On Wed, Jul 20, 2016 at 04:05:39PM +0300, Victor Turovsky wrote: На эту тему была замечательная статья: http://dbg.livejournal.com/92878.html По этой ссылке правда она уже протухла, но в архивах интернета все есть: http://web.archive.org/web/20110326123707/http://net-geek.org/dbg/2008/09/ov... У нас по такому принципу и сделано, потому как бывают "шалуны" прочитавшие про more specific :)

Красивое решение ! А мы тут головы ломаем.... ;)

On Wed, Jul 20, 2016 at 04:03:00PM +0300, Alexander Shikov wrote:

...

On Wed, Jul 20, 2016 at 03:58:29PM +0300, Victor Turovsky wrote:

...

hi!

Есть клиент, который аннонсит, например 2-е /24 в ua-ix, а в в непосредственный линк c провайдером сеть /23. Провайдер включён в ua-ix. Итог понятен. А вот как сделать так, чтобы трафик при такой ситуации шёл назад через непосредственный линк, а не через ua-ix ?

Отключиться от UA-IX :)

-- MINO-RIPE

-- С уважением, Туровский Виктор

-- Turovsky Victor network engineer JSC DATAGROUP

------------------------------------------

Incom business-center 31/33 Smolenskaya str. Kiev, Ukraine, 03057 Tel/fax: +380 44 5859009 E-mail: Viktor.Turovskiy@datagroup.com.ua www.datagroup.com.ua

-- Dmitry Aksyonov +380-62-3340343

On Wed, Jul 20, 2016 at 04:36:16PM +0300, Dmitry Aksyonov wrote:

On Wed, Jul 20, 2016 at 04:05:39PM +0300, Victor Turovsky wrote:

На эту тему была замечательная статья: http://dbg.livejournal.com/92878.html

По этой ссылке правда она уже протухла, но в архивах интернета все есть:

http://web.archive.org/web/20110326123707/http://net-geek.org/dbg/2008/09/ov...

Thanks, как-то я её пропустил. У нас сделано похоже, хотя и немного по другому: rib-groups для копирования клиентских маршрутов в vrf + DCU для загоняния в этот vrf кросспирингового траффика.

У нас по такому принципу и сделано, потому как бывают "шалуны" прочитавшие про more specific :)

...

Красивое решение ! А мы тут головы ломаем.... ;)

On Wed, Jul 20, 2016 at 04:03:00PM +0300, Alexander Shikov wrote:

...

On Wed, Jul 20, 2016 at 03:58:29PM +0300, Victor Turovsky wrote:

...

hi!

Есть клиент, который аннонсит, например 2-е /24 в ua-ix, а в в непосредственный линк c провайдером сеть /23. Провайдер включён в ua-ix. Итог понятен. А вот как сделать так, чтобы трафик при такой ситуации шёл назад через непосредственный линк, а не через ua-ix ?

Отключиться от UA-IX :)

-- MINO-RIPE

-- С уважением, Туровский Виктор

-- Turovsky Victor network engineer JSC DATAGROUP

------------------------------------------

Incom business-center 31/33 Smolenskaya str. Kiev, Ukraine, 03057 Tel/fax: +380 44 5859009 E-mail: Viktor.Turovskiy@datagroup.com.ua www.datagroup.com.ua

-- Dmitry Aksyonov +380-62-3340343

Это немного не то. On Wed, Jul 20, 2016 at 04:34:56PM +0300, Volodymyr Litovka wrote:

только договориться с провайдером, чтобы он у себя local preference для /23 задрал

ну или в UAIX анонсить то же самое - /23

On 7/20/16 3:58 PM, Victor Turovsky wrote:

...

hi!

Есть клиент, который аннонсит, например 2-е /24 в ua-ix, а в в непосредственный линк c провайдером сеть /23. Провайдер включён в ua-ix. Итог понятен. А вот как сделать так, чтобы трафик при такой ситуации шёл назад через непосредственный линк, а не через ua-ix ?

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

-- С уважением, Туровский Виктор -- Turovsky Victor network engineer JSC DATAGROUP ------------------------------------------ Incom business-center 31/33 Smolenskaya str. Kiev, Ukraine, 03057 Tel/fax: +380 44 5859009 E-mail: Viktor.Turovskiy@datagroup.com.ua www.datagroup.com.ua

Володя, ты круто завернул. Так мона действительно сразу от всех отключаться. :))) Разговор как раз о том, чтобы не убить входящий к клиенту трафик, а перенаправить в нужное русло. Насчёт анонсирования единоразмерных префиксов то думаю, что это решать самим клиентам. А отлавливать их и учить жизни, поверь, не хочется. On Wed, Jul 20, 2016 at 04:16:54PM +0200, Volodymyr Yakovenko wrote:

Если задача бороться с fraud-ом то я бы делал так: 1. Сбрасывал DSCP на ingress/egress всех peer/uplink interfaces. 2. Маркировал бы все пакеты полученные от uplink в DSCP_UPLINK 3. На peer interfaces egress дропал ACL-ем все пакеты которые match DSCP_UPLINK. Далее если peer это сделал случайно ему рассказывается полезность анонсирования единоразмерных префиксов в IX/peer и в uplink.

2016-07-20 14:58 GMT+02:00 Victor Turovsky <[1]vit@ip.datagroup.ua>:

hi! Есть клиент, который аннонсит, например 2-е /24 в ua-ix, а в в непосредственный линк c провайдером сеть /23. Провайдер включён в ua-ix. Итог понятен. А вот как сделать так, чтобы трафик при такой ситуации шёл назад через непосредственный линк, а не через ua-ix ? -- С уважением, Туровский Виктор -- Turovsky Victor network engineer JSC DATAGROUP ------------------------------------------ Incom business-center 31/33 Smolenskaya str. Kiev, Ukraine, 03057 Tel/fax: [2]+380 44 5859009 E-mail: [3]Viktor.Turovskiy@datagroup.com.ua [4]www.datagroup.com.ua

-- Regards, Volodymyr.

Ссылки

1. mailto:vit@ip.datagroup.ua 2. tel:%2B380%2044%205859009 3. mailto:Viktor.Turovskiy@datagroup.com.ua 4. http://www.datagroup.com.ua/

-- С уважением, Туровский Виктор -- Turovsky Victor network engineer JSC DATAGROUP ------------------------------------------ Incom business-center 31/33 Smolenskaya str. Kiev, Ukraine, 03057 Tel/fax: +380 44 5859009 E-mail: Viktor.Turovskiy@datagroup.com.ua www.datagroup.com.ua