On Mon, Jul 27, 2009 at 04:39:30PM +0300, Vladimir Garnick writes: VG> Pavel Gulchouck wrote:
On Mon, Jul 27, 2009 at 12:20:46PM +0300, Vladimir Garnick writes:
Вообще, насколько я понимаю, интерфейсные адреса обычно используются только для bgp-взаимодействия и ни для чего другого. Основная причина - abuse. Это ведь не делегированные (assigned) адреса, и попадать в blacklist им ни к чему. Можно их закрывать через acl, можно - снятием анонсов.
VG>> Услышал хоть одну причину не роутить интерфейсные IP. Но причина все VG>> равно несерьезная. Или вы хотите сказать, что dialup/broadband/и т.п. VG>> клиенты с реальными IP предстваляют большую опасность чем маршрутизаторы VG>> BGP-peer'ов?
Конечно, от dialup/broadband и т.п. спама и прочей нечисти больше. Но дело в том, что в случае dialup/broadband и т.п. сеть специально выделена для пользователей, для этой сети работает abuse team. А интерфейсные адреса - они не выделены для пользователей, это внутренняя сетка ISP.
VG> А в чем принципиальная разница для внешнего наблюдателя между сеткой для VG> пользователей и сеткой для интерфейсных адресов? В полях netname/descr VG> inetnum-object'а? Именно. Разница в том, кто отвечает за трафик с этих адресов. Чтобы жалобы попадали по назначению. VG> А кто мешает написать там правильные слова? "Написать правильные слова" - это делегировать клиенту /30. Это возможно - пусть клиент напишет заявку на эту сеть, тогда её ему отдадим. Будет честный assignment, со своим network object. Но мы ведь не этот случай рассматриваем, а вариант, когда у клиента уже есть свои адреса, которых ему достаточно, и которые он анонсирует по BGP? Вот пусть эти свои сети и использует. А интерфейсные адреса входят в чужой assignment, поэтому их использовать негоже. Интерфейсные адреса - чисто техническое понятие, вызванное используемой технологией (ethernet). При подключении по другой технологии их может не быть. [...]
Другая возможная причина: разная роутинговая политика собственных сетей и сетей клиента. Например, клиент может покупать только доступ к UA-IX, а интерфейсный адрес будет при этом виден со всего мира.
VG> Это не аргумент. Для интерфейсных адресов таких клиентов можно выделить, VG> например, отдельную сетку, которая анонсируется только в UA-IX. Хотя и VG> этот способ кривой. Если трафик клиента не контролируется, то что VG> помешает ему зароутить свой исходящий трафик в мир с уже своих (а не VG> интерфейсных) IP через такое подключение? И пользоваться халявным VG> исходящим каналом. Это разные задачи, и методы их решения тоже разные. VG> Для предотвращения этого, лучше, метить весь трафик разными dscp на VG> входе в сеть ISP (от апстримов, клиентов, пиров, UA-IX'а) и ставить VG> соответветствующие фильтры на выходе. Имеете возможность применить это решение на своей сети. Хотя я бы не советовал. :) Как минимум, Ваши клиенты могут использовать dscp в своих целях, и не будут рады тому, что Вы внесёте изменения в заголовки их пакетов. Но это не единственная неприятность. Вместо того, чтобы маркировать dscp, лучше использовать для разных случаев разные route tables.
А какие есть причины роутить трафик на интерфейсные IP, если на интерфейс взяты IP апстрима? Это ведь не IP клиента. Хочет - роутит, не хочет - не роутит. Только для того, чтобы клиент имел доступ извне к своему роутеру в случае проблем с BGP? По договору обычно апстрим обязан предоставлять сервис для клиентских сетей, интерфейсные к ним не относятся.
VG> Кроме как для доступа в случае проблем интерфейсные IP можно VG> использовать для разных видом мониторинга, например. Или тот же NAT VG> иногда удобен при таком подключении. Да и вообще, нарушение IP-связности VG> периодически добавляет головной боли. Один UA-IX чего стоит. Не нужно VG> добавлять дополнительных проблем, тем более они ничего комплексно не решают. Каждый в своей сети может поступать так, как ему кажется правильным. Кто-то может вообще отказаться от использования acl, потому что они добавляют головной боли. Мы фильтруем трафик от интерфейсных IP в редких случаях (обычно только после получения первой жалобы на abuse). Мы можем тут обсуждать, как поступать лучше и удобнее. Но тема-то началась с возмущения, что не дают работать с чужих адресов. А это уже странно, т.к. никто не обещал. Кстати, а как UA-IX нарушает связность? -- Паша.