Hola buenas tardes,

Respondiendo a tus preguntas:

1. La cantidad de rutas que un equipo puede aprender depende directamente de las capacidades de memoria de los equipos. Mientras más memoria, más rutas o prefijos se pueden aprender. Hablando en particular de los ISPs, los equipos que Cisco ofrece para esta gama del mercado incluyen ASR9K, NCS5500, Cisco 8000 que generalmente soportan grandes cantidades de rutas. Pero es recomendable revisar la documentación de cada producto en cuanto a escalabilidad para asegurar que es el adecuado para las necesidades de tú red.

2. Esta práctica depende de cada ISP y el diseño de la red. El limitar el largo del AS-PATH normalmente se ocupa como un esquema para evitar supuestos loops en una red. Para limitar la cantidad de rutas, hay ISPs que prefieren limitar por los prefijos y otros por al AS-PATH o una mezcla de ambas. Pero de nuevo, dependerá mucho del diseño de la red y requisitos de cada escenario.

3. Para esto es recomendable visitar la página del IANA

https://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xhtml
https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml

Y validar cuales son los segmentos de red privados y reservados. Estos son los que hay que evitar en el anuncio y aprendizaje de rutas. De la misma forma se puede buscar en internet organizaciones que mantienen estas listas actualizadas.

R: La siguiente liga, te puede acyudar a complementar y entender el lenguaje de RPL utilizado en la plataforma XR.

https://community.cisco.com/t5/service-providers-knowledge-base/asr9000-xr-understanding-and-using-rpl-route-policy-language/ta-p/3117050

R: Desafortunadamente las imágenes no se pueden compartir por temas de Copyright. Sin embargo, si tienes cuenta y usuario de cisco.com con provilegios suficientes puedes descargar las imagenes de XRv y IOSv.

El lab y las configuraciones puedes descargarlas en el siguiente link:

https://1drv.ms/f/s!Ajacm8dDgObUdF9r3JPHjzVCptI

• P: ¿El fichero de topología de EVE.NG es importable en CML Personal? ¿Existe algún truco que debamos tener en cuenta?
• R El Fichero puede ser importado en el CML Personal. No es un Truco, si no mas bien un requrimiento que es tener las imagenes que el mismo escenario esta solicitando; el nombre de estas imagenes se pueden encontrar en la parte de "nodes" dentro del "lab topology".

Hola buenas tardes,

Respondiendo a tús preguntas.

El ocupar o no el TTL-SECURITY o cualquier otra práctica de seguridad siempre dependerá del diseño de cada red. Generalmente al establecer una sesión de eBGP con un proveedor, está se hace con la IP de la interfaz conectada donde el TTL Security tiene sentido. Pero algunos proveedores o implementaciones requieren se establezca la sesión con interfaces loopback o no conectadas (Ej. Inter-AS VPN) donde este tipo de prácticas de seguridad no aplican. Los best practices que se compartieron son prácticas sencillas para intentar asegurar las vecindades de BGP, pero el aplicarlas o no igual podrá depender del diseño e implementación de cada red.

1. Para el tema de recursos es necesario considerar que cada version XRv e IOS utilizadas en este escenario utilizan:

 XRv, 1 vCPU y 4 GB de RAM .

Respecto a los demas dispositivos (No XR) usan 1 vCPU y 512 MB de RAM.

2. Como toda buena practica, es bueno tenerlas en consideracion para todos los escenarios, sin embargo, no son absolutamente necesarios para levantar la vecindad y tener la funcionalidad que brinda el protocolo. Aunque la recomendacion es implementar la mayoria para evitar algun problema futuro o de compliance con el Peer que presta o recibe el servicio, o para evitar un ataque como hemos mencionado durante la presentacion.

Saludos.

IML

Hola!, respondiendo a tus preguntas,

1. Se puede ocupar el as-path set ^$ en conjunto con la funcionalidad del remove-private AS. Esto con el objetivo de anunciar únicamente las redes que se generan localmente en ese sistema autónomo (evitando que tú AS se ocupe como tránsito para llegar a otas redes) y al mismo tiempo eliminar los AS privados. O de la misma forma generar varias reglas con un RPL o route-maps para eivtar la propagación de rutas con AS privados.

2. Hay varios factores que afectan esto, en primera los protoclos de detección de falla y de monitoreo de BGP tiene timers muy extensos por lo que una falla toma tiempo en ser detectada. Esto igual aunado a la cantidad de prefijos y rutas que soporta BGP, mientras más grande es la tabla de BGP más tardado es el procesamiento de las mismas y de detectar una posible falla. Recuerda que el diseño de BGP esta basado en su capacidad de transporte de rutas, no en su seguridad o velocidad, por lo que es necesario ocupar mecanismos de detección en otros protoclos o niveles para mejorar la velocidad de convergencia.

Gracias Héctor, la ayuda de las Regular Expression en evidente.