SISTEMA AUTNOMO: MIGRAO E CONTROLECarlos Eduardo Bloemker Alexandre Timm Vieira OrientadorUniversidade Luterana do Brasil (ULBRA) Graduao de Tecnologia em Redes de Computadores Campus Canoas Av. Farroupilha, 8.001 Bairro So Lus CEP 92420-280 Canoas RS

29 de novembro de 2010

RESUMONeste trabalho pretende-se introduzir as tecnologias relacionadas ao tema, propondo uma estratgia com as melhores formas de planejar e implementar prticas de gerenciamento em um Backbone IP, alinhada necessidade de roteamento dinmico com acordos unilaterais de trfego baseados em regras no-tcnicas e topologias arbitrrias, na migrao de uma entidade que tm a sua comunicao com a Internet dentro de um Sistema Autnomo, passando a ser um Sistema Autnomo. Sugerir uma metodologia a ser seguida, elaborada com o auxilio do Cobit (Control Objectives for Information and related Technology), propondo etapas nesse processo migratrio. Palavras-chave: Sistemas Autnomos, Border Gateway Protocol(BGP), Internet Protocol(IP)

ABSTRACTTitle: Autonomous System: Migration and Control

This work is intended to introduce the technologies related to the topic, proposing a strategy on how best to plan and implement management practices in an IP Backbone, aligned to the need for dynamic routing of traffic with unilateral agreements based on non-technical rules and arbitrary topologies, in the migration of an entity that has its communication with the Internet within an Autonomous System (IntraAS routing), becoming an Autonomous System (Inter-AS routing). Suggest a methodology to be followed, prepared with the help of the Cobit (Control Objectives for Information and related Technology), proposing steps in the migration process.Key-words: Autonomous System, BGP, IP.

1

INTRODUO

A imerso das entidades na Internet, que se tornou ferramenta essencial nos processos das empresas, trouxe consigo a constante necessidade de crescimento computacional. Seja com atualizao de infraestrutura, aumento de poder computacional e at grandes larguras de banda, esse processo de evoluo pertinente em qualquer corporao. Nessas entidades o aumento de consumo da Internet exponencial, apressando essa necessidade de crescimento. (COMER, 2000) Na sua maioria, as grandes empresas utilizam enlaces dedicados oferecidos pelas operadoras de telecomunicaes para chegar Internet, e para enderear os hosts, utilizam endereos IP fornecidos pela prpria operadora. Operadoras de telecomunicao, na prtica, so grandes Sistemas Autnomos (Autonomous System - AS), com backbones distribudos mundialmente, contribuindo para a malha da Internet. No intuito de haver contingncia, caso haja falhas no servio fornecido pela operadora, essas entidades passam a agregar mais enlaces, provenientes de outras operadoras. Mesmo com a agregao de enlaces, caso haja uma falha em uma das provedoras de acesso, os prefixos de rede provenientes da operadora em questo se tornam inacessveis, causando prejuzos s entidades. A soluo para tal problema se tornar um Sistema Autnomo. Para que uma entidade possa se tornar um AS, o processo deve se justificar tcnica e administrativamente. Passando a entidade a lidar diretamente com a troca de trfego com outros Sistemas Autnomos, comea a lidar com variveis ligadas ao roteamento de borda, que na sua maioria, alm de protocolos, so acordos unilaterais baseados em regras no tcnicas. Considerando essa necessidade, esse trabalho consiste em propor uma metodologia a ser seguida nessa migrao, auxiliando o administrador. Atravs de algumas etapas, em que a aplicabilidade facilitada com auxlio de frameworks, como o Cobit, sugere-se usar: a anlise de situao atual, pr-requisitos, mudanas e riscos envolvidos, o tratamento com fornecedores, acordos e custos operacionais, implementao, configurao e liberao. 1

Nas sees a seguir sero abordados conceitos relacionados ao tema em questo, e a proposta de uma metodologia a ser seguida na migrao de uma entidade conectada Internet atravs de Sistemas Autnomos, passando a ser um AS, introduzindo um cenrio antecedente, exemplificando tais processos e a entrega do novo cenrio.

2

REFERENCIAL TERICO

Esta seo consiste em conceituar e apresentar definies sobre todos os aspectos envolvidos na administrao de backbone IP, roteamento de borda, governana e protocolos envolvidos.

2.1

A Distribuio da Internet

Na Internet, para que os milhares de computadores possam se conectar necessrio uma ligao fsica entre todos e regras bem estabelecidas. Atualmente utiliza-se o protocolo IPv4, definido pela RFC 791, predominantemente, apesar de j haver o IPv6, definido pela RFC 2460, em algumas redes. Uma das regras do protocolo IP que cada computador tenha um identificador nico, conhecido como endereo IP. Como no pode haver repetio, a distribuio desses nmeros deve ser feita de forma organizada. Hoje h uma hierarquia de entidades que controlam a atribuio desses endereos. IANA(Internet Assigned Numbers Authority) coordena a atividade globalmente. A IANA no poder de suas atribuies repassa para rgos menores, distribudos geograficamente pelo mundo, a responsabilidade de distribuir os endereos IP e alocar de nmeros de identificao de Sistemas Autnomos, os ASN (Autonomous System Number). Tais rgos so chamados de RIRs (Regional Internet Registry) ou Registro Regional da Internet, que so: American Registry for Internet Numbers (ARIN); Rseaux IP Europens Network Coordination Centre (RIPE NCC); Asia-Pacific Network Information Centre (APNIC); Latin American and Caribbean Internet Addresses Registry (LACNIC); African Network Information Centre (AfriNIC).(IANA, 2010) A Figura 1 abaixo mostra qual a abrangncia de cada rgo:

Figura 1 RIRs e suas abrangncias geogrficas (IANA, 2010) No Brasil tais atribuies tambm so de responsabilidade do CGI.br (Comit Gestor da Internet no Brasil), onde o LACNIC repassa tais atribuies ao CGI.br.

2.2

Sistemas Autnomos

Segundo Tannenbaum (2003) a Internet no uma rede, e sim um conjunto delas. Pode-se dizer ento que a Internet um conjunto de Sistemas Autnomos. A definio clssica de um Sistema Autnomo um conjunto de roteadores sob uma nica administrao tcnica, usando um protocolo de gateway interior (IGP) e mtricas comuns para encaminhar pacotes dentro do AS, e usando um protocolo de gateway exterior (EGP) para rotear pacotes para outros AS's. De forma mais simplificada, possvel dizer que um AS um grupo conectado, de um ou mais prefixos IP, executados por operadores de rede que tm uma nica e bem definida poltica de roteamento (HAWKINSON E BATES, 1996). Esse documento refere-se ao termo "prefixo" para blocos IP que podem ser agregados com CIDR, por exemplo: 192.168.0.0/24 - 192.168.1.0/24 - 192.168.2.0/24 - 192.168.3.0/24. Podem ser simplesmente referidos como: 192.168.0.0/22. O termo "prefixo" como ele usado aqui, equivalente a um "bloco CIDR" e, em termos simples, pode ser pensado como um grupo de uma ou mais redes. Cada Sistema Autnomo possui vinculado a si um 2

prefixo designado pelo RIR que o coordena. Poltica de roteamento definida como o modo pelo qual as decises sero tomadas para o encaminhamento de pacotes para outro(s) Sistema(s) Autnomo(s). Os Sistemas Autnomos se dividem em trs tipos ou categorias: Stub, Multihomed e Transit. Stub o Sistema Autnomo que tem como upstream um nico Sistema Autnomo vizinho, que faz trnsito para ele. Multihomed o AS que possui dois ou mais upstreams para fazer trnsito para o mesmo. E Transit o Sistema Autnomo que faz trnsito de um AS para outros, ou seja, aquele que conhece, normalmente, vrios AS's vizinhos e que faz trnsito de Subs, Multihomeds e outros Transit. (VAN BEIJNUM, 2002) Os ASN, nmeros de identificao dos Sistemas Autnomos, foram definidos na R e se utili am para sua identificao n meros inteiros entre e a mesma forma, os n meros de istemas ut nomos de its foram definidos pela R e so utili ados para sua identificao n meros inteiros de 0 a 42 7 I N ainda designou o intervalo de Ns entre at para uso privado.

