Какая-то мистика с vesti.ru

[agabekov]

С Казахтелекома не открывается. Смотрю LG аплинков(РТ, я так понял, LG так и не обзавёлся - хотя не суть).

LG Синтерры:

traceroute to 80.247.32.254 (80.247.32.254), 30 hops max, 40 byte packets

1 83.229.228.55 (83.229.228.55) 0.586 ms host-14-228-229-83.main.synterra.ru (83.229.228.14) 0.572 ms 0.554 ms

2 ae0-304.RT.V10.MSK.RU.retn.net (87.245.253.169) 0.834 ms 0.863 ms 0.843 ms

3 ae0-5.RT.M9.MSK.RU.retn.net (87.245.233.30) 1.050 ms 1.064 ms 1.027 ms

* * *

LG Голды:

1 cat01.Stockholm.gldn.net (194.186.157.66) 44 msec

cat01.Stockholm.gldn.net (194.186.158.93) 64 msec

cat01.Stockholm.gldn.net (194.186.157.66) 116 msec

2 port-channel2.445.ar1.ARN3.gblx.net (64.208.170.101) 20 msec

64.214.150.73 20 msec

port-channel2.445.ar1.ARN3.gblx.net (64.208.170.101) 16 msec

* * *

При этом с ТТК всё открывается, и показывает примерно так:

4 transtelecom-ic-125960-adm-b1.c.telia.net (213.248.78.74) 48.327 ms 48.267 ms 48.864 ms

5 adm-b1-link.telia.net (213.248.78.73) 48.088 ms 48.097 ms 48.143 ms

6 adm-bb1-link.telia.net (80.91.253.175) 46.054 ms 45.994 ms 46.116 ms

7 hbg-bb1-link.telia.net (80.91.248.27) 52.204 ms 52.268 ms 52.216 ms

8 s-bb1-link.telia.net (80.91.249.9) 68.525 ms

s-bb1-link.telia.net (213.248.64.29) 67.250 ms

s-bb1-link.telia.net (80.91.249.9) 68.618 ms

9 mov-b2-link.telia.net (80.91.249.211) 46.011 ms 43.563 ms 46.172 ms

10 vgtrk-ic-123395-mow-b2.c.telia.net (213.248.75.134) 103.912 ms 101.599 ms 103.781 ms

11 80.247.32.114 (80.247.32.114) 101.424 ms 103.971 ms 103.769 ms

12 front-farm.rfn.ru (80.247.32.254) 110.441 ms 110.178 ms 110.062 ms

 

Пиринговые войны опять?

Edited October 22, 2009 by agabekov

[dsk]

Там трассировки только icmp работают, udp зафильтровано.

[agabekov]

Делаю traceroute с казахтелекомовского хоста - оно, я так понимаю, по icmp идёт. Идёт через Синтерру и затыкается там же.

5 akto-core-l2-1-2.online.kz (92.47.145.30) 23.849 ms 23.604 ms 23.832 ms

MPLS Label=16044 CoS=5 TTL=255 S=0

6 akto-gate-1.online.kz (92.47.151.174) 23.478 ms 23.505 ms 23.631 ms

7 MSK-D2-HQ-xe2-3-0.main.synterra.ru (83.229.241.233) 50.022 ms 50.295 ms 93.300 ms

8 ae0-304.RT.V10.MSK.RU.retn.net (87.245.253.169) 50.845 ms 50.408 ms 51.269 ms

9 ae0-5.RT.M9.MSK.RU.retn.net (87.245.233.30) 50.576 ms 50.583 ms 50.717 ms

 

[evd]

Делаю traceroute с казахтелекомовского хоста - оно, я так понимаю, по icmp идёт. Идёт через Синтерру и затыкается там же.

