Перейти к содержимому
Калькуляторы

Anycast роутинг на две точки присутствия

Добрый день!

 

Хотим собрать anycast ферму под нужды DNS и возник хитрый вопрос.

 

У нас имеется:

  • Сеть /24 под нужды DNS фермы
  • Две автономные системы на площадках #1 и #2 соответственно (ASN1 и ASN2)
  • Работающий анонс сети из под ASN1 из точки присутствия 1
  • Отсутствие понимания, как ту же самую сеть проанонсировать под ASN2 из точки присутствия 2

 

Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему.

 

Буду крайне благодарен за помощь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN

 

Реально проверяли?

Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ):

 

% Information related to '46.250.96.0/19AS39608'
route:          46.250.96.0/19
descr:          Lanet Network Customers Route
origin:         AS39608
mnt-by:         TEST-NCC-HM-MNT
source:         TEST # Filtered

% Information related to '46.250.96.0/19AS41911'

route:          46.250.96.0/19
descr:          Lanet Network Customers Route
origin:         AS41911
mnt-by:         TEST-NCC-HM-MNT
source:         TEST # Filtered

 

Вроде видел что-то похожее и в обычной RIPE DB.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проанонсируйте во второй точке ASN1 через ASN2.

Менять принадлежность роутов на несколько AS не советую.

Фильтры аплинков все равно построятся только по одной AS.

Изменено пользователем vlad11

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

OKyHb, ого и правда дало создать без проблем :) Попробуем как будет работать на практике, сейчас вторую сессию BGP подцепим.

 

vlad11, так а что нелегального в такой схеме?

 

Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры.

 

Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vlad11, так а что нелегального в такой схеме?

RIPE может задавать неудобные вопросы в свете борьбы с перепродажей блоков IPv4.

Вы должны уведомить обоих LIR'ов и RIPE о подобным.

 

Мы свое время время, когда брали /21 у Когента, уведомляли факсом о договоре аренды. Нам был критичен даунтайм несколько часов из-за возможной бюрократии в RIPE.

 

RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN

 

Реально проверяли?

Сами такое не используем, но на TEST Database вполне даже можно такое сделать (TEST-NCC-HM-MNT / emptypassword ):

 

% Information related to '46.250.96.0/19AS39608'
route:          46.250.96.0/19
descr:          Lanet Network Customers Route
origin:         AS39608
mnt-by:         TEST-NCC-HM-MNT
source:         TEST # Filtered

% Information related to '46.250.96.0/19AS41911'

route:          46.250.96.0/19
descr:          Lanet Network Customers Route
origin:         AS41911
mnt-by:         TEST-NCC-HM-MNT
source:         TEST # Filtered

 

Вроде видел что-то похожее и в обычной RIPE DB.

 

 

консольный whois по базе райпа выдает только одну AS:

% Information related to '46.250.96.0/20AS41911'

route:          46.250.96.0/20
descr:          Lanet Network Customers More Specific Route
origin:         AS41911
mnt-by:         LANE-MNT
source:         RIPE # Filtered

Изменено пользователем vlad11

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем?

 

Так что, честно говоря, не вижу никакого страха. Да, какой-нибудь региональны аплинк (гхм, труднопредставимо) может, конечно, порезать такое, но это решаемо и маловероятно.

 

Update: подняли анонсы и вроде все работает на ура :) Подождем пару суток, как все аплинки обновят фильтры.

 

Если у них нет soft-reconfiguration, то нужно будет передёрнуть префикс

 

К счастью, soft есть, поэтому все быстро зацепилось :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vlad11, бррр, что за борьба с перепродажей сетей в RIPE? Они наоборот это поощряют через разработку регламентов и RIPE Listing's. Да и мы LIR, кому какое дело что и куда мы заворачиваем?

 

Это RIPE фиксит свои недоработки. А конечная цель - перейти на ipv6.

Тут на форуме есть темки про борьбу с магистралами, в том числе про фильтры AS.

Изменено пользователем vlad11

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы уперлись в проблему на этапе созданяи route object в RIPE (все наши аплинки ориентируются на нее). RIPE не дает возможности создать второй route object на тот же самый префикс, но с другим ORIGIN. Вариант использовать во второй точке ASN#2 рассматриваем только как экстренный, так как это сильно усложняет схему.

очевидно вы имели ввиду "использовать во второй точке ASN#1 рассматриваем только как экстренный" ?

 

Если все и так работает, то не трогайте. Если будут проблемы с прохождением префиксов, то создайте AS-SET и включите в него обе AS. Далее скажите обоим аплинкам, чтобы отныне строили фильтры на вашей сессии по AS-SET'у, а не по AS.

Изменено пользователем agr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pavel.odintsov

Можно конечно. Делаете AS-SET, говорите аплинкам, чтобы они фильтровали вас не по AS, а по AS-SET. И чтобы своём AS-SET и своих импортах прописали ваш AS-SET, а не просто AS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

agr, то есть можно вместо явного указания автономной системы в роут-объекте указать "вот этот список" и туда заколотить несколько ASN? Спасибо, интересный вариант!

 

Нет, в route-объекте нельзя задать AS-SET в origin. route-объект у вас будет один с одной любой из ваших AS в origin. Далее создаете объект AS-SET и в него прописываете обе AS в members, далее сообщаете аплинкам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

agr, ах, вот оно как. Спасибо!

 

Update:

 

Проконсультировался в RIPE - они говорят, что не имеют ничего против без каких-либо оговорок.

Также проконсультировался в RETN - они также обещают ничего не фильтровать и в целом были немного удивлены тому, что кто-то может вообще такое фильтровать

 

Также что схема с двумя route object вполне жизнеспособна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

обещают ничего не фильтровать

под "ничего" они должно быть имели ввиду не совсем ничего, а только префиксы объекта, который вы укажете. Fullview или чужие префиксы они вам явно не позволят в себя влить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну я к тому, что меня не отсекут с двумя route object, а пропустят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть они сказали, что при построении фильтра ваших анонсов они при получении префикса из вашего объекта анонсирования(AS или AS-SET) не смотрят есть ли другой такой же route-объект с другим origin? Так такое, конечно, никто у нас в Европе не делает, не только Ретн.

Вы, кстати, можете сами посмотреть какие ваши префиксы попадут в фильтр анонсов, воспользовавшись известной утилитой bgpq(кстати написанной одним из инженеров Ретн).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.