Est-il possible d'influencer à distance BGP localpref?

17

Un collègue tente d'implémenter le multihébergement Internet actif / passif. La conception implique l'envoi de communautés (répertoriées ci-dessous) au fournisseur passif pour réduire la préférence locale au niveau des AS distants pour les routes annoncées. La documentation indique à plusieurs reprises que les communautés sont réservées à l'usage des clients et que nous ne sommes pas clients de ces fournisseurs. Je pense que donner à l'Internet dans son ensemble la possibilité de modifier les préférences locales est un énorme risque pour la sécurité. Est-ce que cela aurait une chance de faire boule de neige en enfer de fonctionner réellement?

1273:70     cable and wireless plc local pref 70
2828:1507   xo local pref 70
3356:70     level3 local pref 70
3549:100    global crossing local pref 100
4323:80     twtelecom local pref 80
1299:50     teliasonera local pref 50
Dennis Olvany
la source
1
«Onestep» est-il votre fournisseur de sauvegarde lui-même? Si c'est le cas, alors assurez-vous que ceux-ci devraient fonctionner très bien lorsqu'ils sont annoncés sur `` onestep '' et à mon avis, c'est une conception préférable à pré-ajouter. Sinon, ils sont inutiles, même si vos itinéraires les dépassaient, il est peu probable qu'ils fonctionnent avec leurs pairs. Votre voisin direct ne fournit-il pas une liste comparable?
ytti
One Step n'est pas notre fournisseur. D'après ce que je comprends, One Step n'est pas du tout un fournisseur. Le voisin direct peut avoir une telle liste. Je vais devoir faire des recherches.
Dennis Olvany
2
OneStep est un cabinet de conseil qui regroupe des guides communautaires de tous les NSP.
generalnetworkerror
Une réponse vous a-t-elle aidé? Si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

15

Il est peu probable (mais pas impossible) que les communautés que vous marquez sur vos itinéraires se propagent en amont de votre amont. La plupart des prestataires élimineront les communautés avant de ré-annoncer les itinéraires en amont / en aval.

Si vous souhaitez influencer plusieurs AS distants de cette manière, vous devez utiliser le préfixe AS_PATH. Ajoutez 2-3 fois à votre fournisseur de sauvegarde / passif, puis la plupart / tout le trafic circulera sur votre chemin actif jusqu'à ce qu'il échoue. Ensuite, le trafic devrait se déplacer vers votre chemin passif une fois que l'itinéraire échoué est retiré.

Justin Seabrook-Rocha
la source
4
Si le client A est en transit depuis le fournisseur P1 et P2 et qu'il précède vers P2. Ensuite, un autre client B de P2 peut recevoir les itinéraires local_pref reçus de P2 (c'est peut-être moins cher), c'est-à-dire que le pré-paiement ne garantit pas que tout le trafic va basculer et qu'il n'y a pas de moyen réel de garantir cela dans BGP, à part le retrait de l'itinéraire de non-préféré ou divulguer plus de détails au partenaire préféré, qui ne peut être recommandé ni l'un ni l'autre.
ytti
2
Correct! Ainsi la lutte éternelle de l'ingénierie du trafic, comment influencer un réseau avec lequel vous n'avez aucune relation. J'aurais probablement dû dire "la plupart" au lieu de "tous", mais les préfixes et les détails sont vraiment les deux seules options qui peuvent vraiment avoir un effet dans ce cas.
Justin Seabrook-Rocha
3
Comme ytti l'a dit, les astuces AS_PATH sont au mieux une suggestion. À la fin de la journée, les préférences de l'administrateur local l'emporteront. Si je veux que le trafic vers un réseau spécifique traverse un lien spécifique, il le fera ; Internet ne peut rien faire pour modifier ma configuration de routage.
Ricky Beam
6

Le fournisseur doit avoir un filtre entrant pour garantir que ces communautés ne sont acceptées que par les clients. Sinon, c'est le problème des fournisseurs.

Cependant, certains fournisseurs de niveau 1 acceptent ce type de communautés de n'importe où. Ceci est basé sur RFC 1998: http://tools.ietf.org/html/rfc1998.html

mellowd
la source
Le consensus semble clair. Cela ressemble à influencer la préférence locale des AS distants presque impossible.
Dennis Olvany
5

Le mieux que vous puissiez faire est généralement de rechercher des communautés avec votre fournisseur qui vous permettent d'indiquer les préfixes par pair de votre fournisseur. Cela suppose que votre fournisseur dispose de telles communautés et a les relations de peering pour que cela fonctionne. La préparation de vos propres annonces à votre homologue n'aurait aucune variation en amont de votre fournisseur. Bien que cette méthode ne modifie pas localpref un AS supprimé de votre fournisseur, elle a un impact similaire en rendant ce chemin de retour moins souhaitable. Il y a une exception à influencer localpref en amont que je décrirai en bas, bien que ce soit probablement un cas de bord.

Certains fournisseurs tels que XO [AS2828] vous permettent d'annoncer vos préfixes de telle manière que votre fournisseur annonce vos itinéraires avec des préfixes spécifiques pour certains de leurs pairs.

Par exemple, XO accepte:

2828:1108ajoute une fois pour AT&T
2828:1207ajoute deux fois pour Level3
2828:1303ajoute trois fois pour Sprint

Sur Savvis, la communauté se 3561:30151prépare une fois pour AT&T.

Ces fournisseurs ont généralement des communautés pour indiquer les communautés bien connues de NO_EXPORT ou NO_ADVERTISE à des pairs spécifiques.

Un fournisseur de niveau 2 que je connais, InterNAP, est capable d'influencer les références locales en amont parce qu'ils achètent du transport en commun, ils sont donc un client des niveaux 1. Ils ont des communautés que vous pouvez utiliser lorsqu'ils tentent de les traduire en communautés de niveau 1 spécifiques pour vos publicités en amont qui définissent localpref sur des valeurs de niveau pair , moyen ou élevé. Voir http://www.onesc.net/communities/as6993/Internap-Customer-Guide-1.3.pdf .

Exemples de références: les
communautés XO qui modifient les annonces des clients en certains homologues à AS2828 Border

Savvis Prepend Community Attributes

Je n'ai aucune affiliation avec les prestataires utilisés dans les exemples autres que l'expérience directe en tant que client.

erreur générale de réseau
la source