Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли? -- Maxim Tuliuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 04:35:19PM +0200, Maxim Tuliuk wrote: MT>Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B MT>и С; через B приходит full-view, через C - только Украина. Есть сеть X, MT>которую аннонсируют только локально, т.е. на A и C. MT>Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но MT>при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, MT>а исход в мир при том, что сеть аннонсируется только в Украину. MT>Предполагаемое решение: на раутере C включить ip verify unicast, но MT>не всплывут ли грабли? гм как вариант N1 - промаркировать пакеты на C при помощи dscp и резануть их на исходе во внешний мир вриант N2 - промаркировать пакеты на A приходящие от C при помощи QoS mark и аналогично не выпустить их в мир -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Кто такой фармацевт? Это тот, кто частенько форматирует С:\ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 16:39 +0200, Alexander Trotsai wrote:
MT>Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B MT>и С; через B приходит full-view, через C - только Украина. Есть сеть X, MT>которую аннонсируют только локально, т.е. на A и C. MT>Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но MT>при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, MT>а исход в мир при том, что сеть аннонсируется только в Украину. MT>Предполагаемое решение: на раутере C включить ip verify unicast, но MT>не всплывут ли грабли?
гм как вариант N1 - промаркировать пакеты на C при помощи dscp и резануть их на исходе во внешний мир
вриант N2 - промаркировать пакеты на A приходящие от C при помощи QoS mark и аналогично не выпустить их в мир
Гм... IMHO ip verify unicast этим же и занимается или нет? -- Maxim Tuliuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 04:48:02PM +0200, Maxim Tuliuk wrote: MT>On Wed, Dec 17, 2003 at 16:39 +0200, Alexander Trotsai wrote: MT>> MT>Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B MT>> MT>и С; через B приходит full-view, через C - только Украина. Есть сеть X, MT>> MT>которую аннонсируют только локально, т.е. на A и C. MT>> MT>Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но MT>> MT>при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, MT>> MT>а исход в мир при том, что сеть аннонсируется только в Украину. MT>> MT>Предполагаемое решение: на раутере C включить ip verify unicast, но MT>> MT>не всплывут ли грабли? MT>> MT>> гм как вариант N1 - промаркировать пакеты на C при помощи dscp MT>> и резануть их на исходе во внешний мир MT>> MT>> вриант N2 - промаркировать пакеты на A приходящие от C при MT>> помощи QoS mark и аналогично не выпустить их в мир MT>Гм... IMHO ip verify unicast этим же и занимается или нет? опять же - там же еще и default есть, на C в смысле поэтому по идее траффик все равно пройдет -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] У нас нет программного обеспечения, зато есть беспечное программирование. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 16:50 +0200, Alexander Trotsai wrote:
MT>> MT>Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B MT>> MT>и С; через B приходит full-view, через C - только Украина. Есть сеть X, MT>> MT>которую аннонсируют только локально, т.е. на A и C. MT>> MT>Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но MT>> MT>при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, MT>> MT>а исход в мир при том, что сеть аннонсируется только в Украину. MT>> MT>Предполагаемое решение: на раутере C включить ip verify unicast, но MT>> MT>не всплывут ли грабли? MT>> MT>> гм как вариант N1 - промаркировать пакеты на C при помощи dscp MT>> и резануть их на исходе во внешний мир MT>> MT>> вриант N2 - промаркировать пакеты на A приходящие от C при MT>> помощи QoS mark и аналогично не выпустить их в мир
MT>Гм... IMHO ip verify unicast этим же и занимается или нет?
