pavel.odintsov Posted March 19, 2014 · Report post Добрый день! Хотим собрать anycast ферму под нужды DNS и возник хитрый вопрос. У нас имеется: Сеть /24 под нужды DNS фермы Две автономные системы на площадках #1 и #2 соответственно (ASN1 и ASN2) Работающий анонс сети из под ASN1 из точки присутствия 1 Отсутствие понимания, как ту же самую сеть проанонсировать под ASN2 из точки присутствия 2 Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему. Буду крайне благодарен за помощь! Share this post Link to post Share on other sites
OKyHb Posted March 19, 2014 · Report post RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN Реально проверяли? Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ): % Information related to '46.250.96.0/19AS39608' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS39608 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered % Information related to '46.250.96.0/19AS41911' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS41911 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered Вроде видел что-то похожее и в обычной RIPE DB. Share this post Link to post Share on other sites
vlad11 Posted March 19, 2014 (edited) · Report post Проанонсируйте во второй точке ASN1 через ASN2. Менять принадлежность роутов на несколько AS не советую. Фильтры аплинков все равно построятся только по одной AS. Edited March 19, 2014 by vlad11 Share this post Link to post Share on other sites
pavel.odintsov Posted March 19, 2014 · Report post OKyHb, ого и правда дало создать без проблем :) Попробуем как будет работать на практике, сейчас вторую сессию BGP подцепим. vlad11, так а что нелегального в такой схеме? Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры. Share this post Link to post Share on other sites
s.lobanov Posted March 19, 2014 · Report post Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры. Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс Share this post Link to post Share on other sites
vlad11 Posted March 19, 2014 (edited) · Report post vlad11, так а что нелегального в такой схеме? RIPE может задавать неудобные вопросы в свете борьбы с перепродажей блоков IPv4. Вы должны уведомить обоих LIR'ов и RIPE о подобным. Мы свое время время, когда брали /21 у Когента, уведомляли факсом о договоре аренды. Нам был критичен даунтайм несколько часов из-за возможной бюрократии в RIPE. RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN Реально проверяли? Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ): % Information related to '46.250.96.0/19AS39608' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS39608 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered % Information related to '46.250.96.0/19AS41911' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS41911 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered Вроде видел что-то похожее и в обычной RIPE DB. консольный whois по базе райпа выдает только одну AS: % Information related to '46.250.96.0/20AS41911' route: 46.250.96.0/20 descr: Lanet Network Customers More Specific Route origin: AS41911 mnt-by: LANE-MNT source: RIPE # Filtered Edited March 19, 2014 by vlad11 Share this post Link to post Share on other sites
pavel.odintsov Posted March 19, 2014 · Report post vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем? Так что, честно говоря, не вижу никакого страха. Да, какой-нибудь региональны аплинк (гхм, труднопредставимо) может, конечно, порезать такое, но это решаемо и маловероятно. Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры. Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс К счастью, soft есть, поэтому все быстро зацепилось :) Share this post Link to post Share on other sites
vlad11 Posted March 19, 2014 (edited) · Report post vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем? Это RIPE фиксит свои недоработки. А конечная цель - перейти на ipv6. Тут на форуме есть темки про борьбу с магистралами, в том числе про фильтры AS. Edited March 19, 2014 by vlad11 Share this post Link to post Share on other sites
agr Posted March 19, 2014 (edited) · Report post Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему. очевидно вы имели ввиду "использовать во второй точке ASN#1 рассматриваем только как экстренный" ? Если все и так работает, то не трогайте. Если будут проблемы с прохождением префиксов, то создайте AS-SET и включите в него обе AS. Далее скажите обоим аплинкам, чтобы отныне строили фильтры на вашей сессии по AS-SET'у, а не по AS. Edited March 19, 2014 by agr Share this post Link to post Share on other sites
pavel.odintsov Posted March 19, 2014 · Report post agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант! Share this post Link to post Share on other sites
s.lobanov Posted March 19, 2014 · Report post pavel.odintsov Можно конечно. Делаете AS-SET, говорите аплинкам, чтобы они фильтровали вас не по AS, а по AS-SET. И чтобы своём AS-SET и своих импортах прописали ваш AS-SET, а не просто AS Share this post Link to post Share on other sites
agr Posted March 20, 2014 · Report post agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант! Нет, в route-объекте нельзя задать AS-SET в origin. route-объект у вас будет один с одной любой из ваших AS в origin. Далее создаете объект AS-SET и в него прописываете обе AS в members, далее сообщаете аплинкам. Share this post Link to post Share on other sites
pavel.odintsov Posted March 21, 2014 · Report post agr, ах, вот оно как. Спасибо! Update: Проконсультировался в RIPE - они говорят, что не имеют ничего против без каких-либо оговорок. Также проконсультировался в RETN - они также обещают ничего не фильтровать и в целом были немного удивлены тому, что кто-то может вообще такое фильтровать Также что схема с двумя route object вполне жизнеспособна. Share this post Link to post Share on other sites
agr Posted March 21, 2014 · Report post обещают ничего не фильтровать под "ничего" они должно быть имели ввиду не совсем ничего, а только префиксы объекта, который вы укажете. Fullview или чужие префиксы они вам явно не позволят в себя влить. Share this post Link to post Share on other sites
pavel.odintsov Posted March 21, 2014 · Report post Ну я к тому, что меня не отсекут с двумя route object, а пропустят :) Share this post Link to post Share on other sites
agr Posted March 21, 2014 · Report post То есть они сказали, что при построении фильтра ваших анонсов они при получении префикса из вашего объекта анонсирования(AS или AS-SET) не смотрят есть ли другой такой же route-объект с другим origin? Так такое, конечно, никто у нас в Европе не делает, не только Ретн. Вы, кстати, можете сами посмотреть какие ваши префиксы попадут в фильтр анонсов, воспользовавшись известной утилитой bgpq(кстати написанной одним из инженеров Ретн). Share this post Link to post Share on other sites
