pavel.odintsov Posted March 19, 2014 Posted March 19, 2014 Добрый день! Хотим собрать anycast ферму под нужды DNS и возник хитрый вопрос. У нас имеется: Сеть /24 под нужды DNS фермы Две автономные системы на площадках #1 и #2 соответственно (ASN1 и ASN2) Работающий анонс сети из под ASN1 из точки присутствия 1 Отсутствие понимания, как ту же самую сеть проанонсировать под ASN2 из точки присутствия 2 Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему. Буду крайне благодарен за помощь! Вставить ник Quote
OKyHb Posted March 19, 2014 Posted March 19, 2014 RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN Реально проверяли? Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ): % Information related to '46.250.96.0/19AS39608' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS39608 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered % Information related to '46.250.96.0/19AS41911' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS41911 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered Вроде видел что-то похожее и в обычной RIPE DB. Вставить ник Quote
vlad11 Posted March 19, 2014 Posted March 19, 2014 (edited) Проанонсируйте во второй точке ASN1 через ASN2. Менять принадлежность роутов на несколько AS не советую. Фильтры аплинков все равно построятся только по одной AS. Edited March 19, 2014 by vlad11 Вставить ник Quote
pavel.odintsov Posted March 19, 2014 Author Posted March 19, 2014 OKyHb, ого и правда дало создать без проблем :) Попробуем как будет работать на практике, сейчас вторую сессию BGP подцепим. vlad11, так а что нелегального в такой схеме? Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры. Вставить ник Quote
s.lobanov Posted March 19, 2014 Posted March 19, 2014 Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры. Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс Вставить ник Quote
vlad11 Posted March 19, 2014 Posted March 19, 2014 (edited) vlad11, так а что нелегального в такой схеме? RIPE может задавать неудобные вопросы в свете борьбы с перепродажей блоков IPv4. Вы должны уведомить обоих LIR'ов и RIPE о подобным. Мы свое время время, когда брали /21 у Когента, уведомляли факсом о договоре аренды. Нам был критичен даунтайм несколько часов из-за возможной бюрократии в RIPE. RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN Реально проверяли? Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ): % Information related to '46.250.96.0/19AS39608' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS39608 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered % Information related to '46.250.96.0/19AS41911' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS41911 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered Вроде видел что-то похожее и в обычной RIPE DB. консольный whois по базе райпа выдает только одну AS: % Information related to '46.250.96.0/20AS41911' route: 46.250.96.0/20 descr: Lanet Network Customers More Specific Route origin: AS41911 mnt-by: LANE-MNT source: RIPE # Filtered Edited March 19, 2014 by vlad11 Вставить ник Quote
pavel.odintsov Posted March 19, 2014 Author Posted March 19, 2014 vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем? Так что, честно говоря, не вижу никакого страха. Да, какой-нибудь региональны аплинк (гхм, труднопредставимо) может, конечно, порезать такое, но это решаемо и маловероятно. Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры. Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс К счастью, soft есть, поэтому все быстро зацепилось :) Вставить ник Quote
vlad11 Posted March 19, 2014 Posted March 19, 2014 (edited) vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем? Это RIPE фиксит свои недоработки. А конечная цель - перейти на ipv6. Тут на форуме есть темки про борьбу с магистралами, в том числе про фильтры AS. Edited March 19, 2014 by vlad11 Вставить ник Quote
agr Posted March 19, 2014 Posted March 19, 2014 (edited) Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему. очевидно вы имели ввиду "использовать во второй точке ASN#1 рассматриваем только как экстренный" ? Если все и так работает, то не трогайте. Если будут проблемы с прохождением префиксов, то создайте AS-SET и включите в него обе AS. Далее скажите обоим аплинкам, чтобы отныне строили фильтры на вашей сессии по AS-SET'у, а не по AS. Edited March 19, 2014 by agr Вставить ник Quote
pavel.odintsov Posted March 19, 2014 Author Posted March 19, 2014 agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант! Вставить ник Quote
s.lobanov Posted March 19, 2014 Posted March 19, 2014 pavel.odintsov Можно конечно. Делаете AS-SET, говорите аплинкам, чтобы они фильтровали вас не по AS, а по AS-SET. И чтобы своём AS-SET и своих импортах прописали ваш AS-SET, а не просто AS Вставить ник Quote
agr Posted March 20, 2014 Posted March 20, 2014 agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант! Нет, в route-объекте нельзя задать AS-SET в origin. route-объект у вас будет один с одной любой из ваших AS в origin. Далее создаете объект AS-SET и в него прописываете обе AS в members, далее сообщаете аплинкам. Вставить ник Quote
pavel.odintsov Posted March 21, 2014 Author Posted March 21, 2014 agr, ах, вот оно как. Спасибо! Update: Проконсультировался в RIPE - они говорят, что не имеют ничего против без каких-либо оговорок. Также проконсультировался в RETN - они также обещают ничего не фильтровать и в целом были немного удивлены тому, что кто-то может вообще такое фильтровать Также что схема с двумя route object вполне жизнеспособна. Вставить ник Quote
agr Posted March 21, 2014 Posted March 21, 2014 обещают ничего не фильтровать под "ничего" они должно быть имели ввиду не совсем ничего, а только префиксы объекта, который вы укажете. Fullview или чужие префиксы они вам явно не позволят в себя влить. Вставить ник Quote
pavel.odintsov Posted March 21, 2014 Author Posted March 21, 2014 Ну я к тому, что меня не отсекут с двумя route object, а пропустят :) Вставить ник Quote
agr Posted March 21, 2014 Posted March 21, 2014 То есть они сказали, что при построении фильтра ваших анонсов они при получении префикса из вашего объекта анонсирования(AS или AS-SET) не смотрят есть ли другой такой же route-объект с другим origin? Так такое, конечно, никто у нас в Европе не делает, не только Ретн. Вы, кстати, можете сами посмотреть какие ваши префиксы попадут в фильтр анонсов, воспользовавшись известной утилитой bgpq(кстати написанной одним из инженеров Ретн). Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.