опять же - там же еще и default есть, на C в смысле поэтому по идее траффик все равно пройдет
Нету на С никаких default-ов - только Украина -- Maxim Tuliuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 04:53:30PM +0200, Maxim Tuliuk wrote: MT>On Wed, Dec 17, 2003 at 16:50 +0200, Alexander Trotsai wrote: MT>> MT>> MT>Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B MT>> MT>> MT>и С; через B приходит full-view, через C - только Украина. Есть сеть X, MT>> MT>> MT>которую аннонсируют только локально, т.е. на A и C. MT>> MT>> MT>Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но MT>> MT>> MT>при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, MT>> MT>> MT>а исход в мир при том, что сеть аннонсируется только в Украину. MT>> MT>> MT>Предполагаемое решение: на раутере C включить ip verify unicast, но MT>> MT>> MT>не всплывут ли грабли? MT>> MT>> MT>> MT>> гм как вариант N1 - промаркировать пакеты на C при помощи dscp MT>> MT>> и резануть их на исходе во внешний мир MT>> MT>> MT>> MT>> вриант N2 - промаркировать пакеты на A приходящие от C при MT>> MT>> помощи QoS mark и аналогично не выпустить их в мир MT>> MT>> MT>Гм... IMHO ip verify unicast этим же и занимается или нет? MT>> MT>> опять же - там же еще и default есть, на C в смысле MT>> поэтому по идее траффик все равно пройдет MT>Нету на С никаких default-ов - только Украина гм - А КАК тогда траффик через C может уйти во внешний мир???? -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Все пчёлы прилетели с мёдом, а одна - такая маленькая и вредная - с дёгтем =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, 17 Dec 2003, Maxim Tuliuk wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину,
А на роутере С этот провайдер Р как виден?
а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
-- Maxim Tuliuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222
The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- regards, Serge Pershin =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, 17 Dec 2003, Maxim Tuliuk wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
Частные случаи с помощью верифай решать не стоит. Лучше потребовать от провайдера Р анонсировать _всё_ своё в украину, так как мнение такое, что из мира приходит морспецифик. На А завысить преференции в С не городить огород. -- regards, Serge Pershin =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
По моему дефолт в случае верифай невалиден как бест ретен пэс. По крайней мере в УкрНете негативно-проверифаенный траффик на дефолт не уходил.
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Alexander Trotsai MT>> QoS mark и аналогично не выпустить их в мир
MT>Гм... IMHO ip verify unicast этим же и занимается или нет?
опять же - там же еще и default есть, на C в смысле поэтому по идее траффик все равно пройдет
-- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
В ситуации описанной Максом - частный случай такого трафика - глобальное нарушение полиси :О) В этом плане - да - соблюдение порядка с аннонсом всего что может создать траффик есть гуд бихэйвор. Но у кого требовать его соблюдения, если зачастую не знаешь откуда такой траффик приходит (аннонсов то нет)? А вылавливать отдельные провинившиеся специфики и специфички - мягко говоря - мартышкин труд. Поэтому верифай все-таки рулит. И не совсем понял - какие преференции на А завысить?
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua
Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
Частные случаи с помощью верифай решать не стоит. Лучше потребовать от провайдера Р анонсировать _всё_ своё в украину, так как мнение такое, что из мира приходит морспецифик. На А завысить преференции в С не городить огород.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Wed, Dec 17, 2003 at 17:54 +0200, Sergey Pershin wrote:
On Wed, 17 Dec 2003, Maxim Tuliuk wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
А задача в чем? 1. не пропустить траффик "X->мир" (причем наличие провайдера P тут не требуется, вирус в сети X сработает не хуже ;) ? ip verify unicast включенное на роутере B (на интерфейсе откуда влетает траффик от ?A?) эту задачу решит. попутно задавит и других "незнакомых" - но если это устраивает... 2. не пропустить траффик P -> X ? А почему собственно? А чем в этом смысле лучше сеть Y, которая анонсируется "везде"?
Частные случаи с помощью верифай решать не стоит. Лучше потребовать от провайдера Р анонсировать _всё_ своё в украину,
Хмм... в задаче не сказано "UA-IX" - policy которой требует симметрии.
так как мнение такое, что из мира приходит морспецифик. На А завысить преференции в С не городить огород.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 04:39:24PM +0200, Alexander Trotsai wrote:
On Wed, Dec 17, 2003 at 04:35:19PM +0200, Maxim Tuliuk wrote: MT>Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B MT>и С; через B приходит full-view, через C - только Украина. Есть сеть X, MT>которую аннонсируют только локально, т.е. на A и C. MT>Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но MT>при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, MT>а исход в мир при том, что сеть аннонсируется только в Украину. MT>Предполагаемое решение: на раутере C включить ip verify unicast, но MT>не всплывут ли грабли?
гм как вариант N1 - промаркировать пакеты на C при помощи dscp и резануть их на исходе во внешний мир
кстати о dscp - тут народ недавно промаркировал пакеты dscp и обрезал по свойству class-map match-any peertopeer match protocol kazaa2 так оно зарезало весь DNS-траффик после апгрейда кошки - траффик udp53 -> udp53 был посчитан как плохой.
