visir Опубликовано 25 января, 2009 · Жалоба Народ, а что на самом-то деле произошло? То что клиент РТ отдал ему full-view Транстелекома, став транзитной AS - это понятно. Не понятно, почему маршруты расползлись за пределы AS12389? Из этого AS-PATH:8468 8732 12389 48400 48400 48400 48400 20485 1299 20965 2847не ясно, что общего между AS8468 и AS8732. RIPE ответа не дает. Видимо оба на DEC-IX. Почему AS8468 повелась на "левые" роуты от AS8732?Не ясно, почему Комкор вдруг запреференсил левые роуты от Ростелекома, хотя Ростелеком для Комкора не больше, чем клиент, судя по RIPE. На том же наноге уже написали почему все происходит именно так:http://www.merit.edu/mail.archives/nanog/msg14552.html P.S.: Обидно будет, если опять обсуждение превратиться в очередной междусобойчик. :(а разве еще не превратилось ?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Клава Маус Опубликовано 25 января, 2009 · Жалоба роут-лики случаются. Как правило из-за кривых ручек. Иногда из-за отсутствия элементарных знаний. В настоящей ситуации можно предположить следующее: 484000 (фиг его знает как зовут этого астраханского героя) отправил фулвью трансов на РТ, став по сути апстримом для РТ. РТ переправил эту ботву на свои апстримы, те в свою очередь понесли ее по миру. Это повлекло два события - (1) трафик пошел туда, где ему не пролезть, (2) переполнились префикс-лимиты на ряде стыков и сессии легли или были сложены. Восстановление системы требует ручной работы по всем аскам, раскоряченным этим событием. Судя по доступным мне инструментом ситуация пофиксина процентов на 90-95. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 25 января, 2009 · Жалоба На том же наноге уже написали почему все происходит именно так:http://www.merit.edu/mail.archives/nanog/msg14552.html Там описаны следствия, которые и так всем известны, а не причина.Вопрос как минимум Не понятно, почему маршруты расползлись за пределы AS12389? P.S.: Обидно будет, если опять обсуждение превратиться в очередной междусобойчик. :(а разве еще не превратилось ?) Вы бы уже определились адвокат вы или нет :) Глядишь и не превратится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 25 января, 2009 (изменено) · Жалоба а не ставить аспаф и префикс листы на клиентов это стандартное рас***яйство? :) *для магистралов* Изменено 25 января, 2009 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 25 января, 2009 · Жалоба РТ переправил эту ботву на свои апстримы, те в свою очередь понесли ее по миру.Неужели у апстримов РТ все так плохо с фильтрами? Или так и задумано? :) А то слишком много совпадений: 1) "Транк" -> РТ 2) РТ -> Комкор 3) Комкор -> DEC-IX -> AS8768 Неужели все так плохо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 25 января, 2009 · Жалоба Очень просто. Все роуты, полученные из сессии с Транстелекомом проанонсировал в сессию с Ростелекомом, из-за отсутствия out-фильтров на последней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 25 января, 2009 (изменено) · Жалоба На том же наноге уже написали почему все происходит именно так:http://www.merit.edu/mail.archives/nanog/msg14552.html Там описаны следствия, которые и так всем известны, а не причина.Вопрос как минимум Не понятно, почему маршруты расползлись за пределы AS12389? Потому что они были приняты с клиентского линка, а все принятые с клиентских линков маршруты уходят всем. Неужели у апстримов РТ все так плохо с фильтрами?Все еще хуже, чем кажется. Эти маршруты приняла большая часть пиров/аплинков.А среди сидящих ночью инженеров у принявших все эти маршруты операторов это вызвало, кхм, довольно смешную реакцию. Подробности рассказывать не буду -- это был бы настоящий ПЯ :) PS: фильтры на такое число маршрутов не очень уместны, тут лимиты на число префиксов актуальнее Изменено 25 января, 2009 пользователем visir Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 25 января, 2009 (изменено) · Жалоба фильтры на такое число маршрутов не очень уместны, тут лимиты на число префиксов актуальнее Почему? Это ведь не очень надежно и безопасно в плане hijacking-а отдельных роутов крупным ISP типа РТ. Изменено 25 января, 2009 пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 25 января, 2009 · Жалоба а не ставить аспаф и префикс листы на клиентов это стандартное рас***яйство? :) *для магистралов*Ну рас***яйство это сильно сказано. Судя по времени Jan 24 23:20 UK time, можно с достаточной долей уверенности предположить, что именно на этом этапе фигня и случилась.Бывает. Потому что они были приняты с клиентского линка, а все принятые с клиентских линков маршруты уходят всем.