|
26
|
ASs únicos haciendo AS-SET
|
128
|
20
|
ASs haciendo AS-SET en IPv4 e IPv6
|
7
|
7
|
Resultados específicos por RIR:
IPv4
|
IPv6
| |
RIPE ASs
|
52
|
9
|
RIPE Prefijos
|
111
|
9
|
ARIN ASs
|
50
|
5
|
ARIN Prefijos
|
127
|
10
|
APNIC ASs
|
11
|
4
|
APNIC Prefijos
|
46
|
8
|
AFRINIC ASs
|
1
|
0
|
AFRINIC Prefijos
|
7
|
0
|
LACNIC ASs
|
14
|
2
|
LACNIC Prefijos
|
96
|
7
|
Colocando la lupa sobre LACNIC
Datos específicos sobre LACNIC (IPv4):
Resumen:
.- 96 prefijos únicos a los cuales se les hace AS-SET
.- Existen prefijos de LACNIC anunciados por ASs de RIPE, ARIN y LACNIC
.- Se consiguió un AS de LACNIC que realiza AS-SET de prefijos de ARIN
.- Conseguimos 14 ASs haciendo AS-SET
Datos específicos sobre LACNIC (IPv6):
Resumen:
- Se obtuvieron 7 prefijos
- 2 AS diferentes que se consiguieron haciendo AS-SET
- Hubo un caso interesante donde el mismo prefijo se le hace AS-SET desde 2 ASs
- diferentes y además uno es de LACNIC y el otro de RIPE
- Prefijos de LACNIC son anunciados por ASs de LACNIC, RIPE y/o ARIN
- ASs de LACNIC no hacen AS-SET de prefijos no-LACNIC
Referencias:
jueves, 4 de abril de 2019
Video: Ejemplo: Utilizando BGP Local Preference y Weight con prefijos IPv6
Η δυσκοιλιότητα είναι αποτέλεσμα διάφορων παραγόντων, η οποία φαίνεται, να έχει ενταθεί λόγω του σύγχρονου τρόπου ζωής. Αντιμετωπίστε άμεσα τη δυσκοιλιότητα με το Izicol. Ωστόσο, πολύ σημαντικός παράγοντας φαίνεται να είναι η διατροφή και η ενυδάτωση του οργανισμού.
martes, 19 de marzo de 2019
miércoles, 13 de marzo de 2019
Video: Ejemplo de BGP Route Reflector en una red IPv6
Hola,
Les comento que el otro día estuve dando un curso de IPv6 que incluía una parte de BGP; entre las consultas que recibí hubo una pregunta de enrutadores Route Reflector, por ello decidí realizar el siguiente video:
Espero sea útil para alguien.
Saludos,
Alejandro,
Les comento que el otro día estuve dando un curso de IPv6 que incluía una parte de BGP; entre las consultas que recibí hubo una pregunta de enrutadores Route Reflector, por ello decidí realizar el siguiente video:
Espero sea útil para alguien.
Saludos,
Alejandro,
viernes, 17 de agosto de 2018
Demostración: Antispoofing IPv6 en un router Cisco IOS
El siguiente video muestra como simular un ataque spoof en Internet y como prevenir el mismo en Cisco IOS
martes, 10 de julio de 2018
Crear ruta IPv6 en MAC OS y revisar tabla de vecinos IPv6
Crear ruta:
Revisar tabla de vecinos IPv6:
route add -inet6 -net 2000::/3 2001:XXX:XX:XX::1
Revisar tabla de vecinos IPv6:
ndp -an
viernes, 8 de diciembre de 2017
Comando oculto en Cisco. Deshabilitar negociacion de capacidad BGP
neighbor x.x.x.x dont-capability-negotiate
More info:
http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/116189-problemsolution-technology-00.html
IoT Cybersecurity
jueves, 23 de marzo de 2017
BGP: Filtrar por tamaño de la red en BGP, he ahí el dilema
Introducción
El equipo de I+D del área técnica y WARP redactaron en conjunto el presente artículo basado en algunos incidentes gestionados por el centro de respuestas de LACNIC.
En el mundo de BGP existen decenas de maneras para filtrar prefijos. El objetivo del presente post mostrar una serie de recomendaciones para tener una red más estable, no perder conectividad con ciertos destino y reducir el número de quejas en nuestro NOC.
Situación identificada
Muchos ISPs no pueden recibir la full routing table de BGP (para el dia de hoy consta de ~610.000 prefijos IPv4) en sus enrutadores.