2.3

Trnsito, Peering e Protocolos de Roteamento

Quando um cliente se conecta a um provedor upstream, normalmente o contrato pago, j que o provedor se preocupa em entregar os pacotes para todas s suas extremidades ao redor do mundo, na Internet. Esse servio chamado de trnsito. Porm entidades e provedores menores se interconectam de uma forma um pouco diferente: Pontos de Troca de Trfego (PTT's). A diferena que desse modo, apenas o destino vizinho fica acessvel, atalhando o caminho. Essa negociao entre dois AS's implementando uma sesso BGP que chamamos de peering.(VAN BEIJNUM, 2002) Nem todos os provedores so iguais e seguem certa hierarquia, variando de gigantescos com uma malha distribuda por todo o planeta at menores com uma nica ethernet como backbone. Em geral so divididos em trs grupos: Tier 1 So aqueles que no pagam por trnsito, pois fazem peering com outros Tier 1, e fazem trnsito para todos os outros menores; Tier 2 So aqueles que possuem um tamanho considervel, mas necessitam de um Tier 1 para servio de trnsito contratado; Tier 3 So aqueles que possuem uma rede menor, e possuem um Tier 1 ou Tier 2 pelo menos para lhes fazer trnsito; Os Tier 1 so na prtica grandes operadoras de telecomunicaes que servem transporte fsico atravs de enlaces que atravessam o mundo todo, quilmetros de fibras pticas interligado continentes, onde invariavelmente so os que transportam a maioria dos outros Sistemas Autnomos da Internet. Basicamente administrar trnsito ou fazer peering est relacionado com a administrao de tabelas de roteamento. Ento simples: basta configurar manualmente a tabela de roteamento e a conexo est garantida. Na realidade no. Grandes corporaes possuem alocadas centenas de prefixos e alm do mais, qualquer AS precisa administrar suas tabelas de roteamento internas, conforme a topologia de sua rede, mas tambm precisa administrar as tabelas recebidas pelo trnsito, ou seja, as tabelas de toda a Internet.

Figura 2 Viso de tipos de ASs e aplicaes dos diferentes protocolos de roteamento 3

As tabelas de roteamento internas, pertencentes ao AS, so distribudas pelo operador da rede atravs de um protocolo de gateway interior (IGP - Interior Gateway Protocol), como RIP(Routing Information Protocol) ou OSPF (Open Shortest Path First), ou at de forma esttica dependendo do tamanho da rede. Para que se possa garantir a interopera ilidade com os outros s, usa-se um protocolo de gateway exterior (EGP - Exterior Gateway Protocol) como o BGP (Border Gateway Protocol), protocolo de roteamento padro entre Sistemas Autnomos na Internet. A figura 2 vista anteriormente, desenvolve bem esse cenrio de EGP, IGP e tipos de Sistemas Autnomos.

2.4

BGP Border Gateway Protocol

O BGP (Border Gateway Protocol) o protocolo de roteamento dinmico padro na Internet. Atualmente na sua quarta verso (pelo fato de verses anteriores estarem obsoletas, ser referido BGP como sendo sempre o BGPv ), o BGP definido nas R s 77 , 77 , 77 , 77 e 7. Para as sesses serem estabelecidas o BGP utiliza a porta TCP 179 entre os vizinhos. Ao estabelecer a sesso os vizinhos comeam a trocar informaes em forma de mensagens (TRAINA, 1995). Tais mensagens possuem um cabealho, mais o contedo da mensagem, como na Tabela 1 abaixo: Marcador (Marker) 16 bytes Tabela 1 Formato do cabealho de mensagens do BGP Comprimento (Length) Tipo (Type) Contedo da Mensagem 2 bytes 1byte 0 - 4077 bytes

Habitualmente o marcador usado para verificar se o remetente e o receptor ainda esto sincronizados. Se o receptor encontra um valor inesperado no campo marcador, algo deve ter corrido mal, de modo que o receptor envia de volta uma indicao de erro e fecha a conexo. O campo comprimento contm o comprimento da mensagem BGP, que tem um comprimento mnimo de 19 bytes (apenas um cabealho com nenhuma mensagem) e um mximo de 4.096 bytes. O tipo indica a finalidade da mensagem, sendo: open (1), update (2), notification (3), ou keepalive (4). 2.4.1 Mensagem Open

Ambos os lados enviam uma mensagem open aps estabelecerem a sesso TCP. Tal mensagem contm informaes importantes sobre a configurao e habilidades do remetente. O formato da mensagem Open exemplificado na Tabela 2 abaixo: Version 1 byte Tabela 2 Formato da mensagem Open no BGP My AS Hold Time Identifier Parlen 2 bytes 2 bytes 4 bytes 1 byte Optional Par. 0 255 bytes

O primeiro campo indica a verso do BGP. O campo seguinte indica o ASN do remetente. O campo Hold Time o tempo mximo de segundos que a sesso pode permanecer ociosa antes de ser derrubada por esgotar o tempo limite. O menor dos valores das mensagens usado, sendo que o valor mnimo trs segundos e caso seja zero, significa que a sesso nunca expirar. O campo Identifier contm o endereo IP do remetente BGP. Um roteador BGP deve usar o mesmo Identifier para todas as sesses. O comprimento do campo Parlen indica a ausncia (com um valor zero) ou comprimento do campo Optional Parameters. Se houver algum parmetro opcional, todos eles so precedidos por um tipo de parmetro de um byte e um byte de comprimento do parmetro. O campo Optional Parameters negocia o uso de autenticao e capacidades ampliadas, como extenses multiprotocolo e atualizao de percurso. (WILLIS, BURRUSS e CHU, 1994) Se o contedo da mensagem aberta condiz com a realidade do roteador, ele envia de volta uma mensagem de keepalive e comear a enviar mais de uma cpia da tabela de roteamento BGP (a medida que as polticas configuradas para este ponto permitirem), utilizando mensagens de atualizao. Uma vez que esta est completa, o roteador ir enviar apenas mensagens peridicas de keepalive e atualizaes incrementadas se houver qualquer alterao na tabela de roteamento. 2.4.2 Mensagem Update

A mensagem de update traz as atualizaes das listas de retirada de rotas e adio de novas. Ambos so opcionais, assim, uma mensagem de atualizao pode retirar rotas ou adicionar novas, ou ainda ambos, ou seja adicionar e retirar. 4

UR length 2 bytes

Tabela 3 Formato da mensagem update no BGP Withrawn routes Total PA length Path attributes Varivel 2 bytes Varivel

NLRI Varivel

A Tabela 3, mostra o formato da mensagem. O campo Unfeasible Routes Length indica o comprimento total do campo de retirada de rotas ou que o campo no est presente. O campo Withdrawn Routes contm a lista de prefixos IP que se tornaram inacessveis. O campo Total Path Attribute Length, corresponde ao comprimento total do Path Attribute ou se ele no est presente. O campo Path Attributes, ou atributos do trajeto, descreve as caractersticas dos atributos de trajeto difundidos. Alguns atributos possveis so: Origin: Atributo obrigatrio que define a origem da informao do trajeto. AS Path: Atributo obrigatrio composto por uma seqncia de segmentos de caminho - por quais sistemas autnomos passou. Next Hop: Atributo obrigatrio que define o endereo IP do roteador de borda que deve ser usado como o hop (salto) seguinte para destinos listados no campo NLRI. Local Pref: Atributo de descrio usado para especificar o grau de preferncia de um percurso anunciado. O campo NLRI (Network Layer Reachability Information Informaes de Acessibilidade da Camada de Rede) Contm a lista de prefixos de rede anunciadas pelos roteadores. 2.4.3 Mensagens Notificntion e Keepalive

A mensagem de notification enviada quando uma condio de erro detectada. As notificaes so usadas para fechar uma sesso ativa e informar a quaisquer roteadores conectados do porque a sesso est sendo encerrada. A mensagem de keepalive notifica os pares BGP que um dispositivo est ativo. Keepalives so enviadas com bastante freqncia para que as sesses no expirem. Elas consistem em nada mais do que a mensagem de cabealho BGP com o campo definido como tipo 4, no havendo dados adicionais. 2.4.4 Estados do BGP

A RFC do BGP possui uma lista de estados especficos em que um roteador BGP pode se enquadrar. So as chamadas BGP FSM Finit State Machine, ou estados finitos da mquina, que correspondem ao estado da sesso desde o nvel mais baixo, at o mais alto. Tais estados so os seguintes: Idle - O roteador no est tentando criar uma sesso BGP, e se o vizinho estava na tentativa de criar uma sesso, a conexo TCP seria recusada. O roteador espera por um "start" no caso, normalmente o usurio permitindo a adio de um vizinho BGP ou uma interface de rede. Connect - Neste estado, o roteador aguarda por seu prprio estabelecimento da sesso TCP completa, escuta para sesses TCP que venham a ser recebidas. Active o roteador espera por uma sesso TCP.

