Перейти к содержимому
Калькуляторы

Приказ 221 Сведения в Роскомнадзор - Принято

1 час назад, igorky сказал:

статистику это наверное всё же про netflow а не bgp

Мы по почте общались по поводу BGP, хотя зная роскомнадзор может они уже и на netflow смотрят. Хотя до этого они нам звонили и сказали что netflow и snmp им сейчас не нужен, живо делайте BGP.
 

 

55 минут назад, Andrei сказал:

Как вам это удалось? У меня до их пор статус то Connect, то Active

я посмотрел что мне осталось от тех кто настраивал quagga и добавил по образу
 

!
 neighbor 77.95.132.140 remote-as 65211
 neighbor 77.95.132.140 route-map RK-OUT out
 neighbor 77.95.132.140 route-map RK-IN in
 neighbor 77.95.132.140 soft-reconfiguration inbound
 neighbor 77.95.132.140 ebgp-multihop
!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Andrei сказал:

Как вам это удалось? У меня до их пор статус то Connect, то Active

Пишите им, у меня в первый день прыгал нейбор точно так же, на следующие утро всё стало окей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, bike сказал:

Пишите им

Куда? Я писал на адрес, указанный в вородовом файле - d.perepelkin@grfc.ru

Тишина уже несколько  дней. Да мне вобщем-то и по фиг :). Мне это не надо. О настройках на своей стороне я им сообщил.

neighbor 77.95.132.140 remote-as 65002
neighbor 77.95.132.140 description RKN
neighbor 77.95.132.140 ebgp-multihop 255
neighbor 77.95.132.140 update-source 188.xxx.xxx.xxx
neighbor 77.95.132.140 activate
neighbor 77.95.132.140 prefix-list DENY-ANY-PREFIXES in
neighbor 77.95.132.140 filter-list 1 in

ip prefix-list DENY-ANY-PREFIXES seq 10 deny 0.0.0.0/0 le 32
ip as-path access-list 1 deny .*

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ЦМУ ССОП <ndr@noc.gov.ru>

а вообще странно... кого видел давали АС - 65211

Изменено пользователем igorky

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

33 минуты назад, igorky сказал:

кого видел давали АС - 65211

Что прислали, то и настроил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может кто выложить текущую инструкцию и xsd-схему по 221 приказу в тему к слову?

Изменено пользователем Rivia

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

37 минут назад, Rivia сказал:

Может кто выложить текущую инструкцию и xsd-схему по 221 приказу в тему к слову?

 

 

SSOP_ACT221_2.00.example_2021_03_04.xml

SSOP_ACT221_2.00.xsd

Инструкция по заполнению XML ЦМУ ССОП_221_2.0_2021_03_04.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 hours ago, Andrei said:

Благодарствуйте.

Инструкция все равно косячная, впрочем ничего нового.

Изменено пользователем Rivia

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.02.2021 в 12:50, bytestore сказал:

настроил static-stub вроде работает, будет понятно что там дальше когда "Астрологи объявят неделю неработающего интернета"

Вы пробовали запускать ДНС сервис с внесенными изменениями, если разрешить обращаться только к НСДИ 195.208.*.*?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 02.03.2021 в 21:22, bqd сказал:

да тоже думаю по первому варианту будет меньше всего влиять

а например если в кронтаб прописать что-то типа


*/30 * * * * root /usr/bin/dig axfr @194.85.254.37 > /dev/null

то вообще влиять не будет

 

и кстати у меня axfr работает хотя никаких ip я никуда еще не сообщал

кстати, а зачем в примере 

server 194.85.254.37; ?

options {
...
listen-on {127.0.0.1; <внешний адрес для уведомлений>;};
...
}
server 194.85.254.37;
zone "." {
 type slave;
 file "<path/to/file>";
 masters { 194.85.254.37; };
};

у меня с этой строчкой bind не взлетает ((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mar 10 08:25:45 ns named[377680]: zone ./IN: Transfer started.
Mar 10 08:25:45 ns named[377680]: transfer of './IN' from 194.85.254.37#53: connected using ххх.ххх.27.27#44161
Mar 10 08:25:45 ns named[377680]: transfer of './IN' from 194.85.254.37#53: failed while receiving responses: NOTAUTH
Mar 10 08:25:45 ns named[377680]: transfer of './IN' from 194.85.254.37#53: Transfer status: NOTAUTH
Mar 10 08:25:45 ns named[377680]: transfer of './IN' from 194.85.254.37#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.052 secs (0 bytes/

чтот никак....

