Vlákno názorů k článku
Tranzitní operátoři odpojili portugalskou síť zodpovědnou za většinu únosů BGP
od NN - V debate na Nanog se pise o MANRS,...
-
NN (neregistrovaný)
V debate na Nanog se pise o MANRS, ale asi to moc to nefunguje? RPKI,BGPsec nic? Pochopil jsem dobre, ze i pres vsechny dohody/mechanismy proste stale zalezi na politikach jednotlivych ipx/operatoru a jejich ne/ochote to resit?
-
Ondřej CaletkaZlatý podporovatelTaková autorita existuje i dnes, mnoho peeringových center filtruje na route serverch informace podle IRR databází. Takže z tohoto pohledu nic nového, jen se pomocí RPKI umožní to celé zabezpečit i kryptograficky. I s RPKI mají operátoři pořád možnost nastavit lokální preferenci.
-
Tomuhle "zamernemu" nefiltrovani opravdu nerozumim. Pral bych si slyset (videt) aspon 1 legitimni argument, proc nefiltrovat *prijate* prefixy ze site, proc neudrzovat poradek? Proc by zaroven s tim nemeli Tier I operatori taky mit zavedene BCP38? Poprosil bych si jeden argument. Argument cenou neberu, krabky inovuji casto a Cisco a dalsi to temhle velkym kresli cca "na miru" - kdyby to meli zacit potrebovat, krabice to budou v poho stihat. Ja za tim vidim akorat lenost a ziskuchtivost. A ze se firmy spoji v lenosti a ziskuchtivosti, moc na potlesk neni.
-
Santiago (neregistrovaný)
> Proc by zaroven s tim nemeli Tier I operatori taky mit zavedene BCP38?
Protoze reverse-path filtering (RPF), ktery se pro ingress filtering pouziva, se pro tranzitni operatory nehodi, nebot na inter-AS urovni je asymetricky routing legitimni. RPF je vhodne pro koncove operatory, aby filtrovali provoz od zakazniku, kteri nemaji vlastni AS.
Mozna by se dal pouzit loose-RPF, ktery je do jiste miry s asymetrickym routingem kompatibilni, ale ten je vyrazne narocnejsi na data plane nez zakladni strict-RPF. Krom toho, RPF stejne nefunguje v kontextu peerovacich uzlu.
-
Proc by mel ISP lopatovat pakety se src IP z tech prefixu, ktere na urovni BGP od odpovidajiciho peera nedostava? Proc by tohle proste nemohlo byt guardovane odpovidajicimi polozkami v databazich RIRu? Pokud od peera jsou ve FIBu v TCAMu routy, ktere napropagoval, daly by se pakety na prislusnem portu pri lopatovani odfiltrovat na nematchujici src IP. Jasne, chtelo by to data v te RAMce trochu jinak poskladat, ale je to snad nemozne? :)
-
No, kdyz peer posila seznam prefixu, pripadne updaty, tak u toho taky je videt cesta, kudy ten prefix prisel, pokud teda nejaky AS na ceste tu cestu nestripuje. No a pri zpracovani tech updatu by se mohl vyrobit dynamicky set routovacich pravidel, rozsireny o flagy, jestli je dana routa povolena jenom z nejakeho konkretniho interfacu.
