[Robot_NagNews]

Материал:

Написать данную статью побудило общение в кулуарах КРОС-2015, в котором обсуждались механизмы «захвата» трафика на свою сеть для его последующей продажи клиентам. Одна из идей, а именно: вырезание своей AS из транзитной BGP информации, показалась не очень реалистичной, но все же требовала осмысления и проверки. Проверка подтвердила, что такой способ реально существует и практически уже используется.

 

Полный текст

[alex213]

Приветствую.

 

Конечно эта схема "ломает" привычные устои и протокол BGP, который по сути является основой глобальной маршрутизации... На мой взгляд один из недостатков схемы PIPEX - в том, что оператора, идущего на клиента, включенного в PIPEX по сути лишают возможности выбора по длине маршрута. И имея сильно распределенный PIPEX может так сложиться, что у оператора будет побеждать маршрут через Амстердам, несмотря на наличие пиринга в Москве, потому что там путь может сказаться короче. Словом создание "мнимого L2" на половину земного шара кончится плохо и операторам придется искать другие пути... Собственно говоря схема с "выкусыванием" AS из AS_PATH появилась по просьбе IX сообщества с целью создания "прозрачных" классических точек обмена.. А в итоге вышло все совсем иначе...

[cmhungry]

идея "прозрачного BGP" хорошо ложится на идею колхоза

но в итоге из-за жадности председателя колхоза это может привести к плохим последствиям для связности =(

[OKyHb]

А кто подскажет, как при таком подключении считают/ограничивают арендуемую ёмкость канала? В общем влане для такого ж уже надо как-то заморачиваться.

[evd]

Собственно говоря схема с "выкусыванием" AS из AS_PATH появилась по просьбе IX сообщества с целью создания "прозрачных" классических точек обмена...

Вообще-то IX по жизни прозрачен, потому как формально L2-структура :)

 

А прозрачность нужна для RS-ов. Которые участвуют в обмене маршрутами, но никак не в форвардинге трафика. Так что с этой точки зрения всё честно. В отличие от случая колхозных апстримов imho. Есть определённые сомнения, что кто-то из перечисленных в статье магистралов в курсе, что он обеспечивает связность всем поголовно участникам какой-либо точки обмена трафиком

[Клава Маус]

Evd, не сомневайся. Апстримы в курсе. Они же снимали проверку с анонсов пайпикса.

[Denis Samsonov]

Почитал статью, категорически не согласен с мнением автора.

Pipe-IX это IX предоставляющий трубу до других IX в которые он включен.

Автор же пишет:

Пайпиксы, такие как W-IX, Cloud-IX и Data-IX

Скажу только по поводу DataIX(почему сравнение с Pipe-IX некорректно) - Мы с самого начала строили свой собственный, нейтральный IX, который потом вырос в IXN (internet exchange network).

В нашей сети нет трафика с DE-CIX, NY-IX, AMS-IX и т.п точек обмена трафиком - есть только трафик бегающий только между нашими участниками.

Как "выпилить" свою AS из AS-Path

Это нормальная работа роутсервера, он никогда не добавляет свою AS в AS-PATH, а так-же не маршрутизирует трафик между участниками IX. Прямая обязанность RS сообщить соседям Б и С что маршрут на сети соседа А пролегает через его IP в пиринговом vlan-е IX. Дальше бордеры участников взаимодействую по L3 напрямую между собой, на стороне IX остается только коммутация(L2)

 

Рецепт как для Pipe-IX как подробить клиентские префиксы с /20 до /32 прилагать не буду, кому надо и так это знают (/33 это не полайпишника) ;)

Дам только рецепт для "особо безбашенных".

1) поднимаем BGP сессию между участником IX и маршрутизатором (в качестве него может выступать L3 свитч с BGP)

2) поднимаем OSPF между всеми маршутизаторами в сети

3) поднимаем BGP сессию с другим IX и редистрибутим из OSPF в BGP, анонсируя чужие префиксы от своей ASN

4)...(в AS-PATH остается вместо AS123 AS456 => AS456

5) PROFIT!!!

 

как это проверить - заходите на looking glass того-же de-cix или ams-ix, вбиваете свой префикс и смотрите на AS-PATH.

Если в на lg ваш префикс присутсвует, а в AS-PATH вместо вашей AS написана чья-то другая, просто прочтите этот текст еще раз.

[Atlant]

>.. и редистрибутим из OSPF в BGP...

Это уже Бангладеш-телеком получится.

[Denis Samsonov]

>.. и редистрибутим из OSPF в BGP...

Это уже Бангладеш-телеком получится.

 

Не поверишь - встречается и такое.

Ну а /23 дробленые на /32 уже даже не вызывают улыбку.

