[visir]

Народ, а что на самом-то деле произошло? То что клиент РТ отдал ему full-view Транстелекома, став транзитной AS - это понятно. Не понятно, почему маршруты расползлись за пределы AS12389? Из этого AS-PATH:

8468 8732 12389 48400 48400 48400 48400 20485 1299 20965 2847

не ясно, что общего между AS8468 и AS8732. RIPE ответа не дает. Видимо оба на DEC-IX. Почему AS8468 повелась на "левые" роуты от AS8732?

Не ясно, почему Комкор вдруг запреференсил левые роуты от Ростелекома, хотя Ростелеком для Комкора не больше, чем клиент, судя по RIPE.

На том же наноге уже написали почему все происходит именно так:

http://www.merit.edu/mail.archives/nanog/msg14552.html

 

P.S.: Обидно будет, если опять обсуждение превратиться в очередной междусобойчик. :(

а разве еще не превратилось ?)

[Клава Маус]

роут-лики случаются. Как правило из-за кривых ручек. Иногда из-за отсутствия элементарных знаний.

 

В настоящей ситуации можно предположить следующее:

484000 (фиг его знает как зовут этого астраханского героя) отправил фулвью трансов на РТ, став по сути апстримом для РТ. РТ переправил эту ботву на свои апстримы, те в свою очередь понесли ее по миру. Это повлекло два события - (1) трафик пошел туда, где ему не пролезть, (2) переполнились префикс-лимиты на ряде стыков и сессии легли или были сложены.

 

Восстановление системы требует ручной работы по всем аскам, раскоряченным этим событием. Судя по доступным мне инструментом ситуация пофиксина процентов на 90-95.

[Cr_net]

На том же наноге уже написали почему все происходит именно так:

http://www.merit.edu/mail.archives/nanog/msg14552.html

Там описаны следствия, которые и так всем известны, а не причина.

Вопрос как минимум

Не понятно, почему маршруты расползлись за пределы AS12389?

 

P.S.: Обидно будет, если опять обсуждение превратиться в очередной междусобойчик. :(

а разве еще не превратилось ?)

Вы бы уже определились адвокат вы или нет :) Глядишь и не превратится.

 

[ingress]

а не ставить аспаф и префикс листы на клиентов это стандартное рас***яйство? :) *для магистралов*

Изменено 25 января, 2009 пользователем ingress

[Умник]

РТ переправил эту ботву на свои апстримы, те в свою очередь понесли ее по миру.

Неужели у апстримов РТ все так плохо с фильтрами? Или так и задумано? :) А то слишком много совпадений:

 

1) "Транк" -> РТ

2) РТ -> Комкор

3) Комкор -> DEC-IX -> AS8768

 

Неужели все так плохо?

[Умник]

Очень просто. Все роуты, полученные из сессии с Транстелекомом проанонсировал в сессию с Ростелекомом, из-за отсутствия out-фильтров на последней.

[visir]

На том же наноге уже написали почему все происходит именно так:

http://www.merit.edu/mail.archives/nanog/msg14552.html

Там описаны следствия, которые и так всем известны, а не причина.

Вопрос как минимум

Не понятно, почему маршруты расползлись за пределы AS12389?

Потому что они были приняты с клиентского линка, а все принятые с клиентских линков маршруты уходят всем.

 

Неужели у апстримов РТ все так плохо с фильтрами?

Все еще хуже, чем кажется. Эти маршруты приняла большая часть пиров/аплинков.

А среди сидящих ночью инженеров у принявших все эти маршруты операторов это вызвало, кхм, довольно смешную реакцию. Подробности рассказывать не буду -- это был бы настоящий ПЯ :)

 

 

PS: фильтры на такое число маршрутов не очень уместны, тут лимиты на число префиксов актуальнее

Изменено 25 января, 2009 пользователем visir

[Умник]

фильтры на такое число маршрутов не очень уместны, тут лимиты на число префиксов актуальнее

Почему? Это ведь не очень надежно и безопасно в плане hijacking-а отдельных роутов крупным ISP типа РТ.

Изменено 25 января, 2009 пользователем Умник

[Cr_net]

а не ставить аспаф и префикс листы на клиентов это стандартное рас***яйство? :) *для магистралов*

Ну рас***яйство это сильно сказано. Судя по времени Jan 24 23:20 UK time, можно с достаточной долей уверенности предположить, что именно на этом этапе фигня и случилась.

