Pavel Gulchouck wrote:
On Mon, Jul 27, 2009 at 12:20:46PM +0300, Vladimir Garnick writes:
Вообще, насколько я понимаю, интерфейсные адреса обычно используются только для bgp-взаимодействия и ни для чего другого. Основная причина - abuse. Это ведь не делегированные (assigned) адреса, и попадать в blacklist им ни к чему. Можно их закрывать через acl, можно - снятием анонсов.
VG> Услышал хоть одну причину не роутить интерфейсные IP. Но причина все VG> равно несерьезная. Или вы хотите сказать, что dialup/broadband/и т.п. VG> клиенты с реальными IP предстваляют большую опасность чем маршрутизаторы VG> BGP-peer'ов?
Конечно, от dialup/broadband и т.п. спама и прочей нечисти больше. Но дело в том, что в случае dialup/broadband и т.п. сеть специально выделена для пользователей, для этой сети работает abuse team. А интерфейсные адреса - они не выделены для пользователей, это внутренняя сетка ISP.
А в чем принципиальная разница для внешнего наблюдателя между сеткой для пользователей и сеткой для интерфейсных адресов? В полях netname/descr inetnum-object'а? А кто мешает написать там правильные слова? И рассказать abuse team, что у нас есть еще и такая сетка.
И в случае спама из этой сети отфильтрован может быть весь ISP. Прецеденты, когда из-за активности с интерфейсного IP в blacklist занесли наши MX-ы, уже были (а единственная связь - email в network object, из которого шёл спам).
Невменяемые bl будут фильтровать по любому чиху.
Другая возможная причина: разная роутинговая политика собственных сетей и сетей клиента. Например, клиент может покупать только доступ к UA-IX, а интерфейсный адрес будет при этом виден со всего мира.
Это не аргумент. Для интерфейсных адресов таких клиентов можно выделить, например, отдельную сетку, которая анонсируется только в UA-IX. Хотя и этот способ кривой. Если трафик клиента не контролируется, то что помешает ему зароутить свой исходящий трафик в мир с уже своих (а не интерфейсных) IP через такое подключение? И пользоваться халявным исходящим каналом. Для предотвращения этого, лучше, метить весь трафик разными dscp на входе в сеть ISP (от апстримов, клиентов, пиров, UA-IX'а) и ставить соответветствующие фильтры на выходе.
А какие есть причины роутить трафик на интерфейсные IP, если на интерфейс взяты IP апстрима? Это ведь не IP клиента. Хочет - роутит, не хочет - не роутит. Только для того, чтобы клиент имел доступ извне к своему роутеру в случае проблем с BGP? По договору обычно апстрим обязан предоставлять сервис для клиентских сетей, интерфейсные к ним не относятся.
Кроме как для доступа в случае проблем интерфейсные IP можно использовать для разных видом мониторинга, например. Или тот же NAT иногда удобен при таком подключении. Да и вообще, нарушение IP-связности периодически добавляет головной боли. Один UA-IX чего стоит. Не нужно добавлять дополнительных проблем, тем более они ничего комплексно не решают. -- Vladimir N. Garnick [nic-hdl: VG-RIPE, VG-UANIC]