[visir]

2. Клиентские специфики, которые видны по BGP от аплинков/пиров, но при этом не видны в прямом клиентском канале. Решение этой проблемы уже вне сил протокола BGP, во всяком случае, как мне кажется, его реализации на данный момент.

Тут надо понимать, зачем этот специфик клиенту нужен. Сами по себе специфики не зло, а вполне себе инструмент, который иногда необходим. Но те специфики, которые тратят ресурсы Вашей сети, а клиент Вам за это не платит - зло :).

 

Тут эту тему тоже уже обсуждали, в итоге родился вот такой документ, нашел пока только в кэше гугля, думаю он вполне полностью описывает эту проблему:

http://74.125.77.132/search?q=cache:MB_3Fr...;cd=1&gl=ru

А вот кто и как ее решает, вопрос отдельный :)

Да, привет visir'у :).

Здрасте :)

Я для себя подходящее решение подобрал. Не такое, как в той статье. И оно уже тестируется. Проблема оказалась чуть более широкой, чем в первоначальном описании...

Почитать рекомендую вот это: http://www.nanog.org/mtg-0802/presentation...ng-bof-XVII.pdf

 

[Kirya]

Здрасте :)

Я для себя подходящее решение подобрал. Не такое, как в той статье. И оно уже тестируется. Проблема оказалась чуть более широкой, чем в первоначальном описании...

Почитать рекомендую вот это: http://www.nanog.org/mtg-0802/presentation...ng-bof-XVII.pdf

Тестировать на живой сети ?

То-то я смотрю кол-во ликов кое у кого увеличилось...

Название своего работодателя не побоишься раскрыть сам ? :)

 

[Cr_net]

Здрасте :)

Я для себя подходящее решение подобрал. Не такое, как в той статье. И оно уже тестируется. Проблема оказалась чуть более широкой, чем в первоначальном описании...

А осветите пожалуйста общественности проблему полностью, а то чёто мне тоже ссыкотно..

Изменено 25 декабря, 2008 пользователем Cr_net

[visir]

:))

Все хорошо, иначе бы уже заметили.

Под проблемой имеется в виду дополнительная возможность прокачки халявы)

 

 

Изменено 25 декабря, 2008 пользователем visir

[Cr_net]

:))

Все хорошо, иначе бы уже заметили

хорошо бы, чтобы оно так же хорошо и оставалось, а то ведь qppb это такая хрень,

вполне может превратится в o.. женщину за рулём.

[visir]

хорошо бы, чтобы оно так же хорошо и оставалось, а то ведь qppb это такая хрень,

вполне может превратится в o.. женщину за рулём.

Я не говорил, что у меня qppb...

 

[AN111]

Там речь про анонсы вообще или морспецифики? Хотя даже это не самое главное..

Вот например, Вы говорите - "если от пира/апстрима - не анонсировать". Куда не анонсировать? Почему не анонсировать? Даже если это анонс клиента? А вдруг по каким-либо причинам у Вас упал канал на клиента, будете нарушать с ним связность? И при большом кол-ве клиентов желаю удачи в построении мегафильтров, особенно на аплинках.

БД RIPE - это, если угодно, забор (или сарай, тут могут быть варианты), на котором можно что-то написать. Но, политика маршрутизации складывается не согласно БД RIPE, там лишь в той или иной степени пытаются ее отразить, если хотят.

Вообще-то ugluck поднял вопрос, который на этом форуме уже обсуждался. На надо различать как минимум две проблемы:

1. Утечка маршрутов.

--- cut ---, много слов.

 

>анонсы, специфики

а какая разница, что вам клиент отдает - агрегированные сети или специфики ?

это сети клиента, которые надо проанонсировать дальше и все.

основное условие - не анонсировать сети клиента, полученные не от клиента.

 

>А вдруг по каким-либо причинам у Вас упал канал на клиента, будете нарушать с ним связность?

? странный вопрос.

просто перестаете анонсировать его сети, и если вы не единственный апстрим клиента - вы увидите его через оставшиеся живые линки клиента к другм апстримам.

 

 

 

[ugluck]

вот пример: я анонсю в ix морспецы, чтоб обойти кое-чьи локалпрефы. мой аплинк, так же участник ix-а видит от меня напрямую /20, а от ix-а 2 по /21. он анонсит далее в мир /20, полученный прямо от меня, но пакеты, направленные на мою сеть, дропает, т.к. они идут от его аплинка в ix, а не прямо мне. причем мне он рекомендует для нормализации ситуации либо заанонсить и ему эти /21, либо снять эти специфики с ix-a. мне кажется, он не прав, и надо бы ему просто зафильтровать мои спецы с ix-a либо пропускать траф ко мне через ix.

