[lacnog] Validación de prefijo

Jorge Franco jorge.franco en fibras.com.ar
Jue Nov 26 13:01:49 -03 2020


Estimados, buenas tardes. 

Mi nombre es Jorge y trabajo en Fibras Opticas del Oeste en Mendoza, Argentina. 

Quiero efectuar una consulta, que actualmente tengo dudas de implementar. 

Sobre nuestra infraestructura, tenemos virtualizado un router Quagga que es donde corre BGP. Nosotros tenemos asignados un /22 por LACNIC. Mi duda puntual, es si se pueden anunciar unicamente prefijos /24 en el Quagga. Actualmente tenemos publicados 2 /24 y después el /22 completo. 

Saludos coordiales. 


De: "Hernan Moguilevsky" <noc.hernan en gmail.com> 
Para: "Latin America and Caribbean Region Network Operators Group" <lacnog en lacnic.net> 
Enviados: Miércoles, 25 de Noviembre 2020 17:32:49 
Asunto: Re: [lacnog] Validación de prefijo 

Estimados, 

Tomando en cuenta este hilo, he presentado una propuesta en el proceso de políticas de LACNIC para resolver el problema. 

[ https://mail.lacnic.net/pipermail/politicas/2020-November/005967.html | https://mail.lacnic.net/pipermail/politicas/2020-November/005967.html ] 


Saludos. 


El El vie, 30 oct. 2020 a la(s) 19:17, Ramon Flores < [ mailto:rfmairena en gmail.com | rfmairena en gmail.com ] > escribió: 



Roque, es buena su consulta, me gustaría tener control del ROA de los IP que me asignó el proveedor. Así no hubiese tenido el inconvenientes, que por cierto ya se resolvió. 
Saludos. 

El vie., 30 oct. 2020 a las 10:00, Roque Gagliano (< [ mailto:rgaglian en gmail.com | rgaglian en gmail.com ] >) escribió: 

BQ_BEGIN

Hola Alejandro, 

En realidad el problema de Ramón se puede solucionar desde los sistemas de LACNIC. 

El caso es de un SP (el proveedor) que ha delegado un bloque de direcciones para otro cliente. En el modelo teórico de RPKI, el proveedor debería adoptar el modelo "delegado" de RPKI, administrar un CA y darle a Ramón la opción de administrar sus certificados y ROAs (sea de forma hosted o delegada). 

Lo que no sé (pues hace tiempo que no uso el sistema) es si el sistema "hosted" de LACNIC le permitiría a Ramón de administrar sus certificados/ROAs siempre que el proveedor delegue los prefijos (agregando una CA en el sistema). 

Saludos, 
Roque 




On Thu, Oct 29, 2020 at 5:52 PM Alejandro Acosta < [ mailto:alejandroacostaalamo en gmail.com | alejandroacostaalamo en gmail.com ] > wrote: 

BQ_BEGIN



teoría vs vida real :-) 
On 10/29/20 12:01 PM, Nicolas Antoniello wrote: 

BQ_BEGIN

Estimad en s, 

De acuerdo con el comentario de Tomas. 
Yo pienso que es algo muy normal el tener que dividir prefijos por varias razones operativas. Desde balancear tráfico (combinado con comunidades de BGP como no tránsito, etc...), temas puntuales de seguridad de ruteo (como cuando se produce un secuestro de rutas), etc. 

Es decir, creo que son cosas diferentes y por ello existen ambas posibilidades de configuración en el sistema de RPKI (configurar cada prefijo y al mismo tiempo preever el grado máximo de des agregación que vamos a permitir). 

Tal vez alguien me va tirar con algo por la cabeza por esta recomendación, pero creo que para alguien que recién comienza con RPKI o que no sabe a priori cuanto o cuando va a desagregar, puede ser recomendable setear el máximo en /24 para un prefijo IPv4 (y lo análogo para IPv6) 😊 

Fraterno saludo, 
Nico 



El El jue, oct. 29, 2020 a la(s) 12:45, Tomas Lynch < [ mailto:tomas.lynch en gmail.com | tomas.lynch en gmail.com ] > escribió: 

BQ_BEGIN

Como toda BCP se va a chocar con el día a día de la operación donde muchas empresas agregan y desagregan prefijos por distintos motivos en distintos tiempos (e.g. empresas que balancean tráfico por /24, que no digo que esté bien, pero es la realidad) 

On Thu, Oct 29, 2020 at 10:06 AM Marcos Manoni < [ mailto:marcosmanoni en gmail.com | marcosmanoni en gmail.com ] > wrote: 

BQ_BEGIN
Hola, 

El mié., 28 oct. 2020 a las 13:39, Tomas Lynch 
(< [ mailto:tomas.lynch en gmail.com | tomas.lynch en gmail.com ] >) escribió: 
> El mayor error cuando crean los ROAs es no poner bien el max len. Esto lo estuvimos analizando en el último LACNOG. 
> 
> Simplificando, hay tres campos para llenar: sistema autónomo, el prefijo y la máxima longitud permitida. Mucha gente confunde la máxima longitud con el tamaño del prefijo y terminan poniendo lo mismo. 

Ese comportamiento, más que error, está camino a ser una "best 
practice". Lo que tiene que coincidir es el ROA con los anuncios BGP. 
O sea, conviene hacer varios ROAs (1 por prefijo anunciado) en lugar 
de pocos con máscara grande. 

The Use of Maxlength in the RPKI 
[ https://datatracker.ietf.org/doc/draft-ietf-sidrops-rpkimaxlen/ | https://datatracker.ietf.org/doc/draft-ietf-sidrops-rpkimaxlen/ ] 
[...]whenever possible, operators SHOULD use "minimal ROAs" that 
include only those IP prefixes that are actually originated in BGP, 
and no other prefixes. 

Saludos, 
Marcos 
_______________________________________________ 
LACNOG mailing list 
[ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] 
[ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] 
Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 



_______________________________________________ 
LACNOG mailing list 
[ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] 
[ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] 
Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 

BQ_END


_______________________________________________
LACNOG mailing list [ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] [ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 

BQ_END

_______________________________________________ 
LACNOG mailing list 
[ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] 
[ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] 
Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 

BQ_END



-- 


At least I did something 
Don Draper - Mad Men 
_______________________________________________ 
LACNOG mailing list 
[ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] 
[ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] 
Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 

BQ_END

_______________________________________________ 
LACNOG mailing list 
[ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] 
[ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] 
Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 

BQ_END

-- 
HM 

_______________________________________________ 
LACNOG mailing list 
LACNOG en lacnic.net 
https://mail.lacnic.net/mailman/listinfo/lacnog 
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20201126/6f2d9bd9/attachment.htm>


Más información sobre la lista de distribución LACNOG