Jump to content
Калькуляторы

BGP и чужие префиксы

Админ одного из аплинков "тестировал" свой bgp, в результате неоднократно клал инет. Смотрим сейчас BGPlay не нарадуемся тупости этого идиота...

Собственно вопрос: насколько незаконно явно прописывать префиксы своих даунлинков и как к этому относится ripe?

 

Share this post


Link to post
Share on other sites
Админ одного из аплинков "тестировал" свой bgp, в результате неоднократно клал инет. Смотрим сейчас BGPlay не нарадуемся тупости этого идиота...

Собственно вопрос: насколько незаконно явно прописывать префиксы своих даунлинков и как к этому относится ripe?

Что значит "незаконно"?? Так ОБЯЗАТЕЛЬНО надо делать.

Мы же о фильтрации префиксов принимаемых от даунлинков, я Вас правильно понял?

А уж как фильтровать - руками или по RIPE-DB, вопрос второй.

Share this post


Link to post
Share on other sites
Админ одного из аплинков "тестировал" свой bgp, в результате неоднократно клал инет. Смотрим сейчас BGPlay не нарадуемся тупости этого идиота...

Собственно вопрос: насколько незаконно явно прописывать префиксы своих даунлинков и как к этому относится ripe?

Что значит "незаконно"?? Так ОБЯЗАТЕЛЬНО надо делать.

Мы же о фильтрации префиксов принимаемых от даунлинков, я Вас правильно понял?

А уж как фильтровать - руками или по RIPE-DB, вопрос второй.

Не совсем так выразился. Пропускать-непропускать - это одно.

А явно анонсировать префиксы от своей AS со статическим прописыванием маршрутов до настоящего BGP сервера?

 

Понятно, что будет перекос трафика в пользу данного аплинка. И при разрыве связи с аплинком анонсы через него не сдохнут. Интересует правовой момент.

Share this post


Link to post
Share on other sites
Не совсем так выразился. Пропускать-непропускать - это одно.

А явно анонсировать префиксы от своей AS со статическим прописыванием маршрутов до настоящего BGP сервера?

 

Понятно, что будет перекос трафика в пользу данного аплинка. И при разрыве связи с аплинком анонсы через него не сдохнут. Интересует правовой момент.

Оригинировать чужой PI от своей AS? Совершенно никаких проблем.

Share this post


Link to post
Share on other sites
Не совсем так выразился. Пропускать-непропускать - это одно.

А явно анонсировать префиксы от своей AS со статическим прописыванием маршрутов до настоящего BGP сервера?

 

Понятно, что будет перекос трафика в пользу данного аплинка. И при разрыве связи с аплинком анонсы через него не сдохнут. Интересует правовой момент.

Оригинировать чужой PI от своей AS? Совершенно никаких проблем.

Т.е. если мой аплинк пропишет у себя статически префиксы, сделать ему что-либо не имеем права?

Share this post


Link to post
Share on other sites

а договор почитать?

вообще-то, если у тебя прописан рутинг по бгп и ты снял свои анонсы с одного из аплинков или сказал ему в такие-то коммьюнити тебя не анонсить, а он продолжает светить твоими префиксами куда не попадя, то тут дело уже не в праве, а в канделябре ;)

и зачем такой аплинк нужен?

Share this post


Link to post
Share on other sites
а договор почитать?
Ты видел много операторских договоров, где фигурируют цифры, кроме ширины полосы и процент потерь пакетов? Я - нет.

 

и зачем такой аплинк нужен?
Вот и мы думаем...

 

Share this post


Link to post
Share on other sites
Не совсем так выразился. Пропускать-непропускать - это одно.

А явно анонсировать префиксы от своей AS со статическим прописыванием маршрутов до настоящего BGP сервера?

 

Понятно, что будет перекос трафика в пользу данного аплинка. И при разрыве связи с аплинком анонсы через него не сдохнут. Интересует правовой момент.

Оригинировать чужой PI от своей AS? Совершенно никаких проблем.

Т.е. если мой аплинк пропишет у себя статически префиксы, сделать ему что-либо не имеем права?

Я не сразу догнал, что он (uplink) сделал это без Вашего ведома.

Тогда, конечно, жаловаться в RIPE. Но вот скорость реакции может Вас не порадовать.

А вот исключительно ради расширения кругозора, нафига это понадобилось делать uplinlk-у?

Зачем это надо добровольно, я представляю. А зачем такое делать при уже работающем BGP взаимодействии?

Share this post


Link to post
Share on other sites

Йоко! спасибо за "догонялку". а то я было совсем уж собрался за правду побиться ;)

 

Юзер! внесите для простоты имя аплинка в студию!

Share this post


Link to post
Share on other sites
а договор почитать?
Ты видел много операторских договоров, где фигурируют цифры, кроме ширины полосы и процент потерь пакетов? Я - нет.

Ну вообще-то пишут такие вещи, даже довольно подробно: там и ASN указывается, и про bgp слова есть. Видимо у вас не правильный оператор.

 

А по поводу первоначального вопроса: согласен с Бистом - только канделяброй. Так как это из серии как пакистанцы youtube завалили в феврале.

 

Share this post


Link to post
Share on other sites

У нас когда старый аплинк перевели в резерв (перестали анонсировать ему префексы) стал их хватать из анонсов msk-ix и пересылать дальше. Трафик продолжал литься с них напрямую, похоже статикой роут забит. А пара крупных московских очень любила его и ставила localpref больше чем на msk-ix.

Share this post


Link to post
Share on other sites

организационно-административные проблемы лечить техническими средствами неправильно.

лучше таки канделябром!