Изменено пользователем guеst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 hours ago, guеst said:

чтот никак....

 

такая же фигня, еще 1 марта настроил у себя и отправил им подтверждение

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите в каком разделе находятся форма писем по уведомлению настройки днс и bgp , где-то видел и не могу найти ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, Mechanic сказал:

Подскажите в каком разделе находятся форма писем по уведомлению настройки днс и bgp , где-то видел и не могу найти ?

 

Инструкция по организации подключений операторов связи.pdf

Приложение 1 INN_NAME_DDMMYYY (5).xlsx

Инструкция_для_ОС_по_подключению_к_НСДИ_v4.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

свершилось. 

позвонили с ЦМУ ССОП и сказали, что что-то не могут они увидеть нас при настройке bgp c md5 и попросили переделать на другой bgp peer, где они не используют md5.

И таки соединились )

 

Но потом оказалось, что то что мы им отдаём, это не то (а мы настроили фильтр на отдачу только блоков ip нашей AS, т.к. мы не провайдер). Сказали, что им надо чтоб мы отдавали им "маршрутную информацию получаемую от вышестоящих провайдеров". 

воооот...

....зачем им 2 fullview от AS конечного пользователя? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По оригинальной идее, насколько я помню, они хотят контролировать, чтобы российский трафик крутился внутри страны и не бегал зарубеж.

У меня кстати до сих пор нет подключений bgp/snmp. Кто-то общался с ЦМУ на подобный предмет? Куда обращаться непонятно (на ndr@ уже писал дважды - тишина).

Изменено пользователем Rivia

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 часов назад, Хомячок Навального сказал:

Спасибо. А уведомление относительно подключения ДНСрус, произвольно или тоже бланк существует?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 12.03.2021 в 16:01, Rivia сказал:

По оригинальной идее, насколько я помню, они хотят контролировать, чтобы российский трафик крутился внутри страны и не бегал зарубеж.

У меня кстати до сих пор нет подключений bgp/snmp. Кто-то общался с ЦМУ на подобный предмет? Куда обращаться непонятно (на ndr@ уже писал дважды - тишина).

 

мне сами позвонили, я так понял после того как наш местный РКН попросил, т.к. буквально за день звонили местные и расспрашивали, чё да как... услышал в ответ, что настроен bgp peer и dns уже несколько дней, но ничего не взлетает, сказали, что попробуют попросить ЦМУССОП посмотреть... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я новичок в этой теме. Скажите куда эти настройки вводить:

в командную строку,

в настройки маршрутизатора,

в ос маршрутизатора?

 

Есть ли смысл использовать программный маршрутизатор?  

 

 

@EuPhobos student

Я новичок в этой теме. Скажите куда эти настройки вводить:

в командную строку,

в настройки маршрутизатора,

в ос маршрутизатора?

 

Есть ли смысл использовать программный маршрутизатор?  

В 04.02.2021 в 16:45, fox_m сказал:

 

У вас префикс лист только default фильтрует. le 32 надо добавить по идее в конце

 

 

В 04.02.2021 в 16:32, EuPhobos сказал:

 

 

Допустим "МЫ" это IP 3.3.3.3 AS3333
РКН это 6.6.6.6 AS6666

Создать фильр префиксов
 


ip prefix-list DENY-ANY-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Создать lo
 


interface Loopback0
 vrf forwarding INTERNET
 ip address 3.3.3.3 255.255.255.255

Настройки BGP Если "у нас" используется vrf с именем INTERNET
 


router bgp 3333
 bgp router-id 3.3.3.3
 address-family ipv4 vrf INTERNET
  network 3.3.3.3 mask 255.255.x.y
  neighbor 6.6.6.6 remote-as 6666
  neighbor 6.6.6.6 description RKN
  neighbor 6.6.6.6 ebgp-multihop 255
  neighbor 6.6.6.6 update-source Loopback0
  neighbor 6.6.6.6 activate
  neighbor 6.6.6.6 prefix-list DENY-ANY-PREFIXES in