OpenSent mensagem a erto foi enviada, mas uma mensagem a erto ainda no foi recebida do vizinho. OpenConfirm - A mensagem de abertura do vizinho foi recebida, mas ainda no o iniciou o envio de mensagens keepalives, que conclui a fase de configurao de sesso BGP. Estabilished - A mensagem de keepalive inicial foi recebida, a sesso est agora pronta para a transmisso de updates, notifications e mensagens de keepalive. 2.4.5 Propagao de rotas BGP e o processo de seleo de rotas

Quando um roteador BGP recebe uma atualizao de rotas ele executa o seguinte procedimento: Primeiro verifica-se todos os filtros de entrada definidos na sesso BGP. Se alguma rota no aceita por um dos filtros ela ignorada e o procedimento termina. Segundo, insere-se a rota na tabela de roteamento BGP. Terceiro, compara-se a rota com outras rotas da tabela de roteamento BGP com o mesmo prefixo de rede (NLRI) e executa o algoritmo de seleo de rotas do BGP. Caso a nova rota no venha a ser considerada a 5

melhor, o procedimento termina. Quarto, considera-se a nova rota a melhor e a inclui na tabela de roteamento. A antiga melhor rota removida. Quinto, retira-se a antiga melhor rota nas atualizaes do BGP para todos os vizinhos que receberam uma cpia da rota antiga. E por ltimo, propaga-se a nova rota para os outros vizinhos BGP nos Sistemas Autnomos externos, caso os filtros deles aceitem. Para ser capaz de sobreviver a falhas de rede, a maioria dos Sistemas Autnomos, evidentemente rodando BGP, se conectam a mais de uma rede (multihomed). Isso significa que muitos destinos so acessveis por mais vizinhos (upstreams). Com isso o BGP precisa de um mecanismo para selecionar a melhor rota a partir de um conjunto de rotas disponveis de vizinhos diferentes. Para esse feito, existem atributos que so comunicados nos updates (path attributes) entre os "falantes" BGP. Tais atributos que participam do processo de seleo de rotas, e ajudam a decidir por onde o roteador vai transmitir o pacote, funcionando da seguinte forma: 1. 2. 3. 4. 5. 6. 7. 8. No deve preferir se a rota no est na tabela de roteamento IGP; No deve preferir se o endereo de Next-Hop estiver inacessvel; Preferir a rota de maior peso (weight) atributo proprietrio CISCO e Quagga Preferir a rota com o Local Preference mais alto; Preferir rota com AS-path mais curto; Para caminhos externos escolher rota mais antiga para minimizar efeito de flapping; Preferir caminhos com o ID (identifier) do roteador vizinho mais baixo; Preferir a rota com o endereo IP do vizinho mais baixo;

Ainda assim como tie-break (critrio de desempate) se valem de valores do algoritmo de encaminhamento do T P/IP como, menores prefixos de rede e mtricas manuais.

2.5

Governana de TI

Devido complexidade envolvida em todos os processos de migrao e administrao de TI, evidente que necessrio que haja planejamento e controle. Para tal, o COBIT (Control Objectives for Information and related Technology) oferece oas prticas com um modelo de domnios e procedimentos e apresenta processos em uma organizao gerencivel e lgica. Tal modelo do COBIT representa uma opinio em comum dos profissionais. Elas esto centradas diretamente nos controles e menos na execuo. As prticas ajudam a justificar investimentos em TI e asseguram a entrega de servios e provimento de mtricas para julgar as conseqncias das coisas. (COBIT 4.1, 2007) No sentido de haver eficincia na governana, necessrio avaliar processos e riscos da TI que precisam ser gerenciados. Geralmente eles so ordenados por domnios de responsabilidade de planejamento, construo, processamento e monitoramento. No modelo COBIT esses domnios so denominados: Planejar e Organizar (PO), Adquirir e Implementar (AI), Entregar e Suportar (DS) e Monitorar e Avaliar (ME). Com foco no domnio Entregar e Suportar (DS), com seus objetivos de controle, que se pretende auxiliar os processos da metodologia de migrao de roteamento.

3

METODOLOGIA

Para o desenvolvimento deste trabalho utilizou-se o processo migratrio em um ambiente real, mapeando os ativos de rede, servios e roteamento para a migrao para um Sistema Autnomo.

3.1 Cenrio atualO ambiente para migrao de roteamento selecionado foi uma corporao de provimento de acesso Internet (ISP Internet Service Provider), de abrangncia estadual, com uma grande malha fsica, diferentes upstreams, mapeando e amadurecendo o processo. A entidade possui trs upstreams diferentes. Ser referido neste documento s operadoras de telecomunicao como Operadora1, Operadora2 e Operadora3. Cada operadora concede entidade dois prefixos /24 roteveis, ou seja, so seis prefixos totalizando 1.536 endereos IP. Cada enlace das operadoras possui larguras de banda diferentes, sendo a Operadora1 com 100Mbps, a Operadora2 com 56Mbps e a Operadora com M ps ero usados prefixos e Ns quaisquer para orientao da seguinte forma: 6

Operadora1 - AS100 - 200.200.200/24 e 200.200.100/24 Operadora2 - AS200 - 198.198.200/24 e 198.198.100/24 Operadora3 - AS300 - 190.190.200/24 e 190.190.100/24 corporao possui alocado um prefixo / para servios, como servidores de e-mail, DNS, gerentes de rede, e o restante para enderear roteadores, clientes e outros ativos de rede. A Figura 3 a seguir demonstra a arquitetura do cenrio em questo:

Figura 3 Cenrio atual notvel que os prefixos so distri udos internamente para vrios hosts o ponto de vista das operadoras, tais prefixos lhes pertencem, ou seja, fazem parte dos seus Sistemas Autnomos e as polticas de roteamento aplicadas a tais prefixos com outros ASs so invariavelmente das operadoras, sendo que qualquer erro de configurao nas suas bordas, ou problemas em camadas inferiores, como queda de um enlace, fazem com que tais prefixos se tornem inacessveis da Internet. Alm da inacessibilidade dos prefixos em caso de problemas, o fato de uma entidade enderear seus hosts e clientes com endereos IP da operadora, faz com que se crie um atrelamento comercial. Caso surja operadoras com propostas melhores e se deseja efetuar uma substituio de provedora do servio, se torna oneroso tecnicamente substituir todos os endereos, alm de que em alguns casos ainda existam configuraes extras envolvendo os prefixos, como DNS reverso, que causam mais trabalho ainda. A mudana para Sistema Autnomo termina com esses problemas. A partir do momento que empresa passa a administrar seu prprio bloco de endereos, no sofre com a substituio de operadoras, nem com a agregao de novas, pois possui seus endereos IP exclusivamente.