[Alexandr N]

Тема названа неверно как то , "методы оптимизации AS-Path"... лучше "методы кастрации AS-Path".

[Gizmo25]

Действительно, зачем прилагать массу усилий для улучшения связности, если можно просто выпилить АСку, умные же.

Жульничество это с обманом BGP. Приходит входящего трафика больше, а на выход то рулить его как, таблица все-равно одна на все апстримы приходит?

[Клава Маус]

Тема названа неверно как то , "методы оптимизации AS-Path"... лучше "методы кастрации AS-Path".

кастрация термин медицинский, а вот "оптимизация" - полноценный бизнестермин, который отличется от его математической сути тем, что всегда подразумевает сокращение. Когда сокращают бюджет, то это называется оптимизация бюджета, когда сокращают штат - это оптимизация затрат, когда продают часть бизнеса - опять она, родимая, оптимизация налоговых платежей. И никогда оптимизацией не называют процессы увеличения чего-нибудь понятного и ощутимого (не путать со всякими ебитдами).

 

=> название очень правильное в бизнес смысле :)

[sio]

Evd, не сомневайся. Апстримы в курсе. Они же снимали проверку с анонсов пайпикса.

Могут быть и не в курсе. Bgp enforce-first-as disable у Cisco даётся на весь bgp целиком, а оператору держать один большой маршрутизатор и для клиентов и для пиринга может оказаться проще. Т.е. pipe-ix остаётся просто протестировать доступных апстримов.

[Alexandr N]

Клава Маус

кастрация подойдет как определение и действия и последствия :))))))

[Gizmo25]

Это отличный сервис для вливания трафика в абонента, если ему нравится, когда в него вливают что-то :)

Хорошо поигравшись с такой кастрацией и накинув GGC с более специфичными префиксами клиентов можно большой прирост получить.

[s.lobanov]

Evd, не сомневайся. Апстримы в курсе. Они же снимали проверку с анонсов пайпикса.

Могут быть и не в курсе. Bgp enforce-first-as disable у Cisco даётся на весь bgp целиком, а оператору держать один большой маршрутизатор и для клиентов и для пиринга может оказаться проще. Т.е. pipe-ix остаётся просто протестировать доступных апстримов.

 

Всё в порядке. сделав disable bgp enforce-first-as, as-path acl никто не отменял. ну и если говорить про жульничество и воровство, то подлитие своего исходняка на IX-ах другим участникам и ddos-spoof'ы тоже возможны

[Butch3r]

AS в AS-path мне запили :D

А если честно есть свои плюсы и свои минусы, например долго боролся с гугл кэшем айхоума, который работает плохо, зато гугл его всегда делал для нас бестом (своего кэша нет, но есть кэш у партнеров)

[vovat]

Все в целом в рамках приличий, до тех пор,пока не дробятся клиентские префиксы.

[Smoke]

Все в целом в рамках приличий, до тех пор,пока не дробятся клиентские префиксы.

Приличие это очень условный показатель. Мну кажется что игры с клиентскими атрибутами не возведенные в ранг фактического стандарта (аля RS на IX), всегда будут встречаться Community с неким скажем так протестом, так как условно разделяют провайдеров на играющих по классическим и новым правилам. Если же новые правила кроме технологического преимущества дают еще и коммерческую выгоду, то такое неприятие становится еще сильней для конкурентов и возможно наоборот неким благом для конечного клиента. Это говорит не о том хорошая или плохая схема, а лишь о субъективном отношении к ней со стороны провайдеров, в зависимости от отношения к внедрившему данную схему оператору.

Что же касается манипуляций с клиентскими префиксами, то это вообще выглядит за гранью :) Если у вас есть примеры, поделитесь оными.

[s.lobanov]

Что же касается манипуляций с клиентскими префиксами, то это вообще выглядит за гранью :) Если у вас есть примеры, поделитесь оными.

 

Вас интересует как это сделать технически или вы вам интересны логи bgp-апдейтов(кто это делает)?

[Smoke]

Что же касается манипуляций с клиентскими префиксами, то это вообще выглядит за гранью :) Если у вас есть примеры, поделитесь оными.

 

Вас интересует как это сделать технически или вы вам интересны логи bgp-апдейтов(кто это делает)?