Lo anterior puede deberse a diversas razones:
- El enrutador no posee suficiente RAM para aprender todos los prefijos (además recordar que es posible que el router tenga varias sesiones BGP)
- Por ahorro de CPU
- Porque el upstream provider a su vez no entrega toda la tabla de enrutamiento
- Por simplicidad y sencillez
Entendiendo la situación e independientemente de la razón que sea, el enrutador no aprende toda la tabla de enrutamiento.
Problema
No aprender toda la tabla de enrutamiento puede traer algunos inconvenientes parciales pero que al final trae problemas de conectividad, quejas de los usuarios, inconvenientes de acceso a ciertos sitios, entre otros.
¿Por qué?
Imaginemos la siguiente situación:
- Tengo un router (propiedad de EXAMPLE) en Internet que solo aprende la tabla parcial de enrutamiento
- El router propiedad de EXAMPLE quedó configurado solo para aprender redes “más grandes” que /21. Es decir, aprende redes /20, /19, /18, etc. (evidentemente estamos hablando de IPv4)
- Debido a la configuración establecida en el punto “b”, el router no aprenderá prefijos de tamaño /21, /22, /23 ni /24
- Mientras tanto en otra parte del mundo, le acaban de secuestrar su red /21 a la empresa ACME (planteamos el caso como un secuestro pero podría ser una mala configuración)
- ACME decide realizar anuncios más específicos de su red original /21, es decir, anuncia 8 redes /24
- Por causa de los filtros configurados por EXAMPLE, nunca verá dichos anuncios /24 de ACME
- EXAMPLE seguirá aprendiendo la red /21 del secuestrador de la red. Lo que puede ocasionar que el tráfico hacia ACME puede ser potencialmente secuestrado (repito, se entiende que esta situación es potencial, no necesariamente el tráfico irá hacia el atacante)
Diagrama:
El siguiente diagrama representa la hipótesis planteada en el punto anterior de manera gráfica para facilitar su comprensión.
Recomendación
Realizaremos la siguiente recomendación en base a algunas experiencias vividas, teniendo en cuenta que solo aplican al caso de cuando no se pueda aprender/recibir la tabla completa de BGP:
- No filtrar permitiendo redes menos específicas. Es conveniente aprender redes más chicas, es decir: /24, /23, /22.
- Filtrar por AS_PATH de profundidad.
- Crear los ROAs respectivos a los prefijos (RPKI).
Algunos ejemplos (Cisco like)
1) Solo queremos aprender redes entre /22 y /24 (hay otras maneras de hacer esto):
router bgp 65002
neighbor 10.0.0.1 remote-as 65001
neighbor 10.0.0.1 route-map FILTRO-IN in
!
ip prefix-list REDESCHICAS seq 5 permit 0.0.0.0/0 ge 22 le 24
!
route-map FILTRO-IN permit 10
match ip address prefix-list REDESCHICAS
!
2) Solo queremos aprender dos AS de profundidad (hay otras maneras de hacer esto):
router bgp 65001
neighbor 10.0.0.2 remote-as 65002
neighbor 10.0.0.2 route-map ASFILTER-IN in
!
ip as-path access-list 5 permit ^[0-9]+_$
ip as-path access-list 5 permit ^[0-9]+ [0-9]+_$
!
route-map ASFILTER-IN permit 10
match as-path 5
!
Mas información
- Demostración de secuestro de prefijo 1/2: https://www.youtube.com/watch?v=X5RNSs8y8Ao&t=39s
- Demostración de secuestro de prefijo 2/2: https://www.youtube.com/watch?v=m51WtuEZOKI
- BGP Prefix-Based Outbound Route Filtering
http://www.cisco.com/c/en/us/td/docs/ios/12_2s/feature/guide/fsbgporf.html - Ejemplo de configuración de BGP con dos prestadores de servicio diferentes (conexiones múltiples)
http://www.cisco.com/cisco/web/support/LA/7/75/75930_27.html - Información General sobre Certificación de Recursos (RPKI)
http://www.lacnic.net/web/lacnic/informacion-general-rpki
Autores
- Dario Gomez
- Alejandro Acosta (@ITandNetworking)
Suscribirse a:
Entradas (Atom)
Solución a: Error: eth0 interface name is not allowed for R2 node when network mode is not set to none
Problema: Containerlab devuelve un error similar: Error: eth0 interface name is not allowed for R2 node when network mode is not set to no...
-
Debido al crecimiento moderado que ha tenido el presente blog se me ocurrió añadir/integrar las estadisticas de google analytics a mi blog. ...
-
Introduccion: En algunas ocasiones es necesario "bajar" o deshabilitar iptables en nuestro Linux, el procedimiento depende de...
-
Saludos, Lo primero que debemos de hacer para quitar el stacking entre los switches es desconectar los cables Stack que los unen.... Es buen...