5 akto-core-l2-1-2.online.kz (92.47.145.30) 23.849 ms 23.604 ms 23.832 ms

MPLS Label=16044 CoS=5 TTL=255 S=0

6 akto-gate-1.online.kz (92.47.151.174) 23.478 ms 23.505 ms 23.631 ms

7 MSK-D2-HQ-xe2-3-0.main.synterra.ru (83.229.241.233) 50.022 ms 50.295 ms 93.300 ms

8 ae0-304.RT.V10.MSK.RU.retn.net (87.245.253.169) 50.845 ms 50.408 ms 51.269 ms

9 ae0-5.RT.M9.MSK.RU.retn.net (87.245.233.30) 50.576 ms 50.583 ms 50.717 ms

Во-первых, зависит от того, что за система стоит хосте. Винда, кажется, использует icmp. Практически все клоны unix - udp, если не взять на себя труд почитать 'man traceroute' в поисках нужного ключика ;)

 

Ну и во-вторых: ждёте помощи от других - не кромсайте первые хопы трейса. Отнюдь не очевидный факт, что обратно к Вам (на ваш скрываемый ip) пакеты возвращаются тем же маршрутом, что и от Вас

[separaf]

на nix udp - факт

[agabekov]

Ок, сделаем tcptraceroute на 80 порт. Получаем то же самое, только в профиль:

tcptraceroute 80.247.32.254

Tracing the path to 80.247.32.254 on TCP port 80 (http), 30 hops max

1 212.154.175.177 0.335 ms 0.211 ms 0.230 ms

2 asta-core-l2-1-2.online.kz (92.47.150.197) 24.261 ms 23.788 ms 23.719 ms

3 asta-core-l1-1.online.kz (92.47.145.41) 24.080 ms 23.879 ms 23.848 ms

4 akto-core-l1-1.online.kz (92.47.145.6) 23.823 ms 25.217 ms 24.005 ms

5 akto-core-l2-1-2.online.kz (92.47.145.30) 24.273 ms 23.895 ms 23.673 ms

6 akto-gate-1.online.kz (92.47.151.174) 23.426 ms 23.474 ms 23.431 ms

7 MSK-D2-HQ-xe2-3-0.main.synterra.ru (83.229.241.233) 50.054 ms 50.040 ms 50.152 ms

8 ae0-304.RT.V10.MSK.RU.retn.net (87.245.253.169) 50.350 ms 50.273 ms 50.356 ms

9 ae0-5.RT.M9.MSK.RU.retn.net (87.245.233.30) 50.528 ms 50.609 ms 50.511 ms

дальше глухо.

Про асимметричность трафика в принципе понятно, только вот я так понял, что оно пропадает в исходняке, а до входящего трафика дело и не доходит. Так или иначе, у AS25292 своего lg нету. Часто пишут, что RETN любит играться с URPF-Check - может здесь оно повлияло?

Edited October 23, 2009 by agabekov

[pety]

Ваш src ip из 212.154.160.0/20 ? Если да, то проанонсируйте специфик 212.154.160.0/20 через Ростелеком на MSK-IX - скорее всего заработает.

[evd]

Ок, сделаем tcptraceroute на 80 порт. Получаем то же самое, только в профиль:

tcptraceroute 80.247.32.254

Tracing the path to 80.247.32.254 on TCP port 80 (http), 30 hops max

1 212.154.175.177 0.335 ms 0.211 ms 0.230 ms

2 asta-core-l2-1-2.online.kz (92.47.150.197) 24.261 ms 23.788 ms 23.719 ms

3 asta-core-l1-1.online.kz (92.47.145.41) 24.080 ms 23.879 ms 23.848 ms

4 akto-core-l1-1.online.kz (92.47.145.6) 23.823 ms 25.217 ms 24.005 ms

5 akto-core-l2-1-2.online.kz (92.47.145.30) 24.273 ms 23.895 ms 23.673 ms

6 akto-gate-1.online.kz (92.47.151.174) 23.426 ms 23.474 ms 23.431 ms

7 MSK-D2-HQ-xe2-3-0.main.synterra.ru (83.229.241.233) 50.054 ms 50.040 ms 50.152 ms

8 ae0-304.RT.V10.MSK.RU.retn.net (87.245.253.169) 50.350 ms 50.273 ms 50.356 ms

9 ae0-5.RT.M9.MSK.RU.retn.net (87.245.233.30) 50.528 ms 50.609 ms 50.511 ms

дальше глухо.

