https://wiki.brasilpeeringforum.org/api.php?action=feedcontributions&feedformat=atom&user=DiorgesWiki BPF - Contribuições do(a) usuário(a) [pt-br]2026-04-19T20:51:30ZContribuições do(a) usuário(a)MediaWiki 1.35.14https://wiki.brasilpeeringforum.org/index.php?title=Protegendo_seu_ASN_com_RPKI&diff=2499Protegendo seu ASN com RPKI2020-05-31T01:48:56Z<p>Diorges: </p>
<hr />
<div>Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN.<br />
<br />
Antes de mais nada, deem uma lida nesse artigo: [[Redes que descartam RPKI Invalidos|https://wiki.brasilpeeringforum.org/w/Redes_que_descartam_RPKI_Invalidos]]<br />
<br />
Antes de começarmos, se você leu o artigo que deixei o link, você deve ter entendido que todo AS que ainda não criou ROAs de seus prefixos ou ainda não criou o CA para seu ASN, seus prefixos são conhecidos na internet como "unknown" ou "desconhecidos" e com isso seus prefixos ainda serão roteados pela internet, então não se preocupe com isso, esse artigo vai apenas ensinar a você deixar seus prefixos como "valid".<br />
<br />
Quero também enfatizar que '''RPKI''' é algo muito importante e devemos tomar cuidado com o que fazemos, sempre que fizermos qualquer alteração em algum ROA, verifique se está correto para não ter problemas, pois, redes que descartam RPKIs inválidos podem parar de rotear seus prefixos que erradamente você não autorizou e pode gerar dor de cabeça (ex.: intermitência ou perda total de comunicação com redes que dropam RPKI inválido), por isso, antes de continuar tenha certeza que vai cuidar direitinho do seus ROAs. PAZ!<br />
<br />
Neste artigo será utilizado o '''Krill''' para ativarmos o '''RPKI''' no seu ASN.<br />
<br />
= Instalação =<br />
Instalação e Configuração do Krill.<br />
<br />
Primeiramente você precisa de uma máquina virtual rodando linux Debian ou Ubuntu, com isso iremos prosseguir para os passos de instalação:<br />
<br />
Instalando as dependências para compilar o Krill:<br />
<br />
<code>apt install build-essential libssl-dev openssl pkg-config curl</code><br />
<br />
Agora vamos criar uma pasta para instalar e rodar o Krill:<br />
<pre><br />
mkdir -p /opt/krill/<br />
cd /opt/krill<br />
touch krill.conf<br />
</pre><br />
<br />
Agora vamos compilar/instalar o Krill, logo no primeiro comando ele irá fazer uma pergunta, apenas aperte ENTER e siga para os próximos comandos:<br />
<br />
<pre><br />
curl --proto '=https' --tlsv1.2 -sSf <nowiki>https://sh.rustup.rs</nowiki> | sh<br />
source ~/.cargo/env<br />
cargo install krill<br />
</pre><br />
<br />
Execute o seguinte comando: <code>krill -V</code> e se o resultado for algo assim: <code>Krill 0.6.2</code> o Krill foi instalado com sucesso.<br />
<br />
Caso de algum erro, faça os seguintes comandos e tente novamente:<br />
<pre><br />
ln -s /root/.cargo/bin/krill /usr/bin<br />
ln -s /root/.cargo/bin/krillc /usr/bin<br />
</pre><br />
<br />
Vamos agora criar a config inicial do Krill, e criar uma senha/token seguro para o Krill, copie todas as linhas e cole no terminal:<br />
<pre><br />
cat <<\EOF >/opt/krill/krill.conf<br />
ip = "0.0.0.0"<br />
port = 3000<br />
auth_token = "ColoqueAquiSeuTokenSenhaSeguro"<br />
EOF<br />
</pre><br />
<br />
= Configuração =<br />
Enfim, nosso Krill já está pronto para ser usado, antes precisamos iniciar o daemon do Krill, mas ainda, infelizmente o Krill não vem com script para iniciar e parar, a NTLabs disponibilizou dois scripts que podemos usar para iniciar e parar o daemon:<br />
<br />
Para iniciar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_start<br />
#!/bin/bash<br />
KRILL="krill"<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
CONF="$DATA_DIR/krill.conf"<br />
SCRIPT_OUT="$DATA_DIR/krill.log"<br />
nohup $KRILL -c $CONF >$SCRIPT_OUT 2>&1 &<br />
echo $! > $KRILL_PID<br />
EOF<br />
chmod +x /usr/bin/krill_start<br />
</pre><br />
<br />
Para parar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_stop<br />
#!/bin/bash<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
kill `cat $KRILL_PID`<br />
EOF<br />
chmod +x /usr/bin/krill_stop<br />
</pre><br />
<br />
Agora temos 2 novos comandos no terminal do linux <code>krill_start</code> e <code>krill_stop</code><br />
<br />
Então iniciemos o daemon do Krill com o comando <code>krill_start</code> direto no seu terminal, pronto, agora temos o daemon do Krill rodando e já podemos criar nossos ROAs.<br />
<br />
= Habilitando RPKI e Autorizando os ROAs =<br />
Vamos então criar nosso CA utilizando o cliente do Krill:<br />
<br />
<code>krillc add --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Vamos criar agora nosso child_request:<br />
<br />
<code>krillc parents request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Esse último comando gerou um XML chamado child_request, com ele conseguiremos gerar o parent_response no site do registro.br, então copie o XML.<br />
<br />
Para gerar o parent_response siga os passos abaixo:<br />
# Entre na sua conta no Registro.br<br />
# Vá em Titularidade e clique no seu ASN<br />
# No final da página clique em '''CONFIGURAR RPKI'''<br />
# No campo '''child request''' cole o XML que foi gerado pelo comando e clique em '''HABILITAR RPKI.'''<br />
[[Arquivo:Rpki.png|semmoldura|640x640px|borda]]<br />
<br />
O Registro.br irá gerar um outro XML chamado '''parent_response:'''<br />
<br />
[[Arquivo:Parent response rpki.png|semmoldura|640x640px|borda]]<br />
<br />
Copie o conteúdo e volte ao linux!<br />
<br />
Agora vou facilitar para você criar um arquivo com o conteúdo do parent_response dentro do seu Linux, copie o comando abaixo e cole no seu Editor de Texto preferido e substitua no indicado com o XML gerado e execute todo o comando no terminal do linux.<br />
<pre><br />
cat <<\EOF >parent_response.xml<br />
COLE AQUI O XML PARENT RESPONSE<br />
EOF<br />
</pre><br />
<br />
Aqui como meu SO é Windows, optei pelo Bloco de Notas, segue um exemplo do comando preenchido:<br />
<br />
[[Arquivo:Parent response.png|semmoldura|640x640px|borda]]<br />
<br />
E aqui um exemplo dele "colado" no terminal do linux:<br />
<br />
[[Arquivo:Parent response terminal.png|semmoldura|640x640px]]<br />
<br />
Temos agora um arquivo chamado parent_response.xml, vamos adicionar ele ao nosso Krill.<br />
<br />
<code>krillc parents add remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --parent nicbr_ca --rfc8183 parent_response.xml</code><br />
<br />
Pronto, agora sim, o RPKI está ativo no seu ASN!<br />
<br />
Vamos então gerar os ROAs de seus prefixos para protegê-los e prevenir que sofram hijack.<br />
<br />
Mas antes vamos ativar para que o Krill faça publicação remota no registro.br, volte ao terminal do seu linux.<br />
<br />
<code>krillc repo request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
<br />
O comando anterior gerou um XML chamado publisher_request, com ele copiado volte ao registro.br onde você ativou o RPKI e logo abaixo do Parent response, tem um link "Configurar publicação remota", clique nele, no campo que apareceu cole o XML e clique em '''HABILITAR PUBLICAÇÃO REMOTA.'''<br />
<br />
[[Arquivo:Publicacao remota rpki.png|semmoldura|640x640px|borda]]<br />
<br />
Agora você tem outro XML, chamado Repository response:<br />
<br />
[[Arquivo:Repository response rpki.png|semmoldura|640x640px|borda]]<br />
<br />
Seguindo o mesmo principio, precisamos criar um arquivo no linux com esse XML.<br />
<pre><br />
cat <<\EOF >repository_response.xml<br />
COLE AQUI O XML REPOSITORY RESPONSE<br />
EOF<br />
</pre><br />
<br />
Agora que temos o arquivo xml criado no Linux, vamos autorizar em nosso Krill:<br />
<br />
<code>krillc repo update remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --rfc8183 repository_response.xml</code><br />
<br />
E, finalmente podemos criar os ROAs deu seus prefixos, para isso vamos criar um arquivo, mas antes de mais nada, abra seu Editor de Texto preferido e cole o seguinte comando:<br />
<pre><br />
cat <<\EOF >meus_roas.txt<br />
EOF<br />
</pre><br />
<br />
Irei utilizar como exemplo o ASN 65535, substituir pelo seu ASN e seus prefixos.<br />
<br />
Após o meus_roas.txt, na segunda linha, vamos adicionar os ROAs que queremos que sejam válidos, eu vou explanar antes como funciona isso e depois você pode brincar um pouco.<br />
<br />
Você pode adicionar "A" ou remover "R" um ROA sempre que quiser e é bem simples, no arquivo que vamos utilizar para publicar os ROAs você pode fazer o seguinte:<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<br />
Exemplo:<br />
<br />
[[Arquivo:Roas exemplo notepad.png|semmoldura|543x543px|borda]]<BR><br />
<br />
Note que coloquei 22-24 para IPv4 e 32-48 para IPv6, ou seja, estamos dizendo que seus prefixos dentro desse range serão válidos para serem exportados!<br />
Outro caso:<br />
<br />
A: 192.168.0.0/24 => 65535<BR><br />
A: 192.168.1.0/24 => 65535<BR><br />
A: 192.168.2.0/24 => 65535<BR><br />
A: 192.168.3.0/24 => 65535<BR><br />
A: 2001:db8::/48 => 65535<BR><br />
A: 2001:db8:9000::/48 => 65535<br />
<BR><br />
<br />
Nesse caso, estamos dizendo que os blocos /24 são os únicos válidos, ou seja, quando algum provedor for exportar seus blocos, e por algum motivo ele tentar exportar seu prefixo /23 para um AS que valide os prefixos por RPKI, esse AS vai aceitar somente os prefixos /24 pois você não validou o /23 e com isso o prefixo é descartado e não será roteado por esse AS.<br />
<br />
Vamos para outro exemplo, vamos supor que você fez o primeiro exemplo de validar os prefixo 22 até 24, e você resolveu que não quer mais assim e quer somente validar os prefixos /22 e /23, para isso você abre o seu arquivo de roas, apague tudo e faça o seguinte:<br />
<br />
R: 192.168.0.0/22-24 => 65535<br />
<BR><br />
<br />
Salve o arquivo e atualize seus ROAs, e agora abra denovo o arquivo e faça o seguinte:<br />
<br />
A: 192.168.0.0/22-23 => 65535<br />
<BR><br />
<br />
E agora pode atualizar novamente seus ROAs, nesse momento, todos os AS que fazem drop de RPKI invalid, não irão mais aceitar prefixos /24 do seu AS originados por qualquer AS, e perceberam que toda vez que quero mudar alguma coisa eu tenho que apagar o que fiz anteriormente e "R"emover ou "A"adicionar? Entenderam a mecânica?<br />
<br />
Bom, agora que você entendeu como funciona, vamos aos comandos para atualizar e autorizar os ROAs.<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Você colocou seus prefixos no arquivo, agora execute o seguinte comando:<br />
<br />
<code>krillc roas update --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --delta meus_roas.txt</code><br />
<BR><br />
<br />
Pronto, com isso você já atualizou os ROAs, e seus prefixos agora são válidos e não mais desconhecidos.<br />
<br />
= Validando ROAs =<br />
<br />
Para saber se tudo funcionou, vamos fazer um whois no BGPmon.net:<br />
<br />
<pre>whois -h whois.bgpmon.net 192.168.0.0/22</pre><br />
<br />
ou<br />
<br />
<pre>whois -h whois.bgpmon.net " --roa 65535 192.168.0.0/22"</pre><br />
<br />
Segue um exemplo de como deve ser o resultado:<br />
<br />
Exemplo resultado do primeiro comando:<br />
<br />
[[Arquivo:ROA_Valido.png|640x640px]]<br />
<br />
Exemplo resultado do segundo comando:<br />
<br />
[[Arquivo:ROA_Valido_02.png|640x640px]]<br />
<br />
<br />
Outros lugares que você pode validar seu ASN se está protegido com RPKI:<br />
<br />
[1] https://sg-pub.ripe.net/jasper/rpki-web-test/<br />
<br />
[2] https://rpki-validator.ripe.net/roas<br />
<br />
[3] https://rpki.cloudflare.com/<br />
<br />
<br />
Esse é o primeiro passo, agora que você tem seu ASN protegido com RPKI, o próximo passo é você também validar prefixos de outros ASs e dropar prefixos inválidos direto no seu BGP utilizando Routinator para validação, mas isso vai ficar para outro artigo.<br />
<br />
'''IMPORTANTE:''' Manter seu Krill sempre atualizado, rodando, ligado e nunca pare o daemon.<BR><br />
<br />
Artigo feito por: '''Diorges Rocha'''<br />
[[Categoria:Roteamento]]<br />
[[Categoria:BCOPs]]</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Protegendo_seu_ASN_com_RPKI&diff=2498Protegendo seu ASN com RPKI2020-05-31T01:43:30Z<p>Diorges: </p>
<hr />
<div>Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN.<br />
<br />
Antes de mais nada, deem uma lida nesse artigo: [[Redes que descartam RPKI Invalidos|https://wiki.brasilpeeringforum.org/w/Redes_que_descartam_RPKI_Invalidos]]<br />
<br />
Antes de começarmos, se você leu o artigo que deixei o link, você deve ter entendido que todo AS que ainda não criou ROAs de seus prefixos ou ainda não criou o CA para seu ASN, seus prefixos são conhecidos na internet como "unknown" ou "desconhecidos" e com isso seus prefixos ainda serão roteados pela internet, então não se preocupe com isso, esse artigo vai apenas ensinar a você deixar seus prefixos como "valid".<br />
<br />
Quero também enfatizar que '''RPKI''' é algo muito importante e devemos tomar cuidado com o que fazemos, sempre que fizermos qualquer alteração em algum ROA, verifique se está correto para não ter problemas, pois, redes que descartam RPKIs inválidos podem parar de rotear seus prefixos que erradamente você não autorizou e pode gerar dor de cabeça (ex.: intermitência ou perda total de comunicação com redes que dropam RPKI inválido), por isso, antes de continuar tenha certeza que vai cuidar direitinho do seus ROAs. PAZ!<br />
<br />
Neste artigo será utilizado o '''Krill''' para ativarmos o '''RPKI''' no seu ASN.<br />
<br />
= Instalação =<br />
Instalação e Configuração do Krill.<br />
<br />
Primeiramente você precisa de uma máquina virtual rodando linux Debian ou Ubuntu, com isso iremos prosseguir para os passos de instalação:<br />
<br />
Instalando as dependências para compilar o Krill:<br />
<br />
<code>apt install build-essential libssl-dev openssl pkg-config curl</code><br />
<br />
Agora vamos criar uma pasta para instalar e rodar o Krill:<br />
<pre><br />
mkdir -p /opt/krill/<br />
cd /opt/krill<br />
touch krill.conf<br />
</pre><br />
<br />
Agora vamos compilar/instalar o Krill, logo no primeiro comando ele irá fazer uma pergunta, apenas aperte ENTER e siga para os próximos comandos:<br />
<br />
<pre><br />
curl --proto '=https' --tlsv1.2 -sSf <nowiki>https://sh.rustup.rs</nowiki> | sh<br />
source ~/.cargo/env<br />
cargo install krill<br />
</pre><br />
<br />
Execute o seguinte comando: <code>krill -V</code> e se o resultado for algo assim: <code>Krill 0.6.2</code> o Krill foi instalado com sucesso.<br />
<br />
Caso de algum erro, faça os seguintes comandos e tente novamente:<br />
<pre><br />
ln -s /root/.cargo/bin/krill /usr/bin<br />
ln -s /root/.cargo/bin/krillc /usr/bin<br />
</pre><br />
<br />
Vamos agora criar a config inicial do Krill, e criar uma senha/token seguro para o Krill, copie todas as linhas e cole no terminal:<br />
<pre><br />
cat <<\EOF >/opt/krill/krill.conf<br />
ip = "0.0.0.0"<br />
port = 3000<br />
auth_token = "ColoqueAquiSeuTokenSenhaSeguro"<br />
EOF<br />
</pre><br />
<br />
= Configuração =<br />
Enfim, nosso Krill já está pronto para ser usado, antes precisamos iniciar o daemon do Krill, mas ainda, infelizmente o Krill não vem com script para iniciar e parar, a NTLabs disponibilizou dois scripts que podemos usar para iniciar e parar o daemon:<br />