3.3 SLAs e plano de migraoFatores de risco e potencial de indisponibilidades devem ser bem acordados antes de efetuar qualquer mudana na rede. factvel que operaes de mudana na estrutura da TI sempre estejam alinhadas aos negcios da empresa. Envolvendo um plano de migrao que impacta diretamente nos servios, deve haver boa preparao e planejamento. Tanto da viso da empresa como negcio quanto tratamento com servios terceiros isso imprescindvel, j que falhas durante o processo de mudana podem acarretar em prejuzos financeiros e de respaldo perante os clientes. Um dos principais pontos de impacto deve ser a negociao com a operadora de telecomunicaes, pois como fornecedora do enlace e brevemente trnsito Internet, quesito chave para impacto no negcio da empresa. Antes de tudo deve estar bem acordado com a operadora trabalhar paralelamente. Criar aliases nos roteadores da operadora para que funcione tanto a rede antiga quanto a nova ocar na L como sendo primordial que a disponibilidade no se perca com a migrao, ou seja, isso deve ser transparente ao mximo para o usurio. No processo de migrao determinadas etapas so possveis somente com a concluso de outras, por isso que um plano de migrao to importante, pois a concluso de determinadas tarefas sendo somente 7

possveis com outras, podem trazer problemas de indisponibilidade e falhas. Para a concluso desse processo migratrio, sero seguidos os seguintes passos: 1. Aquisio do bloco IP e ASN 2. Criao do planejamento de numerao 3. Insero dos dados em um IRR e Registro.br 4. Aquisio e mensurao de hardwares e softwares envolvidos 5. Negociao com fornecedores, os upstreams 6. Instalao fsica e implementao de BGP com Quagga 7. Substituio de endereos e validao da engenharia de trfego 8. Validao da migrao e liberao 9. Boas prticas de controle

4

IMPLEMENTAOA seo a seguir refere-se a implementao e migrao de roteamento, e a validao dos processos.

4.1 Aquisies do bloco IP e ASNPrimeiro passo para entidade adquirir o seu bloco IP e o ASN. Para que isso seja possvel ela deve interagir com o RIR responsvel pela regio. No caso do Brasil, isso possvel fazer on-line atravs do site do Registro.br nos recursos de numerao (http://registro.br/provedor/numeracao/solicitacao.html). Para a entidade se cadastrar e alocar tais recursos deve preencher o formulrio solicitado e enviar ao e-mail em vigor informado no site do Registro.br. Dvidas em relao ao preenchimento esto disponveis on-line na pgina. Entre os dados solicitados, est a arquitetura da rede atual. Ento, interessante que se faa um breve relatrio da arquitetura da rede, com a sua abrangncia geogrfica e utilizao dos atuais prefixos de rede. Para alocao do ASN o rgo vigente possui algumas regras e polticas. Uma organizao justifica a designao de um ASN quando Multi Provedor (multihomed), ou seja, quando a organizao est conectada a dois ou mais provedores de trnsito Internet distintos e independentes e necessita, portanto, fazer uso de protocolos de roteamento dinmico, ou, quando possui uma poltica de roteamento que distinta daquela aplicada pelo(s) provedor(es) de trnsito Internet. Para designao de blocos IP distingue o tipo da organizao como sendo ISP ou Usurio Final. Sendo a primeira para entidades que provem acesso a terceiros e a segunda para entidades que utilizam blocos na sua infra-estrutura exclusivamente, limitando o tamanho do bloco IP conforme o tamanho da rede ou necessidade, tanto para blocos IPv4 quanto para blocos IPv6. Uma vez que o formulrio tenha sido processado, uma mensagem de confirmao ser enviada ao solicitante com um nmero de pedido (ticket), que identifica esse processo de solicitao. Durante o processo de anlise, informaes adicionais podem ser solicitadas. Terminado o processo de anlise o solicitante comunicado da aprovao ou no de seu pedido. Em caso de aprovao, pode haver a necessidade de fazer um pagamento inicial, o que ser devidamente comunicado. Tabela 4 Valores para aquisio de blocos IP (Registro.br, 2010) Categoria Small/Micro Small Medium Large Extra Large Mayor Tamanho/Prefixos Menor que /20 /20 at /19 /19 at /16 /16 at /14 /14 at /11 Maior que /11 8 Custo Inicial (R$) 1.700,00 3.600,00 9.700,00 20.400,00 40.000,00 59.500,00 Renovao (R$) 1.700,00 3.600,00 9.700,00 20.400,00 40.000,00 59.500,00

Para alocao dos registros de numerao tambm so necessrios pagamentos de anualidades, conforme o tamanho do bloco alocado. Tais valores so atualizados conforme o repasse dos custos operacionais do LACNIC. A Tabela 4 mostra os valores para aquisio dos blocos IP em vigor (Novembro de ) para I Ps Os tamanhos dos prefixos oferecidos so divididos com CIDR e vo desde /20 (4096 endereos IP, at /11 (2097152 endereos IP). Ainda possvel adquirir blocos como o /8 (16777216 endereos), mas este tamanho de prefixo normalmente para um RIR, ou seja, dificilmente nos dias de hoje uma entidade vai conseguir alocar um prefixo to numervel. entidade pertinente foi alocado um bloco /20 (4096 endereos IP), tendo um custo operacional de R$ 3.600,00 mais R$ 1.000,00 para aquisio do ASN. Ser usado o ASN 1000 e o bloco designado ser usado o 200.100.224/20 para validao.

4.2 Planejamento de numeraoCom a alocao do ASN e do bloco IP concretizadas possvel fazer o planejamento da substituio dos endereos IP. No sentido de facilitar o administrador, como colocado a seguir na Tabela 5, interessante que se faa um comparativo da utilizao dos endereos IP no cenrio atual e os endereos que iro substitulos, usando segregao do prefixo 200.100.224/20 alocado, ou seja, vrios blocos CIDR, no caso do bloco /20 so possveis 15 blocos /24. Tabela 5 Tabela de substituio de endereos IP Aplicao Roteamento IGP e Clientes Prefixo antigo 200.200.200/24 200.200.100/24 198.198.200/24 198.168.100/24 190.190.200/24 Servios Roteamento EGP 190.190.100/24 Novo prefixo 200.100.225/24 200.100.226/24 200.100.227/24 200.100.228/24 200.100.229/24 200.100.224/24 200.100.239/24

Como demonstrado na tabela, o roteamento de gateway exterior no era utilizado, j que os prefixos utilizados eram provenientes do IGP da operadora. Como facilidade, segregar o prefixo 200.100.224/20 todo em fatias menores, como as antigas eram usadas, fica mais claro ao administrador visualizar a utilizao dos prefixos como um todo para o processo de substituio de endereamento. Tambm fica claro que os prefixos 200.100.230.0/24 200.100.238/24 ficaram ociosos. A substituio pode impactar diretamente na engenharia de trfego, levando em conta o fato de que o consumo dos enlaces era baseado no consumo interno, e conforme a necessidade, a entidade poderia simplesmente trocar endereos de hosts internos de uma operadora para outra, distri uindo o consumo

4.3 IRR Internet Routing RegistryUm Internet Routing Registry (IRR), ou registro de roteamento da Internet, um banco de dados de objetos. Um compartilhamento de informaes relacionadas, utilizadas para configurao de roteadores, a fim de evitar questes problemticas entre os prestadores de servios de Internet. O IRR funciona fornecendo uma hierarquia de objetos interligados para facilitar a organizao de roteamento IP entre as corporaes, e tambm para fornecer dados em um formato adequado para automatizar a programao de roteadores. Os engenheiros de rede de organizaes participantes so autorizados a modificar os objetos no registro, para suas prprias redes. Ento, qualquer um capaz de consultar o registro de rotas e de informaes de interesse particular. lista dos IRRs pode ser acessada atravs do endereo http://www.irr.net/docs/list.html. A deciso de qual escolher fica a cargo da entidade. A necessidade real de um registro em um IRR discutvel. Grandes operadoras de trnsito, na sua maioria, ao fazer trnsito para entidades menores, j cadastram os prefixos provenientes do peering, isso porque h entidades na Internet que, caso no haja registro ou conformidade na divulgao, direcionam o trfego proveniente dos prefixos que se enquadrarem para black-hole (descarte, uraco-negro) 9

Para garantir na rea do RIR a publicao dos objetos, a entidade pode no setor manuteno de numerao no Registro.BR j cadastrar um poltica breve de seu roteamento. Essa insero deve estar conforme a RFC 1786, porm este documento no se estende a explic-la. Existe para cadastro a sesso ASIN e AS-OUT, ou seja, a poltica de entrada e sada. A Figura 4, a seguir, demonstra a imagem adaptada do Registro.BR para insero:

Figura 4 - Exemplificao de objetos para publicao de roteamento Na interface de insero do AS-IN, ou seja, as polticas de entrada do AS, coloca-se todos os atributos de filtros e informaes necessrias para consulta de todos. No caso exemplificado, deixa claro que vindo dos s vi inhos , e aceita-se qualquer AS. Na interface de insero AS-OUT, ou seja, as polticas de anncios, para todos os s vi inhos anuncia-se o AS 1000.