вриант N2 - промаркировать пакеты на A приходящие от C при помощи QoS mark и аналогично не выпустить их в мир
вот и вопрос - а если клиент QoS поставит сам? инициативу наказывать? ;) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Wed, Dec 17, 2003 at 11:33:34AM -0800, Dmitry Kohmanyuk Дмитрий Кохманюк wrote:
вриант N2 - промаркировать пакеты на A приходящие от C при помощи QoS mark и аналогично не выпустить их в мир
вот и вопрос - а если клиент QoS поставит сам? инициативу наказывать? ;)
Вообще-то, если в сети каким-то образом задействованы механизмы QoS, то клиенту не должно быть позволено самостоятельно что-либо ставить. Даже если подписан SLA, то IMHO все равно лучше все маркировать самостоятельно или, как минимум, контролировать действия кастомера. Best wishes, Sergey =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 18:31 +0200, Andrey Blochintsev wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
А задача в чем? 1. не пропустить траффик "X->мир" (причем наличие провайдера P тут не требуется, вирус в сети X сработает не хуже ;) ? ip verify unicast включенное на роутере B (на интерфейсе откуда влетает траффик от ?A?) эту задачу решит. попутно задавит и других "незнакомых" - но если это устраивает...
Я думал несколько не так решить: на раутере C у меня только "украинские" сети и на интерфейсах, где принимаю ua-ix и utc-ix поставить: ip verify unicast source reachable-via any а встреча "незнакомцов" с Null0 меня не пугает ...
Хмм... в задаче не сказано "UA-IX" - policy которой требует симметрии.
По полиси да, но как это контролируется? IMHO лучше полагатся на свои силы... -- Maxim Tuliuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 11:33:34AM -0800, Dmitry Kohmanyuk Дмитрий Кохманюк wrote: DKДК>On Wed, Dec 17, 2003 at 04:39:24PM +0200, Alexander Trotsai wrote: DKДК>> On Wed, Dec 17, 2003 at 04:35:19PM +0200, Maxim Tuliuk wrote: DKДК>> MT>Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B DKДК>> MT>и С; через B приходит full-view, через C - только Украина. Есть сеть X, DKДК>> MT>которую аннонсируют только локально, т.е. на A и C. DKДК>> MT>Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но DKДК>> MT>при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, DKДК>> MT>а исход в мир при том, что сеть аннонсируется только в Украину. DKДК>> MT>Предполагаемое решение: на раутере C включить ip verify unicast, но DKДК>> MT>не всплывут ли грабли? DKДК>> DKДК>> гм как вариант N1 - промаркировать пакеты на C при помощи dscp DKДК>> и резануть их на исходе во внешний мир DKДК>кстати о dscp - DKДК> тут народ недавно промаркировал пакеты dscp и обрезал по свойству DKДК> class-map match-any peertopeer DKДК> match protocol kazaa2 DKДК> так оно зарезало весь DNS-траффик после апгрейда кошки - DKДК> траффик udp53 -> udp53 был посчитан как плохой. dscp само не появляется - кто-то маркировал - причем криво, ну-у-у-у-у DKДК>> вриант N2 - промаркировать пакеты на A приходящие от C при DKДК>> помощи QoS mark и аналогично не выпустить их в мир DKДК> вот и вопрос - а если клиент QoS поставит сам? инициативу наказывать? ;) насколько я помню QoS mark локальный в пределах кошки (или qos group он правильно называется) -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Скpомное молчание лyчший довод в споpе с pyководством =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 11:27:42PM +0200, Alexander Trotsai wrote:
DKДК>кстати о dscp -
DKДК> тут народ недавно промаркировал пакеты dscp и обрезал по свойству
DKДК> class-map match-any peertopeer DKДК> match protocol kazaa2
DKДК> так оно зарезало весь DNS-траффик после апгрейда кошки - DKДК> траффик udp53 -> udp53 был посчитан как плохой.
dscp само не появляется - кто-то маркировал - причем криво, ну-у-у-у-у
а это по рекомендации контрактора из Киева как раз и было сделано ;-) причем вроде бы работало, пока IOS не проапгрейдили.
