O Border Gateway Protocol (BGP) desempenha um papel fundamental na construção e manutenção das tabelas de roteamento na Internet, a ponto de ser considerado a “cola” da Internet. Neste contexto, uma técnica de longa data e amplamente popular conhecida como “AS Path Prepending” foi concebida como uma estratégia chave para influenciar na seleção de rotas e otimização do tráfego tanto de entrada quanto de saída de um AS.
Neste documento navegaremos pelo draft IETF “AS Path Prepending” [1], que inclui diversas ideias e conceitos muito valiosos para a comunidade.
(Acesso livre, não requer assinatura)
Sobre o rascunho draft-ietf-grow-as-path-prepending
O draft está em discussão no Grupo de Trabalho GROW (Global Routing Operation) desde 2020, e hoje se encontra na sua versão 10. Este documento conta com a participação de 7 autores: M. McBride, D. Madory, J. Tantsura, R. Raszuk, H. Li., J. Heitz e G. Mishra. Na lista de discussão este draft teve apoio maioritário (incluindo este humilde servo). Confira o draft aqui.
O que é o AS Path Prepending?
Sobre o rascunho draft-ietf-grow-as-path-prepending
O draft está em discussão no Grupo de Trabalho GROW (Global Routing Operation) desde 2020, e hoje se encontra na sua versão 10. Este documento conta com a participação de 7 autores: M. McBride, D. Madory, J. Tantsura, R. Raszuk, H. Li., J. Heitz e G. Mishra. Na lista de discussão este draft teve apoio maioritário (incluindo este humilde servo). Confira o draft aqui.
O que é o AS Path Prepending?
O AS Path Prepending é uma técnica que envolve a adição repetitiva do identificador de sistema autônomo (ASN) próprio à lista de ASs no caminho de uma rota BGP (AS_PATH). O seu objetivo é influenciar na seleção de rotas, tornando certos caminhos menos atrativos para o tráfego de entrada/saída. Em outras palavras, é adicionar nosso sistema autônomo ao AS_PATH e assim “afastar artificialmente um prefixo” na Internet.
No gráfico acima sem prepends, o roteador A prefere ir para C via B; no entanto, devido a 3 prepends adicionados em B, o roteador A decide alcançar C via D.
Há muitos motivos pelos que se faz AS Path Prepending. O principal motivo seria, sem dúvida, por engenharia de tráfego que, por sua vez, recai no desejo de influenciar o tráfego de entrada e saída para o AS. É provável que o AS queira atingir algum dos seguintes objetivos:
– distribuir tráfego entre dois ou mais upstream providers
– ter algum upstream provider de backup
Seja qual for o caso, mais uma vez o objetivo é a engenharia de tráfego.
Fazer prepend ou não fazer prepend, essa é a questão
Fazer prepend parece um pouco com o NAT, é um mal muitas vezes necessário.
Como iremos explicar, o seu uso excessivo e por vezes desnecessário pode tornar-se uma vulnerabilidade com implicâncias significativas para a estabilidade das redes.
O que há de errado em fazer AS Path Prepending?
Todos sabemos que fazer AS Path Prepending é uma técnica muito comum para influenciar decisões do BGP, porém, o uso excessivo/ruim/e às vezes desnecessário pode trazer resultados negativos. Por exemplo:
Criar um tráfego subótimo, ou seja, talvez nos enlaces imediatos atinjamos o nosso objetivo de uma distribuição de tráfego, no entanto, além do seu upstream imediato o tráfego não se encontre otimizado para alcançar o nosso sistema autônomo e vice-versa;
Desagregação de prefixos, é muito comum que quando se quer fazer engenharia de tráfego se proceda à desagregação de prefixos, afetando assim o ecossistema da Internet;
No caso de um route-leak (vazamento de rota), em condições normais, nossas publicações tenderiam a ter um as-path mais curto que o leak, mas se prolongarmos artificialmente o path fazendo prepend, é possível que as rotas vazadas tenham um as-path mais curto do que aquelas que estamos anunciando legitimamente do nosso prefixo -legítimo- que terá menos preferência na Internet, trazendo consigo possibilidades de sequestro de rotas, ataques e um longo etc.;
Consumo de memória: como esperado, esses AS Path Prepends são pegados pelos BGP Speakers, consumindo a sua memória. A isso eu também acrescentaria um pequeno consumo adicional de CPU para cada prefixo.
Se não recomendam fazer AS Path Prepend, o que posso fazer?
Existem muitas técnicas para fazer engenharia de tráfego no BGP. A seguir, algumas que aparecem no draft:
Aproveitar as comunidades BGP. Além das comunidades BGP amplamente reconhecidas, recomendo que você converse com seus colegas do BGP para otimizar o tráfego. Existem inúmeras comunidades BGP implementadas por provedores, as que certamente poderiam beneficiar a sua configuração.
Fazer anúncios mais específicos para seus upstream principais.
Manipular o AS Origin Code; lembre-se de que este atributo também é encontrado nos algoritmos de seleção de rotas do BGP.
Usar MED (Multi Exit Discriminator), um atributo não transitivo, excelente para manipular o tráfego de entrada quando temos vários links para o mesmo provedor.
Usar Local Preference, outro atributo não transitivo, perfeito para influenciar o tráfego que sai do nosso sistema autônomo.
Tudo muito bem, mas ainda preciso fazer o AS Path Prepend, alguma sugestão?
O draft menciona as melhores práticas à hora de fazer prepends, aqui o resumo:
Fazer AS Path Prepend só quando for imprescindível;
Devidoa algumas técnicas de manipulação de tráfego, pode acontecer que ao fazer AS Path Prepend não vejamos mudanças significativas na distribuição do tráfego, por isso é importante conversar com nossos colegas e saber se eles respeitam os prepends;
Usar Local Preference na nossa rede;
Não fazer prepends com números de AS que não sejam nossos;
Não fazer prepends se você for single home (esta não está no draft);
Se fizermos prepend de algum prefixo, talvez não seja necessário colocar esse prepend em todos os meus peers;
Não há necessidade de colocar mais de 5 prepends. O motivo é que mais de 90% dos destinos estão a 5 ou menos AS de distância.
O uso de AS Path Prepending é uma estratégia valiosa, mas deve ser usada somente quando necessário e de forma cautelosa seguindo as melhores práticas. O uso excessivo de prepends pode causar imprevistos no nosso sistema autônomo do ponto de vista de tráfego e de segurança.
Convidamos você a ler a versão completa aqui, e participar da discussão na lista de LACNOG.
Também encorajamos você a nos deixar um comentário nesta postagem, para contar-nos se faz prepending de seu ASN, por que e para que o usa.