<br />
Para iniciar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_start<br />
#!/bin/bash<br />
KRILL="krill"<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
CONF="$DATA_DIR/krill.conf"<br />
SCRIPT_OUT="$DATA_DIR/krill.log"<br />
nohup $KRILL -c $CONF >$SCRIPT_OUT 2>&1 &<br />
echo $! > $KRILL_PID<br />
EOF<br />
chmod +x /usr/bin/krill_start<br />
</pre><br />
<br />
Para parar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_stop<br />
#!/bin/bash<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
kill `cat $KRILL_PID`<br />
EOF<br />
chmod +x /usr/bin/krill_stop<br />
</pre><br />
<br />
Agora temos 2 novos comandos no terminal do linux <code>krill_start</code> e <code>krill_stop</code><br />
<br />
Então iniciemos o daemon do Krill com o comando <code>krill_start</code> direto no seu terminal, pronto, agora temos o daemon do Krill rodando e já podemos criar nossos ROAs.<br />
<br />
= Habilitando RPKI e Autorizando os ROAs =<br />
Vamos então criar nosso CA utilizando o cliente do Krill:<br />
<br />
<code>krillc add --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Vamos criar agora nosso child_request:<br />
<br />
<code>krillc parents request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Esse último comando gerou um XML chamado child_request, com ele conseguiremos gerar o parent_response no site do registro.br, então copie o XML.<br />
<br />
Para gerar o parent_response siga os passos abaixo:<br />
# Entre na sua conta no Registro.br<br />
# Vá em Titularidade e clique no seu ASN<br />
# No final da página clique em '''CONFIGURAR RPKI'''<br />
# No campo '''child request''' cole o XML que foi gerado pelo comando e clique em '''HABILITAR RPKI.'''<br />
[[Arquivo:Rpki.png|semmoldura|812x812px|borda]]<br />
<br />
O Registro.br irá gerar um outro XML chamado '''parent_response:'''<br />
<br />
[[Arquivo:Parent response rpki.png|semmoldura|640x640px|borda]]<br />
<br />
Copie o conteúdo e volte ao linux!<br />
<br />
Agora vou facilitar para você criar um arquivo com o conteúdo do parent_response dentro do seu Linux, copie o comando abaixo e cole no seu Editor de Texto preferido e substitua no indicado com o XML gerado e execute todo o comando no terminal do linux.<br />
<pre><br />
cat <<\EOF >parent_response.xml<br />
COLE AQUI O XML PARENT RESPONSE<br />
EOF<br />
</pre><br />
<br />
Aqui como meu SO é Windows, optei pelo Bloco de Notas, segue um exemplo do comando preenchido:<br />
<br />
[[Arquivo:Parent response.png|semmoldura|640x640px|borda]]<br />
<br />
E aqui um exemplo dele "colado" no terminal do linux:<br />
<br />
[[Arquivo:Parent response terminal.png|semmoldura|640x640px]]<br />
<br />
Temos agora um arquivo chamado parent_response.xml, vamos adicionar ele ao nosso Krill.<br />
<br />
<code>krillc parents add remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --parent nicbr_ca --rfc8183 parent_response.xml</code><br />
<br />
Pronto, agora sim, o RPKI está ativo no seu ASN!<br />
<br />
Vamos então gerar os ROAs de seus prefixos para protegê-los e prevenir que sofram hijack.<br />
<br />
Mas antes vamos ativar para que o Krill faça publicação remota no registro.br, volte ao terminal do seu linux.<br />
<br />
<code>krillc repo request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
<br />
O comando anterior gerou um XML chamado publisher_request, com ele copiado volte ao registro.br onde você ativou o RPKI e logo abaixo do Parent response, tem um link "Configurar publicação remota", clique nele, no campo que apareceu cole o XML e clique em '''HABILITAR PUBLICAÇÃO REMOTA.'''<br />
<br />
[[Arquivo:Publicacao remota rpki.png|semmoldura|786x786px|borda]]<br />
<br />
Agora você tem outro XML, chamado Repository response:<br />
<br />
[[Arquivo:Repository response rpki.png|semmoldura|640x640px|borda]]<br />
<br />
Seguindo o mesmo principio, precisamos criar um arquivo no linux com esse XML.<br />
<pre><br />
cat <<\EOF >repository_response.xml<br />
COLE AQUI O XML REPOSITORY RESPONSE<br />
EOF<br />
</pre><br />
<br />
Agora que temos o arquivo xml criado no Linux, vamos autorizar em nosso Krill:<br />
<br />
<code>krillc repo update remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --rfc8183 repository_response.xml</code><br />
<br />
E, finalmente podemos criar os ROAs deu seus prefixos, para isso vamos criar um arquivo, mas antes de mais nada, abra seu Editor de Texto preferido e cole o seguinte comando:<br />
<pre><br />
cat <<\EOF >meus_roas.txt<br />
EOF<br />
</pre><br />
<br />
Irei utilizar como exemplo o ASN 65535, substituir pelo seu ASN e seus prefixos.<br />
<br />
Após o meus_roas.txt, na segunda linha, vamos adicionar os ROAs que queremos que sejam válidos, eu vou explanar antes como funciona isso e depois você pode brincar um pouco.<br />
<br />
Você pode adicionar "A" ou remover "R" um ROA sempre que quiser e é bem simples, no arquivo que vamos utilizar para publicar os ROAs você pode fazer o seguinte:<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<br />
Exemplo:<br />
<br />
[[Arquivo:Roas exemplo notepad.png|semmoldura|543x543px|borda]]<BR><br />
<br />
Note que coloquei 22-24 para IPv4 e 32-48 para IPv6, ou seja, estamos dizendo que seus prefixos dentro desse range serão válidos para serem exportados!<br />
Outro caso:<br />
<br />
A: 192.168.0.0/24 => 65535<BR><br />
A: 192.168.1.0/24 => 65535<BR><br />
A: 192.168.2.0/24 => 65535<BR><br />
A: 192.168.3.0/24 => 65535<BR><br />
A: 2001:db8::/48 => 65535<BR><br />
A: 2001:db8:9000::/48 => 65535<br />
<BR><br />
<br />
Nesse caso, estamos dizendo que os blocos /24 são os únicos válidos, ou seja, quando algum provedor for exportar seus blocos, e por algum motivo ele tentar exportar seu prefixo /23 para um AS que valide os prefixos por RPKI, esse AS vai aceitar somente os prefixos /24 pois você não validou o /23 e com isso o prefixo é descartado e não será roteado por esse AS.<br />
<br />
Vamos para outro exemplo, vamos supor que você fez o primeiro exemplo de validar os prefixo 22 até 24, e você resolveu que não quer mais assim e quer somente validar os prefixos /22 e /23, para isso você abre o seu arquivo de roas, apague tudo e faça o seguinte:<br />
<br />
R: 192.168.0.0/22-24 => 65535<br />
<BR><br />
<br />
Salve o arquivo e atualize seus ROAs, e agora abra denovo o arquivo e faça o seguinte:<br />
<br />
A: 192.168.0.0/22-23 => 65535<br />
<BR><br />
<br />
E agora pode atualizar novamente seus ROAs, nesse momento, todos os AS que fazem drop de RPKI invalid, não irão mais aceitar prefixos /24 do seu AS originados por qualquer AS, e perceberam que toda vez que quero mudar alguma coisa eu tenho que apagar o que fiz anteriormente e "R"emover ou "A"adicionar? Entenderam a mecânica?<br />
<br />
Bom, agora que você entendeu como funciona, vamos aos comandos para atualizar e autorizar os ROAs.<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Você colocou seus prefixos no arquivo, agora execute o seguinte comando:<br />
<br />
<code>krillc roas update --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --delta meus_roas.txt</code><br />
<BR><br />
<br />
Pronto, com isso você já atualizou os ROAs, e seus prefixos agora são válidos e não mais desconhecidos.<br />
<br />
= Validando ROAs =<br />
<br />
Para saber se tudo funcionou, vamos fazer um whois no BGPmon.net:<br />
<br />
<pre>whois -h whois.bgpmon.net 192.168.0.0/22</pre><br />
<br />
ou<br />
<br />
<pre>whois -h whois.bgpmon.net " --roa 65535 192.168.0.0/22"</pre><br />
<br />
Segue um exemplo de como deve ser o resultado:<br />
<br />
Exemplo resultado do primeiro comando:<br />
[[Arquivo:ROA Valido.png|nenhum]]<br />
<br />
Exemplo resultado do segundo comando:<br />
[[Arquivo:ROA Valido 02.png|nenhum]]<br />
<br />
<br />
Outros lugares que você pode validar seu ASN se está protegido com RPKI:<br />
<br />
[1] https://sg-pub.ripe.net/jasper/rpki-web-test/<br />
<br />
[2] https://rpki-validator.ripe.net/roas<br />
<br />
[3] https://rpki.cloudflare.com/<br />
<br />
<br />
Esse é o primeiro passo, agora que você tem seu ASN protegido com RPKI, o próximo passo é você também validar prefixos de outros ASs e dropar prefixos inválidos direto no seu BGP utilizando Routinator para validação, mas isso vai ficar para outro artigo.<br />
<br />
'''IMPORTANTE:''' Manter seu Krill sempre atualizado, rodando, ligado e nunca pare o daemon.<BR><br />
<br />
Artigo feito por: '''Diorges Rocha'''<br />
[[Categoria:Roteamento]]<br />
[[Categoria:BCOPs]]</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:Parent_response_terminal.png&diff=2497Arquivo:Parent response terminal.png2020-05-31T01:42:48Z<p>Diorges: </p>
<hr />
<div>Parent Response RPKI terminal exemplo</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Protegendo_seu_ASN_com_RPKI&diff=2496Protegendo seu ASN com RPKI2020-05-31T01:39:16Z<p>Diorges: </p>
<hr />
<div>Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN.<br />
<br />
Antes de mais nada, deem uma lida nesse artigo: [[Redes que descartam RPKI Invalidos|https://wiki.brasilpeeringforum.org/w/Redes_que_descartam_RPKI_Invalidos]]<br />
<br />
Antes de começarmos, se você leu o artigo que deixei o link, você deve ter entendido que todo AS que ainda não criou ROAs de seus prefixos ou ainda não criou o CA para seu ASN, seus prefixos são conhecidos na internet como "unknown" ou "desconhecidos" e com isso seus prefixos ainda serão roteados pela internet, então não se preocupe com isso, esse artigo vai apenas ensinar a você deixar seus prefixos como "valid".<br />
<br />
Quero também enfatizar que '''RPKI''' é algo muito importante e devemos tomar cuidado com o que fazemos, sempre que fizermos qualquer alteração em algum ROA, verifique se está correto para não ter problemas, pois, redes que descartam RPKIs inválidos podem parar de rotear seus prefixos que erradamente você não autorizou e pode gerar dor de cabeça (ex.: intermitência ou perda total de comunicação com redes que dropam RPKI inválido), por isso, antes de continuar tenha certeza que vai cuidar direitinho do seus ROAs. PAZ!<br />
<br />
Neste artigo será utilizado o '''Krill''' para ativarmos o '''RPKI''' no seu ASN.<br />
<br />
= Instalação =<br />
Instalação e Configuração do Krill.<br />
<br />
Primeiramente você precisa de uma máquina virtual rodando linux Debian ou Ubuntu, com isso iremos prosseguir para os passos de instalação:<br />
<br />
Instalando as dependências para compilar o Krill:<br />
<br />
<code>apt install build-essential libssl-dev openssl pkg-config curl</code><br />
<br />
Agora vamos criar uma pasta para instalar e rodar o Krill:<br />
<pre><br />
mkdir -p /opt/krill/<br />
cd /opt/krill<br />
touch krill.conf<br />
</pre><br />
<br />
Agora vamos compilar/instalar o Krill, logo no primeiro comando ele irá fazer uma pergunta, apenas aperte ENTER e siga para os próximos comandos:<br />
<br />
<pre><br />
curl --proto '=https' --tlsv1.2 -sSf <nowiki>https://sh.rustup.rs</nowiki> | sh<br />
source ~/.cargo/env<br />
cargo install krill<br />
</pre><br />
<br />
Execute o seguinte comando: <code>krill -V</code> e se o resultado for algo assim: <code>Krill 0.6.2</code> o Krill foi instalado com sucesso.<br />
<br />
Caso de algum erro, faça os seguintes comandos e tente novamente:<br />
<pre><br />
ln -s /root/.cargo/bin/krill /usr/bin<br />
ln -s /root/.cargo/bin/krillc /usr/bin<br />
</pre><br />
<br />
Vamos agora criar a config inicial do Krill, e criar uma senha/token seguro para o Krill, copie todas as linhas e cole no terminal:<br />
<pre><br />
cat <<\EOF >/opt/krill/krill.conf<br />
ip = "0.0.0.0"<br />
port = 3000<br />
auth_token = "ColoqueAquiSeuTokenSenhaSeguro"<br />
EOF<br />
</pre><br />
<br />
= Configuração =<br />
Enfim, nosso Krill já está pronto para ser usado, antes precisamos iniciar o daemon do Krill, mas ainda, infelizmente o Krill não vem com script para iniciar e parar, a NTLabs disponibilizou dois scripts que podemos usar para iniciar e parar o daemon:<br />
<br />
Para iniciar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_start<br />
#!/bin/bash<br />
KRILL="krill"<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
CONF="$DATA_DIR/krill.conf"<br />
SCRIPT_OUT="$DATA_DIR/krill.log"<br />
nohup $KRILL -c $CONF >$SCRIPT_OUT 2>&1 &<br />
echo $! > $KRILL_PID<br />
EOF<br />
chmod +x /usr/bin/krill_start<br />
</pre><br />
<br />
Para parar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_stop<br />
#!/bin/bash<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
kill `cat $KRILL_PID`<br />
EOF<br />
chmod +x /usr/bin/krill_stop<br />
</pre><br />
<br />
Agora temos 2 novos comandos no terminal do linux <code>krill_start</code> e <code>krill_stop</code><br />
<br />
Então iniciemos o daemon do Krill com o comando <code>krill_start</code> direto no seu terminal, pronto, agora temos o daemon do Krill rodando e já podemos criar nossos ROAs.<br />
<br />
= Habilitando RPKI e Autorizando os ROAs =<br />
Vamos então criar nosso CA utilizando o cliente do Krill:<br />
<br />
<code>krillc add --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Vamos criar agora nosso child_request:<br />
<br />
<code>krillc parents request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Esse último comando gerou um XML chamado child_request, com ele conseguiremos gerar o parent_response no site do registro.br, então copie o XML.<br />
<br />
Para gerar o parent_response siga os passos abaixo:<br />
# Entre na sua conta no Registro.br<br />
# Vá em Titularidade e clique no seu ASN<br />
# No final da página clique em '''CONFIGURAR RPKI'''<br />
# No campo '''child request''' cole o XML que foi gerado pelo comando e clique em '''HABILITAR RPKI.'''<br />
[[Arquivo:Rpki.png|semmoldura|812x812px|borda]]<br />
<br />
O Registro.br irá gerar um outro XML chamado '''parent_response:'''<br />
<br />
[[Arquivo:Parent response rpki.png|semmoldura|640x640px|borda]]<br />
<br />
Copie o conteúdo e volte ao linux!<br />
<br />
Agora vou facilitar para você criar um arquivo com o conteúdo do parent_response dentro do seu Linux, copie o comando abaixo e cole no seu Editor de Texto preferido e substitua no indicado com o XML gerado e execute todo o comando no terminal do linux.<br />
<pre><br />
cat <<\EOF >parent_response.xml<br />
COLE AQUI O XML PARENT RESPONSE<br />
EOF<br />
</pre><br />
<br />
Aqui como meu SO é Windows, optei pelo Bloco de Notas, segue um exemplo do comando preenchido:<br />
<br />
[[Arquivo:Parent response.png|semmoldura|640x640px|borda]]<br />
<br />
Temos agora um arquivo chamado parent_response.xml, vamos adicionar ele ao nosso Krill.<br />
<br />
<code>krillc parents add remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --parent nicbr_ca --rfc8183 parent_response.xml</code><br />
<br />
Pronto, agora sim, o RPKI está ativo no seu ASN!<br />
<br />
Vamos então gerar os ROAs de seus prefixos para protegê-los e prevenir que sofram hijack.<br />
<br />
Mas antes vamos ativar para que o Krill faça publicação remota no registro.br, volte ao terminal do seu linux.<br />
<br />