Бывает.

Потому что они были приняты с клиентского линка, а все принятые с клиентских линков маршруты уходят всем.

хорошо бы в консерватории подправить, чтобы

они были приняты с клиентского линка, а все принятые с клиентских линков маршруты уходят всем.

вообще не принимались, или героическая Астрахань запулила транзитные префиксы со своим или клиентским ориджином? :)

PS: фильтры на такое число маршрутов не очень уместны, тут лимиты на число префиксов актуальнее

Астрахань растёт в моих глазах :) Неужели зоопарк из 72ых и жуниперов продолжает напрягать?

[evd]

РТ переправил эту ботву на свои апстримы, те в свою очередь понесли ее по миру.

Неужели у апстримов РТ все так плохо с фильтрами? Или так и задумано? :) А то слишком много совпадений:

Умник (не сочтите за оскорбление, но раз уж так назвались), AS-ROSTELECOM включает в себя ~18.5k префиксов, согласно RIPE Database. По жизни, РТ анонсит меньше четверти от этого конгломерата. Но, если РТшный апстрим фильтрует его по prefix-list, то, в случае route leak, отдаст в мир столько "левых" маршрутов, что мало не покажется

 

PS: фильтры на такое число маршрутов не очень уместны, тут лимиты на число префиксов актуальнее

Как скажете, сэр. Imho падение всех аплинков разом по причине превышения prefix-limit заставит таки задуматься о наведении порядка в своем хозяйстве

[Умник]

если РТшный апстрим фильтрует его по prefix-list, то, в случае route leak, отдаст в мир столько "левых" маршрутов, что мало не покажется

А утекут роуты тех AS-ок, которые были клиентами, но ушли от РТ, а RIPE не поправили, так? Да и, кто же мешает вдобавок к prefix-list проверять еще и as-path?

Изменено 25 января, 2009 пользователем Умник

[Клава Маус]

Да и, кто же мешает вдобавок к prefix-list проверять еще и as-path?

Умник, проверять можно на соответствие чему-то.

Можете сформулировать конкретные правила для проверки, которые можно превратить в алгоритм, а не в постановку задачи вида "сделайте так, чтобы такого никогда не было".

[evd]

А утекут роуты тех AS-ок, которые были клиентами, но ушли от РТ, а RIPE не поправили, так?

Клиенты (или якобы клиенты) править AS-ROSTELECOM не имеют никакой возможности

 

Да и, кто же мешает вдобавок к prefix-list проверять еще и as-path?

Вслед за КМ: алгоритмы в студию. Чтобы этот "вдобавок" действительно чего-то добавлял

[Умник]

Вы что на меня накинулись-то? :) У меня академический интерес. Хочется понять, можно ли было избежать инцидента прошлой ночи? А именно (в нашем случае) - распростанения "левых" роутов за пределы AS12389 (аплинкам) в случае неверно настроенных фильтров на сессии с клиентом. Предотвратить появление такого AS_PATH: 8468 8732 12389 48400 48400 48400 48400 20485 1299 20965 2847 в мире. Сузить круг пострадавших. Если это на 100% нерешаемая задача, то ладно. Извините, что до сих пор этого не понял.

[Beast]

На том же наноге уже написали почему все происходит именно так:

http://www.merit.edu/mail.archives/nanog/msg14552.html

Там описаны следствия, которые и так всем известны, а не причина.

Вопрос как минимум

Не понятно, почему маршруты расползлись за пределы AS12389?

 

P.S.: Обидно будет, если опять обсуждение превратиться в очередной междусобойчик. :(

а разве еще не превратилось ?)

Вы бы уже определились адвокат вы или нет :) Глядишь и не превратится.

это не адвокат - это как минимум подозреваемый ;)

который должен ответить на вопрос почему маршруты расползлись за пределы 12389 ;))

 

но он не ответит.

он же сюда поболтать вышел, а не отвечать.

а потом снова будет обижаться - типа к ним тут необъективно относятся.

[Гoсть]

В мою бытность бгпешником было принято вывешивать на клиента фильтр по аспачу плюс фильтр по его префиксам. Понятно что щас вобще полный пипец с этой кучей говна хрен разберешся. Но по крайней мере глубину то аспача можно фильтрами на входе порезать, двумя-тремя хопами. Или лень что-ли??