Про асимметричность трафика в принципе понятно, только вот я так понял, что оно пропадает в исходняке, а до входящего трафика дело и не доходит. Так или иначе, у AS25292 своего lg нету. Часто пишут, что RETN любит играться с URPF-Check - может здесь оно повлияло?

Вы хопы '*.retn.net' в своём трейсе наблюдаете? Что такое uRPF и как оно работает - в курсе? Ваш трейс затыкается за пределами ReTN. Логику включите pls

 

А тепеь смотрите сюда - как ваш маршрут 212.154.160.0/20 виден в ReTN. Смысл выставленных Синтеррой communities можно посмотреть здесь. Обратите внимание на наличие 8631:65535

 

Результат данного routing policy можно наблюдать на MSK-IX LG. IX-овый RS выбирает единственный best path - через Ростелеком. Потому что альтернативных маршрутов не получает

 

ВГТРК с ReTN'ом прямых пиров не имеет. С Синтеррой, судя по всему, тоже. То есть, скорее всего, кушает то, что скармливает ему MSK-IX RS - маршрут через Ростелеком, хоть и с 14 (!) препендами. Вот туда, вероятно, ВГТРК и сливает свой трафик с destination 212.154.160.0/20

[agabekov]

А с РТ почему оно не приходит? РТ такой же аплинк Казахтелекома.

Префикс, кстати не только этот - 92.46.64.0/18 - ведёт аналогичным образом.

Edited October 23, 2009 by agabekov

[evd]

А с РТ почему оно не приходит? РТ такой же аплинк Казахтелекома.

Префикс, кстати не только этот - 92.46.64.0/18 - ведёт аналогичным образом.

Почему бы Вам не задать этот вопрос своему аплинку? Трейсы-то Вы выложили не через РТ. Хотя выбор best path в сторону ВГТРК вроде как в ваших руках

[agabekov]

Дык, выбора-то и нету - у нас там просто пара серверов хостится. Придётся пинать казахтелеком.

[pety]

Дык Вы в начале сами префикс не указали. :) Пусть выгрузят в MSK-IX этот специфик 92.46.64.0/18 (а также и его специфики, их там полно) - , а то там вроде как только агрегат виден - 92.46.0.0/15. Вот тогда - заработает ;).

 

[agabekov]

C префиксов 89.218.0.0/16, 95.56.0.0/14 vesti.ru отвечают, хотя ситуация с ними такая же - доступность с MSK-IX только через РТ с кучей препендов. И никаких спецификов - только агрегаты.

[evd]

C префиксов 89.218.0.0/16, 95.56.0.0/14 vesti.ru отвечают, хотя ситуация с ними такая же - доступность с MSK-IX только через РТ с кучей препендов. И никаких спецификов - только агрегаты.

Утверждение некорректно, так как на разные ip-адреса из этих префиксов трафик ходит сильно разными маршрутами. 89.218.0.0/16, 95.56.0.0/14 порезаны на множество морспецификов, отдающихся в мир кто через ГТ, кто через Синтерру, кто через РТ, а кто через MCI. Зоопарк

[visir]

agabekov, вам правильно подсказывают. Подумайте о нищебродах с MSK-IX (да и не только MSK, на других IX-ах их тоже предостаточно), у которых нет full-view. Они же трафик шлют на ваши агрегаты в РТ, так как других маршрутов на вас у них нету. А у РТ они есть, и если они смотрят в сторону пира/аплинка - то с какой статии РТ должен транзитить трафик с MSK-IX туда ?

 

Если уж ситуация заставляет вас распределять трафик префиксами, то делайте это не пересекающимися префиксами, а не спецификами.