хорошо бы в консерватории подправить, чтобы они были приняты с клиентского линка, а все принятые с клиентских линков маршруты уходят всем.вообще не принимались, или героическая Астрахань запулила транзитные префиксы со своим или клиентским ориджином? :)PS: фильтры на такое число маршрутов не очень уместны, тут лимиты на число префиксов актуальнееАстрахань растёт в моих глазах :) Неужели зоопарк из 72ых и жуниперов продолжает напрягать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evd Опубликовано 25 января, 2009 · Жалоба РТ переправил эту ботву на свои апстримы, те в свою очередь понесли ее по миру.Неужели у апстримов РТ все так плохо с фильтрами? Или так и задумано? :) А то слишком много совпадений: Умник (не сочтите за оскорбление, но раз уж так назвались), AS-ROSTELECOM включает в себя ~18.5k префиксов, согласно RIPE Database. По жизни, РТ анонсит меньше четверти от этого конгломерата. Но, если РТшный апстрим фильтрует его по prefix-list, то, в случае route leak, отдаст в мир столько "левых" маршрутов, что мало не покажется PS: фильтры на такое число маршрутов не очень уместны, тут лимиты на число префиксов актуальнееКак скажете, сэр. Imho падение всех аплинков разом по причине превышения prefix-limit заставит таки задуматься о наведении порядка в своем хозяйстве Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 25 января, 2009 (изменено) · Жалоба если РТшный апстрим фильтрует его по prefix-list, то, в случае route leak, отдаст в мир столько "левых" маршрутов, что мало не покажется А утекут роуты тех AS-ок, которые были клиентами, но ушли от РТ, а RIPE не поправили, так? Да и, кто же мешает вдобавок к prefix-list проверять еще и as-path? Изменено 25 января, 2009 пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Клава Маус Опубликовано 25 января, 2009 · Жалоба Да и, кто же мешает вдобавок к prefix-list проверять еще и as-path?Умник, проверять можно на соответствие чему-то. Можете сформулировать конкретные правила для проверки, которые можно превратить в алгоритм, а не в постановку задачи вида "сделайте так, чтобы такого никогда не было". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evd Опубликовано 25 января, 2009 · Жалоба А утекут роуты тех AS-ок, которые были клиентами, но ушли от РТ, а RIPE не поправили, так?Клиенты (или якобы клиенты) править AS-ROSTELECOM не имеют никакой возможности Да и, кто же мешает вдобавок к prefix-list проверять еще и as-path?Вслед за КМ: алгоритмы в студию. Чтобы этот "вдобавок" действительно чего-то добавлял Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 25 января, 2009 · Жалоба Вы что на меня накинулись-то? :) У меня академический интерес. Хочется понять, можно ли было избежать инцидента прошлой ночи? А именно (в нашем случае) - распростанения "левых" роутов за пределы AS12389 (аплинкам) в случае неверно настроенных фильтров на сессии с клиентом. Предотвратить появление такого AS_PATH: 8468 8732 12389 48400 48400 48400 48400 20485 1299 20965 2847 в мире. Сузить круг пострадавших. Если это на 100% нерешаемая задача, то ладно. Извините, что до сих пор этого не понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Beast Опубликовано 25 января, 2009 · Жалоба На том же наноге уже написали почему все происходит именно так:http://www.merit.edu/mail.archives/nanog/msg14552.html Там описаны следствия, которые и так всем известны, а не причина.Вопрос как минимум Не понятно, почему маршруты расползлись за пределы AS12389? P.S.: Обидно будет, если опять обсуждение превратиться в очередной междусобойчик. :(а разве еще не превратилось ?) Вы бы уже определились адвокат вы или нет :) Глядишь и не превратится. это не адвокат - это как минимум подозреваемый ;)который должен ответить на вопрос почему маршруты расползлись за пределы 12389 ;)) но он не ответит. он же сюда поболтать вышел, а не отвечать. а потом снова будет обижаться - типа к ним тут необъективно относятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 25 января, 2009 · Жалоба В мою бытность бгпешником было принято вывешивать на клиента фильтр по аспачу плюс фильтр по его префиксам. Понятно что щас вобще полный пипец с этой кучей говна хрен разберешся. Но по крайней мере глубину то аспача можно фильтрами на входе порезать, двумя-тремя хопами. Или лень что-ли?