Voltar ao Blog
Redes

BGP bem feito: como evitar os 5 erros mais comuns em provedores

Erros de configuração BGP podem derrubar sua rede inteira. Veja os 5 problemas mais frequentes que encontramos em auditorias e como corrigir.

20 de fevereiro de 2025 · 10 min de leitura

Depois de anos auditando e otimizando redes de provedores em todo o Brasil, identificamos padrões que se repetem. Erros de configuração BGP que parecem inofensivos mas que, em produção, causam instabilidade, perda de tráfego e custos desnecessários com trânsito.

Erro 1: Não filtrar prefixos recebidos dos peers

É impressionante quantos provedores aceitam full table de peers no IX sem nenhum filtro. Isso significa que qualquer anúncio incorreto — acidental ou malicioso — de outro participante pode afetar sua tabela de rotas.

Como corrigir

  • Implemente prefix-lists baseadas nos registros do RADB/IRR
  • Use RPKI para validar a origem dos prefixos (ROA validation)
  • Configure max-prefix para derrubar a sessão se o peer enviar mais rotas que o esperado
router bgp 65000
 neighbor 200.x.x.x prefix-list PEER-IN in
 neighbor 200.x.x.x maximum-prefix 1000 80 restart 15

Erro 2: Política de communities inexistente

Sem BGP communities, você não tem controle granular sobre como seus prefixos são propagados pelos upstreams. É como enviar uma carta sem endereço — vai parar em qualquer lugar.

Como corrigir

Defina um esquema de communities interno:

CommunitySignificado
65000:100Aprendido via IX
65000:200Aprendido via trânsito
65000:300Aprendido via peering privado
65000:666Blackhole

Use as communities dos seus upstreams para controlar prepend, localização de anúncio e blackhole.

Erro 3: IPv6 como “projeto futuro”

Ainda encontramos provedores que não têm IPv6 em produção. Com o pool de IPv4 esgotado e o CGNAT adicionando latência e complexidade, IPv6 não é mais opcional.

Como corrigir

  • Solicite seu bloco /32 ao LACNIC (ou use o do seu upstream)
  • Implemente dual-stack no backbone — não precisa migrar tudo de uma vez
  • Comece pelos BNGs e distribua /56 ou /48 por assinante
  • Configure o DNS64/NAT64 apenas como fallback

Erro 4: Falta de redundância nas sessões BGP

Um único link de trânsito sem failover automático. Uma sessão iBGP sem BFD. Um route-reflector sem redundância. Qualquer falha vira um apagão.

Como corrigir

  • Configure BFD em todas as sessões BGP críticas (detecção de falha em < 1 segundo)
  • Tenha pelo menos 2 upstreams com política de preferência clara (local-pref, MED)
  • Use route-reflectors redundantes para o iBGP
  • Teste o failover periodicamente — não espere descobrir que não funciona em produção

Erro 5: Não monitorar a saúde das sessões

Muitos provedores só descobrem que uma sessão BGP caiu quando os clientes reclamam. Isso é inaceitável em uma operação profissional.

Como corrigir

  • Implemente monitoramento SNMP/Telemetria para status das sessões BGP
  • Configure alertas para: sessão down, aumento súbito de prefixos, flapping
  • Mantenha um looking glass acessível para diagnóstico rápido
  • Registre logs de todas as mudanças de estado com timestamps

Bônus: automatize

Se você ainda configura routers via SSH manual, está atrasado. Ferramentas como Nconfig permitem gerenciar configurações de forma centralizada, com versionamento e rollback automático.

Conclusão

BGP é o protocolo que mantém a internet funcionando. Cada erro de configuração é um risco real para a operação do seu provedor. A boa notícia é que todos esses problemas têm solução — e a maioria pode ser implementada em dias, não meses.


A Terabit faz auditoria completa de BGP, otimização de rotas e implantação de boas práticas para provedores de todos os portes. Se você se identificou com algum desses erros, fale com a gente.