Второе конечно)

[diper]

Оставлю я это здесь для истории ))

 

http://lg.dataix.ru/detail/rs2-msk/ipv4?q=rascom_fv_ru

-----------

Routes: 98113 imported, 0 filtered, 6 exported, 72877 preferred

-----------

 

Правда пока вот так вот: http://lg.dataix.ru/adv/rs2-msk/ipv4?q=export%20rascom_fv_ru

-----------

91.216.46.0/24 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 14:24:53] * (100/0) [AS50942i]

93.170.140.0/23 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 14:24:53] * (100/0) [AS50942i]

176.67.48.0/21 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 12:10:34] * (100/0) [AS42676i]

92.38.32.0/24 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 14:24:53] * (100/0) [AS50942i]

77.221.208.0/20 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 12:10:32] * (100/0) [AS42676i]

77.221.192.0/20 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 12:10:32] * (100/0) [AS42676i]

-----------

 

ЗЫ: Для примера, на MSK-IX анонсируется чуть меньше 30 тыс. best routes

Изменено 4 августа, 2015 пользователем diper

[Butch3r]

А что тут такого? Вот айхоум

   Prefixes Current:               8     232804 (Consumes 18624320 bytes)
Used as bestpath:             n/a      52521

[Smoke]

Смотрите, что получается

 

Раском получает анонсы от AS57662 через W-IX (см статью). Этот префикс матчится клиетским коммьюнити. LP= Customer - 1.

 

Wed Aug  5 10:42:03.268 MSK
BGP routing table entry for 37.26.232.0/21
Versions:
 Process           bRIB/RIB  SendTblVer
 Speaker           62666388    62666388
Last Modified: Jul 29 18:45:55.750 for 6d15h
Paths: (11 available, best #2)
 57662
   85.112.122.43 from 85.112.122.1 (85.112.122.1)
     Origin IGP, metric 0, localpref 99, valid, external, best, group-best, multipath
     Received Path ID 0, Local Path ID 1, version 62666388
     Community: 20764:3002 20764:3011 20764:3021 20764:3136 25478:1000
     Origin-AS validity: not-found

Этот анонс уходит в мир как клиентский Раскома. Одновременно с этим Раском анонсирует этот префикс в сторону Data-IX. Клиенты Data-IX получают пиринговый анонс с LP выше аплинка и направляют туда трафик. Итого Раском обеспечиват связностью клиентов Data-IX и W-IX

 

На стороне Data-IX это выглядит так:

37.26.232.0/21     via 178.18.224.44 on vlan1000 [as20764_413 2015-08-04] * (100) [AS57662i]
                  via 178.18.224.172 on vlan1000 [rascom_fv_ru 08:01:41] (100) [AS57662i]

 

Обратное судя по всему тоже верно.

Если вязть учасника Data-iX у которого в аплинках нет Раскома, Например AS198610. Согласно куратору у него аплинки Прометей, Ретн и СитиТелеком и посмотреть наличие этой AS в анонсах которые Rascom объявляет в сторону RS W-IX, то там они таки есть.

5.101.154.0/24     85.112.122.13   80.64.96.186    20764 198610i
5.101.155.0/24     85.112.122.13   80.64.96.186    20764 198610i
5.101.156.0/24     85.112.122.13   80.64.96.186    20764 198610i
5.101.157.0/24     85.112.122.13   80.64.96.186    20764 198610i
5.101.158.0/24     85.112.122.13   80.64.96.186    20764 198610i
5.101.159.0/24     85.112.122.13   80.64.96.186    20764 198610i

Ну то есть формально Раском как и все остальные объявляет клиентские префиксы в сторону пиров и пировые префиксы в сторону клиентов, а фактически он обеспечивает связностью 2 пиринговые сети между собой.

[Denis Samsonov]

Оставлю я это здесь для истории ))

 

http://lg.dataix.ru/detail/rs2-msk/ipv4?q=rascom_fv_ru

-----------

Routes: 98113 imported, 0 filtered, 6 exported, 72877 preferred

-----------

 

Правда пока вот так вот: http://lg.dataix.ru/adv/rs2-msk/ipv4?q=export%20rascom_fv_ru

-----------

91.216.46.0/24 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 14:24:53] * (100/0) [AS50942i]

93.170.140.0/23 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 14:24:53] * (100/0) [AS50942i]

176.67.48.0/21 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 12:10:34] * (100/0) [AS42676i]

92.38.32.0/24 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 14:24:53] * (100/0) [AS50942i]

77.221.208.0/20 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 12:10:32] * (100/0) [AS42676i]

77.221.192.0/20 via 178.18.226.1 on vlan1000 [mx240_msk_m9_12f_1 12:10:32] * (100/0) [AS42676i]

-----------

 

ЗЫ: Для примера, на MSK-IX анонсируется чуть меньше 30 тыс. best routes

Ну а что такого? Пользователи прочитали статью - сказали хотим как у W-IX. Специально для них мы и сделали как "у W-IX"

а то что префиксы висят в таблице маршрутизации RS-а еще ни о чем не говорит, достаточно посмотреть с какими они комьюнити и сколько анонсов летит в сторону Вашего нейбора :)