DKДК>> вриант N2 - промаркировать пакеты на A приходящие от C при DKДК>> помощи QoS mark и аналогично не выпустить их в мир
DKДК> вот и вопрос - а если клиент QoS поставит сам? инициативу наказывать? ;)
насколько я помню QoS mark локальный в пределах кошки (или qos group он правильно называется)
там было dcsp. я не знаю, оно ставит QoS биты или другие? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, 17 Dec 2003, andyo wrote:
В ситуации описанной Максом - частный случай такого трафика - глобальное нарушение полиси :О) В этом плане - да - соблюдение порядка с аннонсом всего что может создать траффик есть гуд бихэйвор. Но у кого требовать его соблюдения, если зачастую не знаешь откуда такой траффик приходит (аннонсов то нет)? А вылавливать отдельные провинившиеся специфики и специфички - мягко говоря - мартышкин труд. Поэтому верифай все-таки рулит. И не совсем понял - какие преференции на А завысить?
Все с сторону С, т.к. украина таки, и при равенстве путей она приоритетней. Я бы вначале покурил/поговорил, а потом можно и повоевать, если не дойдет. А если настроение боевое - verify unicast на В все решит, только вот будет ли оно полезно как метод в целом...
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua
Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
Частные случаи с помощью верифай решать не стоит. Лучше потребовать от провайдера Р анонсировать _всё_ своё в украину, так как мнение такое, что из мира приходит морспецифик. На А завысить преференции в С не городить огород.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- regards, Serge Pershin =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Wed, Dec 17, 2003 at 22:49 +0200, Maxim Tuliuk wrote:
On Wed, Dec 17, 2003 at 18:31 +0200, Andrey Blochintsev wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
А задача в чем? 1. не пропустить траффик "X->мир" (причем наличие провайдера P тут не требуется, вирус в сети X сработает не хуже ;) ?
ip verify unicast включенное на роутере B (на интерфейсе откуда влетает траффик от ?A?) эту задачу решит. попутно задавит и других "незнакомых" - но если это устраивает...
Я думал несколько не так решить:
Все-же уточни задачу. Что именно решить? Если: запретить приход траффика от сетей, которые ты не считаешь "украинскими" с "украинских" интерфейсов - то решение:
на раутере C у меня только "украинские" сети и на интерфейсах, где принимаю ua-ix и utc-ix поставить: ip verify unicast source reachable-via any должно работать. А если задача: не дать клиенту X "влететь на исходящий зарубежный траффик" - то твой вариант это "гвоздь не от той стены" ;). Тут маркировка и/или RPF check (но уже в другом месте).
а встреча "незнакомцов" с Null0 меня не пугает
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
В ситуации описанной Максом - частный случай такого трафика - глобальное нарушение полиси :О) В этом плане - да - соблюдение порядка с аннонсом всего что может создать траффик есть гуд бихэйвор. Но у кого требовать его соблюдения, если зачастую не знаешь откуда такой траффик приходит (аннонсов то нет)? А вылавливать отдельные провинившиеся специфики и специфички - мягко говоря - мартышкин труд. Поэтому верифай все-таки рулит. И не совсем понял - какие преференции на А завысить? Все с сторону С, т.к. украина таки, и при равенстве путей она приоритетней. Эмм... Я так полагаю что Макс не через внешние каналы Украину гоняет и то о чем ты говоришь у него уже есть. Я бы вначале покурил/поговорил, а потом можно и повоевать, если не дойдет. Можно конечно на РАЙП понадеяться - попробовать определить как "левый" трафик достигает ТО. В крайнем случае позвонишь ты Васе Пупкину в Хацапетовку, спросишь к кому вы мол подключены, тот тебе - а вот к Пупке Васечкину, звонишь ему, задаешь тот же вопрос, он тебе - а вот к Пупковасе Васепупкину и так далее пока не доберешься до ТО. Соотв. обращаешься к многоуважаемому участнику - непорядок мол - а он тебе - так я сам этих аннонсов не вижу но трафик этот типа того - отфильтровывать не могу, политически и экономически. Как тебе такая перспектива. Я к тому, что тот из участников ТО, кто пропускает на ТО такой трафик, вероятнее всего делает это сознательно. И ты получаешься сам себе надежда и опора. А если настроение боевое - verify unicast на В все решит, только вот будет ли оно полезно как метод в целом... Тут опять-же - все от задачи. Судя по поставленной - верифай рулит.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 04:35:19PM +0200, Maxim Tuliuk wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
Вариант 2 - если A, B и C Cisco роутеры, связанные через dot1q транки через Cisco коммутаторы использовать на роутерах локальный QoS для маркирования пакетов на ingres-е, далее на egres-е в Ethernet-backbone транслировать QoS group в dot1q COS, потом на ingres-е из Ethernet-backbone обратно транслировать dot1q COS в QoS group, и на Egres-е в мир траффик, маркированный Ukraine-only QoS group дропать, например CAR-ом. -- Regards, Volodymyr. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Dec 17, 2003 at 02:17:49PM -0800, Dmitry Kohmanyuk Дмитрий Кохманюк wrote:
DKДК>> вриант N2 - промаркировать пакеты на A приходящие от C при DKДК>> помощи QoS mark и аналогично не выпустить их в мир
DKДК> вот и вопрос - а если клиент QoS поставит сам? инициативу наказывать? ;)
насколько я помню QoS mark локальный в пределах кошки (или qos group он правильно называется)
там было dcsp. я не знаю, оно ставит QoS биты или другие?