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evd Опубликовано 25 января, 2009 · Жалоба Вы что на меня накинулись-то? :) У меня академический интерес. Хочется понять, можно ли было избежать инцидента прошлой ночи? А именно (в нашем случае) - распростанения "левых" роутов за пределы AS12389 (аплинкам) в случае неверно настроенных фильтров на сессии с клиентом. Предотвратить появление такого AS_PATH: 8468 8732 12389 48400 48400 48400 48400 20485 1299 20965 2847 в мире. Сузить круг пострадавших. Если это на 100% нерешаемая задача, то ладно. Извините, что до сих пор этого не понял.Ответ: можно. При соблюдении двух (imho) условий:а) Каждый оператор держит базу данных в своем Сетевом Информационном Центре (RIPE для Европы) в актуальном состоянии б) Каждый транзитный оператор фильтрует анонсы своих клиентов. Причем, на стыке с клиентами (import), а не только на стыке с апстримами (export), как это часто случается Если в Европе пункт "а" хотя бы отчасти соблюдается, то в Штатах, например, не самые мелкие транзитные операторы порой на просьбу указать свой as-set лишь недоумённо пожимают плечами Потому, строго говоря: нелья Или таки можно, но ценой отправки отдыхать стык с ошалевшим bgp-пиром, превысившим некое разумное число анонсируемых маршрутов (prefix-limit). Что не есть корректно imho в случае предоставления транзита клиенту. Но клинических случаях, похоже, это единственный вариант Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evd Опубликовано 25 января, 2009 · Жалоба Но по крайней мере глубину то аспача можно фильтрами на входе порезать, двумя-тремя хопами. Или лень что-ли?? И тем самым послать в сад всех любителей выставлять препенды? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 25 января, 2009 · Жалоба И тем самым послать в сад всех любителей выставлять препенды?А они еще на что-то влияют? ;)Ладно, можно сделать админку для клиента у себя на вебе, где проверять - если в аспаче идет повторение аса, то пожалуйста и тд и тп, а уже оттудова заливать регекс в свои фильтры. Раньше было принято проблемы решать (и пытаться их предотвращать), а сейчас судя по всеобщему рас***яйству - искать отговорки чтоб ***я не делать. Деградируем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 25 января, 2009 · Жалоба evd, препенды легко учесть -- плюсик в регэкспе. Гость, Вам видимо посчастливилось не общаться с клиентами, которые с пеной изо рта доказывают что для нормальной работы в интернете им жизненно необходимо, чтобы от них принимали фулл-вью их другого аплинка... и ведь до чего упертые умники, через директоров начинают долбить ("Не знаю о чем он там говорит, но сделайте что он просит, иначе уйдет к конкурентам!") он же сюда поболтать вышел, а не отвечать.Кто-то пришел сюда не поболтать ?Ах, да, забыл, что тут площадка для PR-акций ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 25 января, 2009 · Жалоба доказывают что для нормальной работы в интернете им жизненно необходимо, чтобы от них принимали фулл-вью их другого аплинка. Чем мотивируют эту необходимость? В смысле, чего этим хотят добиться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 25 января, 2009 · Жалоба Визирь, это элемнтарно решается методом написания публичной политики роутинга в вашей компании, и подписать ее у всех ваших ***тых директоров-продаванов. Нет не разрешимых проблем, есть только лень и рас***яйство! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evd Опубликовано 25 января, 2009 · Жалоба Деградируем? Гость, по делу есть что предложить? Кроме десткого сада с "админкой на вебе"? Про то, как оно было раньше, многие из присутствующих в курсе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yokodzun Опубликовано 25 января, 2009 · Жалоба Гость, Вам видимо посчастливилось не общаться с клиентами, которые с пеной изо рта доказывают что для нормальной работы в интернете им жизненно необходимо, чтобы от них принимали фулл-вью их другого аплинка... и ведь до чего упертые умники, через директоров начинают долбить ("Не знаю о чем он там говорит, но сделайте что он просит, иначе уйдет к конкурентам!") Это Вы уже думаю преувеличили, в полемическом задоре. Даже самый эээ... недалекий директор, после объяснения того факта, что прихоть одного клиента может вызвать недовольство всех других - пошлёт идиотов нафик. Ну, и главный момент, не ясно зачем такая схема может быть нужна с технической точки зрения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Клава Маус Опубликовано 25 января, 2009 · Жалоба Раньше было принято... А старики помнят, как строго была налажена ямская гоньба на рубеже 15-16 века в России во времена правления Ивана III. Опоздал с раундтрипом - на дыбу. Потерял пакет - на дыбу. И не опаздывали, и не теряли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...