RN3DCX Опубликовано 2 февраля, 2022 · Жалоба Прилетел запрос на BGP присоединение с участником зарегистрированным в ARIN (Северная Америка). Вопрос будет ли работать? Если сторона А зарегистрирована в RIPE NCC, а другая в ARIN. Пропустят ли вышестоящие федералы по фильтрам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 2 февраля, 2022 · Жалоба BGP-присоединение не подразумевает использование "вышестоящих федералов" в транзите. BGP вообще плевать кто и где зарегистрирован. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 2 февраля, 2022 · Жалоба В 02.02.2022 в 15:01, vurd сказал: BGP-присоединение не подразумевает использование "вышестоящих федералов" в транзите. Это как ? глазное дно увеличилось до 5 рублей! А у вас прямые стыки со всеми участками нашей необъятной земли? Речь шла про движение трафика дальше в мир, через вышестоящих апстримов. В 02.02.2022 в 15:01, vurd сказал: BGP вообще плевать кто и где зарегистрирован Отлично! Подняли сессию далее трафик от AS'n (ARIN) полетел через нас к апстримам, которые фильтруют трафик беря информацию из RIPE'а. RIPE в стою очередь вообще не в курсе и честно об этом сообщает: ASN block not managed by the RIPE NCC NON-RIPE-NCC-MANAGED-ADDRESS-BLOCK Далее если правильно понимаю, будет получена технический блокировка? Или достаточно будет у себя в личном кабине на сайте райпа указать: aut-num: AS100000 org: ORG-ХХХ-RIPE as-name: NEХХХХХS import: from AS 16ХХ7 accept ANY <----- AS'n (ARIN) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 2 февраля, 2022 (изменено) · Жалоба RN3DCX, здравствуйте. Если Вы, являетесь стороной "А" (производной от RIPE NCC ASN block) и хотите скорректировать настройки БД RIPE, можно прописать их в подобном виде: Описания соединения партнёров RIPE - ARIN: aut-num: AUT-NUM-Object-RIPE <--- Ваш AUT-NUM: import: from AUT-NUM-Object-ARIN action pref=XXX; accept AUT-NUM-Object-ARIN export: to AUT-NUM-Object-ARIN announce AS-SET-Object-RIPE или ANY AS-SET-Object-RIPE <--- объект AS-SET для Вашей AUT-NUM: members: AUT-NUM-Object-RIPE <--- номер Вашей AUT-NUM members: AUT-NUM-Object-ARIN <--- номер AUT-NUM партнёра ARIN Описания соединения к вышестоящим upstream (ссылающееся на Ваш AS-SET-Object-RIPE): export: to AUT-NUM-upstream announce AS-SET-Object-RIPE Со стороны upstream принимающего анонсы, должна быть строка import, ссылающаяся на AS-SET-Object: import: from AUT-NUM-Object-RIPE (Ваш AUT-NUM) action pref=XXX; accept AS-SET-Object-RIPE (Ваш AS-SET) в AS-SET-Object и перечислены списки анонсируемых AUT-NUM (поле members). В результате, в приведённых объектно-контейнерных структурах, поиск осуществляется по объекту AUT-NUM. В общем не важно, к какому RIR принадлежит AUT-NUM. Насколько я понял, задача поиска возлагается на механизмы фильтрации, опрашивается whois.iana.org, далее через refer следующая whois ДБ. По сути, это услуга "IP транзит" по пропуску IP трафика вышестоящим upstream, с любым оператором (upstream), она обговаривается договором сторон. Практика показывает, что зачастую со стороны upstream фильтры прописываются в ручную, игнорируя import/export в БД RIPE. Изменено 2 февраля, 2022 пользователем SUrov_IBM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 2 февраля, 2022 · Жалоба В 02.02.2022 в 21:40, SUrov_IBM сказал: Практика показывает, что зачастую со стороны upstream фильтры прописываются в ручную, игнорируя import/export в БД RIPE. А мне практика доказала, что многие строят фильтры софтом, пусть не всегда автоматически запуская их по крону. Что касается AS из ARIN, то помимо RIPE, ARIN и прочего есть ещё такая вещь как RADB. Именно там многие AS не из RIPE региона добавляют сетки, которые они анонсят и именно по RADB строят фильтры многи софтины - тот же bgpq3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 2 февраля, 2022 · Жалоба Crank, здравствуйте. В 03.02.2022 в 00:23, crank сказал: А мне практика доказала, что многие строят фильтры софтом, пусть не всегда автоматически запуская их по крону. Возможно, спорить не буду, просто поделился своим, не самым богатым опытом. Были ситуации, когда import/export для конкретной AUT-NUM не прописывались в БД RIPE месяцами (человеческий фактор - лень). При этом, если upstream обеспечивал пропуск трафика для сети, от конкретного AUT-NUM на уровне маршрутизации и для сети, явно существовал действующий route объект в БД RIPE, сеть начинала анонсироваться в публичный Интернет. В 03.02.2022 в 00:23, crank сказал: помимо RIPE, ARIN и прочего есть ещё такая вещь как RADB Честно говоря, никогда самостоятельно не вносил изменений в данную базу, всегда ограничивался эталонным заполняем канонической БД RIPE. Возможно, RADB начинает ссылаться на каноническую БД, если не находит записи в себе самой? Просто я проверил на примере моей AS, RADB сослалась на БД RIPE или это и есть её штатный механизм работы? Чтобы к ней, для упрощения поиска мог обратиться, например BGPQ3, а сама RADB уже в свою очередь к канонической БД? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 3 февраля, 2022 · Жалоба В 02.02.2022 в 17:59, RN3DCX сказал: Это как ? глазное дно увеличилось до 5 рублей! А у вас прямые стыки со всеми участками нашей необъятной земли? Речь шла про движение трафика дальше в мир, через вышестоящих апстримов. Отлично! Подняли сессию далее трафик от AS'n (ARIN) полетел через нас к апстримам, которые фильтруют трафик беря информацию из RIPE'а. RIPE в стою очередь вообще не в курсе и честно об этом сообщает: ASN block not managed by the RIPE NCC NON-RIPE-NCC-MANAGED-ADDRESS-BLOCK Далее если правильно понимаю, будет получена технический блокировка? Или достаточно будет у себя в личном кабине на сайте райпа указать: aut-num: AS100000 org: ORG-ХХХ-RIPE as-name: NEХХХХХS import: from AS 16ХХ7 accept ANY <----- AS'n (ARIN) Вы клиента что-ли цепляете? Я думал, наоборот, апстрим. Поэтому и непонятно откуда взялся магистрал. Теперь ясно. Всё просто. В райпе корректно указываете данные import\export, добавляете клиента в свой AS-SET, ждете обновления фильтров у аплинка и всё. Иногда надо руками пнуть noc, зависит от оператора. aut-num: AS65000 remarks: upstream import: from AS65001 accept ANY export: to AS65001 announce AS-EXAMPLE remarks: customer import: from AS65002 accept AS60002 export: to AS65002 announce ANY as-set: AS-EXAMPLE members: AS65000 members: AS65002 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 3 февраля, 2022 · Жалоба @SUrov_IBM , @vurd Благодарю Вас за комментарии с примерами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 8 февраля, 2022 · Жалоба В 03.02.2022 в 00:59, SUrov_IBM сказал: Были ситуации, когда import/export для конкретной AUT-NUM не прописывались в БД RIPE месяцами (человеческий фактор - лень). При этом, если upstream обеспечивал пропуск трафика для сети, от конкретного AUT-NUM на уровне маршрутизации и для сети, явно существовал действующий route объект в БД RIPE, сеть начинала анонсироваться в публичный Интернет. Большинство магистралов не смотрят на объект aut-num и записи import/export в нём. Во всяком случае Б3 + РТ + ТТК так точно не делают. Им для построения фильтров нужен только AS-SET. Однако, я настоятельно рекомендую прописывать и со своих клиентов требую правильно заполнять import/export в своей aut-num. В 03.02.2022 в 00:59, SUrov_IBM сказал: Возможно, RADB начинает ссылаться на каноническую БД, если не находит записи в себе самой? Просто я проверил на примере моей AS, RADB сослалась на БД RIPE или это и есть её штатный механизм работы? Чтобы к ней, для упрощения поиска мог обратиться, например BGPQ3, а сама RADB уже в свою очередь к канонической БД? Внесение информации в RADB через платный аккаунт, если я не ошибаюсь. Сам RADB, если не находит записи у себя, тянет её с RIPE. Тут вы верно догадались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 8 февраля, 2022 · Жалоба Crank, здравствуйте. В 08.02.2022 в 21:20, crank сказал: Однако, я настоятельно рекомендую прописывать и со своих клиентов требую правильно заполнять import/export в своей aut-num. Абсолютно с Вами солидарен в этом мнении, просто привёл пример, что сталкивался с ситуацией, когда import/export игнорировали. А так, действительно, хотя бы стремление к порядку присутствует, а то ведь BGP сам по себе – дорога общего пользования в нашей всемирной сети Интернет и нарушения правил одним участником, может привести к большим бедам для других. Раньше, более серьёзно относились к описанию RPSL в БД, потом стали под копирку копировать, особо не вдаваясь в суть. Но как говориться - «Раньше и деревья были большими». В 08.02.2022 в 21:20, crank сказал: Внесение информации в RADB через платный аккаунт, если я не ошибаюсь. Если это так, то конечно интересный у них способ монетизации, за счёт добавления легитимности маршрутам. ;) В 08.02.2022 в 21:20, crank сказал: Сам RADB, если не находит записи у себя, тянет её с RIPE. Главное, что RADB проверяет RPSL в легитимной БД и тем, у кого все элементы внесены корректно и добросовестно, можно спать спокойно. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...