[Beast]

Под проблемой имеется в виду дополнительная возможность прокачки халявы)

тщательнЕе нужно подходить к выбору пиринг-партнеров ;)

закрывать продажно-административные проблемы и дырки в бизнес-схемах техническими мерами - этот как гланды через анус автогеном. самому себе ;)

[pety]

>анонсы, специфики

а какая разница, что вам клиент отдает - агрегированные сети или специфики ?

это сети клиента, которые надо проанонсировать дальше и все.

основное условие - не анонсировать сети клиента, полученные не от клиента.

Не анонсировать куда? За пределы своей AS? За пределы конкретного роутера? Значит рвете связность своим клиентам. Надо выражаться яснее, иначе Ваши утверждения могут трактоваться очень многозначно теми, кто не совсем в курсе. Вы ведь не говорили, что своим клиентам нужно в любом случае анонсировать все (хотя я надеюсь, что это подразумевалось как само собой), если клиент не попросит чего-либо другого.

Помню случаи, когда некие клиенты анонсировались одному из своих аплинков с community no-export (причем отнюдь не на специфик). А потом вдруг выяснялось, что некотрые сети вдруг перестали быть доступны. :)

Кстати, довольно много операторов вырезают из полученных анонсов well known community на входе в свою сеть сразу, на всякий случай :).

 

>А вдруг по каким-либо причинам у Вас упал канал на клиента, будете нарушать с ним связность?

? странный вопрос.

просто перестаете анонсировать его сети, и если вы не единственный апстрим клиента - вы увидите его через оставшиеся живые линки клиента к другм апстримам.

А Ваши бедные одноногие клиенты его не увидят, по указанной выше причине. ;)

[visir]

тщательнЕе нужно подходить к выбору пиринг-партнеров ;)

закрывать продажно-административные проблемы и дырки в бизнес-схемах техническими мерами - этот как гланды через анус автогеном. самому себе ;)

У кого-то все наоборот, нечто вроде "проблемы и дырки технических решений приходится закрывать административно-продажными мерами, срывая первоначальные планы и бизнес-схемы" :P

 

PS: думаете для вас эта проблема не актуальна ? Ошибаетесь... смотрите шире! То, что она вас в меньшей мере затрагивает -- это да, но она есть.

Изменено 26 декабря, 2008 пользователем visir

[pety]

вот пример: я анонсю в ix морспецы, чтоб обойти кое-чьи локалпрефы. мой аплинк, так же участник ix-а видит от меня напрямую /20, а от ix-а 2 по /21. он анонсит далее в мир /20, полученный прямо от меня, но пакеты, направленные на мою сеть, дропает, т.к. они идут от его аплинка в ix, а не прямо мне. причем мне он рекомендует для нормализации ситуации либо заанонсить и ему эти /21, либо снять эти специфики с ix-a. мне кажется, он не прав, и надо бы ему просто зафильтровать мои спецы с ix-a либо пропускать траф ко мне через ix.

Вполне реальная ситуация. Тут каждый по-своему прав, кроме последнего варианта :). Весь вопрос в том, о чем в результате договоритесь, сильно зависит от Ваших отношений с аплинком (для уточнения считаем, что через IX аплинк не предоставляет Вам платные услуги транзита).

 

О приведенных Вами решениях:

1. "для нормализации ситуации либо заанонсить и ему эти /21"

Ясно, что для нормальной работы (в смысле без "воровства" трафика) эти Ваши специфики должны быть видны аплинком в Вашем прямом канале.

Если он их видит от куда-либо еще - тут уже вполне вероятны проблемы.

Если аплинк поддерживает "нужные" BGP community, выставляйте на эти специфики такие, чтобы кроме Вашего аплинка их никто не видел. Никто в данном случае - пиры и аплинки Вашего аплинка. Клиенты аплинка не в счет, они их увидят (конечно если не получают от него только default :)).

 

2. "снять эти специфики с ix-a"

Нет спецификов - нет проблем! :)

Кстати, некотрые роут сервера на зарубежных IX'ах поддерживают community, позволяющие не отдавать конкретному участнику IX анонсы конкретных сетей.