<code>krillc repo request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
<br />
O comando anterior gerou um XML chamado publisher_request, com ele copiado volte ao registro.br onde você ativou o RPKI e logo abaixo do Parent response, tem um link "Configurar publicação remota", clique nele, no campo que apareceu cole o XML e clique em '''HABILITAR PUBLICAÇÃO REMOTA.'''<br />
<br />
[[Arquivo:Publicacao remota rpki.png|semmoldura|786x786px|borda]]<br />
<br />
Agora você tem outro XML, chamado Repository response:<br />
<br />
[[Arquivo:Repository response rpki.png|semmoldura|640x640px|borda]]<br />
<br />
Seguindo o mesmo principio, precisamos criar um arquivo no linux com esse XML.<br />
<pre><br />
cat <<\EOF >repository_response.xml<br />
COLE AQUI O XML REPOSITORY RESPONSE<br />
EOF<br />
</pre><br />
<br />
Agora que temos o arquivo xml criado no Linux, vamos autorizar em nosso Krill:<br />
<br />
<code>krillc repo update remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --rfc8183 repository_response.xml</code><br />
<br />
E, finalmente podemos criar os ROAs deu seus prefixos, para isso vamos criar um arquivo, mas antes de mais nada, abra seu Editor de Texto preferido e cole o seguinte comando:<br />
<pre><br />
cat <<\EOF >meus_roas.txt<br />
EOF<br />
</pre><br />
<br />
Irei utilizar como exemplo o ASN 65535, substituir pelo seu ASN e seus prefixos.<br />
<br />
Após o meus_roas.txt, na segunda linha, vamos adicionar os ROAs que queremos que sejam válidos, eu vou explanar antes como funciona isso e depois você pode brincar um pouco.<br />
<br />
Você pode adicionar "A" ou remover "R" um ROA sempre que quiser e é bem simples, no arquivo que vamos utilizar para publicar os ROAs você pode fazer o seguinte:<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<br />
Exemplo:<br />
<br />
[[Arquivo:Roas exemplo notepad.png|semmoldura|543x543px|borda]]<BR><br />
<br />
Note que coloquei 22-24 para IPv4 e 32-48 para IPv6, ou seja, estamos dizendo que seus prefixos dentro desse range serão válidos para serem exportados!<br />
Outro caso:<br />
<br />
A: 192.168.0.0/24 => 65535<BR><br />
A: 192.168.1.0/24 => 65535<BR><br />
A: 192.168.2.0/24 => 65535<BR><br />
A: 192.168.3.0/24 => 65535<BR><br />
A: 2001:db8::/48 => 65535<BR><br />
A: 2001:db8:9000::/48 => 65535<br />
<BR><br />
<br />
Nesse caso, estamos dizendo que os blocos /24 são os únicos válidos, ou seja, quando algum provedor for exportar seus blocos, e por algum motivo ele tentar exportar seu prefixo /23 para um AS que valide os prefixos por RPKI, esse AS vai aceitar somente os prefixos /24 pois você não validou o /23 e com isso o prefixo é descartado e não será roteado por esse AS.<br />
<br />
Vamos para outro exemplo, vamos supor que você fez o primeiro exemplo de validar os prefixo 22 até 24, e você resolveu que não quer mais assim e quer somente validar os prefixos /22 e /23, para isso você abre o seu arquivo de roas, apague tudo e faça o seguinte:<br />
<br />
R: 192.168.0.0/22-24 => 65535<br />
<BR><br />
<br />
Salve o arquivo e atualize seus ROAs, e agora abra denovo o arquivo e faça o seguinte:<br />
<br />
A: 192.168.0.0/22-23 => 65535<br />
<BR><br />
<br />
E agora pode atualizar novamente seus ROAs, nesse momento, todos os AS que fazem drop de RPKI invalid, não irão mais aceitar prefixos /24 do seu AS originados por qualquer AS, e perceberam que toda vez que quero mudar alguma coisa eu tenho que apagar o que fiz anteriormente e "R"emover ou "A"adicionar? Entenderam a mecânica?<br />
<br />
Bom, agora que você entendeu como funciona, vamos aos comandos para atualizar e autorizar os ROAs.<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Você colocou seus prefixos no arquivo, agora execute o seguinte comando:<br />
<br />
<code>krillc roas update --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --delta meus_roas.txt</code><br />
<BR><br />
<br />
Pronto, com isso você já atualizou os ROAs, e seus prefixos agora são válidos e não mais desconhecidos.<br />
<br />
= Validando ROAs =<br />
<br />
Para saber se tudo funcionou, vamos fazer um whois no BGPmon.net:<br />
<br />
<pre>whois -h whois.bgpmon.net 192.168.0.0/22</pre><br />
<br />
ou<br />
<br />
<pre>whois -h whois.bgpmon.net " --roa 65535 192.168.0.0/22"</pre><br />
<br />
Segue um exemplo de como deve ser o resultado:<br />
<br />
Exemplo resultado do primeiro comando:<br />
[[Arquivo:ROA Valido.png|nenhum]]<br />
<br />
Exemplo resultado do segundo comando:<br />
[[Arquivo:ROA Valido 02.png|nenhum]]<br />
<br />
<br />
Outros lugares que você pode validar seu ASN se está protegido com RPKI:<br />
<br />
[1] https://sg-pub.ripe.net/jasper/rpki-web-test/<br />
<br />
[2] https://rpki-validator.ripe.net/roas<br />
<br />
[3] https://rpki.cloudflare.com/<br />
<br />
<br />
Esse é o primeiro passo, agora que você tem seu ASN protegido com RPKI, o próximo passo é você também validar prefixos de outros ASs e dropar prefixos inválidos direto no seu BGP utilizando Routinator para validação, mas isso vai ficar para outro artigo.<br />
<br />
'''IMPORTANTE:''' Manter seu Krill sempre atualizado, rodando, ligado e nunca pare o daemon.<BR><br />
<br />
Artigo feito por: '''Diorges Rocha'''<br />
[[Categoria:Roteamento]]<br />
[[Categoria:BCOPs]]</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Protegendo_seu_ASN_com_RPKI&diff=2495Protegendo seu ASN com RPKI2020-05-31T01:36:55Z<p>Diorges: Adicionado mais algumas imagens de exemplo.</p>
<hr />
<div>Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN.<br />
<br />
Antes de mais nada, deem uma lida nesse artigo: [[Redes que descartam RPKI Invalidos|https://wiki.brasilpeeringforum.org/w/Redes_que_descartam_RPKI_Invalidos]]<br />
<br />
Antes de começarmos, se você leu o artigo que deixei o link, você deve ter entendido que todo AS que ainda não criou ROAs de seus prefixos ou ainda não criou o CA para seu ASN, seus prefixos são conhecidos na internet como "unknown" ou "desconhecidos" e com isso seus prefixos ainda serão roteados pela internet, então não se preocupe com isso, esse artigo vai apenas ensinar a você deixar seus prefixos como "valid".<br />
<br />
Quero também enfatizar que '''RPKI''' é algo muito importante e devemos tomar cuidado com o que fazemos, sempre que fizermos qualquer alteração em algum ROA, verifique se está correto para não ter problemas, pois, redes que descartam RPKIs inválidos podem parar de rotear seus prefixos que erradamente você não autorizou e pode gerar dor de cabeça (ex.: intermitência ou perda total de comunicação com redes que dropam RPKI inválido), por isso, antes de continuar tenha certeza que vai cuidar direitinho do seus ROAs. PAZ!<br />
<br />
Neste artigo será utilizado o '''Krill''' para ativarmos o '''RPKI''' no seu ASN.<br />
<br />
= Instalação =<br />
Instalação e Configuração do Krill.<br />
<br />
Primeiramente você precisa de uma máquina virtual rodando linux Debian ou Ubuntu, com isso iremos prosseguir para os passos de instalação:<br />
<br />
Instalando as dependências para compilar o Krill:<br />
<br />
<code>apt install build-essential libssl-dev openssl pkg-config curl</code><br />
<br />
Agora vamos criar uma pasta para instalar e rodar o Krill:<br />
<pre><br />
mkdir -p /opt/krill/<br />
cd /opt/krill<br />
touch krill.conf<br />
</pre><br />
<br />
Agora vamos compilar/instalar o Krill, logo no primeiro comando ele irá fazer uma pergunta, apenas aperte ENTER e siga para os próximos comandos:<br />
<br />
<pre><br />
curl --proto '=https' --tlsv1.2 -sSf <nowiki>https://sh.rustup.rs</nowiki> | sh<br />
source ~/.cargo/env<br />
cargo install krill<br />
</pre><br />
<br />
Execute o seguinte comando: <code>krill -V</code> e se o resultado for algo assim: <code>Krill 0.6.2</code> o Krill foi instalado com sucesso.<br />
<br />
Caso de algum erro, faça os seguintes comandos e tente novamente:<br />
<pre><br />
ln -s /root/.cargo/bin/krill /usr/bin<br />
ln -s /root/.cargo/bin/krillc /usr/bin<br />
</pre><br />
<br />
Vamos agora criar a config inicial do Krill, e criar uma senha/token seguro para o Krill, copie todas as linhas e cole no terminal:<br />
<pre><br />
cat <<\EOF >/opt/krill/krill.conf<br />
ip = "0.0.0.0"<br />
port = 3000<br />
auth_token = "ColoqueAquiSeuTokenSenhaSeguro"<br />
EOF<br />
</pre><br />
<br />
= Configuração =<br />
Enfim, nosso Krill já está pronto para ser usado, antes precisamos iniciar o daemon do Krill, mas ainda, infelizmente o Krill não vem com script para iniciar e parar, a NTLabs disponibilizou dois scripts que podemos usar para iniciar e parar o daemon:<br />
<br />
Para iniciar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_start<br />
#!/bin/bash<br />
KRILL="krill"<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
CONF="$DATA_DIR/krill.conf"<br />
SCRIPT_OUT="$DATA_DIR/krill.log"<br />
nohup $KRILL -c $CONF >$SCRIPT_OUT 2>&1 &<br />
echo $! > $KRILL_PID<br />
EOF<br />
chmod +x /usr/bin/krill_start<br />
</pre><br />
<br />
Para parar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_stop<br />
#!/bin/bash<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
kill `cat $KRILL_PID`<br />
EOF<br />
chmod +x /usr/bin/krill_stop<br />
</pre><br />
<br />
Agora temos 2 novos comandos no terminal do linux <code>krill_start</code> e <code>krill_stop</code><br />
<br />
Então iniciemos o daemon do Krill com o comando <code>krill_start</code> direto no seu terminal, pronto, agora temos o daemon do Krill rodando e já podemos criar nossos ROAs.<br />
<br />
= Habilitando RPKI e Autorizando os ROAs =<br />
Vamos então criar nosso CA utilizando o cliente do Krill:<br />
<br />
<code>krillc add --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Vamos criar agora nosso child_request:<br />
<br />
<code>krillc parents request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Esse último comando gerou um XML chamado child_request, com ele conseguiremos gerar o parent_response no site do registro.br, então copie o XML.<br />
<br />
Para gerar o parent_response siga os passos abaixo:<br />
# Entre na sua conta no Registro.br<br />
# Vá em Titularidade e clique no seu ASN<br />
# No final da página clique em '''CONFIGURAR RPKI'''<br />
# No campo '''child request''' cole o XML que foi gerado pelo comando e clique em '''HABILITAR RPKI.'''<br />
[[Arquivo:Rpki.png|semmoldura|812x812px]]<br />
<br />
O Registro.br irá gerar um outro XML chamado '''parent_response:'''<br />
<br />
[[Arquivo:Parent response rpki.png|semmoldura|640x640px]]<br />
<br />
Copie o conteúdo e volte ao linux!<br />
<br />
Agora vou facilitar para você criar um arquivo com o conteúdo do parent_response dentro do seu Linux, copie o comando abaixo e cole no seu Editor de Texto preferido e substitua no indicado com o XML gerado e execute todo o comando no terminal do linux.<br />
<pre><br />
cat <<\EOF >parent_response.xml<br />
COLE AQUI O XML PARENT RESPONSE<br />
EOF<br />
</pre><br />
<br />
Aqui como meu SO é Windows, optei pelo Bloco de Notas, segue um exemplo do comando preenchido:<br />
<br />
[[Arquivo:Parent response.png|semmoldura|640x640px]]<br />
<br />
Temos agora um arquivo chamado parent_response.xml, vamos adicionar ele ao nosso Krill.<br />
<br />
<code>krillc parents add remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --parent nicbr_ca --rfc8183 parent_response.xml</code><br />
<br />
Pronto, agora sim, o RPKI está ativo no seu ASN!<br />
<br />
Vamos então gerar os ROAs de seus prefixos para protegê-los e prevenir que sofram hijack.<br />
<br />
Mas antes vamos ativar para que o Krill faça publicação remota no registro.br, volte ao terminal do seu linux.<br />
<br />
<code>krillc repo request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
<br />
O comando anterior gerou um XML chamado publisher_request, com ele copiado volte ao registro.br onde você ativou o RPKI e logo abaixo do Parent response, tem um link "Configurar publicação remota", clique nele, no campo que apareceu cole o XML e clique em '''HABILITAR PUBLICAÇÃO REMOTA.'''<br />
<br />
[[Arquivo:Publicacao remota rpki.png|semmoldura|786x786px]]<br />
<br />
Agora você tem outro XML, chamado Repository response:<br />
<br />
[[Arquivo:Repository response rpki.png|semmoldura|640x640px]]<br />
<br />
Seguindo o mesmo principio, precisamos criar um arquivo no linux com esse XML.<br />
<pre><br />
cat <<\EOF >repository_response.xml<br />
COLE AQUI O XML REPOSITORY RESPONSE<br />
EOF<br />
</pre><br />
<br />
Agora que temos o arquivo xml criado no Linux, vamos autorizar em nosso Krill:<br />
<br />
<code>krillc repo update remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --rfc8183 repository_response.xml</code><br />
<br />
E, finalmente podemos criar os ROAs deu seus prefixos, para isso vamos criar um arquivo, mas antes de mais nada, abra seu Editor de Texto preferido e cole o seguinte comando:<br />
<pre><br />
cat <<\EOF >meus_roas.txt<br />
EOF<br />
</pre><br />
<br />
Irei utilizar como exemplo o ASN 65535, substituir pelo seu ASN e seus prefixos.<br />
<br />
Após o meus_roas.txt, na segunda linha, vamos adicionar os ROAs que queremos que sejam válidos, eu vou explanar antes como funciona isso e depois você pode brincar um pouco.<br />
<br />
Você pode adicionar "A" ou remover "R" um ROA sempre que quiser e é bem simples, no arquivo que vamos utilizar para publicar os ROAs você pode fazer o seguinte:<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<br />
Exemplo:<br />
<br />
[[Arquivo:Roas exemplo notepad.png|semmoldura|543x543px]]<BR><br />
<br />
Note que coloquei 22-24 para IPv4 e 32-48 para IPv6, ou seja, estamos dizendo que seus prefixos dentro desse range serão válidos para serem exportados!<br />
Outro caso:<br />
<br />
A: 192.168.0.0/24 => 65535<BR><br />
A: 192.168.1.0/24 => 65535<BR><br />
A: 192.168.2.0/24 => 65535<BR><br />
A: 192.168.3.0/24 => 65535<BR><br />
A: 2001:db8::/48 => 65535<BR><br />
A: 2001:db8:9000::/48 => 65535<br />
<BR><br />
<br />
Nesse caso, estamos dizendo que os blocos /24 são os únicos válidos, ou seja, quando algum provedor for exportar seus blocos, e por algum motivo ele tentar exportar seu prefixo /23 para um AS que valide os prefixos por RPKI, esse AS vai aceitar somente os prefixos /24 pois você não validou o /23 e com isso o prefixo é descartado e não será roteado por esse AS.<br />
<br />
Vamos para outro exemplo, vamos supor que você fez o primeiro exemplo de validar os prefixo 22 até 24, e você resolveu que não quer mais assim e quer somente validar os prefixos /22 e /23, para isso você abre o seu arquivo de roas, apague tudo e faça o seguinte:<br />
<br />
R: 192.168.0.0/22-24 => 65535<br />
<BR><br />
<br />
Salve o arquivo e atualize seus ROAs, e agora abra denovo o arquivo e faça o seguinte:<br />
<br />
A: 192.168.0.0/22-23 => 65535<br />
<BR><br />
<br />
E agora pode atualizar novamente seus ROAs, nesse momento, todos os AS que fazem drop de RPKI invalid, não irão mais aceitar prefixos /24 do seu AS originados por qualquer AS, e perceberam que toda vez que quero mudar alguma coisa eu tenho que apagar o que fiz anteriormente e "R"emover ou "A"adicionar? Entenderam a mecânica?<br />
<br />
