Можно ли удаленно влиять на локальный префикс BGP?

17

Коллега пытается внедрить активную / пассивную интернет-адресацию. Проект подразумевает отправку сообществ (перечисленных ниже) пассивному провайдеру для снижения локальных предпочтений в удаленных AS для объявленных маршрутов. В документации неоднократно указывается, что сообщества предназначены для использования клиентами, и мы не являемся клиентами этих поставщиков. Я думаю, что предоставление интернет-сообществу возможности изменять местные предпочтения - это огромный риск для безопасности. Будет ли у этого снежного кома шанс на ад на самом деле работать?

1273:70     cable and wireless plc local pref 70
2828:1507   xo local pref 70
3356:70     level3 local pref 70
3549:100    global crossing local pref 100
4323:80     twtelecom local pref 80
1299:50     teliasonera local pref 50
Деннис Олвани
источник
1
Является ли «oneStep» вашим поставщиком резервного копирования? Если это так, то, конечно, они должны работать очень хорошо, когда рекламируются на «одноступенчатом», и, на мой взгляд, предпочтительнее дизайн, а не готовый. В противном случае они бесполезны, даже если бы ваши маршруты проходили мимо них, вряд ли они сработали бы у своих коллег. Ваш прямой сосед не предоставляет сопоставимый список?
ytti
Один шаг не наш провайдер. Из того, что я понял, One Step вовсе не поставщик. Прямой сосед может иметь такой список. Я должен сделать некоторые исследования.
Деннис Олвани
2
OneStep - это консультация, которая объединяет руководства сообщества от всех NSP.
generalnetworkerror
Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:

15

Маловероятно (но не невозможно), что сообщества, которые вы помечаете на своих маршрутах, распространяются мимо вашего апстрима. Большинство провайдеров вытесняют сообщества перед тем, как переадресовывать маршруты вверх / вниз.

Если вы хотите таким образом влиять на несколько удаленных AS, вам нужно использовать предваряющий AS_PATH. Добавьте 2-3 раза своему резервному / пассивному провайдеру, и тогда большая часть / весь трафик будет проходить по вашему активному пути, пока он не потерпит неудачу. Затем трафик должен переключиться на ваш пассивный путь, как только сбитый маршрут будет отменен

Джастин Сибрук-Роча
источник
4
Если клиент А имеет транзит от провайдеров P1 и P2, и они переходят к P2. Тогда другой клиент B из P2 может использовать local_pref маршруты, полученные от P2 (возможно, это дешевле), т. Е. Предоплата не гарантирует, что весь трафик будет переключаться, и нет никакого реального способа гарантировать это в BGP, кроме выбора маршрута из не предпочтительного или сообщить подробности предпочитаемому партнеру, ни один из которых не может быть рекомендован.
ytti
2
Верный! Таким образом, вечная борьба за разработку трафика, как повлиять на сеть, вы не имеете отношения. Возможно, мне следовало бы сказать «большинство» вместо «все», но в этом случае на самом деле могут повлиять только предикат и более конкретная информация.
Джастин Сибрук-Роча
3
Как сказал ytti, трюки AS_PATH - в лучшем случае совет. В конце дня предпочтения локального администратора победят. Если я хочу, чтобы трафик в конкретную сеть пересек конкретную ссылку, он будет ; Интернет ничего не может сделать, чтобы изменить мою конфигурацию маршрутизации.
Рикки Бим
6

Поставщик должен иметь входящий фильтр, чтобы эти сообщества принимались только от клиентов. Если нет, то это проблема провайдеров.

Некоторые провайдеры Tier1 принимают такие виды сообществ откуда угодно. Это основано на RFC 1998: http://tools.ietf.org/html/rfc1998.html

mellowd
источник
Консенсус кажется ясным. Похоже, повлиять на локальные предпочтения удаленных AS практически невозможно.
Деннис Олвани
5

Лучшее, что вы обычно можете сделать, - это искать сообщества с вашим провайдером, которые позволяют вам указывать число ожидаемых ответов на пира вашего провайдера. Это предполагает, что ваш провайдер имеет такие сообщества и имеет пиринговые отношения, чтобы это работало. Предостережение ваших собственных объявлений с вашим партнером не будет иметь никаких изменений перед вашим провайдером. Хотя этот метод не изменяет localpref одной AS, удаленной из вашего провайдера, он оказывает аналогичное влияние, делая этот путь менее желательным для вас. Существует исключение для влияния на локальный префрейм вверх по течению, которое я опишу внизу, хотя это, вероятно, крайний случай.

Некоторые провайдеры, такие как XO [AS2828], позволяют вам рекламировать свои префиксы таким образом, чтобы ваш провайдер объявлял ваши маршруты с определенными предопределениями для определенных их пиров.

Например, XO принимает:

2828:1108готовится один раз для AT & T
2828:1207готовится дважды для Level3,
2828:1303готовится трижды для Sprint

В Саввисе это сообщество, 3561:30151которое готовится один раз для AT & T.

Эти провайдеры обычно имеют сообщества, которые указывают на известные сообщества NO_EXPORT или NO_ADVERTISE для конкретных пиров.

Один из известных мне провайдеров 2-го уровня, InterNAP, может влиять на локальный префрейм, потому что они покупают транзит, поэтому они являются клиентами 1-го уровня. У них есть сообщества, которые вы могли бы использовать, когда они пытаются перевести их в конкретные сообщества уровня 1 для ваших рекламных объявлений, в которых для localpref установлены равные , средние или высокие значения. См. Http://www.onesc.net/communities/as6993/Internap-Customer-Guide-1.3.pdf .

Пример ссылок:
сообщества XO, которые изменяют объявления клиентов для определенных пиров в AS2828 Border Savvis Prepend

Атрибуты сообщества

Я не имею никакого отношения к провайдерам, использованным в примерах, кроме прямого опыта в качестве клиента.

generalnetworkerror
источник