Share this post


Link to post
Share on other sites

У нас когда старый аплинк перевели в резерв (перестали анонсировать ему префексы) стал их хватать из анонсов msk-ix и пересылать дальше. Трафик продолжал литься с них напрямую, похоже статикой роут забит. А пара крупных московских очень любила его и ставила localpref больше чем на msk-ix.

Это называется route leak и такие вещи нужно душить в зародыше канделябром.

Share this post


Link to post
Share on other sites
Зачем это надо добровольно, я представляю. А зачем такое делать при уже работающем BGP взаимодействии?
Кривые руки администраторов :( Власть сменилась, админ ушел.

 

Юзер! внесите для простоты имя аплинка в студию!
Ссыкотно мне :) В личку кину без проблем.

Share this post


Link to post
Share on other sites

да что ж это за аплинк такой, которого еще и боятся?

если наши учудили - я пошел за клюшкой для гольфа ;)

Share this post


Link to post
Share on other sites
У нас когда старый аплинк перевели в резерв (перестали анонсировать ему префексы) стал их хватать из анонсов msk-ix и пересылать дальше.

во, только вчера такое же лечили у аплинка. причем те в процесе лечения 2 раза успели сообщить, что все вылечили. но бог любит троицу.

Share this post


Link to post
Share on other sites
У нас когда старый аплинк перевели в резерв (перестали анонсировать ему префексы) стал их хватать из анонсов msk-ix и пересылать дальше. Трафик продолжал литься с них напрямую, похоже статикой роут забит. А пара крупных московских очень любила его и ставила localpref больше чем на msk-ix.

 

Это ошибка в настройке роут-фильтров. Я когда первый раз настраивал такую же ошибку совершал. Мне кажется все совершают, видимо админ у них новичок.

Локалпрефы на пиры выше чем на ix тоже нормально.

 

Звонить надо в их NOC и ругаться.

Письмо менеджеру вашему написать или коммерческому директору с просьбой сделать перерасчет за некачественно предоставляемые услуги.

 

 

Городить что то техническим способом в такой ситуации действительно идиотизм.

 

 

 

Лечится кстати прописыванием в списках AS вот такой козюлины ^

Share this post


Link to post
Share on other sites
Лечится кстати прописыванием в списках AS вот такой козюлины ^

В моем случае, судя по всему, на такую вот казюлину они и понадеялись... просто на M9 уже месяца 2 как перестал втыкаться 8631 в конце пути при проходе их роут сервера. Поэтому по as path only путь через прямой канал от пути через M9 не отличим.

Share this post


Link to post
Share on other sites

Видел и не раз УСИ,подмосковный агрегатор, и ещё МРК за Уралом (не помню кто)

фльтрация его AS на аплинке была не возможна, достучались снизу до него вроде..

Share this post


Link to post
Share on other sites

за Уралом не эти художники? ;)

 

Router: Moscow: msk-rrs1

Command: show ip bgp regexp 39054

 

BGP table version is 216277186, local router ID is 195.161.1.155

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,

r RIB-failure, S Stale

Origin codes: i - IGP, e - EGP, ? - incomplete

 

Network Next Hop Metric LocPrf Weight Path

*>i81.18.122.0/24 195.161.1.125 0 1000 0 39054 41592 ?

*>i81.18.123.0/24 195.161.1.125 0 1000 0 39054 20485 41592 ?

*>i87.103.160.0/21 195.161.1.125 0 1000 0 39054 i

*>i90.188.32.0/19 195.161.1.125 0 1000 0 39054 i

*>i92.124.192.0/20 195.161.1.125 0 1000 0 39054 i

*>i92.124.208.0/20 195.161.1.125 0 1000 0 39054 i

* i92.126.128.0/23 195.161.1.30 500 0 20485 39054 i

*>i 195.161.1.30 500 0 20485 39054 i

*>i212.0.64.0/19 195.161.1.125 0 1000 0 39054 8828 i

Share this post


Link to post
Share on other sites

кто пояснит, что вот эта дурка с того же места значит:

* i212.22.64.0 195.161.1.30 0 1000 0 12389 28840 3216 20485 8888 i

*>i 195.161.1.30 0 1000 0 12389 28840 3216 20485 8888 i

Share this post


Link to post
Share on other sites
кто пояснит, что вот эта дурка с того же места значит:

* i212.22.64.0 195.161.1.30 0 1000 0 12389 28840 3216 20485 8888 i

*>i 195.161.1.30 0 1000 0 12389 28840 3216 20485 8888 i

Либо у 28840 лик, а в 12389 его не зафильтровали,

поскольку, 8888 числится клиентом 28840 в райп.

 

Либо 8888 все-таки клиент 28840,

просто криво настроено, а BGP лежит (как у автора темы).

Edited by mezonin

Share this post


Link to post
Share on other sites
Зачем это надо добровольно, я представляю. А зачем такое делать при уже работающем BGP взаимодействии?
Кривые руки администраторов :( Власть сменилась, админ ушел.

 

Юзер! внесите для простоты имя аплинка в студию!
Ссыкотно мне :) В личку кину без проблем.

И правильно, что ссыкотно. :) Почему то без затруднений представляю это.

Share this post


Link to post
Share on other sites
Зачем это надо добровольно, я представляю. А зачем такое делать при уже работающем BGP взаимодействии?
Кривые руки администраторов :( Власть сменилась, админ ушел.

 

Юзер! внесите для простоты имя аплинка в студию!
Ссыкотно мне :) В личку кину без проблем.

И правильно, что ссыкотно. :) Почему то без затруднений представляю это.

А по теме что добавите? :-)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this