Bom, agora que você entendeu como funciona, vamos aos comandos para atualizar e autorizar os ROAs.<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Você colocou seus prefixos no arquivo, agora execute o seguinte comando:<br />
<br />
<code>krillc roas update --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --delta meus_roas.txt</code><br />
<BR><br />
<br />
Pronto, com isso você já atualizou os ROAs, e seus prefixos agora são válidos e não mais desconhecidos.<br />
<br />
= Validando ROAs =<br />
<br />
Para saber se tudo funcionou, vamos fazer um whois no BGPmon.net:<br />
<br />
<pre>whois -h whois.bgpmon.net 192.168.0.0/22</pre><br />
<br />
ou<br />
<br />
<pre>whois -h whois.bgpmon.net " --roa 65535 192.168.0.0/22"</pre><br />
<br />
Segue um exemplo de como deve ser o resultado:<br />
<br />
Exemplo resultado do primeiro comando:<br />
[[Arquivo:ROA Valido.png|nenhum]]<br />
<br />
Exemplo resultado do segundo comando:<br />
[[Arquivo:ROA Valido 02.png|nenhum]]<br />
<br />
<br />
Outros lugares que você pode validar seu ASN se está protegido com RPKI:<br />
<br />
[1] https://sg-pub.ripe.net/jasper/rpki-web-test/<br />
<br />
[2] https://rpki-validator.ripe.net/roas<br />
<br />
[3] https://rpki.cloudflare.com/<br />
<br />
<br />
Esse é o primeiro passo, agora que você tem seu ASN protegido com RPKI, o próximo passo é você também validar prefixos de outros ASs e dropar prefixos inválidos direto no seu BGP utilizando Routinator para validação, mas isso vai ficar para outro artigo.<br />
<br />
'''IMPORTANTE:''' Manter seu Krill sempre atualizado, rodando, ligado e nunca pare o daemon.<BR><br />
<br />
Artigo feito por: '''Diorges Rocha'''<br />
[[Categoria:Roteamento]]<br />
[[Categoria:BCOPs]]</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:Parent_response.png&diff=2494Arquivo:Parent response.png2020-05-31T01:36:18Z<p>Diorges: </p>
<hr />
<div>Exemplo Parent Response</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:Roas_exemplo_notepad.png&diff=2493Arquivo:Roas exemplo notepad.png2020-05-31T01:33:43Z<p>Diorges: </p>
<hr />
<div>Exemplo de ROAs para autorizar</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:Parent_response_notepad.png&diff=2492Arquivo:Parent response notepad.png2020-05-31T01:31:40Z<p>Diorges: </p>
<hr />
<div>Parent Response Notepad Exemplo</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Protegendo_seu_ASN_com_RPKI&diff=2491Protegendo seu ASN com RPKI2020-05-31T01:24:37Z<p>Diorges: Adicionado algumas informações importantes e algumas imagens para ajudar!</p>
<hr />
<div>Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN.<br />
<br />
Antes de mais nada, deem uma lida nesse artigo: [[Redes que descartam RPKI Invalidos|https://wiki.brasilpeeringforum.org/w/Redes_que_descartam_RPKI_Invalidos]]<br />
<br />
Antes de começarmos, se você leu o artigo que deixei o link, você deve ter entendido que todo AS que ainda não criou ROAs de seus prefixos ou ainda não criou o CA para seu ASN, seus prefixos são conhecidos na internet como "unknown" ou "desconhecidos" e com isso seus prefixos ainda serão roteados pela internet, então não se preocupe com isso, esse artigo vai apenas ensinar a você deixar seus prefixos como "valid".<br />
<br />
Quero também enfatizar que '''RPKI''' é algo muito importante e devemos tomar cuidado com o que fazemos, sempre que fizermos qualquer alteração em algum ROA, verifique se está correto para não ter problemas, pois, redes que descartam RPKIs inválidos podem parar de rotear seus prefixos que erradamente você não autorizou e pode gerar dor de cabeça (ex.: intermitência ou perda total de comunicação com redes que dropam RPKI inválido), por isso, antes de continuar tenha certeza que vai cuidar direitinho do seus ROAs. PAZ!<br />
<br />
Neste artigo será utilizado o '''Krill''' para ativarmos o '''RPKI''' no seu ASN.<br />
<br />
= Instalação =<br />
Instalação e Configuração do Krill.<br />
<br />
Primeiramente você precisa de uma máquina virtual rodando linux Debian ou Ubuntu, com isso iremos prosseguir para os passos de instalação:<br />
<br />
Instalando as dependências para compilar o Krill:<br />
<br />
<code>apt install build-essential libssl-dev openssl pkg-config curl</code><br />
<br />
Agora vamos criar uma pasta para instalar e rodar o Krill:<br />
<pre><br />
mkdir -p /opt/krill/<br />
cd /opt/krill<br />
touch krill.conf<br />
</pre><br />
<br />
Agora vamos compilar/instalar o Krill, logo no primeiro comando ele irá fazer uma pergunta, apenas aperte ENTER e siga para os próximos comandos:<br />
<br />
<pre><br />
curl --proto '=https' --tlsv1.2 -sSf <nowiki>https://sh.rustup.rs</nowiki> | sh<br />
source ~/.cargo/env<br />
cargo install krill<br />
</pre><br />
<br />
Execute o seguinte comando: <code>krill -V</code> e se o resultado for algo assim: <code>Krill 0.6.2</code> o Krill foi instalado com sucesso.<br />
<br />
Caso de algum erro, faça os seguintes comandos e tente novamente:<br />
<pre><br />
ln -s /root/.cargo/bin/krill /usr/bin<br />
ln -s /root/.cargo/bin/krillc /usr/bin<br />
</pre><br />
<br />
Vamos agora criar a config inicial do Krill, e criar uma senha/token seguro para o Krill, copie todas as linhas e cole no terminal:<br />
<pre><br />
cat <<\EOF >/opt/krill/krill.conf<br />
ip = "0.0.0.0"<br />
port = 3000<br />
auth_token = "ColoqueAquiSeuTokenSenhaSeguro"<br />
EOF<br />
</pre><br />
<br />
= Configuração =<br />
Enfim, nosso Krill já está pronto para ser usado, antes precisamos iniciar o daemon do Krill, mas ainda, infelizmente o Krill não vem com script para iniciar e parar, a NTLabs disponibilizou dois scripts que podemos usar para iniciar e parar o daemon:<br />
<br />
Para iniciar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_start<br />
#!/bin/bash<br />
KRILL="krill"<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
CONF="$DATA_DIR/krill.conf"<br />
SCRIPT_OUT="$DATA_DIR/krill.log"<br />
nohup $KRILL -c $CONF >$SCRIPT_OUT 2>&1 &<br />
echo $! > $KRILL_PID<br />
EOF<br />
chmod +x /usr/bin/krill_start<br />
</pre><br />
<br />
Para parar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_stop<br />
#!/bin/bash<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
kill `cat $KRILL_PID`<br />
EOF<br />
chmod +x /usr/bin/krill_stop<br />
</pre><br />
<br />
Agora temos 2 novos comandos no terminal do linux <code>krill_start</code> e <code>krill_stop</code><br />
<br />
Então iniciemos o daemon do Krill com o comando <code>krill_start</code> direto no seu terminal, pronto, agora temos o daemon do Krill rodando e já podemos criar nossos ROAs.<br />
<br />
= Habilitando RPKI e Autorizando os ROAs =<br />
Vamos então criar nosso CA utilizando o cliente do Krill:<br />
<br />
<code>krillc add --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Vamos criar agora nosso child_request:<br />
<br />
<code>krillc parents request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Esse último comando gerou um XML chamado child_request, com ele conseguiremos gerar o parent_response no site do registro.br, então copie o XML.<br />
<br />
Para gerar o parent_response siga os passos abaixo:<br />
# Entre na sua conta no Registro.br<br />
# Vá em Titularidade e clique no seu ASN<br />
# No final da página clique em '''CONFIGURAR RPKI'''<br />
# No campo '''child request''' cole o XML que foi gerado pelo comando e clique em '''HABILITAR RPKI.'''<br />
[[Arquivo:Rpki.png|semmoldura|812x812px]]<br />
<br />
O Registro.br irá gerar um outro XML chamado '''parent_response:'''<br />
<br />
[[Arquivo:Parent response rpki.png|semmoldura|640x640px]]<br />
<br />
Copie o conteúdo e volte ao linux!<br />
<br />
Agora vou facilitar para você criar um arquivo com o conteúdo do parent_response dentro do seu Linux, copie o comando abaixo e cole no seu Editor de Texto preferido e substitua no indicado com o XML gerado e execute todo o comando no terminal do linux.<br />
<pre><br />
cat <<\EOF >parent_response.xml<br />
COLE AQUI O XML PARENT RESPONSE<br />
EOF<br />
</pre><br />
<br />
Temos agora um arquivo chamado parent_response.xml, vamos adicionar ele ao nosso Krill.<br />
<br />
<code>krillc parents add remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --parent nicbr_ca --rfc8183 parent_response.xml</code><br />
<br />
Pronto, agora sim, o RPKI está ativo no seu ASN!<br />
<br />
Vamos então gerar os ROAs de seus prefixos para protegê-los e prevenir que sofram hijack.<br />
<br />
Mas antes vamos ativar para que o Krill faça publicação remota no registro.br, volte ao terminal do seu linux.<br />
<br />
<code>krillc repo request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
<br />
O comando anterior gerou um XML chamado publisher_request, com ele copiado volte ao registro.br onde você ativou o RPKI e logo abaixo do Parent response, tem um link "Configurar publicação remota", clique nele, no campo que apareceu cole o XML e clique em '''HABILITAR PUBLICAÇÃO REMOTA.'''<br />
<br />
[[Arquivo:Publicacao remota rpki.png|semmoldura|786x786px]]<br />
<br />
Agora você tem outro XML, chamado Repository response:<br />
<br />
[[Arquivo:Repository response rpki.png|semmoldura|640x640px]]<br />
<br />
Seguindo o mesmo principio, precisamos criar um arquivo no linux com esse XML.<br />
<pre><br />
cat <<\EOF >repository_response.xml<br />
COLE AQUI O XML REPOSITORY RESPONSE<br />
EOF<br />
</pre><br />
<br />
Agora que temos o arquivo xml criado no Linux, vamos autorizar em nosso Krill:<br />
<br />
<code>krillc repo update remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --rfc8183 repository_response.xml</code><br />
<br />
E, finalmente podemos criar os ROAs deu seus prefixos, para isso vamos criar um arquivo, mas antes de mais nada, abra seu Editor de Texto preferido e cole o seguinte comando:<br />
<pre><br />
cat <<\EOF >meus_roas.txt<br />
EOF<br />
</pre><br />
<br />
Irei utilizar como exemplo o ASN 65535, substituir pelo seu ASN e seus prefixos.<br />
<br />
Após o meus_roas.txt, na segunda linha, vamos adicionar os ROAs que queremos que sejam válidos, eu vou explanar antes como funciona isso e depois você pode brincar um pouco.<br />
<br />
Você pode adicionar "A" ou remover "R" um ROA sempre que quiser e é bem simples, no arquivo que vamos utilizar para publicar os ROAs você pode fazer o seguinte:<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Note que coloquei 22-24 para IPv4 e 32-48 para IPv6, ou seja, estamos dizendo que seus prefixos dentro desse range serão válidos para serem exportados!<br />
Outro caso:<br />
<br />
A: 192.168.0.0/24 => 65535<BR><br />
A: 192.168.1.0/24 => 65535<BR><br />
A: 192.168.2.0/24 => 65535<BR><br />
A: 192.168.3.0/24 => 65535<BR><br />
A: 2001:db8::/48 => 65535<BR><br />
A: 2001:db8:9000::/48 => 65535<br />
<BR><br />
<br />
Nesse caso, estamos dizendo que os blocos /24 são os únicos válidos, ou seja, quando algum provedor for exportar seus blocos, e por algum motivo ele tentar exportar seu prefixo /23 para um AS que valide os prefixos por RPKI, esse AS vai aceitar somente os prefixos /24 pois você não validou o /23 e com isso o prefixo é descartado e não será roteado por esse AS.<br />
<br />
Vamos para outro exemplo, vamos supor que você fez o primeiro exemplo de validar os prefixo 22 até 24, e você resolveu que não quer mais assim e quer somente validar os prefixos /22 e /23, para isso você abre o seu arquivo de roas, apague tudo e faça o seguinte:<br />
<br />
R: 192.168.0.0/22-24 => 65535<br />
<BR><br />
<br />
Salve o arquivo e atualize seus ROAs, e agora abra denovo o arquivo e faça o seguinte:<br />
<br />
A: 192.168.0.0/22-23 => 65535<br />
<BR><br />
<br />
E agora pode atualizar novamente seus ROAs, nesse momento, todos os AS que fazem drop de RPKI invalid, não irão mais aceitar prefixos /24 do seu AS originados por qualquer AS, e perceberam que toda vez que quero mudar alguma coisa eu tenho que apagar o que fiz anteriormente e "R"emover ou "A"adicionar? Entenderam a mecânica?<br />
<br />
Bom, agora que você entendeu como funciona, vamos aos comandos para atualizar e autorizar os ROAs.<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Você colocou seus prefixos no arquivo, agora execute o seguinte comando:<br />
<br />
<code>krillc roas update --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --delta meus_roas.txt</code><br />
<BR><br />
<br />
Pronto, com isso você já atualizou os ROAs, e seus prefixos agora são válidos e não mais desconhecidos.<br />
<br />
= Validando ROAs =<br />
<br />
Para saber se tudo funcionou, vamos fazer um whois no BGPmon.net:<br />
<br />
<pre>whois -h whois.bgpmon.net 192.168.0.0/22</pre><br />
<br />
ou<br />
<br />
<pre>whois -h whois.bgpmon.net " --roa 65535 192.168.0.0/22"</pre><br />
<br />
Segue um exemplo de como deve ser o resultado:<br />
<br />
Exemplo resultado do primeiro comando:<br />
[[Arquivo:ROA Valido.png|nenhum]]<br />
<br />
Exemplo resultado do segundo comando:<br />
[[Arquivo:ROA Valido 02.png|nenhum]]<br />
<br />
<br />
Outros lugares que você pode validar seu ASN se está protegido com RPKI:<br />
<br />
[1] https://sg-pub.ripe.net/jasper/rpki-web-test/<br />
<br />
[2] https://rpki-validator.ripe.net/roas<br />
<br />
[3] https://rpki.cloudflare.com/<br />
<br />
<br />
Esse é o primeiro passo, agora que você tem seu ASN protegido com RPKI, o próximo passo é você também validar prefixos de outros ASs e dropar prefixos inválidos direto no seu BGP utilizando Routinator para validação, mas isso vai ficar para outro artigo.<br />
<br />
'''IMPORTANTE:''' Manter seu Krill sempre atualizado, rodando, ligado e nunca pare o daemon.<BR><br />
<br />
Artigo feito por: '''Diorges Rocha'''<br />
[[Categoria:Roteamento]]<br />
[[Categoria:BCOPs]]</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:Repository_response_rpki.png&diff=2490Arquivo:Repository response rpki.png2020-05-31T01:21:30Z<p>Diorges: </p>
<hr />
<div>Repository Response RPKI</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:Publicacao_remota_rpki.png&diff=2489Arquivo:Publicacao remota rpki.png2020-05-31T01:19:40Z<p>Diorges: </p>
<hr />
<div>Publicação Remota RPKI</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:Parent_response_rpki.png&diff=2488Arquivo:Parent response rpki.png2020-05-31T01:17:03Z<p>Diorges: </p>
<hr />
<div>Parent Response RPKI</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:Rpki.png&diff=2487Arquivo:Rpki.png2020-05-31T01:11:20Z<p>Diorges: </p>
<hr />
<div>Habilitando RPKI</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Protegendo_seu_ASN_com_RPKI&diff=2473Protegendo seu ASN com RPKI2020-05-26T12:43:25Z<p>Diorges: </p>
<hr />
<div>Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN.<br />
<br />
Antes de mais nada, deem uma lida nesse artigo: [[Redes que descartam RPKI Invalidos|https://wiki.brasilpeeringforum.org/w/Redes_que_descartam_RPKI_Invalidos]]<br />
<br />
Antes de começarmos, se você leu o artigo que deixei o link, você deve ter entendido que todo AS que ainda não criou ROAs de seus prefixos ou ainda não criou o CA para seu ASN, seus prefixos são conhecidos na internet como "unknown" ou "desconhecidos" e com isso seus prefixos ainda serão roteados pela internet, então não se preocupe com isso, esse artigo vai apenas ensinar a você deixar seus prefixos como "valid".<br />