4.4 Hardware e SoftwarePara implementao do roteamento o hardware usado ser um modelo Dell Power Edge R610 com processador Intel Xeon E de GH , GB de memria R M e H s KRpm de G com RAID 5 para fail-over e ainda cinco interfaces de rede gigabit PCI-Express Intel 10/100/1000. Sistema Operacional GNU/Linux Centos 5.5 com kernel 2.6.18-X. Para configurao de roteamento e aplicao do BGP ser usado o software Quagga verso 0.99.17. Tabela 7 Custo operacional envolvendo hardwares e softwares Hardware/Software Dell Power Edge R610 Switch 3COM 4200G GNU/Linux Centos 5.5 Quagga 0.99.17 Custo R$ 15.000,00 R$ 9.000,00 -

No intuito de haver uma conectividade em paralelo, ser usado um switch antes do roteador de borda, modelo 4200G 48 Portas da 3COM. A Tabela 7 demonstra o custo dos equipamentos. interessante salientar que a carga gerada pelo encaminhamento que atravessa o roteador intensa. Para tal tarefa, o computador mensurado consegue facilmente suprir a demanda com grande escala ilidade Porm, existem perfis de appliances que conseguem atingir nveis muito superiores e alm do mais so criados exclusivamente para encaminhamento, por exemplo roteadores de core de fabricantes como Cisco e Juniper, que possuem barramentos exclusivamente para tratar da pilha TCP/IP e aplicaes de roteamento dinmico, possivelmente sero sadas nicas caso a demanda aumente exponencialmente.

4.5 Tratamento com fornecedoresNo sentido de tornar possvel a comunicao com as operadoras, a corporao deve negociar a 10

habilitao das sesses BGP. Para que isso se concretize, aps terem sido feitas as solicitaes, a operadora deve passar um formulrio de ativao do BGP. Nos formulrios das operadoras esto contidas informaes tcnicas em relao ao peering, como IP do roteador vizinho com a qual a sesso ser estabelecida, assim como o nmero do ASN. Tambm deve estar no formulrio o perfil de tabelas de roteamento a serem entregues. Habitualmente o upstream d a opo de o cliente escolher entre toda a tabela de roteamento da Internet (full routing), somente prefixos do AS vizinho, ou somente rotas dos vizinhos do AS com qual se est fazendo peering. H ainda os que oferecem o perfil dividindo entre rotas nacionais e/ou internacionais. A escolha do perfil da ta ela, pode estar relacionada com a capacidade do roteador que far o roteamento de orda, por este fato que alguns tratam como o perfil de encaminhamento quando no full routing como BGP Light. Assim como a relao das tabelas de roteamento entrantes, as operadoras podem solicitar que vizinhos a entidade deseja que seus prefixos sejam divulgados, como trnsitos Internet internacionais, nacionais e/ou PTTs Possivelmente a operadora questionar se o AS em questo faz trnsito para algum outro Sistema Autnomo, o que no caso no ocorre. Tendo tais acordos bem definidos, na Tabela 8 abaixo consta o acordo efetuado para o recebimento de prefixos e a divulgao dos mesmos para os upstreams: Tabela 8 Acordo de formulrios para divulgao dos prefixos Prefixos divulgados para vizinhos da operadora: Operadora 1 Operadora 2 Operadora 3 Todos Todos Todos Prefixos recebidos AS + Nacionais AS + Internacionais Full Routing

Depois de escolhidas as polticas aplicadas aos prefixos necessrio determinar os endereos IP que sero configurados para possi ilitar a sesso BGP omo foi alocado o ltimo prefixo / do loco IP segregado, ser segregado novamente com prefixos menores para cada sesso com operadoras diferentes. Existe a possibilidade de no roteador de borda fazer com que a origem de atualizaes seja na interface loopback, isso por que em alguma eventualidade, se a sesso for estabelecida com um IP configurado em uma interface que venha a ter problemas, todas as sesses podem vir a ser comprometidas. Na Tabela 9 a seguir consta os endereos de rede utilizados para cada sesso com as operadoras de telecomunicao, segregando o prefixo 200.100.239/24: Tabela 9 Relao de endereos IP utilizados na configurao das interfaces para EGP Endereos de Rede Operadora1 Operadora2 Operadora3 200.100.239.0/30 200.100.239.4/30 200.100.239.8/30 IP na operadora 200.100.239.2 200.100.239.6 200.100.239.10 IP na entidade 200.100.239.1 200.100.239.5 200.100.239.9 Interface ETH1 ETH2 ETH3

Para a sesso estabelecida ser utilizado o IP 200.100.239.254 futuramente configurado na interface loopback do roteador. O mesmo IP ser designado para o formulrio da operadora. Alm dos dados contidos no lado da empresa, existem ainda os dados que os upstreams tero que passar para configurao das sesses BGP. Na Tabela 10 a seguir as configuraes repassadas pelas operadoras: Tabela10 Informaes das operadoras para sesso BGP Router ID - Neighbor Operadora1 Operadora2 Operadora3 50.50.50.50 60.60.60.60 70.70.70.70 ASN 100 200 300 Saltos 1 3 1

Definidas as informaes contidas no formulrio das operadoras e de utilizao para implementao do roteador, pode-se dar continuidade ao processo migratrio. 11

4.6 Implementando BGP com QuaggaDando continuidade, o passo seguinte a elevao do roteador Primeiramente a instalao fsica foi efetuada em paralelo com a rede antiga, ou seja, a instalao do switch 3COM, configurado com 3 VL Ns distintas para cada operadora com interfaces cada, e o restante das VL N para servios e distribuio da rede. Assim que a instalao do sistema operacional foi concluda instalou-se o Quagga. O Quagga um software de implementao com uma sute de roteamento. Ele possui uma interface cisco-like, possibilitando aos engenheiros de rede uma familiaridade na configurao desse software. Assim que elevado o servio do Quagga no Linux possvel acessar a interface atravs do software vtysh, que um Shell integrado ao Quagga para acesso interface do mesmo. As primeiras configuraes a serem efetuadas so: o nome do roteador, arquivos de logs, definir o tipo de configurao e habilitar o encaminhamento (forwarding), como na Figura 5:vtysh bgp.dominio.com.br# conf t bgp.dominio.com.br(config)# hostname bgp.dominio.com.br nome do roteador bgp.dominio.com.br(config)# log file /var/log/quagga/bgpd.log arquivo de logs bgp.dominio.com.br(config)# bgp config-type cisco definir configurao cisco-like bgp.dominio.com.br(config)# forwarding yes habilitar encaminhamento bgp.dominio.com.br(config)# ctrl+z volta para raiz bgp.dominio.com.br# write salvar

Figura 5 Primeiras configuraes do roteador de borda 4.6.1 Configurando as Interfaces A configurao das interfaces de rede podem ser feitas no Linux e no Quagga, enfim, o Quagga emula as configuraes para o Linux. Foi inserido como na Figura 6:bgp.dominio.com.br# conf t bgp.dominio.com.br(config)# int lo bgp.dominio.com.br(config-if)# ip address 200.100.239.254 bgp.dominio.com.br(config)# int eth1 bgp.dominio.com.br(config-if)# ip address 200.100.239.1/30 bgp.dominio.com.br(config)# int eth2 bgp.dominio.com.br(config-if)# ip address 200.100.239.5/30 bgp.dominio.com.br(config)# int eth3 bgp.dominio.com.br(config-if)# ip address 200.100.239.9/30 bgp.dominio.com.br(config-if)# int eth0 bgp.dominio.com.br(config-if)# ip address 200.100.224.1/24