[evd]

Вы что на меня накинулись-то? :) У меня академический интерес. Хочется понять, можно ли было избежать инцидента прошлой ночи? А именно (в нашем случае) - распростанения "левых" роутов за пределы AS12389 (аплинкам) в случае неверно настроенных фильтров на сессии с клиентом. Предотвратить появление такого AS_PATH: 8468 8732 12389 48400 48400 48400 48400 20485 1299 20965 2847 в мире. Сузить круг пострадавших. Если это на 100% нерешаемая задача, то ладно. Извините, что до сих пор этого не понял.

Ответ: можно. При соблюдении двух (imho) условий:

а) Каждый оператор держит базу данных в своем Сетевом Информационном Центре (RIPE для Европы) в актуальном состоянии

б) Каждый транзитный оператор фильтрует анонсы своих клиентов. Причем, на стыке с клиентами (import), а не только на стыке с апстримами (export), как это часто случается

 

Если в Европе пункт "а" хотя бы отчасти соблюдается, то в Штатах, например, не самые мелкие транзитные операторы порой на просьбу указать свой as-set лишь недоумённо пожимают плечами

 

Потому, строго говоря: нелья

 

Или таки можно, но ценой отправки отдыхать стык с ошалевшим bgp-пиром, превысившим некое разумное число анонсируемых маршрутов (prefix-limit). Что не есть корректно imho в случае предоставления транзита клиенту. Но клинических случаях, похоже, это единственный вариант

[evd]

Но по крайней мере глубину то аспача можно фильтрами на входе порезать, двумя-тремя хопами. Или лень что-ли??

И тем самым послать в сад всех любителей выставлять препенды?

[Гoсть]

И тем самым послать в сад всех любителей выставлять препенды?

А они еще на что-то влияют? ;)

Ладно, можно сделать админку для клиента у себя на вебе, где проверять - если в аспаче идет повторение аса, то пожалуйста и тд и тп, а уже оттудова заливать регекс в свои фильтры.

Раньше было принято проблемы решать (и пытаться их предотвращать), а сейчас судя по всеобщему рас***яйству - искать отговорки чтоб ***я не делать. Деградируем?

[visir]

evd, препенды легко учесть -- плюсик в регэкспе.

 

Гость, Вам видимо посчастливилось не общаться с клиентами, которые с пеной изо рта доказывают что для нормальной работы в интернете им жизненно необходимо, чтобы от них принимали фулл-вью их другого аплинка... и ведь до чего упертые умники, через директоров начинают долбить ("Не знаю о чем он там говорит, но сделайте что он просит, иначе уйдет к конкурентам!")

 

он же сюда поболтать вышел, а не отвечать.

Кто-то пришел сюда не поболтать ?

Ах, да, забыл, что тут площадка для PR-акций )

[Умник]

доказывают что для нормальной работы в интернете им жизненно необходимо, чтобы от них принимали фулл-вью их другого аплинка.

Чем мотивируют эту необходимость? В смысле, чего этим хотят добиться?

[Гoсть]

Визирь, это элемнтарно решается методом написания публичной политики роутинга в вашей компании, и подписать ее у всех ваших ***тых директоров-продаванов. Нет не разрешимых проблем, есть только лень и рас***яйство!

[evd]

Деградируем?

Гость, по делу есть что предложить? Кроме десткого сада с "админкой на вебе"? Про то, как оно было раньше, многие из присутствующих в курсе

[Yokodzun]

Гость, Вам видимо посчастливилось не общаться с клиентами, которые с пеной изо рта доказывают что для нормальной работы в интернете им жизненно необходимо, чтобы от них принимали фулл-вью их другого аплинка... и ведь до чего упертые умники, через директоров начинают долбить ("Не знаю о чем он там говорит, но сделайте что он просит, иначе уйдет к конкурентам!")

Это Вы уже думаю преувеличили, в полемическом задоре.

 

Даже самый эээ... недалекий директор, после объяснения того факта, что прихоть одного клиента может вызвать недовольство всех других - пошлёт идиотов нафик.

 

Ну, и главный момент, не ясно зачем такая схема может быть нужна с технической точки зрения.

[Клава Маус]

Раньше было принято...

А старики помнят, как строго была налажена ямская гоньба на рубеже 15-16 века в России во времена правления Ивана III. Опоздал с раундтрипом - на дыбу. Потерял пакет - на дыбу. И не опаздывали, и не теряли.