pavel.odintsov Опубликовано 19 марта, 2014 · Жалоба Добрый день! Хотим собрать anycast ферму под нужды DNS и возник хитрый вопрос. У нас имеется: Сеть /24 под нужды DNS фермы Две автономные системы на площадках #1 и #2 соответственно (ASN1 и ASN2) Работающий анонс сети из под ASN1 из точки присутствия 1 Отсутствие понимания, как ту же самую сеть проанонсировать под ASN2 из точки присутствия 2 Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему. Буду крайне благодарен за помощь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OKyHb Опубликовано 19 марта, 2014 · Жалоба RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN Реально проверяли? Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ): % Information related to '46.250.96.0/19AS39608' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS39608 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered % Information related to '46.250.96.0/19AS41911' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS41911 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered Вроде видел что-то похожее и в обычной RIPE DB. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 19 марта, 2014 (изменено) · Жалоба Проанонсируйте во второй точке ASN1 через ASN2. Менять принадлежность роутов на несколько AS не советую. Фильтры аплинков все равно построятся только по одной AS. Изменено 19 марта, 2014 пользователем vlad11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 19 марта, 2014 · Жалоба OKyHb, ого и правда дало создать без проблем :) Попробуем как будет работать на практике, сейчас вторую сессию BGP подцепим. vlad11, так а что нелегального в такой схеме? Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 19 марта, 2014 · Жалоба Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры. Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 19 марта, 2014 (изменено) · Жалоба vlad11, так а что нелегального в такой схеме? RIPE может задавать неудобные вопросы в свете борьбы с перепродажей блоков IPv4. Вы должны уведомить обоих LIR'ов и RIPE о подобным. Мы свое время время, когда брали /21 у Когента, уведомляли факсом о договоре аренды. Нам был критичен даунтайм несколько часов из-за возможной бюрократии в RIPE. RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN Реально проверяли? Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ): % Information related to '46.250.96.0/19AS39608' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS39608 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered % Information related to '46.250.96.0/19AS41911' route: 46.250.96.0/19 descr: Lanet Network Customers Route origin: AS41911 mnt-by: TEST-NCC-HM-MNT source: TEST # Filtered Вроде видел что-то похожее и в обычной RIPE DB. консольный whois по базе райпа выдает только одну AS: % Information related to '46.250.96.0/20AS41911' route: 46.250.96.0/20 descr: Lanet Network Customers More Specific Route origin: AS41911 mnt-by: LANE-MNT source: RIPE # Filtered Изменено 19 марта, 2014 пользователем vlad11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 19 марта, 2014 · Жалоба vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем? Так что, честно говоря, не вижу никакого страха. Да, какой-нибудь региональны аплинк (гхм, труднопредставимо) может, конечно, порезать такое, но это решаемо и маловероятно. Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры. Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс К счастью, soft есть, поэтому все быстро зацепилось :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 19 марта, 2014 (изменено) · Жалоба vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем? Это RIPE фиксит свои недоработки. А конечная цель - перейти на ipv6. Тут на форуме есть темки про борьбу с магистралами, в том числе про фильтры AS. Изменено 19 марта, 2014 пользователем vlad11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 19 марта, 2014 (изменено) · Жалоба Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему. очевидно вы имели ввиду "использовать во второй точке ASN#1 рассматриваем только как экстренный" ? Если все и так работает, то не трогайте. Если будут проблемы с прохождением префиксов, то создайте AS-SET и включите в него обе AS. Далее скажите обоим аплинкам, чтобы отныне строили фильтры на вашей сессии по AS-SET'у, а не по AS. Изменено 19 марта, 2014 пользователем agr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 19 марта, 2014 · Жалоба agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 19 марта, 2014 · Жалоба pavel.odintsov Можно конечно. Делаете AS-SET, говорите аплинкам, чтобы они фильтровали вас не по AS, а по AS-SET. И чтобы своём AS-SET и своих импортах прописали ваш AS-SET, а не просто AS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 20 марта, 2014 · Жалоба agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант! Нет, в route-объекте нельзя задать AS-SET в origin. route-объект у вас будет один с одной любой из ваших AS в origin. Далее создаете объект AS-SET и в него прописываете обе AS в members, далее сообщаете аплинкам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 21 марта, 2014 · Жалоба agr, ах, вот оно как. Спасибо! Update: Проконсультировался в RIPE - они говорят, что не имеют ничего против без каких-либо оговорок. Также проконсультировался в RETN - они также обещают ничего не фильтровать и в целом были немного удивлены тому, что кто-то может вообще такое фильтровать Также что схема с двумя route object вполне жизнеспособна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 21 марта, 2014 · Жалоба обещают ничего не фильтровать под "ничего" они должно быть имели ввиду не совсем ничего, а только префиксы объекта, который вы укажете. Fullview или чужие префиксы они вам явно не позволят в себя влить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 21 марта, 2014 · Жалоба Ну я к тому, что меня не отсекут с двумя route object, а пропустят :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 21 марта, 2014 · Жалоба То есть они сказали, что при построении фильтра ваших анонсов они при получении префикса из вашего объекта анонсирования(AS или AS-SET) не смотрят есть ли другой такой же route-объект с другим origin? Так такое, конечно, никто у нас в Европе не делает, не только Ретн. Вы, кстати, можете сами посмотреть какие ваши префиксы попадут в фильтр анонсов, воспользовавшись известной утилитой bgpq(кстати написанной одним из инженеров Ретн). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...