[evd]

agabekov, вам правильно подсказывают. Подумайте о нищебродах с MSK-IX (да и не только MSK, на других IX-ах их тоже предостаточно), у которых нет full-view. Они же трафик шлют на ваши агрегаты в РТ, так как других маршрутов на вас у них нету. А у РТ они есть, и если они смотрят в сторону пира/аплинка - то с какой статии РТ должен транзитить трафик с MSK-IX туда ?

 

Если уж ситуация заставляет вас распределять трафик префиксами, то делайте это не пересекающимися префиксами, а не спецификами.

Вообще-то ВГТРК светится в мир через RTComm. И, соответственно, должен бы получать от своего апстрима full view. То, что они предпочитают слать трафик через ix - дело обычное. Но по морспецификам, отсутствующим на ix-е, трафик должен бы уходить через ВГТРКшный аплинк

 

Imho если уж к кому применять термин "нищеброд", то в другую сторону - к тем, кто эти морспецифики плодят (разоряя на апгрейд железок весь остальной мир). 89.218.0.0/16 имеет 55 морспецификов, 95.56.0.0/14 - 88. Origin у всех один

 

 

[visir]

Вообще-то ВГТРК светится в мир через RTComm. И, соответственно, должен бы получать от своего апстрима full view. То, что они предпочитают слать трафик через ix - дело обычное. Но по морспецификам, отсутствующим на ix-е, трафик должен бы уходить через ВГТРКшный аплинк

А если их роутер не тянет full-view и в сторону аплинка у них смотрит только дефолт ? ;)

Или по той же причине они режут, скажем, префиксы с маской /24 ?

(не знаю конкретно про ВГТРК, но в целом на IX-ах таких много)

 

Imho если уж к кому применять термин "нищеброд", то в другую сторону - к тем, кто эти морспецифики плодят (разоряя на апгрейд железок весь остальной мир). 89.218.0.0/16 имеет 55 морспецификов, 95.56.0.0/14 - 88. Origin у всех один

+1

Хотя нет. Пожалуй, в отличии от роутеров без full-view, специфики вызваны не нищетой, а неадекватностью. Чей именно - менеджеров, технарей или даже аплинка - это в каждом случае индивидуально.

А еще я не верю, что казактелеком умышленно блокирует livejournal.com ;)

Edited October 24, 2009 by visir

[evd]

+1

Хотя нет. Пожалуй, в отличии от роутеров без full-view, специфики вызваны не нищетой, а неадекватностью. Чей именно - менеджеров, технарей или даже аплинка - это в каждом случае индивидуально.

А еще я не верю, что казактелеком умышленно блокирует livejournal.com ;)

А какая разница, кто именно неадекватен - технари или рангом повыше? О конторе в целом судят по внешим проявлениям. В данном случае видимая сторона медали - проблема со связностью. И, похоже, не одиночная. В которой наплодившая морспецификов (и, соотвественно, преднамеренной асимметрии) сторона разбираться не хочет или не может. А несчастные пользователи пытаются самостоятельно найти причину своих проблем с помощью доступного инструмента traceroute, свято веря в непогрешимость его показаний Edited October 24, 2009 by evd

[agabekov]

Нашёл схожую тему - http://groups.google.com/group/fido7.ru.ci...1f13c5b50ea82f#.

 

[dsk]

Глупо писать про вред спецификов, когда в связности давно правит не техническая рациональность а тотальная коммерция. Иногда нет других способов красиво отбалансить трафик, или сделать так, чтобы часть трафика приходила через более дешевого аплинка. Магистралы делают все возможное чтоб вам налить побольше и спровоцировать расширение закупаемой полосы, о вашей выгоде при этом никто не думает.

[evd]

Глупо писать про вред спецификов, когда в связности давно правит не техническая рациональность а тотальная коммерция. Иногда нет других способов красиво отбалансить трафик, или сделать так, чтобы часть трафика приходила через более дешевого аплинка. Магистралы делают все возможное чтоб вам налить побольше и спровоцировать расширение закупаемой полосы, о вашей выгоде при этом никто не думает.

