Все познается в сравнении. 26 к прописать аксесеслистом может быть? Ну не согласен, какая будет альетрнатива?

Если это ркн. То редирект

Если это ркн. То редирект

А что у РКН другие законы физики и математики?

Что такое редирект?

Evgeny Dunaev чтобы одни абонентов фильтровать, а других нет - нужно их поделить. В идеале - две отдельные сети.

ну хорошо, это отдельные сети, и vlan, и ip; как конкретно для них менять политику bgp?

ну хорошо, это отдельные сети, и vlan, и ip; как конкретно для них менять политику bgp?

Ну одну сеть втыкаешь в маршрутизатор с политикой ФИЛЬТРОВАТЬ, другую с политикой НЕ ФИльтровать

а как такая политика выглядит? мб я просто не с того конца захожу, всякие local preference или weight хочу применить, а надо по-другому

Разделить надо физически абонентов на две части.

Одну часть сунуть в нормальный интернет, другую в Чебурнет

как это выглядит, если маршрутизатор один?)

Со стороны клиентов это выглядит как VLAN

Со стороны маршрутизатора то выглядит как VRF

Одну часть сунуть в нормальный интернет, другую в Чебурнет

у одних будут открываться сайты из ркн, у других нет. ты на это намекаешь?

Роман, выходит, решение в рамках одного маршрутизатора - разные таблицы? Мы вроде с самого начала об этом и говорили

Мы сначала говорили про 26 к префиксов

Из интернета

А для разделения клиентов - да, придуманы Vrf

значит, я с самого начала неясно выразился

Но они придуманы для частных сетей. В данном случае частная сеть будет с дополнительным фильтром

Вобще, мне совершенно непонятно - почему часть абоннетов не должны фильтроваться, это же нарушение закона

В чем состоит задача изначально?

если это оператор? я должен разве его трафик фильтровать?

если это оператор? я должен разве его трафик фильтровать?

Если это оператор - значит должен быть транзит

В чем состоит задача изначально?

завернуть трафик ркн трафик куда-то

Я об этом же сразу напсал. Если это оператор, а транзита нет - то это клиент и скорее всего должен его тоже фильтровать

Если это оператор - значит должен быть транзит

а что подразумевается под этим?

Т.е. я нахожу разумное объяснение некоторым бредовым моментам

Оператор должен иметь свою AS и работать по протоколу eBGP

Оператор должен иметь свою AS и работать по протоколу eBGP

да

check

И транзитная сеть eBGP должна быть развязана от внутренней iBGP где живет вот эта вся фильтрация

завернуть трафик ркн трафик куда-то

Вот решается тем же самым как делают отключают абонентов при отрицательном балансе, делая перенаправление на свой сервак

Вот решается тем же самым как делают отключают абонентов при отрицательном балансе, делая перенаправление на свой сервак

сильно много записей на BRAS получается

Вот решается тем же самым как делают отключают абонентов при отрицательном балансе, делая перенаправление на свой сервак

Да нихера. При отрицательно балансе рубят по хосту. Это одно правило. А здесь 26 тысяч хостов, это 26 тысяч правил.

Короче, если вы оператор - нищеборот, ставте микротики, не нужно этог стесняться

И транзитная сеть eBGP должна быть развязана от внутренней iBGP где живет вот эта вся фильтрация

я чот начал в 65000 это тестить

7600 у вас наверняка агрегация. Поставьте border на CCR

неплохо бы вопрос добавлением оборудования решить, конечно

Мы перешли от простой задачи фильтрации к сложеной задачи построения провайдерских сетей. А я еще утреннее кофе не пил :)

Я вообще только проснулся

неплохо бы вопрос добавлением оборудования решить, конечно

Оптимально бордер и транзитных клиентов вынести на отдельную железку

С учетом Чебурнета, это вобще обязательно

У каждого оператора свои решения.

Кто-то по хосту режет, кто-то по днс

ну тогда делать надо роут-мап. Либо в нем делать матчинг по всей ас пира или отдельные сети и выставлять local pref

Бред какой

и в чем бред?

В том что Локал преф

Решение только VRF.

Но боюсь 76ой плохо будет от фулвью в врф

Надо осторожно :)

Принимаете фулвью в врф. Клиента терминируете там же.

И врф выливаете наружу маршруты в Глобал

И все ок )

Плохо будет в любом случае. Ибо делать такие эксперименты на продакшн железке без падений и косяков не получится.

Ну и из Глобала в врф игп репликацию

спасибо за советы, многое прояснилось

Памяти это знатно убьёт

Тут Роман ранее правильно писал. Если по bgp он будет принимать /32 то и не нужно будет что-то навешивать. Трафик пойдет туда

Евгению не надо этого

Главное эти префиксы другим пирим не передавать

пирам

Судя по приватной ас

Кстати, а есть у нас тут кто ходячий knowledgebase по mitm?

а в чем дело?

Евгений мне кажется один и единственный пир

Евгению не надо этого

Главное что он сам не знает что ему надо.

Так что передавай, не передавай

Разницы особо нет

Если трафик к нему пришёл то все )

Разницы особо нет

Не совсем. Префиксы будут в общей таблице, и если он нигде не фильтрует, то они передаваться будут остальным. Понятное дело грамотные аплинки у себя такие сети зафильтруют, но на практике и это может сломаться и тогда будет ппц

А кто из Аплинков фильтры не по базе РО строит?

И ас пас фильтры без as-set

Ну вот Евгений же сам аплинк для какого то несчастнго оператора :)

Это штука опасная. Никогда нельзя быть уверенным, что на той стороне не оказался мудак :) Первое правило BGP - фильтры на вход и выход

Была просто такая ситуация. пир как-то отдал фул вью, а вышестоящий аплинк это дело забыл зайильтровать. Вся Россия страдала в тот момент

Суровые у вас аплинки

Это штука опасная. Никогда нельзя быть уверенным, что на той стороне не оказался мудак :) Первое правило BGP - фильтры на вход и выход

Поддерживаю

Суровые у вас аплинки

Этим аплинком были мы. Крупный магистральный провайдер. Но там где случилось регион не мой был. Но я был первым кто увидел куда трафик ушел.

Главное что он сам не знает что ему надо.

отчего же, я знаю, что мне надо

Этим аплинком были мы. Крупный магистральный провайдер. Но там где случилось регион не мой был. Но я был первым кто увидел куда трафик ушел.

ТТК?

ТТК?

Угадал

А на всяких -IX тоже фильтры строите?

А на всяких -IX тоже фильтры строите?

а разве не стоит?

А на всяких -IX тоже фильтры строите?

Без этого никак. Там вообще очень строгий технический регламент

кТТК очень строг был..

Когда подключались

кТТК очень строг был..

А какой регион?

Без этого никак. Там вообще очень строгий технический регламент

А я распиздяйничаю и не фильтрую от них ничего. :(

А я распиздяйничаю и не фильтрую от них ничего. :(

Наверное когда-нибудь аукнется.

Сибирь

Суровые сибирские парни

Вроде Москва все пилила)

Чем фильтры обновляете, bgpq?

Уже ничем

Суровые сибирские парни

Неужели в ТТК нет префикслимитов?

Неужели в ТТК нет префикслимитов?

есть

Только они и есть? )

:)

http://www.securitylab.ru/news/483916.php

Было ?))