Figura 6 Configurao das Interfaces do roteador de borda 4.6.2 Rotas estticas Como os endereos IP dos upstreams, no esto no mesmo enlace do roteador de borda, para a sesso BGP se estabelecer preciso adicionar rotas estticas atravs dos endereos IP definidos para cada operadora, sendo efetuado conforme a Figura 7 a seguir:bgp.dominio.com.br# conf t bgp.dominio.com.br(config)# ip route 50.50.50.50/32 200.100.239.2 bgp.dominio.com.br(config)# ip route 60.60.60.60/32 200.100.239.6 bgp.dominio.com.br(config)# ip route 70.70.70.70/32 200.100.239.10 bgp.dominio.com.br(config)# ip route 0.0.0.0/0 200.100.239.10

Figura 7 Configurao de rotas estticas para efetuar o peering. 12

Alm das rotas estticas para fechar a sesso BGP tambm foi adicionada a rota default. Ela at poderia ser retirada pois pelo upstream recebe-se full routing, porm como fail over, caso o upstream caia ou por alguma poltica algum prefixo fique retido em algum roteador h uma sada alternativa. 4.6.3 Sesses BGP Cada sesso com a operadora tem o conceito de neighbor. A configurao da sesso foi efetuada como demonstrado na Figura 8:bgp.dominio.com.br# conf t bgp.dominio.com.br(config)# router bgp 1000

A sintaxe anterior define o ASN local para/com os quais as sesses sero estabelecidas.bgp.dominio.com.br(config-router)# no synchronization

Evita que rotas internas (IGP) do AS sejam atualizadas nas tabelas da Internet.bgp.dominio.com.br(config-router)# bgp router-id 200.100.239.254

Identificador do AS, IP com o qual as operadoras iro fazer o peering.bgp.dominio.com.br(config-router)# network 200.100.224.0 mask 255.255.240.0

Prefixo a ser divulgado, neste caso todo bloco alocado.bgp.dominio.com.br(config-router)# redistribute kernel

Distribuir rotas para o Kernelbgp.dominio.com.br(config-router)# redistribute connected

Distribuir rotas do mesmo enlace A seguir sero passados os comandos utilizados para configurar a sesso com a Operadora1, e a explicao de cada sintaxe:bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 remote-as 100

Define o vizinho e o ASN do mesmo.bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 description "AS100Op1"

Descrio da sesso em questo.bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 interface eth1

Interface utilizada para conexo com AS vizinho.bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 update-source lo

Sintaxe para fazer atualizao atravs da interface loop-back.bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 weight 150

Define um peso para o processo de seleo de rotas.bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 soft-reconfiguration inbound

Permite que modificaes sejam feitas sem que precise limpar toda a sesso BGP.bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 distribute-list 199 in bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 distribute-list 199 out

Listas de distribuio de entrada e sada, serve para aplicar filtros.bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 route-map OP1_IN in bgp.dominio.com.br(config-router)# neighbor 50.50.50.50 route-map OP1_OUT out

Listas de route-maps ou mapa de rotas de entrada e sada. Figura 8 Configurao de uma das sesses BGP do roteador de borda Nas outras operadoras os comandos utilizados foram os mesmos, somente mudando o IP do neighbor, os pesos para o processo de seleo de sada e as descries das operadoras onde necessrio. No caso da Operadora2 que no seu formulrio de entrega, deixou claro que para chegar at o IP com o qual ser efetuado o peering h 3 saltos, ainda necessrio adicionar a linha neighbor 200.100.239.6 ebgp-multihop 3, sintaxe utilizada quando o vizinho est alguns saltos de distncia. Em relao ao weight, a escolha foi feita conforme o perfil de entrada dos prefixos. Como pela Operadora 1 entram os prefixos dela e mais os prefixos dos upstreams nacionais da mesma, foi dado um peso de valor 150. Para Operadora2 que repassa seus prefixos e de seus upstreams internacionais foi dado um peso 100. E para Operadora 3 que repassa full-routing, foi aplicado um peso 50. Essa diferenciao de valores est relacionada ao nmero de prefixos recebidos, ou seja, operadoras que repassam mais prefixos, 13

com certeza sero as mais selecionadas para encaminhar o trfego, por isso maior peso para as que menos prefixos repassarem. 4.6.4 Prefix-lists Os prefix-lists so listas de prefixos as quais so aplicadas as divulgaes. Se na configurao da sesso foi adicionada um prefixo a ser divulgado, ou vrios, com o prefix-list pode se dizer por qual upstream ele vai ser divulgado, ou seja, na divulgao o bloco inteiro /20 pode ser segregado divulgando vrios /24, e atravs do prefix-list definir a lista de prefixos que divulgada por uma operadora e outra lista prefixos por outras operadoras. Brevemente ser referenciado o prefix-list como ponto crucial para engenharia do trfego. Apenas para insero, a sintaxe foi colocada como na Figura 9 a seguir:bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP1 description "Prefixos anunciados para OP1 AS100" bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP1 seq 10 permit 200.100.224.0/20 bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP2 description "Prefixos anunciados para OP2 AS200" bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP2 seq 11 permit 200.100.224.0/20 bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP3 description "Prefixos anunciados para OP3 AS300" bgp.dominio.com.br(config)#ip prefix-list Anuncio-OP3 seq 12 permit 200.100.224.0/20

Figura 9 Configurao de prefix-lists para anncio de prefixos. Por padro, se no fossem inseridos os prefix-lists, o roteador anunciaria todo bloco /20 para todas as operadoras, ou seja, faria a mesma coisa, porm futuramente se desejvel anunciar prefixos exclusivos para determinadas operadoras o prefix-list j est pronto. 4.6.5 Filtros Quando passa-se a trocar trfego entre Sistemas Autnomos existem algumas precaues que se deve tomar. Visto que a entidade no entra mais no perfil de filtros de segurana e boas prticas de roteamento de borda das operadoras, a entidade deve agora aplic-las no seu roteador de borda. Os filtros so criados atravs de access-lists, aplicados no perfil de entrada dos distribute lists. A RFC 1918 determina que certos endereos no sejam utilizados na Internet, tais endereos tambm chamados de Bogon. A sintaxe foi aplicada como demonstrado na Figura 10 a seguir: bgp.dominio.com.br# conf t bgp.dominio.com.br# access-list 199 deny ip host 0.0.0.0 any bgp.dominio.com.br# access-list 199 deny ip 0.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 bgp.dominio.com.br# access-list 199 deny ip 1.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 bgp.dominio.com.br# access-list 199 deny ip 10.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 bgp.dominio.com.br# access-list 199 deny ip 19.255.0.0 0.0.255.255 255.255.0.0 0.0.255.255 bgp.dominio.com.br# access-list 199 deny ip 59.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 bgp.dominio.com.br# access-list 199 deny ip 127.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 bgp.dominio.com.br# access-list 199 deny ip 129.156.0.0 0.0.255.255 255.255.0.0 0.0.255.255 bgp.dominio.com.br# access-list 199 deny ip 172.16.0.0 0.15.255.255 255.240.0.0 0.15.255.255 bgp.dominio.com.br# access-list 199 deny ip 192.0.2.0 0.0.0.255 255.255.255.0 0.0.0.255 bgp.dominio.com.br# access-list 199 deny ip 192.9.200.0 0.0.0.255 255.255.255.0 0.0.0.255 bgp.dominio.com.br# access-list 199 deny ip 192.9.99.0 0.0.0.255 255.255.255.0 0.0.0.255 bgp.dominio.com.br# access-list 199 deny ip 192.168.0.0 0.0.255.255 255.255.0.0 0.0.255.255 bgp.dominio.com.br# access-list 199 deny ip any 255.255.255.128 0.0.0.127 bgp.dominio.com.br# access-list 199 permit ip any any Figura 10 Filtros de redes privadas conforme RFC 1918 14