<br />
Neste artigo será utilizado o '''Krill''' para ativarmos o RPKI no seu ASN.<br />
<br />
= Instalação =<br />
Instalação e Configuração do Krill.<br />
<br />
Primeiramente você precisa de uma máquina virtual rodando linux Debian ou Ubuntu, com isso iremos prosseguir para os passos de instalação:<br />
<br />
Instalando as dependências para compilar o Krill:<br />
<br />
<code>apt install build-essential libssl-dev openssl pkg-config curl</code><br />
<br />
Agora vamos criar uma pasta para instalar e rodar o Krill:<br />
<pre><br />
mkdir -p /opt/krill/<br />
cd /opt/krill<br />
touch krill.conf<br />
</pre><br />
<br />
Agora vamos compilar/instalar o Krill, logo no primeiro comando ele irá fazer uma pergunta, apenas aperte ENTER e siga para os próximos comandos:<br />
<br />
<pre><br />
curl --proto '=https' --tlsv1.2 -sSf <nowiki>https://sh.rustup.rs</nowiki> | sh<br />
source ~/.cargo/env<br />
cargo install krill<br />
</pre><br />
<br />
Execute o seguinte comando: <code>krill -V</code> e se o resultado for algo assim: <code>Krill 0.6.2</code> o Krill foi instalado com sucesso.<br />
<br />
Caso de algum erro, faça os seguintes comandos e tente novamente:<br />
<pre><br />
ln -s /root/.cargo/bin/krill /usr/bin<br />
ln -s /root/.cargo/bin/krillc /usr/bin<br />
</pre><br />
<br />
Vamos agora criar a config inicial do Krill, e criar uma senha/token seguro para o Krill, copie todas as linhas e cole no terminal:<br />
<pre><br />
cat <<\EOF >/opt/krill/krill.conf<br />
ip = "0.0.0.0"<br />
port = 3000<br />
auth_token = "ColoqueAquiSeuTokenSenhaSeguro"<br />
EOF<br />
</pre><br />
<br />
= Configuração =<br />
Enfim, nosso Krill já está pronto para ser usado, antes precisamos iniciar o daemon do Krill, mas ainda, infelizmente o Krill não vem com script para iniciar e parar, a NTLabs disponibilizou dois scripts que podemos usar para iniciar e parar o daemon:<br />
<br />
Para iniciar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_start<br />
#!/bin/bash<br />
KRILL="krill"<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
CONF="$DATA_DIR/krill.conf"<br />
SCRIPT_OUT="$DATA_DIR/krill.log"<br />
nohup $KRILL -c $CONF >$SCRIPT_OUT 2>&1 &<br />
echo $! > $KRILL_PID<br />
EOF<br />
chmod +x /usr/bin/krill_start<br />
</pre><br />
<br />
Para parar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_stop<br />
#!/bin/bash<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
kill `cat $KRILL_PID`<br />
EOF<br />
chmod +x /usr/bin/krill_stop<br />
</pre><br />
<br />
Agora temos 2 novos comandos no terminal do linux <code>krill_start</code> e <code>krill_stop</code><br />
<br />
Então iniciemos o daemon do Krill com o comando <code>krill_start</code> direto no seu terminal, pronto, agora temos o daemon do Krill rodando e já podemos criar nossos ROAs.<br />
<br />
= Habilitando RPKI e Autorizando os ROAs =<br />
Vamos então criar nosso CA utilizando o cliente do Krill:<br />
<br />
<code>krillc add --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Vamos criar agora nosso child_request:<br />
<br />
<code>krillc parents request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Esse último comando gerou um XML chamado child_request, com ele conseguiremos gerar o parent_response no site do registro.br, então copie o XML.<br />
<br />
Para gerar o parent_response siga os passos abaixo:<br />
# Entre na sua conta no Registro.br<br />
# Vá em Titularidade e clique no seu ASN<br />
# No final da página clique em '''CONFIGURAR RPKI'''<br />
# No campo '''child request''' cole o XML que foi gerado pelo comando e clique em '''HABILITAR RPKI.'''<br />
O Registro.br irá gerar um outro XML chamado '''parent_response''', copie o conteúdo e volte ao linux.<br />
<br />
Agora vou facilitar para você criar um arquivo com o conteúdo do parent_response dentro do seu Linux, copie o comando abaixo e cole no seu Editor de Texto preferido e substitua no indicado com o XML gerado e execute todo o comando no terminal do linux.<br />
<pre><br />
cat <<\EOF >parent_response.xml<br />
COLE AQUI O XML PARENT RESPONSE<br />
EOF<br />
</pre><br />
<br />
Temos agora um arquivo chamado parent_response.xml, vamos adicionar ele ao nosso Krill.<br />
<br />
<code>krillc parents add remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --parent nicbr_ca --rfc8183 parent_response.xml</code><br />
<br />
Pronto, agora sim, o RPKI está ativo no seu ASN!<br />
<br />
Vamos então gerar os ROAs de seus prefixos para protegê-los e prevenir que sofram hijack.<br />
<br />
Mas antes vamos ativar para que o Krill faça publicação remota no registro.br, volte ao terminal do seu linux.<br />
<br />
<code>krillc repo request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
<br />
O comando anterior gerou um XML chamado publisher_request, com ele copiado volte ao registro.br onde você ativou o RPKI e logo abaixo do Parent response, tem um link "Configurar publicação remota", clique nele, no campo que apareceu cole o XML e clique em '''HABILITAR PUBLICAÇÃO REMOTA''', agora você tem outro XML, chamado Repository response, seguindo o mesmo principio, precisamos criar um arquivo no linux com esse XML.<br />
<pre><br />
cat <<\EOF >repository_response.xml<br />
COLE AQUI O XML REPOSITORY RESPONSE<br />
EOF<br />
</pre><br />
<br />
Agora que temos o arquivo xml criado no Linux, vamos autorizar em nosso Krill:<br />
<br />
<code>krillc repo update remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --rfc8183 repository_response.xml</code><br />
<br />
E, finalmente podemos criar os ROAs deu seus prefixos, para isso vamos criar um arquivo, mas antes de mais nada, abra seu Editor de Texto preferido e cole o seguinte comando:<br />
<pre><br />
cat <<\EOF >meus_roas.txt<br />
EOF<br />
</pre><br />
<br />
Após o meus_roas.txt, na segunda linha, vamos adicionar os ROAs que queremos que sejam válidos, eu vou explanar antes como funciona isso e depois você pode brincar um pouco.<br />
<br />
Você pode adicionar "A" ou remover "R" um ROA sempre que quiser e é bem simples, no arquivo que vamos utilizar para publicar os ROAs você pode fazer o seguinte:<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Note que coloquei 22-24 para IPv4 e 32-48 para IPv6, ou seja, estamos dizendo que seus prefixos dentro desse range serão válidos para serem exportados!<br />
Outro caso:<br />
<br />
A: 192.168.0.0/24 => 65535<BR><br />
A: 192.168.1.0/24 => 65535<BR><br />
A: 192.168.2.0/24 => 65535<BR><br />
A: 192.168.3.0/24 => 65535<BR><br />
A: 2001:db8::/48 => 65535<BR><br />
A: 2001:db8:9000::/48 => 65535<br />
<BR><br />
<br />
Nesse caso, estamos dizendo que os blocos /24 são os únicos válidos, ou seja, quando algum provedor for exportar seus blocos, e por algum motivo ele tentar exportar seu prefixo /23 para um AS que valide os prefixos por RPKI, esse AS vai aceitar somente os prefixos /24 pois você não validou o /23 e com isso o prefixo é descartado e não será roteado por esse AS.<br />
<br />
Vamos para outro exemplo, vamos supor que você fez o primeiro exemplo de validar os prefixo 22 até 24, e você resolveu que não quer mais assim e quer somente validar os prefixos /22 e /23, para isso você abre o seu arquivo de roas, apague tudo e faça o seguinte:<br />
<br />
R: 192.168.0.0/22-24 => 65535<br />
<BR><br />
<br />
Salve o arquivo e atualize seus ROAs, e agora abra denovo o arquivo e faça o seguinte:<br />
<br />
A: 192.168.0.0/22-23 => 65535<br />
<BR><br />
<br />
E agora pode atualizar novamente seus ROAs, nesse momento, todos os AS que fazem drop de RPKI invalid, não irão mais aceitar prefixos /24 do seu AS originados por qualquer AS, e perceberam que toda vez que quero mudar alguma coisa eu tenho que apagar o que fiz anteriormente e "R"emover ou "A"adicionar? Entenderam a mecânica?<br />
<br />
Bom, agora que você entendeu como funciona, vamos aos comandos para atualizar e autorizar os ROAs.<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Você colocou seus prefixos no arquivo, agora execute o seguinte comando:<br />
<br />
<code>krillc roas update --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --delta meus_roas.txt</code><br />
<BR><br />
<br />
Pronto, com isso você já atualizou os ROAs, e seus prefixos agora são válidos e não mais desconhecidos.<br />
<br />
= Validando ROAs =<br />
<br />
Para saber se tudo funcionou, vamos fazer um whois no BGPmon.net:<br />
<br />
<pre>whois -h whois.bgpmon.net 192.168.0.0/22</pre><br />
<br />
ou<br />
<br />
<pre>whois -h whois.bgpmon.net " --roa 65535 192.168.0.0/22"</pre><br />
<br />
Segue um exemplo de como deve ser o resultado:<br />
<br />
Exemplo resultado do primeiro comando:<br />
[[Arquivo:ROA Valido.png|nenhum]]<br />
<br />
Exemplo resultado do segundo comando:<br />
[[Arquivo:ROA Valido 02.png|nenhum]]<br />
<br />
<br />
Outros lugares que você pode validar seu ASN se está protegido com RPKI:<br />
<br />
[1] https://sg-pub.ripe.net/jasper/rpki-web-test/<br />
<br />
[2] https://rpki-validator.ripe.net/roas<br />
<br />
[3] https://rpki.cloudflare.com/<br />
<br />
<br />
Esse é o primeiro passo, agora que você tem seu ASN protegido com RPKI, o próximo passo é você também validar prefixos de outros ASs e dropar prefixos inválidos direto no seu BGP, mas isso vai ficar para outro artigo.<br />
<br />
'''IMPORTANTE:''' Manter seu Krill sempre atualizado, rodando, ligado e nunca pare o daemon.<BR><br />
<br />
Artigo feito por: '''Diorges Rocha'''<br />
[[Categoria:Roteamento]]<br />
[[Categoria:BCOPs]]</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Protegendo_seu_ASN_com_RPKI&diff=2472Protegendo seu ASN com RPKI2020-05-26T12:30:27Z<p>Diorges: </p>
<hr />
<div>Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN.<br />
<br />
Antes de mais nada, deem uma lida nesse artigo: [[Redes que descartam RPKI Invalidos|https://wiki.brasilpeeringforum.org/w/Redes_que_descartam_RPKI_Invalidos]]<br />
<br />
Antes de começarmos, se você leu o artigo que deixei o link, você deve ter entendido que todo AS que ainda não criou ROAs de seus prefixos ou ainda não criou o CA para seu ASN, seus prefixos são conhecidos na internet como "unknown" ou "desconhecidos" e com isso seus prefixos ainda serão roteados pela internet, então não se preocupe com isso, esse artigo vai apenas ensinar a você deixar seus prefixos como "valid".<br />
<br />
Neste artigo será utilizado o '''Krill''' para ativarmos o RPKI no seu ASN.<br />
<br />
= Instalação =<br />
Instalação e Configuração do Krill.<br />
<br />
Primeiramente você precisa de uma máquina virtual rodando linux Debian ou Ubuntu, com isso iremos prosseguir para os passos de instalação:<br />
<br />
Instalando as dependências para compilar o Krill:<br />
<br />
<code>apt install build-essential libssl-dev openssl pkg-config curl</code><br />
<br />
Agora vamos criar uma pasta para instalar e rodar o Krill:<br />
<pre><br />
mkdir -p /opt/krill/<br />
cd /opt/krill<br />
touch krill.conf<br />
</pre><br />
<br />
Agora vamos compilar/instalar o Krill, logo no primeiro comando ele irá fazer uma pergunta, apenas aperte ENTER e siga para os próximos comandos:<br />
<br />
<pre><br />
curl --proto '=https' --tlsv1.2 -sSf <nowiki>https://sh.rustup.rs</nowiki> | sh<br />
source ~/.cargo/env<br />
cargo install krill<br />
</pre><br />
<br />
Execute o seguinte comando: <code>krill -V</code> e se o resultado for algo assim: <code>Krill 0.6.2</code> o Krill foi instalado com sucesso.<br />
<br />
Caso de algum erro, faça os seguintes comandos e tente novamente:<br />
<pre><br />
ln -s /root/.cargo/bin/krill /usr/bin<br />
ln -s /root/.cargo/bin/krillc /usr/bin<br />
</pre><br />
<br />
Vamos agora criar a config inicial do Krill, e criar uma senha/token seguro para o Krill, copie todas as linhas e cole no terminal:<br />
<pre><br />
cat <<\EOF >/opt/krill/krill.conf<br />
ip = "0.0.0.0"<br />
port = 3000<br />
auth_token = "ColoqueAquiSeuTokenSenhaSeguro"<br />
EOF<br />
</pre><br />
<br />
= Configuração =<br />
Enfim, nosso Krill já está pronto para ser usado, antes precisamos iniciar o daemon do Krill, mas ainda, infelizmente o Krill não vem com script para iniciar e parar, a NTLabs disponibilizou dois scripts que podemos usar para iniciar e parar o daemon:<br />
<br />
Para iniciar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_start<br />
#!/bin/bash<br />
KRILL="krill"<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
CONF="$DATA_DIR/krill.conf"<br />
SCRIPT_OUT="$DATA_DIR/krill.log"<br />
nohup $KRILL -c $CONF >$SCRIPT_OUT 2>&1 &<br />
echo $! > $KRILL_PID<br />
EOF<br />
chmod +x /usr/bin/krill_start<br />
</pre><br />
<br />
Para parar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<pre><br />
cat <<\EOF >/usr/bin/krill_stop<br />
#!/bin/bash<br />
DATA_DIR="/opt/krill"<br />
KRILL_PID="$DATA_DIR/krill.pid"<br />
kill `cat $KRILL_PID`<br />
EOF<br />
chmod +x /usr/bin/krill_stop<br />
</pre><br />
<br />
Agora temos 2 novos comandos no terminal do linux <code>krill_start</code> e <code>krill_stop</code><br />
<br />
Então iniciemos o daemon do Krill com o comando <code>krill_start</code> direto no seu terminal, pronto, agora temos o daemon do Krill rodando e já podemos criar nossos ROAs.<br />
<br />
= Habilitando RPKI e Autorizando os ROAs =<br />
Vamos então criar nosso CA utilizando o cliente do Krill:<br />
<br />
<code>krillc add --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Vamos criar agora nosso child_request:<br />
<br />
<code>krillc parents request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Esse último comando gerou um XML chamado child_request, com ele conseguiremos gerar o parent_response no site do registro.br, então copie o XML.<br />
<br />
Para gerar o parent_response siga os passos abaixo:<br />
# Entre na sua conta no Registro.br<br />
# Vá em Titularidade e clique no seu ASN<br />
# No final da página clique em '''CONFIGURAR RPKI'''<br />
# No campo '''child request''' cole o XML que foi gerado pelo comando e clique em '''HABILITAR RPKI.'''<br />
O Registro.br irá gerar um outro XML chamado '''parent_response''', copie o conteúdo e volte ao linux.<br />
<br />
Agora vou facilitar para você criar um arquivo com o conteúdo do parent_response dentro do seu Linux, copie o comando abaixo e cole no seu Editor de Texto preferido e substitua no indicado com o XML gerado e execute todo o comando no terminal do linux.<br />
<pre><br />
cat <<\EOF >parent_response.xml<br />
COLE AQUI O XML PARENT RESPONSE<br />
EOF<br />
</pre><br />
<br />
Temos agora um arquivo chamado parent_response.xml, vamos adicionar ele ao nosso Krill.<br />
<br />
<code>krillc parents add remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --parent nicbr_ca --rfc8183 parent_response.xml</code><br />
<br />
Pronto, agora sim, o RPKI está ativo no seu ASN!<br />
<br />
Vamos então gerar os ROAs de seus prefixos para protegê-los e prevenir que sofram hijack.<br />
<br />
Mas antes vamos ativar para que o Krill faça publicação remota no registro.br, volte ao terminal do seu linux.<br />
<br />
<code>krillc repo request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
<br />
