SlideShare uma empresa Scribd logo

Giovaneli_-_Apresentação_ DNS ANYCAST.pdf

E
EwersonLuizOliveira

curso DNS RESPONSIVO, AUTORITATIVO, VOCE VAI APRENDER E ENTENDER COMO PROCEDER COM SEU SISTEMA DE PROVEDOR. TODO PROVEDOR PRECISA DE UM SERVIDOR DE DNS E ESSE VAI ABRIR SUA MENTE DE COMO VOCE PODE SUBIR SEU SISTEMA COM O SERVIDOR DNS.

Internet
1 de 44
Baixar para ler offline
IX – FORUM REGIONAL - SP Dns de alta disponibilidade usando UNBOUND + QUAGGA + ECMP
Quagga + UNBOUND + ECMP Solução de alta disponibilidade para cargas Extremas em DNS Recursivo.  Alexandre Giovaneli – Giovaneli Consultoria
Quagga + UNBOUND + ECMP  Objetivo da solução  Visto que nos últimos anos os provedores de internet tiveram um crescimento exponencial e os alto custo para servidores DNS recursivo , nos fez buscar uma solução totalmente “OPEN- SOURCE” para atender estes provedores de internet de 3 mil usuários até 50 mil usuários.  Esta solução foi implementada inicialmente em alguns provedores como beta, e nos surpreendeu muito o resultado satisfatório.  Totalmente compatível com IPv4 & IPv6
Quagga + UNBOUND + ECMP  Vantagens de se ter um DNS Local anycast  Melhor tempo de reposta nas consultas  Maior resiliência do serviço de DNS  Compatibilidade 100% com CGNAT não é necessário ter uma regra de NAT até chegar ao DNS.  Melhor fluidez do trafego na rede 
Quagga + UNBOUND + ECMP  Como funciona a solução:  A solução é compilada usando dois Daemons em Debian sendo:  Quagga  Unbound  O Gateway deste DNS devera ter obrigatoriamente suporte a ECMP ( Equal Cost Mult Path)  O ECMP fará o papel de balancear a cargar entre duas rotas iguais, neste cenário usamos o seguintes endereços ips:  10.1.1.1  10.2.2.2
Quagga + UNBOUND + ECMP  Como funciona o anycast  Qualquer pacote enviado para o ip 10.1.1.1 ou 10.2.2.2 o ECMP no frewall rodando OSPF ira enviar para um dos servidores dns onde neste cenário ele terá na tabela de rotas 4 rotas instaladas sendo:  DST:10.1.1.1 > GW:192.168.100.2  DST:10.1.1.1 > GW:192.168.100.6  DST:10.1.1.1 > GW:192.168.100.10  DST:10.1.1.1 > GW:192.168.100.14
Quagga + UNBOUND + ECMP
Quagga + UNBOUND + ECMP  Instalando Quagga e unbound (lembre de estar no modo sudo , digite su e entre com a senha de root)  apt-get install quagga  apt-get install unbound  Após a instalação edite o arquivo daemon do quagga  nano etc/quagga/daemon  Nas linhas ospfd e zebra coloque na frente “yes” e save as confgurações  zebra = yes  ospfd = yes
Quagga + UNBOUND + ECMP  Digte os seguintes comando no modo sudo  cp /usr/share/doc/quagga/examples/zebra.conf.sample /etc/quagga/zebra.conf  cp /usr/share/doc/quagga/examples/ospfd.conf.sample /etc/quagga/ospfd.conf  chown quagga.quaggavty /etc/quagga/*.conf  chmod 640 /etc/quagga/*.conf  service quagga restart
Quagga + UNBOUND + ECMP  Configurando ospf e logando no uuagga:  telnet localhost 2604  Entre com a senha paadrão: zebra  Entre com a senha padrao : en  conf t  router ospf  network 192.168.100.0/28area 0  router-id 177.66.247.25  redistribute statc  redistribute connected  redistribute kernel  Wr  exit  Configurando ips de loopback:  telnet localhost 2601  zebra  en  zebra  conf t   interface lo  ip address 10.1.1.1/32  ip address 10.2.2.2/32   exit  wr 