Como os distribute lists foram inseridos nas sesses como sendo 199, que pode ser substitudo por qualquer caractere, da mesma maneira os access-lists foram criados. Assim como os distribute lists, existem os route-maps. Nos route-maps que se aplicam as configuraes de perfil de roteamento, ou seja, quais os prefix-lists esto vinculados a quais route-maps. Funcionando como a aplicao de polticas de segurana por AS-PATH, criando access-lists para os mesmos, ambos aplicados conforme a Figura 11 a seguir: bgp.dominio.com.br(config)# ip as-path access-list 1 permit ^100_ bgp.dominio.com.br(config)# ip as-path access-list 1 deny ^# bgp.dominio.com.br(config)# ip as-path access-list 2 permit ^200_ bgp.dominio.com.br(config)# ip as-path access-list 2 deny ^# bgp.dominio.com.br(config)# ip as-path access-list 3 permit ^300_ bgp.dominio.com.br(config)# ip as-path access-list 3 deny ^# bgp.dominio.com.br(config)# ip as-path access-list 100 permit ^$ bgp.dominio.com.br(config)# ip as-path access-list 100 deny ^# Figura 11 Access-lists para route-maps filtrando ASs vizinhos Com essa sintaxe aplica-se a regra de que o access-list 1 est relacionado Operadora1 pelo ASN 100, o access-list 2 relacionado Operadora2 pelo ASN 200 e o access-list 3 em relao a Operadora3 pelo ASN 300. Ainda o access-list 100 relacionado qualquer outro ASN. A seguir, na Figura 12, a utilizao dos route-map na Operadora1: bgp.dominio.com.br(config)# route-map OP1_IN permit 10 bgp.dominio.com.br(config)# match as-path 1 bgp.dominio.com.br(config)# route-map OP1_OUT permit 10 bgp.dominio.com.br(config)# match as-path 100 bgp.dominio.com.br(config)# match ip address prefix-list Anuncio-OP1 Figura 12 Route-map para Operadora1 notvel que no route-map criado na sesso BGP agora pode ser adicionadas regras e filtros. As linhas anteriores referem-se que no perfil de entrada somente podero passar updates originados do AS 100, e no perfil de sada permite-se qualquer AS e permite-se os prefixos em relao aos prefixs-lists criados. O mesmo ocorre com a Operadora2 e Operadora3 como exemplificado na Figura 13: bgp.dominio.com.br(config)# route-map OP2_IN permit 10 bgp.dominio.com.br(config-route-map)# match as-path 2 bgp.dominio.com.br(config)# route-map OP2_OUT permit 10 bgp.dominio.com.br(config-route-map)# match as-path 100 bgp.dominio.com.br(config-route-map)# match ip address prefix-list Anuncio-OP2 bgp.dominio.com.br(config)# route-map OP3_IN permit 10 bgp.dominio.com.br(config-route-map)# match as-path 3 bgp.dominio.com.br(config)# route-map OP3_OUT permit 10 bgp.dominio.com.br(config-route-map)# match as-path 100 bgp.dominio.com.br (config-route-map)# match ip address prefix-list Anuncio-OP3 Figura 13 Route-maps para Operadora2 e Operadora3 15

4.6.6 Validando configuraes e visualizando sesses Para verificar o estado das sesses, basta no terminal inserir a sintaxe show ip bgp neighbors, que a sada, apresentar informaes sobre as sesses, como IP e AS vizinhos, o tempo de vida da sesso, o estado finito da mquina BGP, o nmero de prefixos recebidos, os route-maps e etc. Em seguida, na Figura 14, um resumo de uma sesso com a Operadora3:BGP neighbor is 70.70.70.70, remote AS 300, local AS 1000, external link Description: "AS300 OP3" BGP state = Established, up for 01w6d11h Last read 00:00:08, hold time is 180, keepalive interval is 60 seconds Neighbor capabilities: Minimum time between advertisement runs is 30 seconds Default weight 50 Incoming update network filter list is *199 Outgoing update network filter list is *199 Route map for incoming advertisements is *OP3_IN Route map for outgoing advertisements is *OP3_OUT 328199 accepted prefixes

Figura 14 Resumo do estado da sesso com Operadora3 possvel verificar que as entradas na tabela de roteamento, provenientes da Operadora3 que repassa full-routing, que o nmero de prefixos chega a mais de 328 mil. justamente pelo fato de na Internet os Sistemas Autnomos praticarem nas suas bordas polticas de segregao do bloco IP como forma de engenharia de trfego. Existem vrias expresses regulares que existem para auxiliar o administrador. Este documento no se estende para exemplificar todas. Existe outra expresso regular que lista os prefixos recebidos, e conforme as regras aplicadas os seus atributos, por exemplo, show ip bgp, que trar, aqui de forma resumida tais resultados na Figura 15: BGP table version is 0, local router ID is 200.100.239.254 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Network *> 2.16.0.0/13 * * *> 2.17.128.0/20 * *> 2.80.0.0/14 * * *> 2.94.12.0/23 *> 3.51.92.0/23 * *> 4.0.0.0/9 Next Hop 50.50.50.50 60.60.60.60 70.70.70.70 50.50.50.50 70.70.70.70 50.50.50.50 60.60.60.60 70.70.70.70 70.70.70.70 60.60.60.60 70.70.70.70 70.70.70.70 Metric LocPrf Weight Path 150 100 18881 3549 31377 100 200 6453 209 31377 50 300 31377 150 100 18881 3549 4436 50 300 3491 4436 150 100 8657 3243 100 200 18881 3549 8657 3243 50 300 6453 3356 8657 3243 50 300 3549 3491 20485 8402 100 200 18881 3549 7018 50 300 6453 7018 50 30018881 3549 3356

Figura 15 Exemplo de uma sada de listagem dos prefixos 16

Pode-se notar que a preferncia para a seleo de sada para chegar no prefixo 2.16.0.0/13 ser pela Operadora1, pois no critrio weight, que tem maior peso, foi selecionado como melhor next hope. Tambm notvel que h prefixos como o 2.94.12.0/23 s foi recebido pela Operadora3, que repassa full routing, validando o fato de colocar menor peso para seleo para upstreams que repassam mais prefixos.

4.7 Migrao de endereamento e engenharia de trfegoAps validadas as configuraes conforme os testes, necessrio iniciar a migrao de endereamento. Antes de mais nada, servios como um DNS resolver j devem ser configurados e disponibilizados para a troca dos hosts que o utilizam. Assim como servios vinculados s mudanas devem ser previamente preparados para faz-la. Assim que concludas as mudanas programadas dos endereos IP dos ativos de rede, roteadores e clientes, importante validar a engenharia de trfego. Para isso deve-se aplicar nos prefix-lists a divulgao de prefixos segregados, exclusivos, conforme o plano de substituio de endereos. Primeiramente se divulga no incio das sesses BGP os prefixos segregados, ou seja, no local onde est o bloco inteiro sendo divulgado para os vizinhos, ainda ter que ser adicionado o restante dos blocos menores. A figura 16, a seguir, demonstra tal aplicao:bgp.dominio.com.br(config-router)# network 200.100.224.0 mask 255.255.255.0 bgp.dominio.com.br(config-router)# network 200.100.225.0 mask 255.255.255.0 bgp.dominio.com.br(config-router)# network 200.100.226.0 mask 255.255.255.0 bgp.dominio.com.br(config-router)# network 200.100.227.0 mask 255.255.255.0 bgp.dominio.com.br(config-router)# network 200.100.228.0 mask 255.255.255.0 bgp.dominio.com.br(config-router)# network 200.100.229.0 mask 255.255.255.0 Figura 16 Prefixos a serem divulgados

Depois de concludo esse procedimento, necessrio aplicar nos prefix-lists as sadas dos prefixos pelas operadoras pr-definidas. A figura 17 demonstra o processo.bgp.dominio.com.br(config ip prefix-list Anuncio-OP1 seq 13 permit 200.100.225.0/24 bgp.dominio.com.br(config ip prefix-list Anuncio-OP1 seq 14 permit 200.100.226.0/24 bgp.dominio.com.br(config ip prefix-list Anuncio-OP2 seq 15 permit 200.100.227.0/24 bgp.dominio.com.br(config ip prefix-list Anuncio-OP2 seq 16 permit 200.100.228.0/24 bgp.dominio.com.br(config ip prefix-list Anuncio-OP3 seq 17 permit 200.100.229.0/24 bgp.dominio.com.br(config ip prefix-list Anuncio-OP3 seq 18 permit 200.100.224.0/24 Figura 17 Prefix-lists dividindo divulgao dos prefixos