O comando anterior gerou um XML chamado publisher_request, com ele copiado volte ao registro.br onde você ativou o RPKI e logo abaixo do Parent response, tem um link "Configurar publicação remota", clique nele, no campo que apareceu cole o XML e clique em '''HABILITAR PUBLICAÇÃO REMOTA''', agora você tem outro XML, chamado Repository response, seguindo o mesmo principio, precisamos criar um arquivo no linux com esse XML.<br />
<pre><br />
cat <<\EOF >repository_response.xml<br />
COLE AQUI O XML REPOSITORY RESPONSE<br />
EOF<br />
</pre><br />
<br />
Agora que temos o arquivo xml criado no Linux, vamos autorizar em nosso Krill:<br />
<br />
<code>krillc repo update remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --rfc8183 repository_response.xml</code><br />
<br />
E, finalmente podemos criar os ROAs deu seus prefixos, para isso vamos criar um arquivo, mas antes de mais nada, abra seu Editor de Texto preferido e cole o seguinte comando:<br />
<pre><br />
cat <<\EOF >meus_roas.txt<br />
EOF<br />
</pre><br />
<br />
Após o meus_roas.txt, na segunda linha, vamos adicionar os ROAs que queremos que sejam válidos, eu vou explanar antes como funciona isso e depois você pode brincar um pouco.<br />
<br />
Você pode adicionar "A" ou remover "R" um ROA sempre que quiser e é bem simples, no arquivo que vamos utilizar para publicar os ROAs você pode fazer o seguinte:<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Note que coloquei 22-24 para IPv4 e 32-48 para IPv6, ou seja, estamos dizendo que seus prefixos dentro desse range serão válidos para serem exportados!<br />
Outro caso:<br />
<br />
A: 192.168.0.0/24 => 65535<BR><br />
A: 192.168.1.0/24 => 65535<BR><br />
A: 192.168.2.0/24 => 65535<BR><br />
A: 192.168.3.0/24 => 65535<BR><br />
A: 2001:db8::/48 => 65535<BR><br />
A: 2001:db8:9000::/48 => 65535<br />
<BR><br />
<br />
Nesse caso, estamos dizendo que os blocos /24 são os únicos válidos, ou seja, quando algum provedor for exportar seus blocos, e por algum motivo ele tentar exportar seu prefixo /23 para um AS que valide os prefixos por RPKI, esse AS vai aceitar somente os prefixos /24 pois você não validou o /23 e com isso o prefixo é descartado e não será roteado por esse AS.<br />
<br />
Vamos para outro exemplo, vamos supor que você fez o primeiro exemplo de validar os prefixo 22 até 24, e você resolveu que não quer mais assim e quer somente validar os prefixos /22 e /23, para isso você abre o seu arquivo de roas, apague tudo e faça o seguinte:<br />
<br />
R: 192.168.0.0/22-24 => 65535<br />
<BR><br />
<br />
Salve o arquivo e atualize seus ROAs, e agora abra denovo o arquivo e faça o seguinte:<br />
<br />
A: 192.168.0.0/22-23 => 65535<br />
<BR><br />
<br />
E agora pode atualizar novamente seus ROAs, nesse momento, todos os AS que fazem drop de RPKI invalid, não irão mais aceitar prefixos /24 do seu AS originados por qualquer AS, e perceberam que toda vez que quero mudar alguma coisa eu tenho que apagar o que fiz anteriormente e "R"emover ou "A"adicionar? Entenderam a mecânica?<br />
<br />
Bom, agora que você entendeu como funciona, vamos aos comandos para atualizar e autorizar os ROAs.<br />
<br />
A: 192.168.0.0/22-24 => 65535<BR><br />
A: 2001:db8::/32-48 => 65535<br />
<BR><br />
<br />
Você colocou seus prefixos no arquivo, agora execute o seguinte comando:<br />
<br />
<code>krillc roas update --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --delta meus_roas.txt</code><br />
<BR><br />
<br />
Pronto, com isso você já atualizou os ROAs, e seus prefixos agora são válidos e não mais desconhecidos.<br />
<br />
= Validando ROAs =<br />
<br />
Para saber se tudo funcionou, vamos fazer um whois no BGPmon.net:<br />
<br />
<pre>whois -h whois.bgpmon.net 192.168.0.0/22</pre><br />
<br />
ou<br />
<br />
<pre>whois -h whois.bgpmon.net " --roa 65535 192.168.0.0/22"</pre><br />
<br />
Segue um exemplo de como deve ser o resultado:<br />
<br />
Exemplo resultado do primeiro comando:<br />
[[Arquivo:ROA Valido.png|nenhum]]<br />
<br />
Exemplo resultado do segundo comando:<br />
[[Arquivo:ROA Valido 02.png|nenhum]]<br />
<br />
<br />
Esse é o primeiro passo, agora que você tem seu ASN protegido com RPKI, o próximo passo é você também validar prefixos de outros ASs e dropar prefixos inválidos direto no seu BGP, mas isso vai ficar para outro artigo.<br />
<br />
'''IMPORTANTE:''' Manter seu Krill sempre atualizado, rodando, ligado e nunca pare o daemon.<BR><br />
<br />
Artigo feito por: '''Diorges Rocha'''<br />
[[Categoria:Roteamento]]<br />
[[Categoria:BCOPs]]</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:ROA_Valido_02.png&diff=2471Arquivo:ROA Valido 02.png2020-05-26T12:27:45Z<p>Diorges: </p>
<hr />
<div>ROA valido.</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Arquivo:ROA_Valido.png&diff=2470Arquivo:ROA Valido.png2020-05-26T12:25:29Z<p>Diorges: </p>
<hr />
<div>Exemplo de ROA valido.</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Protegendo_seu_ASN_com_RPKI&diff=2466Protegendo seu ASN com RPKI2020-05-25T23:19:08Z<p>Diorges: </p>
<hr />
<div>Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN.<br />
<br />
Antes de mais nada, deem uma lida nesse artigo: [[Redes que descartam RPKI Invalidos|https://wiki.brasilpeeringforum.org/w/Redes_que_descartam_RPKI_Invalidos]]<br />
<br />
Antes de começarmos, se você leu o artigo que deixei o link, você deve ter entendido que todo AS que ainda não criou ROAs de seus prefixos ou ainda não criou o CA para seu ASN, seus prefixos são conhecidos na internet como "unknown" ou "desconhecidos" e com isso seus prefixos ainda serão roteados pela internet, então não se preocupe com isso, esse artigo vai apenas ensinar a você deixar seus prefixos como "valid".<br />
<br />
Neste artigo será utilizado o '''Krill''' para ativarmos o RPKI no seu ASN.<br />
<br />
= Instalação =<br />
Instalação e Configuração do Krill.<br />
<br />
Primeiramente você precisa de uma máquina virtual rodando linux Debian ou Ubuntu, com isso iremos prosseguir para os passos de instalação:<br />
<br />
Instalando as dependências para compilar o Krill:<br />
<br />
<code>apt install build-essential libssl-dev openssl pkg-config curl</code><br />
<br />
Agora vamos criar uma pasta para instalar e rodar o Krill:<br />
<br />
<code>mkdir -p /opt/krill/</code><br />
<br />
<code>cd /opt/krill</code><br />
<br />
<code>touch krill.conf</code><br />
<br />
.<br />
<br />
Agora vamos compilar/instalar o Krill, logo no primeiro comando ele irá fazer uma pergunta, apenas aperte ENTER e siga para os próximos comandos:<br />
<br />
<code>curl --proto '=https' --tlsv1.2 -sSf <nowiki>https://sh.rustup.rs</nowiki> | sh</code><br />
<br />
<code>source ~/.cargo/env</code><br />
<br />
<code>cargo install krill</code><br />
<br />
.<br />
<br />
Execute o seguinte comando: <code>krill -V</code> e se o resultado for algo assim: <code>Krill 0.6.2</code> o Krill foi instalado com sucesso.<br />
<br />
Caso de algum erro, faça os seguintes comandos e tente novamente:<br />
<br />
<code>ln -s /root/.cargo/bin/krill /usr/bin</code><br />
<br />
<code>ln -s /root/.cargo/bin/krillc /usr/bin</code><br />
<br />
.<br />
<br />
Vamos agora criar a config inicial do Krill, e criar uma senha/token seguro para o Krill, copie todas as linhas e cole no terminal:<br />
<br />
<code>cat <<\EOF >/opt/krill/krill.conf</code><br />
<br />
<code>ip = "0.0.0.0"</code><br />
<br />
<code>port = 3000</code><br />
<br />
<code>auth_token = "ColoqueAquiSeuTokenSenhaSeguro"</code><br />
<br />
<code>EOF</code><br />
<br />
.<br />
<br />
= Configuração =<br />
Enfim, nosso Krill já está pronto para ser usado, antes precisamos iniciar o daemon do Krill, mas ainda, infelizmente o Krill não vem com script para iniciar e parar, a NTLabs disponibilizou dois scripts que podemos usar para iniciar e parar o daemon:<br />
<br />
Para iniciar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<br />
<code>cat <<\EOF >/usr/bin/krill_start</code><br />
<br />
<code>#!/bin/bash</code><br />
<br />
<code>KRILL="krill"</code><br />
<br />
<code>DATA_DIR="/opt/krill"</code><br />
<br />
<code>KRILL_PID="$DATA_DIR/krill.pid"</code><br />
<br />
<code>CONF="$DATA_DIR/krill.conf"</code><br />
<br />
<code>SCRIPT_OUT="$DATA_DIR/krill.log"</code><br />
<br />
<code>nohup $KRILL -c $CONF >$SCRIPT_OUT 2>&1 &</code><br />
<br />
<code>echo $! > $KRILL_PID</code><br />
<br />
<code>EOF</code><br />
<br />
<code>chmod +x /usr/bin/krill_start</code><br />
<br />
.<br />
<br />
Para parar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<br />
<code>cat <<\EOF >/usr/bin/krill_stop</code><br />
<br />
<code>#!/bin/bash</code><br />
<br />
<code>DATA_DIR="/opt/krill"</code><br />
<br />
<code>KRILL_PID="$DATA_DIR/krill.pid"</code><br />
<br />
<code>kill `cat $KRILL_PID`</code><br />
<br />
<code>EOF</code><br />
<br />
<code>chmod +x /usr/bin/krill_stop</code><br />
<br />
.<br />
<br />
Agora temos 2 novos comandos no terminal do linux <code>krill_start</code> e <code>krill_stop</code><br />
<br />
Então iniciemos o daemon do Krill com o comando <code>krill_start</code> direto no seu terminal, pronto, agora temos o daemon do Krill rodando e já podemos criar nossos ROAs.<br />
<br />
.<br />
<br />
= Habilitando RPKI e Autorizando os ROAs =<br />
Vamos então criar nosso CA utilizando o cliente do Krill:<br />
<br />
<code>krillc add --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
.<br />
<br />
Vamos criar agora nosso child_request:<br />
<br />
<code>krillc parents request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
. <br />
<br />
Esse último comando gerou um XML chamado child_request, com ele conseguiremos gerar o parent_response no site do registro.br, então copie o XML.<br />
<br />
Para gerar o parent_response siga os passos abaixo:<br />
<br />
1 - Entre na sua conta no Registro.br;<br />
<br />
2 - Vá em Titularidade e clique no seu ASN;<br />
<br />
3 - No final da página clique em '''CONFIGURAR RPKI'''; e<br />
<br />
4 - No campo Child request cole o XML que foi gerado pelo comando e clique em '''HABILITAR RPKI.'''<br />
<br />
O registro.br vai gerar um outro XML chamado parent_response, copie o conteúdo e volte ao linux.<br />
<br />
Agora vou facilitar para você criar um arquivo com o conteúdo do parent_response dentro do seu Linux, copie o comando abaixo e cole no seu Editor de Texto preferido e substitua no indicado com o XML gerado e execute todo o comando no terminal do linux.<br />
<br />
<code>cat <<\EOF >parent_response.xml</code><br />
<br />
<code>COLE AQUI O XML PARENT RESPONSE</code><br />
<br />
<code>EOF</code><br />
<br />
.<br />
<br />
Temos agora um arquivo chamado parent_response.xml, vamos adicionar ele ao nosso Krill.<br />
<br />
<code>krillc parents add remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --parent nicbr_ca --rfc8183 parent_response.xml</code><br />
<br />
.<br />
<br />
Pronto, agora sim, o RPKI está ativo no seu ASN!<br />
<br />
Vamos então gerar os ROAs de seus prefixos para protege-los e prevenir que sofram hijack.<br />
<br />
Mas antes vamos ativar para que o Krill faça publicação remota no registro.br, volte ao terminal do seu linux.<br />
<br />
<code>krillc repo request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
.<br />
<br />
O comando anterior gerou um XML chamado publisher_request, com ele copiado volte ao registro.br onde você ativou o RPKI e logo abaixo do Parent response, tem um link "Configurar publicação remota", clique nele, no campo que apareceu cole o XML e clique em '''HABILITAR PUBLICAÇÃO REMOTA''', agora você tem outro XML, chamado Repository response, seguindo o mesmo principio, precisamos criar um arquivo no linux com esse XML.<br />
<br />
<code>cat <<\EOF >repository_response.xml</code><br />
<br />
<code>COLE AQUI O XML REPOSITORY RESPONSE</code><br />
<br />
<code>EOF</code><br />
<br />
.<br />
<br />
Agora que temos o arquivo xml criado no Linux, vamos autorizar em nosso Krill:<br />
<br />
<code>krillc repo update remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --rfc8183 repository_response.xml</code><br />
<br />
E, finalmente podemos criar os ROAs deu seus prefixos, para isso vamos criar um arquivo, mas antes de mais nada, abra seu Editor de Texto preferido e cole o seguinte comando:<br />
<br />
<code>cat <<\EOF >meus_roas.txt</code><br />
<br />
<code>EOF</code><br />
<br />
.<br />
<br />
Após o meus_roas.txt, na segunda linha, vamos adicionar os ROAs que queremos que sejam válidos, eu vou explanar antes como funciona isso e depois você pode brincar um pouco.<br />
<br />
Você pode adicionar "A" ou remover "R" um ROA sempre que quiser e é bem simples, no arquivo que vamos utilizar para publicar os ROAs você pode fazer o seguinte:<br />
<br />
A: 192.168.0.0/22-24 => 65535<br />
<br />
A: 2001:db8::/32-48 => 65535<br />
<br />
.<br />
<br />
Note que coloquei 22-24 para IPv4 e 32-48 para IPv6, ou seja, estamos dizendo que seus prefixos dentro desse range serão válidos para serem exportados!<br />
<br />
Outro caso:<br />
<br />
A: 192.168.0.0/24 => 65535<br />
<br />
A: 192.168.1.0/24 => 65535<br />
<br />
A: 192.168.2.0/24 => 65535<br />
<br />
A: 192.168.3.0/24 => 65535<br />
<br />
A: 2001:db8::/48 => 65535<br />
<br />
A: 2001:db8:9000::/48 => 65535<br />
<br />
.<br />
<br />
Nesse caso, estamos dizendo que os blocos /24 são os únicos válidos, ou seja, quando algum provedor for exportar seus blocos, e por algum motivo ele tentar exportar seu prefixo /23 para um AS que valide os prefixos por RPKI, esse AS vai aceitar somente os prefixos /24 pois você não validou o /23 e com isso o prefixo é descartado e não será roteado por esse AS.<br />
<br />
Vamos para outro exemplo, vamos supor que você fez o primeiro exemplo de validar os prefixo 22 até 24, e você resolveu que não quer mais assim e quer somente validar os prefixos /22 e /23, para isso você abre o seu arquivo de roas, apague tudo e faça o seguinte:<br />
<br />
R: 192.168.0.0/22-24 => 65535<br />
<br />
.<br />
<br />
Salve o arquivo e atualize seus ROAs, e agora abra denovo o arquivo e faça o seguinte:<br />
<br />
A: 192.168.0.0/22-23 => 65535<br />
<br />
.<br />
<br />
E agora pode atualizar novamente seus ROAs, nesse momento, todos os AS que fazem drop de RPKI invalid, não irão mais aceitar prefixos /24 do seu AS originados por qualquer AS, e perceberam que toda vez que quero mudar alguma coisa eu tenho que apagar o que fiz anteriormente e "R"emover ou "A"adicionar? Entenderam a mecânica?<br />
<br />
Bom, agora que você entendeu como funciona, vamos aos comandos para atualizar e autorizar os ROAs.<br />
<br />
A: 192.168.0.0/22-24 => 65535<br />
<br />
A: 2001:db8::/32-48 => 65535<br />
<br />
.<br />
<br />
Você colocou seus prefixos no arquivo, agora faça o seguinte comando:<br />
<br />
<code>krillc roas update --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --delta meus_roas.txt</code><br />
<br />
.<br />
<br />
Pronto, com isso você já atualizou os ROAs, e seus prefixos agora são válidos e não mais desconhecidos.<br />
<br />
Esse é o primeiro passo, agora que você tem seu ASN protegido com RPKI, o próximo passo é você também validar prefixos de outros ASs e dropar prefixos inválidos direto no seu BGP, mas isso vai ficar para outro artigo.<br />
