Возможно ли удаленно влиять на BGP localpref?

Коллега пытается реализовать активный /пассивный интернет-многопользовательский режим. Дизайн предполагает отправку сообществ (перечисленных ниже) пассивному провайдеру, чтобы снизить локальные предпочтения в удаленных AS для рекламируемых маршрутов. документация неоднократно заявляет, что сообщества предназначены для использования клиентами, и мы не являемся клиентом этих поставщиков. Я бы подумал, что предоставление интернету в целом возможности изменять местные предпочтения - это огромный риск для безопасности. Будет ли это шанс снежного кома в ад, который действительно работает?

1273: 70 кабель и беспроводная локальная локальная локальная сеть 70
2828: 1507 xo local pref 70
3356: 70 level3 local pref 70
3549: 100 глобальных пересечений местных префов 100
4323: 80 twtelecom local pref 80
1299: 50 teliasonera local pref 50
bgp
17 голосов | спросил Dennis Olvany 1 J0000006Europe/Moscow 2013, 21:57:47

3 ответа


14

Маловероятно (но не невозможно) для сообществ, которые вы отмечаете на своих маршрутах, чтобы распространяться мимо вашего восходящего потока. Большинство провайдеров будут отключать сообщества до перенаправления маршрутов вверх /вниз.

Если вы хотите воздействовать на несколько удаленных AS, таким образом, вам нужно будет использовать AS_PATH. Подготовьте 2-3 раза вашему резервному /пассивному провайдеру, а затем весь /весь трафик будет течь по вашему активному пути до тех пор, пока он не сработает. Затем трафик должен перейти на ваш пассивный путь после того, как неудачный маршрут будет удален.

ответил Justin Seabrook-Rocha 1 J0000006Europe/Moscow 2013, 23:10:47
5

Поставщик должен иметь входящий фильтр, чтобы гарантировать, что эти сообщества принимаются только от клиентов. Если нет, то это проблема поставщиков.

Некоторые поставщики Tier1 действительно принимают подобные сообщества из любого места. Это основано на RFC 1998: http://tools.ietf.org/html/rfc1998.html

ответил mellowd 1 J0000006Europe/Moscow 2013, 22:02:58
5

Лучшее, что вы обычно можете сделать, это поиск сообществ с вашим провайдером, который позволяет вам указывать prepends per peer вашего провайдера. предполагает, что у вашего провайдера есть такие сообщества, и у него есть отношения с пирингом, чтобы это работало. Предоставление ваших собственных объявлений вашему партнеру не имело бы изменений по сравнению с вашим провайдером. Хотя этот метод не изменяет localpref одну AS удаленную от вашего провайдера, она имеет аналогичный эффект, делая этот путь к вам менее желательным. Существует исключение для влияния на localpref вверх по течению, которое я опишу внизу, хотя это, вероятно, краевой случай.

Некоторые поставщики , такие как XO [AS2828], позволяют вам рекламировать ваши префиксы таким образом, чтобы ваш провайдер объявлял ваши маршруты с конкретными допингами для определенных своих сверстников.

Например, XO принимает:

2828: 1108 добавляет один раз для AT & T
2828: 1207 добавляет дважды для Level3
2828: 1303 preprends трижды для Sprint

В Savvis сообществу сообщается 3561: 30151, который добавляется один раз для AT & T.

У этих поставщиков обычно есть сообщества, указывающие на известные сообщества NO_EXPORT или NO_ADVERTISE для конкретных сверстников.

Один поставщик уровня 2, который я знаю, InterNAP, может влиять на localpref вверх по течению, потому что они покупают транзит, поэтому они являются клиентами уровня 1. У них есть сообщества, которые вы могли бы использовать там, где они пытались перевести их в конкретные сообщества уровня 1 для ваших рекламных объявлений вверх, которые устанавливают localpref на одноранговые, средние или высокоуровневые значения. См. http://www.onesc.net/communities/as6993/Internap-Клиент-Guide-1.3.pdf .

Примеры примеров:
Сообщества XO, которые меняют объявления клиентов определенным пользователям на границе AS2828
Savvis Prepend Community Attributes

У меня нет связи с поставщиками, используемыми в примерах, отличных от прямого опыта работы в качестве клиента.

ответил generalnetworkerror 2 J0000006Europe/Moscow 2013, 09:46:36

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132