 

3. "надо бы ему просто зафильтровать мои спецы с ix-a"

Это не так просто. Это плохо масштабируемое решение, а вариант 1 выше - шаблонен. К тому же где гарантия, что потом эти специфики не влетят ему от какого-либо приватного пира или аплинка? Значит эти фильтры надо ставить на всех сессиях с пирами/аплинками. Будь я на месте Вашего аплинка, никогда бы по собственному желанию на такое решение не пошел. Кстати, такое решение при некотром стечении обстоятельств может привести к частичной потери связности у Вас, ugluck. Тут нужно ТОЧНО понимать, что, как и куда анонсируешь. И вполне возможен вариант, что сегодня эта схема работает, а завтра нет.

 

4. "либо пропускать траф ко мне через ix"

Ни в каком случае. Вот к примеру такой вариант:

 

У Вас всего два канала наружу - один - Ваш аплинк, второй - IX.

По Вашей схеме весь мир (кроме участников IX) будет видеть Вас через аплинка. Аплинк же будет видеть Вас через IX. Входящий к Вам мировой трафик никогда не пойдет по Вашему прямому платному каналу, а пойдет через IX. Зачем это нужно аплинку? :)

 

Уважающий себя аплинк имеет защиты от подобных ситуаций (иногда, кстати, они возникают отнюдь не по злому умыслу). Если Вы так сделаете, то входящий трафик просто к Вам не дойдет.

 

Ваш аплинк правильно говорит, первый вариант - наиболее безопасен для Вашей связности, если Вы хотите ТАК работать со спецификами, и наиболее оптимален с точки зрения затрат оператора, ему почти ничего не нужно для этого делать. :)

 

[Beast]

У кого-то все наоборот, нечто вроде "проблемы и дырки технических решений приходится закрывать административно-продажными мерами, срывая первоначальные планы и бизнес-схемы" :P

у кого?

и что сорвано - поподробнее пожалуйста.

 

PS: думаете для вас эта проблема не актуальна ? Ошибаетесь... смотрите шире! То, что она вас в меньшей мере затрагивает -- это да, но она есть.

головняков (мелких но много) бывает на аиксе с особохитропопыми клиентами, обычно через rs.

мои братья (ваши аплинк кстати ;) ) некоторое время с этим мучались.

 

но львиная доля засад сидит в особых условиях для гавноконтента.

сильный беспредел начинается, когда по просьбе ГК, стоящего в своем ДЦ и имеющем

весьма условный платеж за доступ в сеть разрешают "веревочку" кинуть из ДЦ в "офис".

они, мол, замучались он-нет свой контент редактировать-перезаливать, хотят прямой линк,

чтобы "оперативненько".

 

и полный беспредел начинается в тот момент, когда обычной домомсети, прикинувшейся

трафикогенератором дают тариф 33 рубля за метр.

от этого не спасет даже инженерный Гений :(

 

где я ошибаюсь - покажите пожалуйста конкретные места.

публично, чтобы всем видно было какие мы лохи обчморенные и чем отличаемся от Лохиных и Лоходусиных ;)

[Cr_net]

Вполне реальная ситуация. Тут каждый по-своему прав, кроме последнего варианта :). Весь вопрос в том, о чем в результате договоритесь, сильно зависит от Ваших отношений с аплинком (для уточнения считаем, что через IX аплинк не предоставляет Вам платные услуги транзита).

pety, тут как бы это.. чуть чуть беременных не бывает, стал на ix значит ты равный среди всех, никто не обязан согласовывать с кем либо куда и что ему анонсить, из всего перечисленного вами приемлем только 1 вариант, да и то не всегда.

 

[pety]

Вполне реальная ситуация. Тут каждый по-своему прав, кроме последнего варианта :). Весь вопрос в том, о чем в результате договоритесь, сильно зависит от Ваших отношений с аплинком (для уточнения считаем, что через IX аплинк не предоставляет Вам платные услуги транзита).

pety, тут как бы это.. чуть чуть беременных не бывает, стал на ix значит ты равный среди всех, никто не обязан согласовывать с кем либо куда и что ему анонсить, из всего перечисленного вами приемлем только 1 вариант, да и то не всегда.

Чуть чуть беременных? Вполне бывает. А насчет обязанности согласования - ну так никто и инетом не обязан заниматься. Есть много других интересных работ. Правда, удивительно, но рано или поздно, там тоже нужно будет что-то когда-то согласовать! :)

 

Кстати, я варианты не перечислял. Я их цитировал.

[Cr_net]

Есть много других интересных работ.