<br />
'''IMPORTANTE:''' Manter seu Krill sempre atualizado, rodando, ligado e nunca pare o daemon.<br />
<br />
.<br />
<br />
Artigo feito por: '''Diorges Rocha'''<br />
[[Categoria:BCOPs]]<br />
[[Categoria:Roteamento]]</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Protegendo_seu_ASN_com_RPKI&diff=2465Protegendo seu ASN com RPKI2020-05-25T23:15:45Z<p>Diorges: Criou página com 'Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN. Antes de mais nada, deem uma lida nesse artigo:...'</p>
<hr />
<div>Neste artigo iremos mostrar quais os passos necessários para criar ROAs (Route Origin Authorisation) dos prefixos de seu ASN.<br />
<br />
Antes de mais nada, deem uma lida nesse artigo: [[Redes que descartam RPKI Invalidos|https://wiki.brasilpeeringforum.org/w/Redes_que_descartam_RPKI_Invalidos]]<br />
<br />
Antes de começarmos, se você leu o artigo que deixei o link, você deve ter entendido que todo AS que ainda não criou ROAs de seus prefixos ou ainda não criou o CA para seu ASN, seus prefixos são conhecidos na internet como "unknown" ou "desconhecidos" e com isso seus prefixos ainda serão roteados pela internet, então não se preocupe com isso, esse artigo vai apenas ensinar a você deixar seus prefixos como "valid".<br />
<br />
Neste artigo será utilizado o '''Krill''' para ativarmos o RPKI no seu ASN.<br />
<br />
= Instalação =<br />
Instalação e Configuração do Krill.<br />
<br />
Primeiramente você precisa de uma máquina virtual rodando linux Debian ou Ubuntu, com isso iremos prosseguir para os passos de instalação:<br />
<br />
Instalando as dependências para compilar o Krill:<br />
<br />
<code>apt install build-essential libssl-dev openssl pkg-config curl</code><br />
<br />
Agora vamos criar uma pasta para instalar e rodar o Krill:<br />
<br />
<code>mkdir -p /opt/krill/</code><br />
<br />
<code>cd /opt/krill</code><br />
<br />
<code>touch krill.conf</code><br />
<br />
Agora vamos compilar/instalar o Krill, logo no primeiro comando ele irá fazer uma pergunta, apenas aperte ENTER e siga para os próximos comandos:<br />
<br />
<code>curl --proto '=https' --tlsv1.2 -sSf <nowiki>https://sh.rustup.rs</nowiki> | sh</code><br />
<br />
<code>source ~/.cargo/env</code><br />
<br />
<code>cargo install krill</code><br />
<br />
Execute o seguinte comando: <code>krill -V</code> e se o resultado for algo assim: <code>Krill 0.6.2</code> o Krill foi instalado com sucesso.<br />
<br />
Caso de algum erro, faça os seguintes comandos e tente novamente:<br />
<br />
<code>ln -s /root/.cargo/bin/krill /usr/bin</code><br />
<br />
<code>ln -s /root/.cargo/bin/krillc /usr/bin</code><br />
<br />
Vamos agora criar a config inicial do Krill, e criar uma senha/token seguro para o Krill, copie todas as linhas e cole no terminal:<br />
<br />
<code>cat <<\EOF >/opt/krill/krill.conf</code><br />
<br />
<code>ip = "0.0.0.0"</code><br />
<br />
<code>port = 3000</code><br />
<br />
<code>auth_token = "ColoqueAquiSeuTokenSenhaSeguro"</code><br />
<br />
<code>EOF</code><br />
<br />
= Configuração =<br />
Enfim, nosso Krill já está pronto para ser usado, antes precisamos iniciar o daemon do Krill, mas ainda, infelizmente o Krill não vem com script para iniciar e parar, a NTLabs disponibilizou dois scripts que podemos usar para iniciar e parar o daemon:<br />
<br />
Para iniciar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<br />
<code>cat <<\EOF >/usr/bin/krill_start</code><br />
<br />
<code>#!/bin/bash</code><br />
<br />
<code>KRILL="krill"</code><br />
<br />
<code>DATA_DIR="/opt/krill"</code><br />
<br />
<code>KRILL_PID="$DATA_DIR/krill.pid"</code><br />
<br />
<code>CONF="$DATA_DIR/krill.conf"</code><br />
<br />
<code>SCRIPT_OUT="$DATA_DIR/krill.log"</code><br />
<br />
<code>nohup $KRILL -c $CONF >$SCRIPT_OUT 2>&1 &</code><br />
<br />
<code>echo $! > $KRILL_PID</code><br />
<br />
<code>EOF</code><br />
<br />
<code>chmod +x /usr/bin/krill_start</code><br />
<br />
Para parar (copiar todas as linhas abaixo e colar no terminal do seu Linux):<br />
<br />
<code>cat <<\EOF >/usr/bin/krill_stop</code><br />
<br />
<code>#!/bin/bash</code><br />
<br />
<code>DATA_DIR="/opt/krill"</code><br />
<br />
<code>KRILL_PID="$DATA_DIR/krill.pid"</code><br />
<br />
<code>kill `cat $KRILL_PID`</code><br />
<br />
<code>EOF</code><br />
<br />
<code>chmod +x /usr/bin/krill_stop</code><br />
<br />
Agora temos 2 novos comandos no terminal do linux <code>krill_start</code> e <code>krill_stop</code><br />
<br />
Então iniciemos o daemon do Krill com o comando <code>krill_start</code> direto no seu terminal, pronto, agora temos o daemon do Krill rodando e já podemos criar nossos ROAs.<br />
<br />
= Habilitando RPKI e Autorizando os ROAs =<br />
Vamos então criar nosso CA utilizando o cliente do Krill:<br />
<br />
<code>krillc add --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
Vamos criar agora nosso child_request:<br />
<br />
<code>krillc parents request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code> <br />
<br />
Esse último comando gerou um XML chamado child_request, com ele conseguiremos gerar o parent_response no site do registro.br, então copie o XML.<br />
<br />
Para gerar o parent_response siga os passos abaixo:<br />
<br />
1 - Entre na sua conta no Registro.br;<br />
<br />
2 - Vá em Titularidade e clique no seu ASN;<br />
<br />
3 - No final da página clique em '''CONFIGURAR RPKI'''; e<br />
<br />
4 - No campo Child request cole o XML que foi gerado pelo comando e clique em '''HABILITAR RPKI.'''<br />
<br />
O registro.br vai gerar um outro XML chamado parent_response, copie o conteúdo e volte ao linux.<br />
<br />
Agora vou facilitar para você criar um arquivo com o conteúdo do parent_response dentro do seu Linux, copie o comando abaixo e cole no seu Editor de Texto preferido e substitua no indicado com o XML gerado e execute todo o comando no terminal do linux.<br />
<br />
<code>cat <<\EOF >parent_response.xml</code><br />
<br />
<code>COLE AQUI O XML PARENT RESPONSE</code><br />
<br />
<code>EOF</code><br />
<br />
Temos agora um arquivo chamado parent_response.xml, vamos adicionar ele ao nosso Krill.<br />
<br />
<code>krillc parents add remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --parent nicbr_ca --rfc8183 parent_response.xml</code><br />
<br />
Pronto, agora sim, o RPKI está ativo no seu ASN!<br />
<br />
Vamos então gerar os ROAs de seus prefixos para protege-los e prevenir que sofram hijack.<br />
<br />
Mas antes vamos ativar para que o Krill faça publicação remota no registro.br, volte ao terminal do seu linux.<br />
<br />
<code>krillc repo request --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA</code><br />
<br />
O comando anterior gerou um XML chamado publisher_request, com ele copiado volte ao registro.br onde você ativou o RPKI e logo abaixo do Parent response, tem um link "Configurar publicação remota", clique nele, no campo que apareceu cole o XML e clique em '''HABILITAR PUBLICAÇÃO REMOTA''', agora você tem outro XML, chamado Repository response, seguindo o mesmo principio, precisamos criar um arquivo no linux com esse XML.<br />
<br />
<code>cat <<\EOF >repository_response.xml</code><br />
<br />
<code>COLE AQUI O XML REPOSITORY RESPONSE</code><br />
<br />
<code>EOF</code><br />
<br />
Agora que temos o arquivo xml criado no Linux, vamos autorizar em nosso Krill:<br />
<br />
<code>krillc repo update remote --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --rfc8183 repository_response.xml</code><br />
<br />
E, finalmente podemos criar os ROAs deu seus prefixos, para isso vamos criar um arquivo, mas antes de mais nada, abra seu Editor de Texto preferido e cole o seguinte comando:<br />
<br />
<code>cat <<\EOF >meus_roas.txt</code><br />
<br />
<code>EOF</code><br />
<br />
Após o meus_roas.txt, na segunda linha, vamos adicionar os ROAs que queremos que sejam válidos, eu vou explanar antes como funciona isso e depois você pode brincar um pouco.<br />
<br />
Você pode adicionar "A" ou remover "R" um ROA sempre que quiser e é bem simples, no arquivo que vamos utilizar para publicar os ROAs você pode fazer o seguinte:<br />
<br />
A: 192.168.0.0/22-24 => 65535<br />
<br />
A: 2001:db8::/32-48 => 65535<br />
<br />
Note que coloquei 22-24 para IPv4 e 32-48 para IPv6, ou seja, estamos dizendo que seus prefixos dentro desse range serão válidos para serem exportados!<br />
<br />
Outro caso:<br />
<br />
A: 192.168.0.0/24 => 65535<br />
<br />
A: 192.168.1.0/24 => 65535<br />
<br />
A: 192.168.2.0/24 => 65535<br />
<br />
A: 192.168.3.0/24 => 65535<br />
<br />
A: 2001:db8::/48 => 65535<br />
<br />
A: 2001:db8:9000::/48 => 65535<br />
<br />
Nesse caso, estamos dizendo que os blocos /24 são os únicos válidos, ou seja, quando algum provedor for exportar seus blocos, e por algum motivo ele tentar exportar seu prefixo /23 para um AS que valide os prefixos por RPKI, esse AS vai aceitar somente os prefixos /24 pois você não validou o /23 e com isso o prefixo é descartado e não será roteado por esse AS.<br />
<br />
Vamos para outro exemplo, vamos supor que você fez o primeiro exemplo de validar os prefixo 22 até 24, e você resolveu que não quer mais assim e quer somente validar os prefixos /22 e /23, para isso você abre o seu arquivo de roas, apague tudo e faça o seguinte:<br />
<br />
R: 192.168.0.0/22-24 => 65535<br />
<br />
Salve o arquivo e atualize seus ROAs, e agora abra denovo o arquivo e faça o seguinte:<br />
<br />
A: 192.168.0.0/22-23 => 65535<br />
<br />
E agora pode atualizar novamente seus ROAs, nesse momento, todos os AS que fazem drop de RPKI invalid, não irão mais aceitar prefixos /24 do seu AS originados por qualquer AS, e perceberam que toda vez que quero mudar alguma coisa eu tenho que apagar o que fiz anteriormente e "R"emover ou "A"adicionar? Entenderam a mecânica?<br />
<br />
Bom, agora que você entendeu como funciona, vamos aos comandos para atualizar e autorizar os ROAs.<br />
<br />
A: 192.168.0.0/22-24 => 65535<br />
<br />
A: 2001:db8::/32-48 => 65535<br />
<br />
Você colocou seus prefixos no arquivo, agora faça o seguinte comando:<br />
<br />
<code>krillc roas update --server <nowiki>https://localhost:3000/</nowiki> --token ColoqueAquiSeuTokenSenhaSeguro --ca MEU_CA --delta meus_roas.txt</code><br />
<br />
Pronto, com isso você já atualizou os ROAs, e seus prefixos agora são válidos e não mais desconhecidos.<br />
<br />
Esse é o primeiro passo, agora que você tem seu ASN protegido com RPKI, o próximo passo é você também validar prefixos de outros ASs e dropar prefixos inválidos direto no seu BGP, mas isso vai ficar para outro artigo.<br />
<br />
'''IMPORTANTE:''' Manter seu Krill sempre atualizado, rodando, ligado e nunca pare o daemon.<br />
<br />
Artigo feito por: '''Diorges Rocha'''<br />
[[Categoria:BCOPs]]<br />
[[Categoria:Roteamento]]</div>Diorgeshttps://wiki.brasilpeeringforum.org/index.php?title=Compatibilidade_de_GBICs_e_Cabos_Twinax&diff=686Compatibilidade de GBICs e Cabos Twinax2019-03-18T15:17:50Z<p>Diorges: Adição de SFP+ da Mikrotik para Switch Huawei 6720</p>
<hr />
<div>=== Introdução ===<br />
O intuito desta página é reunir informações sobre a compatibilidade de GBICs e cabos Twinax utilizados em Switches e Roteadores mais comuns do mercado e facilitar a avaliação por operadores de rede em geral antes de realizar a aquisição.<br />
<br />
Como trata-se de uma Wiki qualquer pessoa pode contribuir com suas experiências de uso inserindo novas informações como novos modelos de GBICs, equipamentos, versões de firmware/software ou adicionando informações complementares às existentes. Um detalhe importante para se atentar é de que é sabido que alguns GBICs funcionam em determinadas versões de firmware/software e não em outras . Nesse casos é importante verificar os detalhes na coluna Observações.<br />
<br />
'''<u>Aviso</u>''': Por se tratar de uma página aberta e de construção colaborativa é importante deixar claro que <u>o Brasil Peering Forum NÃO se responsabiliza pelas informações aqui contidas</u> ou pelos efeitos que o uso delas causem. É recomendado que em caso de dúvida antes de fazer a compra solicitar ao seu fornecedor confirmar por escrito a compatibilidade de um modelo especifico para seu hardware. Também é possível que as informações abaixo possam não sejam mais válidas da forma como apresentadas.<br />
<br />
A intenção é que seja apenas mais uma referência e que auxilie o trabalho de operadores de rede baseado-se nas contribuições da comunidade.<br />
<br />
Caso houver alguma dúvida que esta página não seja capaz de esclarecer envie um email para a Lista de Discussão do BPF.<br />
<br />
=== Como contribuir ===<br />
Para contribuir é simples: verifique na listagem abaixo se existem modelos de GBICs que você possui não listados para cada switch ou roteador, edite a página e adicione os que você utiliza ou já tentou utilizar e observou algum problema descrevendo-o brevemente na coluna Observações. Por exemplo se não funcionou totalmente ou se a princípio funcionou e após colocado em operação houveram problemas e instabilidades. <br />
<br />
Para adicionar uma nova linha utilizando o VisualEditor (editor padrão da Wiki) clique na linha acima ou abaixo de onde se deseja inserir um novo modelo e aparecerá uma seta do lado da tabela. Clique na seta e selecione a opção "Inserir acima" ou "Inserir abaixo" para criar uma nova linha na tabela. Para inserir a imagem na columa Status clique com o botão direito na imagem correspondente na seção Legenda, clique em Copiar e na nova linha a ser inserida clique com o botão direito e clique em Colar. <br />
<br />
É também válido complementar uma informação já existente por exemplo adicionando uma versão de software ainda não listada.<br />
<br />
O mais importante quando for adicionar um novo GBIC é se atentar aos seguintes detalhes:<br />
* Verificar se o modelo do Switch ou Roteador é <u>exatamente</u> o mesmo da seção.<br />
* Part Number do Vendor / Modelo do GBIC (cuidado para não confundir o Part Number do Vendor com a especificação)<br />
* Adicione também a Revision do GBIC caso houver.<br />
<br />
* Versão do firmware / software do switch ou roteador (é possível que alguns GBICs funcionem em versões específicas então caso a versão que você está utilizando não está listada adicione-a dentro da respectiva coluna).<br />
* Caso existir alguma condição especial descreva-a de maneira resumida na coluna Observações.<br />
* Procure manter as GBICs de mesma marca juntas na listagem para facilitar a leitura. Se for necessário insira novas linhas no meio da tabela.<br />
<u>Obs</u>: Não é necessário reportar GBICs do mesmo fabricante que o switch ou roteador como compatíveis (ex: Switch Juniper e GBIC Juniper). Apenas nos casos onde houver problemas de compatibilidade.<br />
<br />
==== Juniper ====<br />
<u>Router</u> - <br />
<br />
<u>Switch</u> - show chassis pic pic-slot 0 fpc-slot 0<br />
<br />
<u>Referências</u>: [https://www.juniper.net/documentation/en_US/release-independent/junos/topics/concept/pic-mx-series-overview.html MX Series FPC and PIC Overview]<br />
