Re: балансировка BGP

From

Petr Novopashenniy (2:5020/400)

To

Eugene Grosbein

Date

2009-10-08T16:38:34Z

Area

RU.CISCO

From: Petr Novopashenniy <pety@rusnet.ru>


On Wed, 7 Oct 2009, Eugene Grosbein wrote:

EG> 07 окт 2009, среда, в 16:11 KRAT, Petr Novopashenniy написал(а):
EG> 
EG>  EG>>> Анонс это недвусмысленная заявка на пропуск трафика, разве не так?
EG>  PN>> А про заявку на пропуск даже пытаться отвечать не буду. ;)
EG>  EG>> Почему "не буду"? Непонятно.
EG>  PN> В контексте данной проблемы я просто не знаю ответа на этот вопрос, а его
EG>  PN> обсуждение скорее всего приведет в тупик, или в кольцо. ;)
EG> 
EG> Нет, стоп. Прежде чем вести дискуссию, надо определиться в терминах.

Мы вроде как в целом друг друга понимаем.

EG> Анонс транзитного префикса по BGP является заявкой на маршрутизацию
EG> трафика до этого префикса, иное допустимо только по явной просьбе
EG> "системы-владельца" этого префикса (можно попросить рулить в Null0
EG> в случае атак, но это другая тема). И поэтому дропы типа обсуждаемых
EG> являются диверсией.

Включение PBR "для всех" тоже является диверсией. Бесплатный транзит - 
в каком-то смысле тоже, мы это уже обсуждали.

Что Вы все-таки предлагаете делать на деле? И как?

Если все-таки просто помечтать о близости к идеалу, мне это в первом 
приближении видится примерно так:

Открываем новый атрибут в BGP анонсе. Ну пусть хотя бы очередной well 
known community.

При получении анонса с таким community роутер смотрит, пришел ли он от 
клиента. Если от клиента - все как обычно. Если нет, смотрит, является 
ли сей роут спецификом другого. Если да, смотрит, откуда пришел агрегат. 
Если не от клиента, то как обычно. Если от клиента (а клиент может быть 
и другим), то специфик не попадает в FIB и не анонсируется другим 
роутерам (любым, как no-advertise). Тут еще надо помнить, что вложенных 
спецификов может быть несколько, и их, соответственно, надо будет 
обрабатывать по всей цепочке, тут тоже сразу видятся грабли..
Да, работы для BGP сканера тут будет навалом.

Ну вот как-то так. Тоже не без граблей, но вроде бы на первый взгляд 
дропов быть не должно. Никакого заумного PBR, тот кто анонсирует специфик 
сам выбирает то, что ему надо (с помощью community).

Как исполнить аналог такого на сегодняшнем реальном оборудовании - я не 
знаю.

EG> 
EG>  PN>>> Иными словами, PBR требует индивидуальной настройки для каждого
EG>  PN>> случая, 
EG>  PN>>> для крупных сетей это может быть большая проблема, а за ее решение 
EG>  PN>>> придется платить.
EG>  EG>>> За транзит уже заплачено, надо отрабатывать.
EG>  PN>> Вы совсем не хотите посмотреть на проблему объективно... Они
EG>  PN> (магистралы),
EG>  PN>> например, вполне считают своих клиентов, плодящих специфики (которые 
EG>  PN>> потом не работают), тоже вполне косорукими.
EG>  EG>> Основание? Лично мне магистралы всегда говорили "это ваше право"
EG>  EG>> об анонсировании спецификов.
EG>  PN> Я думаю это страховка от проблем с клиентом еще на уровне договора. Они не
EG>  PN> 
EG>  PN> запрещают, а рекомендуют. В этом тоже есть своя логика.
EG> 
EG> Что "они не запрещают"? Анонсирование спецификов это право клиента,
EG> так было заявлено.

Это здорово.

EG> 
EG>  PN> Кстати, о пользе чтения договора. Там может неожиданно оказаться пункт о 
EG>  PN> использовании uRPF (видел такое), в самом худшем его виде. И опаньки.
EG> 
EG> На практике в договоре про uRPF ни слова, "а он есть" :-))
EG> Приходится писать в helpdesk, уже пару раз. Выключают.

Да да, это я и хотел услышать ;). Так вот иногда и не выключают. В свое 
время мой аплинк попал на это (от своего аплинка), была доcтаточно 
неприятная история. Поэтому и об этом, по возможности, в договоре следует 
писать явным образом.

Petr Novopashenniy
--- ifmail v.2.15dev5.4
 * Origin: NPO RUSnet InterNetNews site (2:5020/400)
SEEN-BY: 50/204 450/1024 461/43 640 465/11 469/142 999 4625/8 4641/444
SEEN-BY: 5000/5000 5006/1 5007/1 5010/70 5011/13 5012/46 5015/28 5019/26
SEEN-BY: 5020/175 400 545 982 1521 2238 4441 5021/29 5025/3 5026/14 5027/12
SEEN-BY: 5030/1080 5034/13 5035/38 5036/1 5037/28 5045/7 5049/1 5054/1 4 8 9
SEEN-BY: 5054/28 30 36 37 67 75 81 89 5060/88 5061/15 5062/10 5063/3 5066/18
SEEN-BY: 5075/35 5077/70 5080/68 5084/9 5085/13 5095/20 5096/18 6001/10 6004/3
SEEN-BY: 6009/3

PATH: 5020/400 545 5054/1 37