Прописать роут своей сетки
 


ip route vrf INTERNET 3.3.3.3 255.255.x.y Null0

 

про SNMP я уже писал тут:

 

По поводу NETFLOW

 

Создать экспортёр
 


flow exporter TO-RKN
 destination 6.6.6.6 vrf INTERNET
 source Loopback0
 transport udp 9876
 export-protocol netflow-v5

 

 

 Создать монитор

 


 flow monitor MYNET-V5-FLOW-MONITOR
	exporter TO-RKN
 	cache timeout inactive 30
 	cache timeout active 3600
 	record netflow-original

 

 

Прицепить на интерфейсы с аплинками
 


 interface TenGigabitEthernet0/0/0
    vrf forwarding INTERNET
    ip flow monitor MYNET-V5-FLOW-MONITOR input
    ip flow monitor MYNET-V5-FLOW-MONITOR output

 

Если VRF не используется, выкидываем из примера все упоминания о нём.

 

Я новичок в этой теме. Скажите куда эти настройки вводить:

в командную строку,

в настройки маршрутизатора,

в ос маршрутизатора?

 

Есть ли смысл использовать программный маршрутизатор?  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть смысл обратится к специалистам в данной области. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кто-нибудь делал софтовый роутер под  задачу BGP, NETFLOW, SNMP?

 

В Инструкции написано:

Цитата

Допускается конфигурирование и передача информации не с устройств маршрутизации непосредственно, а с устройств/систем, используемых Владельцем АС, которые уже получают (агрегируют) требуемую информацию от устройств и имеют возможность передачи ее в систему ЦМУ.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У кого BGP завелось, подскажите IP соседа.
Сколько видел инструкций, столько и вариаций:
185.224.228.193, 77.95.132.140 и так далее....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 минут назад, baronzzz сказал:

У кого BGP завелось, подскажите IP соседа.
Сколько видел инструкций, столько и вариаций:
185.224.228.193, 77.95.132.140 и так далее....

#sh bgp all neighbors 77.95.132.140
For address family: IPv4 Unicast

For address family: IPv6 Unicast

For address family: VPNv4 Unicast
BGP neighbor is 77.95.132.140,  vrf vrf_inet,  remote AS 65211, external link
 Description: RKN_CMU_SSOP
  BGP version 4, remote router ID 77.95.132.140
  BGP state = Established, up for 3d12h
  Last read 00:00:42, last write 00:00:42, hold time is 180, keepalive interval is 60 seconds
  Neighbor sessions:
    1 active, is not multisession capable (disabled)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, Urs_ak сказал:

А кто-нибудь делал софтовый роутер под  задачу BGP, NETFLOW, SNMP?

bird:

protocol bgp bgp_rkn
{
        debug all;
        description "Roskomnadzor";

        local as XXXXXX;
        source address X.X.X.X;
        neighbor 185.224.228.193 as 65211;

        import none;
	#import filter bgp_in_rkn;
        export filter bgp_out_rkn;
}

filter bgp_in_rkn
{
        reject;
}

filter bgp_out_rkn
{
        if net_martian() then reject;
        accept;
}

function net_martian()
{
        return net ~ [ 169.254.0.0/16+, 172.16.0.0/12+, 192.168.0.0/16+, 10.0.0.0/8+, 
                127.0.0.0/8+, 224.0.0.0/4+, 240.0.0.0/4+, 0.0.0.0/32-, 0.0.0.0/0{30,32}, 0.0.0.0/0{0,7} ];
}

netflow - ipt-netflow https://github.com/aabc/ipt-netflow

snmp - в работе, непонятно как нагрузку ограничивать в случае чего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.