Quagga + UNBOUND + ECMP  Confgurando unbound e comentando os itens mais importantes para a instalação:  nano etc/unbound/unbound.conf server: port: 53 Interface: 10.1.1.1 # aceita requisições neste ip de loopack Interface: 10.2.2.2 # aceita requisições neste ip de loopack Interface: 127.0.0.1 # aceita requisições neste ip de loopack access-control: 0.0.0.0/0 refuse # negando redes externas access-control: 127.0.0.0/8 allow #aceita que esta sub-rede consulte o dns access-control: 192.168.0.0/16 allow #aceita que esta sub-rede consulte o dns access-control: 172.16.0.0/12 allow #aceita que esta sub-rede consulte o dns access-control: 100.64.0.0/10 allow #aceita que esta sub-rede consulte o dns access-control: 10.0.0.0/8 allow #aceita que esta sub-rede consulte o dns
Quagga + UNBOUND + ECMP  Confgurando unbound e comentando os itens mais importantes para a instalação:  nano etc/unbound/unbound.conf server: port: 53 Interface: 10.1.1.1 # aceita requisições neste ip de loopack Interface: 10.2.2.2 # aceita requisições neste ip de loopack Interface: 127.0.0.1 # aceita requisições neste ip de loopack access-control: 0.0.0.0/0 refuse # negando redes externas access-control: 127.0.0.0/8 allow #aceita que esta sub-rede consulte o dns access-control: 192.168.0.0/16 allow #aceita que esta sub-rede consulte o dns access-control: 172.16.0.0/12 allow #aceita que esta sub-rede consulte o dns access-control: 100.64.0.0/10 allow #aceita que esta sub-rede consulte o dns access-control: 10.0.0.0/8 allow #aceita que esta sub-rede consulte o dns
Quagga + UNBOUND + ECMP  Atualmente todos os roteadres de mercado suportam ECMP (multp-path):  Mikrotk (já vem de fabrica confgurado)  Juniper é necessario confgurar   Cisco: Vem confgurado por padrão  Huawei: Vem confgurado por padrão  Datacom: É necessario confgurar o mult-path  Vyos : Vem de fabrica confgurado
Quagga + UNBOUND + ECMP  Após a configuração  service unbound restart  Dica 1: caso der algum erro no reload confira se existe caracteres a mais ou se segeue o padrão de configuração demonstrado.  Dica 2: Confira se o ip de loopback colocado está configurado previamente no zebra ou nas interfaces .  Coloque um /30 valido par cada servidor, a consulta aos root server usará este ip valido, porem o ip da conuslta pode ser invalido.
Quagga + UNBOUND + ECMP
Quagga + UNBOUND + ECMP  Para checar se as requisições estao chegando instale o tcpdump:  apt-get install tcpdump  tcpdump udp port 53 -n  Ao ver os tcpdump nas 4 maquinas você ira perceber que os 4 estão respondendo requisições na mesma quantdade
Quagga + UNBOUND + ECMP  Dicas de uso do DNS anycast:  Para uma rápida migração do serviço de DNS você pode adicionar os ips dos DNS atuais na loopback dentro do qagga e adicionar as interfaces dentro do unbound para “escutar” as requisições de DNS neste novo ip.  Sequestro de servidores DNS de maliciosos  Você “pode” adicionar por exemplo um servidor DNS que esteja confgurando nos roteadores para abusos e phishing.
Quagga + UNBOUND + ECMP  Dicas de uso do DNS anycast:  Para uma rápida migração do serviço de DNS você pode adicionar os ips dos DNS atuais na loopback dentro do qagga e adicionar as interfaces dentro do unbound para “escutar” as requisições de DNS neste novo ip.  Sequestro de servidores DNS de maliciosos  Você “pode” adicionar por exemplo um servidor DNS que esteja confgurando nos roteadores para abusos e phishing.
 Muito obrigado a todos
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf

Recomendados

Valdir Adorni - Infra and S.A.N Assessment Integration Sample
Valdir Adorni - Infra and S.A.N Assessment Integration SampleValdir Adorni - Infra and S.A.N Assessment Integration Sample
Valdir Adorni - Infra and S.A.N Assessment Integration SampleValdir Adorni
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDFrederico Madeira
 
Implementacao de servidores recursivos guia de praticas semcap ceptro br.pdf
Implementacao de servidores recursivos guia de praticas semcap ceptro br.pdfImplementacao de servidores recursivos guia de praticas semcap ceptro br.pdf
Implementacao de servidores recursivos guia de praticas semcap ceptro br.pdfleandrodesousa13
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 
Project HA
Project HAProject HA
Project HAKarpv
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Trabalho rede de computadores 6º si
Trabalho rede de computadores 6º siTrabalho rede de computadores 6º si
Trabalho rede de computadores 6º siMarcos Vinícius Brum
 
DevOps containers x86 - Baremetal, Virtual e Cloud (pt_br)
DevOps containers x86 - Baremetal, Virtual e Cloud (pt_br)DevOps containers x86 - Baremetal, Virtual e Cloud (pt_br)
DevOps containers x86 - Baremetal, Virtual e Cloud (pt_br)Caio Candido
 

Recomendados

Valdir Adorni - Infra and S.A.N Assessment Integration Sample
Valdir Adorni - Infra and S.A.N Assessment Integration SampleValdir Adorni - Infra and S.A.N Assessment Integration Sample
Valdir Adorni - Infra and S.A.N Assessment Integration SampleValdir Adorni
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDFrederico Madeira
 
Implementacao de servidores recursivos guia de praticas semcap ceptro br.pdf
Implementacao de servidores recursivos guia de praticas semcap ceptro br.pdfImplementacao de servidores recursivos guia de praticas semcap ceptro br.pdf
Implementacao de servidores recursivos guia de praticas semcap ceptro br.pdfleandrodesousa13
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 
Project HA
Project HAProject HA
Project HAKarpv
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Trabalho rede de computadores 6º si
Trabalho rede de computadores 6º siTrabalho rede de computadores 6º si
Trabalho rede de computadores 6º siMarcos Vinícius Brum
 
DevOps containers x86 - Baremetal, Virtual e Cloud (pt_br)
DevOps containers x86 - Baremetal, Virtual e Cloud (pt_br)DevOps containers x86 - Baremetal, Virtual e Cloud (pt_br)
DevOps containers x86 - Baremetal, Virtual e Cloud (pt_br)Caio Candido
 
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...CPqD
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consultarafael informática
 
Squid proxy
Squid proxySquid proxy
Squid proxyGabriel Martins
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxjrrsouzaj
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
05 servidor dhcp
05 servidor dhcp05 servidor dhcp
05 servidor dhcpMarlon Vinicius da Silva
 
05 - Aervidor DHCP
05 - Aervidor DHCP05 - Aervidor DHCP
05 - Aervidor DHCPMarlon Vinicius da Silva
 
05 servidor dhcp
05 servidor dhcp05 servidor dhcp
05 servidor dhcpMarlon Vinicius da Silva
 
Chef, Nginx e Capistrano: Como usar!
Chef, Nginx e Capistrano: Como usar!Chef, Nginx e Capistrano: Como usar!
Chef, Nginx e Capistrano: Como usar!Felipe Navas
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 
DNSORC
DNSORCDNSORC
DNSORCdnsorc
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAndrei Carniel
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)Tchelinux
 
Aula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldapAula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldapRoberto Castro
 
Ntop
NtopNtop
NtopComandos Linux
 
Qnax servidores dedicado no brasil
Qnax servidores dedicado no brasilQnax servidores dedicado no brasil
Qnax servidores dedicado no brasilQnax Servidores Dedicado
 
Redes prática - Inetd
Redes prática - InetdRedes prática - Inetd
Redes prática - InetdLuiz Arthur
 
Zimbra Anahuac2
Zimbra Anahuac2Zimbra Anahuac2
Zimbra Anahuac2anahuac2
 
Alta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores LinuxAlta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores Linuxelliando dias
 

Mais conteúdo relacionado

Semelhante a Giovaneli_-_Apresentação_ DNS ANYCAST.pdf

Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...CPqD
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxjrrsouzaj
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Chef, Nginx e Capistrano: Como usar!
Chef, Nginx e Capistrano: Como usar!Chef, Nginx e Capistrano: Como usar!
Chef, Nginx e Capistrano: Como usar!Felipe Navas
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 
DNSORC
DNSORCDNSORC
DNSORCdnsorc
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAndrei Carniel
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)Tchelinux
 
Aula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldapAula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldapRoberto Castro
 
Redes prática - Inetd
Redes prática - InetdRedes prática - Inetd
Redes prática - InetdLuiz Arthur
 
Zimbra Anahuac2
Zimbra Anahuac2Zimbra Anahuac2
Zimbra Anahuac2anahuac2
 
Alta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores LinuxAlta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores Linuxelliando dias
 

Semelhante a Giovaneli_-_Apresentação_ DNS ANYCAST.pdf (20)

Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consulta
 
Squid proxy
Squid proxySquid proxy
Squid proxy
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
05 servidor dhcp
05 servidor dhcp05 servidor dhcp
05 servidor dhcp
 
05 - Aervidor DHCP
05 - Aervidor DHCP05 - Aervidor DHCP
05 - Aervidor DHCP
 
05 servidor dhcp
05 servidor dhcp05 servidor dhcp
05 servidor dhcp
 
Chef, Nginx e Capistrano: Como usar!
Chef, Nginx e Capistrano: Como usar!Chef, Nginx e Capistrano: Como usar!
Chef, Nginx e Capistrano: Como usar!
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)
 
DNSORC
DNSORCDNSORC
DNSORC
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NAT
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
VPN usando OPENVPN - Rafael Padilha da silva(DELETE)
 
Aula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldapAula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldap
 
Ntop
NtopNtop
Ntop
 
Qnax servidores dedicado no brasil
Qnax servidores dedicado no brasilQnax servidores dedicado no brasil
Qnax servidores dedicado no brasil
 
Redes prática - Inetd
Redes prática - InetdRedes prática - Inetd
Redes prática - Inetd
 
Zimbra Anahuac2
Zimbra Anahuac2Zimbra Anahuac2
Zimbra Anahuac2
 
Alta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores LinuxAlta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores Linux
 