С наступающим. И удачи :)

[Beast]

чуть чуть беременных не бывает, стал на ix значит ты равный среди всех

у-у-у... как все запущено! ;)

 

никто не обязан согласовывать с кем либо куда и что ему анонсить, из всего перечисленного вами приемлем только 1 вариант, да и то не всегда.

никто никому ничего не обязан - относится к обоим стороном.

так недолго и урпф выхватить :(

[AN111]

так недолго и урпф выхватить :(

urpf не поможет, если у хитрож...го клиента есть вторая нога и pbr

[Cr_net]

чуть чуть беременных не бывает, стал на ix значит ты равный среди всех

у-у-у... как все запущено! ;)

Агу.. :)

никто никому ничего не обязан - относится к обоим стороном.

А кто против? Пока когда руки выкручивать не начинают.

так недолго и урпф выхватить :(

Дежавю :(

Изменено 26 декабря, 2008 пользователем Cr_net

[[Eagle]]

вот пример: я анонсю в ix морспецы, чтоб обойти кое-чьи локалпрефы.

Зря Вы это делаете. Экономите 3 рубля буквально, а можете попасть в ситуацию, когда некоторые некорректные настройки любого участника IX приведут к тому, что этот любой участник начнет анонсировать вас своим аплинкам. Таким образом, ваши специфики окажутся в мировой таблице, и благо если трафик при этом не зафильтруется у этого горе участника. В лучшем случае, вы попадете на перегруз его каналов.

Бросайте эту технологию! Благо, как минимум один аплинк вам вполне вкусные условия дает ;)

 

[evd]

urpf не поможет, если у хитрож...го клиента есть вторая нога и pbr

pbr - это всегда статик. Серьезные операторы так не делают. Клиент, стоящий на одой ноге, чтобы приворовывать у другой - случайный персонаж в телекоме. Забивший на свою репутацию ради копеечной халявы. Imho

[Cr_net]

urpf не поможет, если у хитрож...го клиента есть вторая нога и pbr

pbr - это всегда статик. Серьезные операторы так не делают. Клиент, стоящий на одой ноге, чтобы приворовывать у другой - случайный персонаж в телекоме. Забивший на свою репутацию ради копеечной халявы. Imho

Речь не про таких операторов, а про магисралов стоящих на ix и не дающих клиентам возможности балансировать свои каналы кроме как спецификами, при этом с ними предлагается согласовывать свои анонсы? а на просьбу предоставить дополнительную возможность балансировки через комьюнити клиент посылается на хер к менеджеру.

[evd]

Речь не про таких операторов, а про магисралов стоящих на ix и не дающих клиентам возможности балансировать свои каналы кроме как спецификами, при этом с ними предлагается согласовывать свои анонсы? а на просьбу предоставить дополнительную возможность балансировки через комьюнити клиент посылается на хер к менеджеру.

Э-хм... А можно получить пояснения, что есть балансировать каналы в такой ситуации?

 

Про весьма широко практикуемое правило "We do not peer with our customers" и даже "We do not peer with customers of our peers" - в курсе?

[Cr_net]

Э-хм... А можно получить пояснения, что есть балансировать каналы в такой ситуации?

Дано операторы a, b, c, d. a является клиентом b, c, d и предположим сидит на rs ix, где так же сидит b. При этом b имеет большие локалпрефы с группы операторов f и в течении длительного времени не предоставляет комьюнити. a, чтобы разгрузить свой канал в b может 1. добавить препендов (помогает до определённого момента) 2. запустить только часть анонсов или морспецифики во всех, включая rs ix, кроме прямого канала на b. 3. пустить транзитные комьюнити, если b их пропускает, и получить головняки с разребанием связей оператора(ов) f и возможных промежуточных операторов между f и b. 4. пустить морспец и оператору b с no-export, в надежде, что b его не снимет. В итоге, большая часть морспецов появляется имхо, не потому что кто то ворует, а потому что b не предоставил комьюнити. К чести надо сказать, что комьюнити то кое у кого появились.

Про весьма широко практикуемое правило "We do not peer with our customers" и даже "We do not peer with customers of our peers" - в курсе?

Чуть чуть.

[ezhik]

Если апстрим пошел вам на встречу и зафильтровал ваши анонсы от всех своих пиров, то нужно надеятся, что ваши специфики не разойдутся дальше сетей ваших пиров и не придут к вашему апстриму со стороны его апстримов...

Если такое случится - опять ваш трафик пострадает...

И тут уже анонсы не зафильтруешь...

Изменено 27 декабря, 2008 пользователем ezhik