Robot_NagNews Опубликовано 26 апреля, 2018 · Жалоба Материал: Идея написать статью о необходимости ревизии принимаемых от аплинков BGP full-view (FV) анонсов возникла еще в конце прошлого года, после обнаруженного большого количества hidden (rejeceted by import policy) маршрутов принятых после включения очередного аплинка в Казахстане. Более детальный анализ показал "богатость" as-path отфильтрованных по prefix lendth маршрутов, т. е. специфичных по длине маски чем /24. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tec1 Опубликовано 26 апреля, 2018 · Жалоба Несколько аспектов не отраженных в статье из-за дефицита времени при ее написании. 1. Нежелательно агрегировать инфраструктурно-значимые префиксы, тем самым создавая предпосылки для BGP hijack с помощью more specific. 2. У многих существует строгое убеждение, что корневая причина зла - отсутствие какой-либо фильтрации клиентских анонсов на аплинках. Истины в подобных утверждениях немного. В основном проблема с корректной фильтрацией составная, и носит системный характер. Как уже отмечалось в статье, прежде всего, это программно-аппаратные вендорские ограничения, не позволяющие реализовать на оборудовании полноценные фильтры для довольно больших клиентских as-sets. Второй, не менее значимой составляющей проблемы, является отсутствие в правовом поле единой базы, консолидирующей все записи региональных IRR, что важно для Операторов присутствующих на рынках разных регионов. Последнему, в качестве возражения, может быть сопоставлен http://radb.net/. Но здесь, как показывает практика, есть тоже довольно серьезные проблемы с безопасностью. Еще в прошлом году обратил внимание, что кто угодно, за небольшие деньги может создать аккаунт мантейнера с дальнейшими правами создания objects. На практике это подтвердилось пару месяцев назад, когда один из наших клиентов, пользующейся сервисом Colocation, именно таким способом смог успешно проанонсировать от себя специфики префиксов China Telecom, которые успешно "ушли в мир", в т.ч. и через наших аплинков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...