<br />
==== Cisco ====<br />
<br />
==== Huawei ====<br />
<u>Router</u> - display optical-module brief<br />
<br />
<u>Switch</u> - display transciever verbose<br />
<br />
==== Mikrotik ====<br />
<u>Router</u> - /interface ethernet monitor sfp1 (Substituir sfp1 pela interface com GBIC conectado. Anotar os seguintes detalhes: sfp-vendor-name (Marca), sfp-vendor-part-number (Modelo) e sfp-vendor-revision (Revision))<br />
<br />
<u>Verificar versão do software</u>: /system upgrade export<br />
<br />
==== Datacom ====<br />
<u>Switch EDD</u> - show hardware-status transcievers<br />
<br />
<u>Switches (DM3000, DM4100, DM4004, DM4008)</u> - show hardware-satus transcievers detail<br />
<br />
=== Legenda ===<br />
[[Arquivo:Sim.png|semmoldura]] - GBIC reportado como funcionando sem problemas.<br><br />
[[Arquivo:Atencao.png|semmoldura]] - GBIC reportado como funcionando parcialmente ou com restrições. Verificar Observações. <br><br />
[[Arquivo:Não.png|semmoldura]] - GBIC reportado como problemático para o equipamento. <br><br />
<br />
=== Lista de Equipamentos ===<br />
<br />
==== Roteadores ====<br />
<br />
===== Juniper =====<br />
<br />
====== MX 5/10/40/80 ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Precision<br />
|PRE-SFP-SX<br />
|<br />
|15.1R7-S1<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Precision<br />
|PRE-XFP-SR<br />
|<br />
|15.1R7-S1<br />
|<br />
|-<br />
|}<br />
====== MX 104 ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Precision<br />
|PRE-SFP-SX<br />
|<br />
|15.1R7.8<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Precision<br />
|PRE-SFP-B53-20<br />
|<br />
|15.1R7.8<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|PRE-SFP10G-SR<br />
|<br />
|15.1R7.8<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX1471D3BNL-J1<br />
|<br />
|15.1R7.8<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX8571D3BCL-HW<br />
|<br />
|15.1R7.8<br />
|<br />
|-<br />
|}<br />
<br />
====== MX 150 ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Mikrotik<br />
|S-53LC20D<br />
|<br />
|17.4R2.4<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX8574D3BCL<br />
|01<br />
|17.4L20180504_0805<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX8574D3BCL-DL<br />
|<br />
|17.4L20180504_0805<br />
|<br />
|-<br />
|}<br />
====== MX 204 ======<br />
<br />
====== MX 480 ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX1471D3BCL-EX<br />
|<br />
|16.1R7.7<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX1471D3BNL-J1<br />
|<br />
|16.1R7.7<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX8574D3BCL<br />
|<br />
|16.1R7.7<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX8571D3BCL-HW<br />
|<br />
|16.1R7.7<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTRX-1411D3<br />
|<br />
|16.1R7.7<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX8512D3BCL-J3<br />
|<br />
|16.1R7.7<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|PRESFP10G-B23-40<br />
|<br />
|16.1R7.7<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|SumitomoElectric<br />
|SXP3101LX-H3-H3C<br />
|<br />
|16.1R7.7<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|CISCO-OPNEXT<br />
|TRF5015FN-CB030<br />
|<br />
|16.1R7.7<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Precision<br />
|PRE-QSFP-ER4<br />
|<br />
|16.1R4-S9.2<br />
|40Km<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Precision<br />
|PRE-QSFP-eSR4<br />
|<br />
|16.1R4-S9.2<br />
|<br />
|-<br />
|}<br />
<br />
===== Cisco =====<br />
<br />
====== ASR920 ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Precision<br />
|GLC-BX-D <br />
|<br />
|IOS XE 03.18.01.SP<br />
|1000BASE BX10-D<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Precision<br />
|GLC-BX-U<br />
|<br />
|IOS XE 03.18.01.SP<br />
|1000BASE BX10-U<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|SFP-10G-LR<br />
|<br />
|IOS XE 03.18.01.SP<br />
|SFP+ 10GBASE-LR<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|GBP-2733192-ERC<br />
|<br />
|IOS XE 03.18.01.SP<br />
|SFP+ 10GBASE-ER<br />
|-<br />
|}<br />
<br />
====== ASR903 ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|<br />
|<br />
|<br />
|<br />
|<br />
|<br />
|-<br />
|}<br />
====== ASR9000 ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|<br />
|<br />
|<br />
|<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|XFP-10GLR-OC192SR<br />
|<br />
|IOS XR 6.2.3<br />
|Multirate 10GBASE-LR and OC-192/STM-64 SR-1 XFP, SMF<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|SFP-10G-ER<br />
|<br />
|IOS XR 6.2.3<br />
|10GBASE-ER 1550nm SMF 40KM<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|XFP-10GER-192IR+<br />
|<br />
|IOS XR 6.2.3<br />
|Multirate 10GBASE-ER and OC-192/STM-64 IR-2 XFP, SMF<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|SFP-10G-LR<br />
|<br />
|IOS XR 6.2.3<br />
|10GBASE-LR SFP+ Module for SMF<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|SFP-10G-ZR<br />
|<br />
|IOS XR 6.2.3<br />
|10GBASE-ZR SFP+, SMF 80km<br />
|-<br />
|}<br />
====== NCS540 ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|25Gb<br />
|Precision<br />
|SFP-10/25G-LR-S<br />
|<br />
|IOS XR 6.3.3<br />
|Cisco SFP28 25G LR-S Pluggable Optics Module<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Precision<br />
|SFP-10G-LR<br />
|<br />
|IOS XR 6.3.3<br />
|Cisco SFP+ 10G LR Pluggable Optics Module<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Precision<br />
|SFP-10G-ER<br />
|<br />
|IOS XR 6.3.3<br />
|Cisco SFP+ 10G ER Pluggable Optics Module<br />
|-<br />
|}<br />
===== Huawei =====<br />
<br />
====== NE20-(S2F/S24) ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP 10G S+DA0003<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ 10G LR<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|CAB-10GSFP-P3M<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ WDM13-R20<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP-10G-LR-OEM<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ WDM12 ER<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|10G-SFP-DWDM-D21<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Mikrotik<br />
|S+85DLC03D<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Mikrotik<br />
|S+DA0003<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OPTONE<br />
|SFP-LX-SM-0210D<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OPTONE<br />
|SFP-WDM-SM-0240A<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OPTONE<br />
|SFP+-BIDI-12-10D<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|TP-LINK<br />
|TL-SM311LS<br />
|<br />
|V800R008C10SPC500<br />
|<br />
|-<br />
|}<br />
<br />
===== Mikrotik =====<br />
<br />
====== CCR 1036-8G-2S+ ======<br />
<br />
====== CCR 1036-12G-4S ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OEM<br />
|SFP-BIDI-20KM<br />
|11.0<br />
|6.42.9<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OEM<br />
|SFP-GE-SX<br />
|A<br />
|6.42.7<br />
|<br />
|}<br />
<br />
==== Switches ====<br />
<br />
===== Juniper =====<br />
<br />
====== EX4600 ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Mikrotik<br />
|S-53LC20D<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Mikrotik<br />
|S+85DLC03D<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX1471D3BNL-J1<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Fiinsar<br />
|FTLX1471D3BCL-EX<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Fiinsar<br />
|FTLX8571D3BCL-HW<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ WDM12-R40<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|GF-SFP+BXU-40D<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Hisense<br />
|LTF8502-BC+<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|PRE-SFP10G-SR<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Precision<br />
|PRESFP10G-B32-20<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Precision<br />
|PRE-QSFP-eSR4<br />
|<br />
|14.1X53-D35.3<br />
|<br />
|-<br />
|}<br />
<br />
====== QFX5100 ======<br />
{| class="wikitable"<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Precision<br />
|PRE-QSFP-ER4<br />
|<br />
|17.4R1.16<br />
|40Km<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Precision<br />
|PRE-QSFP-eSR4<br />
|<br />
|17.4R1.16<br />
|<br />
|}<br />
<br />
====== QFX5110 ======<br />
<br />
====== QFX5200 ======<br />
<br />
{| class="wikitable"<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|100Gb<br />
|Precision<br />
|PRE-QSFP28-LR4<br />
|<br />
|15.1X53-D233.1<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Precision<br />
|PRE-QSFP-eSR4<br />
|<br />
|15.1X53-D233.1<br />
|<br />
|}<br />
<br />
===== Cisco =====<br />
<br />
====== Nexus 3064 ======<br />
{| class="wikitable"<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Mikrotik<br />
|S+31DLC10D<br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ BX60U-I<br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|EOPTOLINK<br />
|EOLS-1312-10<br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Mikrotik<br />
|S-53LC20D <br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Mikrotik<br />
|S-35LC20D<br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|WTD<br />
|RTXM191-418<br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OEM<br />
|HTSFP-24-1111F<br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|HI-OPTEL<br />
|HTSFP241111F<br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OEM<br />
|SFP-3524L-R10D<br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Finisar<br />
|FTRJ1319P1BTL-3C<br />
|<br />
|7.0(3)I5(2)<br />
|<br />
|}<br />
<br />
===== Huawei =====<br />
<br />
====== S6720-(HI/EI/SI/LI) ======<br />
A listagem abaixo foi reportada como funcional em diferentes modelos de 6720 como S6720-54C-EI-48S, S6720-30C-EI-24S e S6720S-26Q-EI-24S. Adicione outros modelos de 6720 quando reportar GBICs se for o caso. Caso existir alguma condição problemática em algum modelo específico sinalizar no campo de observações. Quando for o caso criar-se-á uma nova seção apenas para aquele modelo. Por ora leva-se em conta a versão de software como fator principal para a compatibilidade.<br />
<br />
[[Arquivo:Atencao.png|semmoldura]] Foi reportado que GBICs de 40Gb que funcionam em portas de 40Gb não necessariamente funcionarão nas portas de 100Gb dos modelos HI.<br />
<br />
[[Arquivo:Atencao.png|semmoldura]] Para uso de cabos DAC em portas de 40Gb pode ser necessário desabilitar a opção training na porta (ex: ''interface 40GE/0/02 ; training disable'')<br />
<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|CAB-10GSFP-P1M<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|CAB-10GSFP-P3M<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OEM<br />
|WDM-0210AD<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ BX80D-I<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ SLSSB-3327B<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP-10G32-LD40<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OEM<br />
|WDM-0210BD<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ WDM13-R20<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP 10G S+DA0001<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP 10G S+DA0003<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP-10G-33<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP-10G23-CD40<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ WDM12 ER<br />
|<br />
|V200R010C00SPC600B221, V200R009C00SPC500,<br />
V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ 10G LR<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP-10G-LR-OEM <br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|10G-SFP-DWDM-D21<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|OEM<br />
|QSFP+ AOC 5M<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX1370W3BTL-E8<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Finisar<br />
|FTLX1471D3BCL-ER<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Mellanox<br />
|MCP1700-B003E<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Mikrotik<br />
|S+DA0001<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Mikrotik<br />
|S+DA0003<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Mikrotik<br />
|S+85DLC03D<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Mikrotik<br />
|S+23LC10D<br />
|<br />
|V200R011C10SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|Mikrotik<br />
|S+32LC10D<br />
|<br />
|V200R011C10SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|DELTA<br />
|LCP-10G3B4QDRME2<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|SOURCEPHOTONICS<br />
|SPP10ELRIDFREN<br />
|<br />
|V200R010C00SPC600B221<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OPTONE<br />
|SFP-LX-SM-0210D<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OPTONE<br />
|SFP+-BIDI-12-10D<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|OPTONE<br />
|SFP-WDM-SM-0240A<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1GB<br />
|TP-LINK<br />
|TL-SM311LS<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|TE Connectivity<br />
|2163259-1<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|AOI<br />
|AQOLBCQ4EDMA0776<br />
|<br />
|V200R009C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Cisco<br />
|AFBR-79EIPZ-CS1<br />
|<br />
|V200R012C00SPC500<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|40Gb<br />
|Huawei<br />
|02310MHR<br />
|<br />
|V200R012C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|DWDM-SFP10G-37.4<br />
|<br />
|V200R012C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|DWDM-SFP10G-38.9<br />
|<br />
|V200R012C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|DWDM-SFP10G-35.8<br />
|<br />
|V200R012C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|DWDM-SFP10G-38.1<br />
|<br />
|V200R012C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|DWDM-SFP10G-39.7<br />
|<br />
|V200R012C00SPC500, V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|DWDM-SFP10G-36.6<br />
|<br />
|V200R012C00SPC500, V200R010C00SPC600<br />
|<br />
|}<br />
<br />
====== S5720-(HI/EI/SI/LI) ======<br />
{| class="wikitable"<br />
|+<br />
!Status<br />
!Velocidade<br />
!Marca<br />
!Modelo/Part-Number<br />
!Revision<br />
!Versões de Software<br />
!Observações<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Mikrotik<br />
|S-35LC20D<br />
|<br />
|V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Mikrotik<br />
|S-85DLC05D<br />
|<br />
|V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|Mikrotik<br />
|S-RJ01<br />
|<br />
|V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|1Gb<br />
|MENTECHOPTO<br />
|SGE10-D0C<br />
|<br />
|V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|PRECISION<br />
|PRESFP10G-B23-20<br />
|<br />
|V200R010C00SPC600<br />
|<br />
|-<br />
|[[Arquivo:Sim.png|semmoldura]]<br />
|10Gb<br />
|OEM<br />
|SFP+ WDM13 ER<br />
|<br />
|V200R010C00SPC600<br />
|40Km<br />
|-<br />
|}<br />
<br />
===== Mikrotik =====<br />
<br />
====== CRS317-1G-16S+RM ======<br />
<br />
====== CRS328-24P-4S+RM ======<br />
<br />
====== CRS326-24G-2S+RM ======<br />
<br />
====== CRS328-4C-20S-4S+RM ======<br />
[[Categoria:Infraestrutura]]</div>Diorges