Os prefixos /20 inseridos no incio da configurao permanecem nela. Isso porque podem existir, o que pouco provvel, Sistemas Autnomos que filtram prefixos /24 e menores. Com a aplicao desses prefix-lists, necessrio limpar a sesso BGP, primeiramente salvando e depois utilizando clear ip bgp * soft, que aplica as modificaes sem derru ar a sesso Com a divulgao desses prefixos segregados, obrigatoriamente no processo de seleo de rotas dos roteadores de toda Internet ao enviar pacotes para tais destinos, vo entrar pela operadora na qual o prefixo menor for divulgado. Assim, possvel aplicar uma engenharia de trfego baseada no consumo dos prefixos. interessante salientar que tal processo deve ser acompanhado da gerncia da rede que pode alertar em caso de saturao ou proximidade da saturao de um enlace. Outro detalhe so os prefixos internos, eles devem ser distribudos conforme o plano de endereamento interno da entidade. Processo seguinte executar a migrao total. Para isso equipes de servio devem integrar-se para que tudo ocorra conforme planejado. Primeiramente devem ser alterados os dados no Registro.br, passando os domnios de responsabilidade da entidade para o novo bloco IP, como DNS Reverso. Aps mudados os dados hora de migrar os servios para a nova rede e liberar a rede antiga para a operadora. Este documento no se estende a exemplificar a mudanas dos diferentes tipos de servio nem dos prefixos IGP, porm importante salientar que, servios como DNS e divulgao do DNS reverso devem ser bem preparadas. Caso 17

seja divulgado algo divergente pode arruinar o respaldo da entidade na Internet, levando em conta o fato de que existem centenas de listas que validam nomes de servidores de e-mail por exemplo, e seus nomes reversos, e caso haja inconformidade, inserem o bloco IP em listas negras.

4.8 Cenrio finalO cenrio agora est migrado. A entidade passa agora a assumir com total liberdade a manipulao de endereos, inclusive se necessrio alocar mais prefixos junto ao Registro.br. A figura 18, a seguir, mostra o cenrio migrado com a arquitetura na borda da entidade. Este cenrio deixa claro a arquitetura da Internet. notvel que cada Sistema Autnomo possui sua malha distribuda geograficamente e essa conectada com outros Sistemas Autnomos, formando a malha da Internet. Quanto mais peerings um AS puder fazer, mais contingncia e provavelmente menor ser o tempo de resposta para os diferentes destinos disponveis na Internet.

Figura 18 Novo cenrio

4.9 Boas prticasPara a verificao dos anncios na internet ou verificar se os roteadores esto recebendo os anncios, utiliza-se os Looking Glass Servers, que os grandes ISP's e centros de operao de rede disponibilizam na internet. BGP Looking Glass Servers so computadores na Internet que oferecem uma variedade de servios implementados para a verificao de roteamento e testes de ICMP. Em um Looking Glass Server (ou LG server), essencialmente, o servidor roda de forma limitada, um portal read-only para verificao do roteamento de uma determinada organizao. Alguns dos LG servers esto disponveis em http://routeserver.org/ para consulta. Em caso de route-flapping, ou seja, mudanas nos anncios dos prefixos em curto espao de tempo, ou uma mudana em curto espao de tempo da sesso, roteadores implementam bloqueio de ASN's. Se o administrador limpar muitas vezes a sesso por exemplo, possivelmente ser bloqueado em alguma borda. Essa prtica conhecida como dumpening. Essa prtica pode ser considerada boa em caso de problemas com algum enlace ou flapping em alguma interface de rede, fazendo com que sesses caiam a todo momento. O bloqueio temporrio inibe que essa variao seja notada. Mas a prtica pode ser ruim. Falha na manipulao do roteador por exemplo, pode causar inacessibilidade de Sistemas Autnomos causadas por dumpening. Portanto necessrio que as mudanas aplicadas sejam feitas com cautela e freqncia adequada.

18

5 CONCLUSOO processo de migrao de uma entidade conectada internet atravs de operadoras de telecomunicao, passando a ser um Sistema Autnomo complexa, no sentido de que passe-se a trabalhar com variveis desconhecidas. Como qualquer processo de melhoria ou atualizao necessrio que haja um planejamento adequado, para que possam ser diminudos os riscos e os objetivos concretizados. Com a entidade migrada, agora pode manter seu crescimento sem dependncia de operadoras, por possuir seu prprio bloco IP e ainda poder aument-lo quando necessrio. Alm disso a negociao comercial com as operadoras facilitada, j que essa dependncia termina. Por exemplo, na negociao do preo pago para 1Mbps operadora pode se tornar diferenciado, j que argumentos como no dependncia e fcil agregao de outras provedoras do mesmo servio so pouco onerosas. Inclusive tecnicamente, havendo uma harmonia no fluxo de dados entre roteadores, j que o BGP traz consigo uma contingncia dinmica, mantendo a alta disponibilidade da entidade na Internet, podendo ainda aplicar suas prprias polticas de roteamento. Outro quesito importante a ser concludo aps esse processo o grande potencial do Linux junto ao Quagga. Pelo fato de ser uma interface cisco-like h bastante documentao, sobre expresses para configurao e troubleshooting para Cisco. Uma interface livre sem custos, que apesar das suas limitaes, possui um potencial enorme. Ainda possvel mesclar benefcios do Linux, como firewall e servios de gerncia para melhorias de segurana e monitoramento. Tambm fato que appliances como Cisco e Juniper tm um custo dezenas de vezes maior que um proviosonamento BGP como este. Este documento tambm possui algumas limitaes. Alguns atributos do BGP no foram explicados ou mencionados, como MEDs, confederations, route reflactors, communities, peer groups e at a autenticao da sesso BGP. Atributos que podem auxiliar ainda mais a administrao de grandes tabelas de roteamento e aplicao de engenharia de trfego. Tambm no faz meno de tcnicas de troubleshooting de problemas com BGP exemplificando-os. Outra ausncia que importante salientar , as individualidades de cada servio a serem migrados e suas caractersticas, justamente pelo fato de no ser o foco do artigo. Porm deixa claro os passos para o processo migratrio. Mas, como forma de oportunidade para um trabalho futuro, posso vir a estar inserindo tais limitaes e alimentado com maior riqueza de detalhes todos esses passos.

REFERNCIASCOMER, Douglas E. The Internet Book: Everything You Need to Know About Computer Networking and How the Internet Works, 3 Edio, 2000. HAWKINSON, John; BATES, TONY. Guidelines for creation, selection, and registration of an Autonomous System (AS). Disponvel em http://tools.ietf.org/html/rfc1930. Acessado em 10 de setembro de 2010. VAN BEIJNUM, Iljitsch. Building Reliable Networks with the Border Gateway Protocol. Editora O'Reilly & Associates, Inc., 1 Edio, 2002 TRAINA, Paul. BGP-4 Protocol Analysis. 1995. Disponvel em http://tools.ietf.org/html/rfc1774. Acessado 11 de setembro de 2010. WILLIS, Steven; BURRUSS, John; CHU, John. Definitions of Managed Objects for the Fourth Version of the Border Gateway Protocol (BGP-4) using SMIv2. 1994 Disponvel em http://tools.ietf.org/html/rfc1657. Acessado em 20 de outubro de 2010. Projeto CobiT-BR COBIT 4.1 - IT Governance Institute. 2007. Disponvel em http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf. Acessado em 31 de outubro de 2010. TANNENBAUM, Andrew. Redes de computadores. Editora Campus. 4 Edio, 2003 (IANA) Internet Assigned Numbers Authority. Disponvel em http://www.iana.org/. Acessado em 30 de outubro de 2010. (NIC.br) Ncleo de Informao e Coordenao do Ponto BR. Disponvel em http://www.nic.br/. Acessado em 31 de outubro de 2010.

19