Giovaneli_-_Apresentação_ DNS ANYCAST.pdf

  • 1. IX – FORUM REGIONAL - SP Dns de alta disponibilidade usando UNBOUND + QUAGGA + ECMP
  • 2. Quagga + UNBOUND + ECMP Solução de alta disponibilidade para cargas Extremas em DNS Recursivo.  Alexandre Giovaneli – Giovaneli Consultoria
  • 3. Quagga + UNBOUND + ECMP  Objetivo da solução  Visto que nos últimos anos os provedores de internet tiveram um crescimento exponencial e os alto custo para servidores DNS recursivo , nos fez buscar uma solução totalmente “OPEN- SOURCE” para atender estes provedores de internet de 3 mil usuários até 50 mil usuários.  Esta solução foi implementada inicialmente em alguns provedores como beta, e nos surpreendeu muito o resultado satisfatório.  Totalmente compatível com IPv4 & IPv6
  • 4. Quagga + UNBOUND + ECMP  Vantagens de se ter um DNS Local anycast  Melhor tempo de reposta nas consultas  Maior resiliência do serviço de DNS  Compatibilidade 100% com CGNAT não é necessário ter uma regra de NAT até chegar ao DNS.  Melhor fluidez do trafego na rede 
  • 5. Quagga + UNBOUND + ECMP  Como funciona a solução:  A solução é compilada usando dois Daemons em Debian sendo:  Quagga  Unbound  O Gateway deste DNS devera ter obrigatoriamente suporte a ECMP ( Equal Cost Mult Path)  O ECMP fará o papel de balancear a cargar entre duas rotas iguais, neste cenário usamos o seguintes endereços ips:  10.1.1.1  10.2.2.2
  • 6.
  • 7. Quagga + UNBOUND + ECMP  Como funciona o anycast  Qualquer pacote enviado para o ip 10.1.1.1 ou 10.2.2.2 o ECMP no frewall rodando OSPF ira enviar para um dos servidores dns onde neste cenário ele terá na tabela de rotas 4 rotas instaladas sendo:  DST:10.1.1.1 > GW:192.168.100.2  DST:10.1.1.1 > GW:192.168.100.6  DST:10.1.1.1 > GW:192.168.100.10  DST:10.1.1.1 > GW:192.168.100.14
  • 9. Quagga + UNBOUND + ECMP  Instalando Quagga e unbound (lembre de estar no modo sudo , digite su e entre com a senha de root)  apt-get install quagga  apt-get install unbound  Após a instalação edite o arquivo daemon do quagga  nano etc/quagga/daemon  Nas linhas ospfd e zebra coloque na frente “yes” e save as confgurações  zebra = yes  ospfd = yes
  • 10. Quagga + UNBOUND + ECMP  Digte os seguintes comando no modo sudo  cp /usr/share/doc/quagga/examples/zebra.conf.sample /etc/quagga/zebra.conf  cp /usr/share/doc/quagga/examples/ospfd.conf.sample /etc/quagga/ospfd.conf  chown quagga.quaggavty /etc/quagga/*.conf  chmod 640 /etc/quagga/*.conf  service quagga restart
  • 11. Quagga + UNBOUND + ECMP  Configurando ospf e logando no uuagga:  telnet localhost 2604  Entre com a senha paadrão: zebra  Entre com a senha padrao : en  conf t  router ospf  network 192.168.100.0/28area 0  router-id 177.66.247.25  redistribute statc  redistribute connected  redistribute kernel  Wr  exit  Configurando ips de loopback:  telnet localhost 2601  zebra  en  zebra  conf t   interface lo  ip address 10.1.1.1/32  ip address 10.2.2.2/32   exit  wr 
  • 12. Quagga + UNBOUND + ECMP  Confgurando unbound e comentando os itens mais importantes para a instalação:  nano etc/unbound/unbound.conf server: port: 53 Interface: 10.1.1.1 # aceita requisições neste ip de loopack Interface: 10.2.2.2 # aceita requisições neste ip de loopack Interface: 127.0.0.1 # aceita requisições neste ip de loopack access-control: 0.0.0.0/0 refuse # negando redes externas access-control: 127.0.0.0/8 allow #aceita que esta sub-rede consulte o dns access-control: 192.168.0.0/16 allow #aceita que esta sub-rede consulte o dns access-control: 172.16.0.0/12 allow #aceita que esta sub-rede consulte o dns access-control: 100.64.0.0/10 allow #aceita que esta sub-rede consulte o dns access-control: 10.0.0.0/8 allow #aceita que esta sub-rede consulte o dns
  • 13. Quagga + UNBOUND + ECMP  Confgurando unbound e comentando os itens mais importantes para a instalação:  nano etc/unbound/unbound.conf server: port: 53 Interface: 10.1.1.1 # aceita requisições neste ip de loopack Interface: 10.2.2.2 # aceita requisições neste ip de loopack Interface: 127.0.0.1 # aceita requisições neste ip de loopack access-control: 0.0.0.0/0 refuse # negando redes externas access-control: 127.0.0.0/8 allow #aceita que esta sub-rede consulte o dns access-control: 192.168.0.0/16 allow #aceita que esta sub-rede consulte o dns access-control: 172.16.0.0/12 allow #aceita que esta sub-rede consulte o dns access-control: 100.64.0.0/10 allow #aceita que esta sub-rede consulte o dns access-control: 10.0.0.0/8 allow #aceita que esta sub-rede consulte o dns
  • 14. Quagga + UNBOUND + ECMP  Atualmente todos os roteadres de mercado suportam ECMP (multp-path):  Mikrotk (já vem de fabrica confgurado)  Juniper é necessario confgurar   Cisco: Vem confgurado por padrão  Huawei: Vem confgurado por padrão  Datacom: É necessario confgurar o mult-path  Vyos : Vem de fabrica confgurado
  • 15. Quagga + UNBOUND + ECMP  Após a configuração  service unbound restart  Dica 1: caso der algum erro no reload confira se existe caracteres a mais ou se segeue o padrão de configuração demonstrado.  Dica 2: Confira se o ip de loopback colocado está configurado previamente no zebra ou nas interfaces .  Coloque um /30 valido par cada servidor, a consulta aos root server usará este ip valido, porem o ip da conuslta pode ser invalido.
  • 17. Quagga + UNBOUND + ECMP  Para checar se as requisições estao chegando instale o tcpdump:  apt-get install tcpdump  tcpdump udp port 53 -n  Ao ver os tcpdump nas 4 maquinas você ira perceber que os 4 estão respondendo requisições na mesma quantdade
  • 18. Quagga + UNBOUND + ECMP  Dicas de uso do DNS anycast:  Para uma rápida migração do serviço de DNS você pode adicionar os ips dos DNS atuais na loopback dentro do qagga e adicionar as interfaces dentro do unbound para “escutar” as requisições de DNS neste novo ip.  Sequestro de servidores DNS de maliciosos  Você “pode” adicionar por exemplo um servidor DNS que esteja confgurando nos roteadores para abusos e phishing.
  • 19. Quagga + UNBOUND + ECMP  Dicas de uso do DNS anycast:  Para uma rápida migração do serviço de DNS você pode adicionar os ips dos DNS atuais na loopback dentro do qagga e adicionar as interfaces dentro do unbound para “escutar” as requisições de DNS neste novo ip.  Sequestro de servidores DNS de maliciosos  Você “pode” adicionar por exemplo um servidor DNS que esteja confgurando nos roteadores para abusos e phishing.