[pavel.odintsov]

Добрый день!

 

Хотим собрать anycast ферму под нужды DNS и возник хитрый вопрос.

 

У нас имеется:

• Сеть /24 под нужды DNS фермы
  
• Две автономные системы на площадках #1 и #2 соответственно (ASN1 и ASN2)
  
• Работающий анонс сети из под ASN1 из точки присутствия 1
  
• Отсутствие понимания, как ту же самую сеть проанонсировать под ASN2 из точки присутствия 2
  

 

Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему.

 

Буду крайне благодарен за помощь!

[OKyHb]

RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN

 

Реально проверяли?

Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ):

 

% Information related to '46.250.96.0/19AS39608'
route:          46.250.96.0/19
descr:          Lanet Network Customers Route
origin:         AS39608
mnt-by:         TEST-NCC-HM-MNT
source:         TEST # Filtered

% Information related to '46.250.96.0/19AS41911'

route:          46.250.96.0/19
descr:          Lanet Network Customers Route
origin:         AS41911
mnt-by:         TEST-NCC-HM-MNT
source:         TEST # Filtered

 

Вроде видел что-то похожее и в обычной RIPE DB.

[vlad11]

Проанонсируйте во второй точке ASN1 через ASN2.

Менять принадлежность роутов на несколько AS не советую.

Фильтры аплинков все равно построятся только по одной AS.

Edited March 19, 2014 by vlad11

[pavel.odintsov]

OKyHb, ого и правда дало создать без проблем :) Попробуем как будет работать на практике, сейчас вторую сессию BGP подцепим.

 

vlad11, так а что нелегального в такой схеме?

 

Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры.

[s.lobanov]

Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры.

 

Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс

[vlad11]

vlad11, так а что нелегального в такой схеме?

RIPE может задавать неудобные вопросы в свете борьбы с перепродажей блоков IPv4.

Вы должны уведомить обоих LIR'ов и RIPE о подобным.

 

Мы свое время время, когда брали /21 у Когента, уведомляли факсом о договоре аренды. Нам был критичен даунтайм несколько часов из-за возможной бюрократии в RIPE.

 

RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN

 

Реально проверяли?

Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ):

 

% Information related to '46.250.96.0/19AS39608'
route:          46.250.96.0/19
descr:          Lanet Network Customers Route
origin:         AS39608
mnt-by:         TEST-NCC-HM-MNT
source:         TEST # Filtered

% Information related to '46.250.96.0/19AS41911'

route:          46.250.96.0/19
descr:          Lanet Network Customers Route
origin:         AS41911
mnt-by:         TEST-NCC-HM-MNT
source:         TEST # Filtered

 

Вроде видел что-то похожее и в обычной RIPE DB.

 

 

консольный whois по базе райпа выдает только одну AS:

% Information related to '46.250.96.0/20AS41911'

route:          46.250.96.0/20
descr:          Lanet Network Customers More Specific Route
origin:         AS41911
mnt-by:         LANE-MNT
source:         RIPE # Filtered

Edited March 19, 2014 by vlad11

[pavel.odintsov]

vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем?

 

Так что, честно говоря, не вижу никакого страха. Да, какой-нибудь региональны аплинк (гхм, труднопредставимо) может, конечно, порезать такое, но это решаемо и маловероятно.

 

Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры.

 

Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс

 

К счастью, soft есть, поэтому все быстро зацепилось :)

[vlad11]

vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем?

 

Это RIPE фиксит свои недоработки. А конечная цель - перейти на ipv6.

Тут на форуме есть темки про борьбу с магистралами, в том числе про фильтры AS.

Edited March 19, 2014 by vlad11

[agr]

Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему.

очевидно вы имели ввиду "использовать во второй точке ASN#1 рассматриваем только как экстренный" ?

 

Если все и так работает, то не трогайте. Если будут проблемы с прохождением префиксов, то создайте AS-SET и включите в него обе AS. Далее скажите обоим аплинкам, чтобы отныне строили фильтры на вашей сессии по AS-SET'у, а не по AS.

Edited March 19, 2014 by agr

[pavel.odintsov]

agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант!

[s.lobanov]

pavel.odintsov

Можно конечно. Делаете AS-SET, говорите аплинкам, чтобы они фильтровали вас не по AS, а по AS-SET. И чтобы своём AS-SET и своих импортах прописали ваш AS-SET, а не просто AS

[agr]

agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант!

 

Нет, в route-объекте нельзя задать AS-SET в origin. route-объект у вас будет один с одной любой из ваших AS в origin. Далее создаете объект AS-SET и в него прописываете обе AS в members, далее сообщаете аплинкам.

[pavel.odintsov]

agr, ах, вот оно как. Спасибо!

 

Update:

 

Проконсультировался в RIPE - они говорят, что не имеют ничего против без каких-либо оговорок.

Также проконсультировался в RETN - они также обещают ничего не фильтровать и в целом были немного удивлены тому, что кто-то может вообще такое фильтровать

 

Также что схема с двумя route object вполне жизнеспособна.

[agr]

обещают ничего не фильтровать

под "ничего" они должно быть имели ввиду не совсем ничего, а только префиксы объекта, который вы укажете. Fullview или чужие префиксы они вам явно не позволят в себя влить.

[pavel.odintsov]

Ну я к тому, что меня не отсекут с двумя route object, а пропустят :)

[agr]

То есть они сказали, что при построении фильтра ваших анонсов они при получении префикса из вашего объекта анонсирования(AS или AS-SET) не смотрят есть ли другой такой же route-объект с другим origin? Так такое, конечно, никто у нас в Европе не делает, не только Ретн.

Вы, кстати, можете сами посмотреть какие ваши префиксы попадут в фильтр анонсов, воспользовавшись известной утилитой bgpq(кстати написанной одним из инженеров Ретн).