Dsk, Вы весь тред прочитали? (Он ведь совсем коротенький). Или только последние пару постов?

 

Один неадекватный оператор (© visir) нарезал морспецификов и раздал их поштучно разным своим аплинкам. Типа красиво, да? Другой "нищеброд" (© visir) не в состоянии держать full view на своих железках. В том числе btw, из-за обилия в bgp-таблице морспецификов, расплодившихся как тараканы в мусоропроводе. В результате, третий оператор вынужден трафик, прилетевший к нему от public-пира, отправлять не к своему клиенту (i.e. получить с него дополнительную денюжку), а на свой аплинк (i.e. дополнительно раскошелиться). С какой стати ему это делать? Он что, своему пиру за так обязан транзит в мир предоставлять? Чтобы оператор с психологией ларёчника (© Sonne), нарушая все мыслимые правила хорошего тона, вместо заслуженной плюхи получал незаслуженные плюшки?

 

И btw, чтобы налить Вам больше трафика, магистралы вынуждены а) перманентно апгрейдить пресловутую магистраль; б) платить своим апстримам, в том числе, за ваш трафик; в) держать на своей магистрали full view со всеми ее морспецификами; г) а вот нарезать на морспецифики префиксы своих клиентов ради "балансинга" своих аплинков они права не имеют. Более того, обязаны следовать выставляемым клиентами communities, создающим дополнительный перекос на аплинках. Вот ведь мироеды кровожадные, да? Халявщики, мешающие вашему белому и пушистому бизнесу торговли гнилыми помидорами?

Edited October 25, 2009 by evd

[1GE]

Бурная и продолжительная авация evd !

:)

[visir]

Глупо писать про вред спецификов, когда в связности давно правит не техническая рациональность а тотальная коммерция. Иногда нет других способов красиво отбалансить трафик, или сделать так, чтобы часть трафика приходила через более дешевого аплинка.

А техническая часть в том, что вместо агрегатов и их спецификов можно использовать не пересекающиеся сети.

То есть вместо скажем x.y.0.0/16 + x.y.128.0/17 анонсировать x.x.0.0/17 + x.y.128.0/17. Коммерческая часть при этом не меняется.

Плюс при этом не возникает иллюзий, что вы смешиваете дорогой и дешевый трафик - на самом деле юзерам из разных блоков вы продаете разный трафик. С совершенно разной ценой и разной связностью. Но по одинаковым тарифам :)

 

PS: а для "красиво отбалансить" нужно еще и трафик в обратную сторону аналогично анонсам распределять :D

 

неадекватный оператор (© visir)

не говорил я такого Edited October 25, 2009 by visir

[evd]

PS: а для "красиво отбалансить" нужно еще и трафик в обратную сторону аналогично анонсам распределять :D

Увы, "балансят" неадекватные исключительно входняк. Асимметрия и неизбежные траблы, ею вызванные, как бы уже не их забота. "Проблемы на том конце" © из известного анекдота

 

неадекватный оператор (© visir)

не говорил я такого

Хотя нет. Пожалуй, в отличии от роутеров без full-view, специфики вызваны не нищетой, а неадекватностью

;) Edited October 25, 2009 by evd

[1GE]

Глупо писать про вред спецификов, когда в связности давно правит не техническая рациональность а тотальная коммерция. Иногда нет других способов красиво отбалансить трафик, или сделать так, чтобы часть трафика приходила через более дешевого аплинка.

А техническая часть в том, что вместо агрегатов и их спецификов можно использовать не пересекающиеся сети.

То есть вместо скажем x.y.0.0/16 + x.y.128.0/17 анонсировать x.x.0.0/17 + x.y.128.0/17. Коммерческая часть при этом не меняется.

Только при этом теряется backup.