Dk, ты говориш о параметрах IP header-а (TOS и DSCP - суть разные названия одних и тех же bit IPv4 header-а), а Mage о Cisco proprietary solution который позволяет маркировать пакеты по некоторым правилам некоторой QOS group, локальной в пределах одного роутера, и не меняющей ничего в самом IP пакете. А тому контрактору из Киева, который насоветовал использовать dscp mark в окружении, не сбрасывающем его на всех ingres-интерфейсах в нужные значения, нужно в следующий раз думать тщательнее. -- Regards, Volodymyr. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Dec 18, 2003 at 21:25 +0200, Volodymyr Yakovenko wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
Вариант 2 - если A, B и C Cisco роутеры, связанные через dot1q транки через Cisco коммутаторы использовать на роутерах локальный QoS для маркирования пакетов на ingres-е, далее на egres-е в Ethernet-backbone транслировать QoS group в dot1q COS, потом на ingres-е из Ethernet-backbone обратно транслировать dot1q COS в QoS group, и на Egres-е в мир траффик, маркированный Ukraine-only QoS group дропать, например CAR-ом.
А для чего мне использовать switch ? Тут IMHO задача для 3го уровня -- Maxim Tuliuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Dec 18, 2003 at 9:20 +0200, Andrey Blochintsev wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
А задача в чем? 1. не пропустить траффик "X->мир" (причем наличие провайдера P тут не требуется, вирус в сети X сработает не хуже ;) ?
ip verify unicast включенное на роутере B (на интерфейсе откуда влетает траффик от ?A?) эту задачу решит. попутно задавит и других "незнакомых" - но если это устраивает...
Я думал несколько не так решить:
Все-же уточни задачу. Что именно решить? Если: запретить приход траффика от сетей, которые ты не считаешь "украинскими" с "украинских" интерфейсов - то решение:
на раутере C у меня только "украинские" сети и на интерфейсах, где принимаю ua-ix и utc-ix поставить: ip verify unicast source reachable-via any должно работать.
Оно, только реальность с симметрий украинского трафика оказалась просто удручающей -- Maxim Tuliuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Fri, Dec 19, 2003 at 12:39 +0200, Maxim Tuliuk wrote:
On Thu, Dec 18, 2003 at 9:20 +0200, Andrey Blochintsev wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
А задача в чем? 1. не пропустить траффик "X->мир" (причем наличие провайдера P тут не требуется, вирус в сети X сработает не хуже ;) ?
ip verify unicast включенное на роутере B (на интерфейсе откуда влетает траффик от ?A?) эту задачу решит. попутно задавит и других "незнакомых" - но если это устраивает...
Я думал несколько не так решить:
Все-же уточни задачу. Что именно решить? Если: запретить приход траффика от сетей, которые ты не считаешь "украинскими" с "украинских" интерфейсов - то решение:
на раутере C у меня только "украинские" сети и на интерфейсах, где принимаю ua-ix и utc-ix поставить: ip verify unicast source reachable-via any должно работать.
Оно, только реальность с симметрий украинского трафика оказалась просто удручающей
:) Ну я не зря спрашивал, какой эффект нужно получить... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Dec 19, 2003 at 12:37:58PM +0200, Maxim Tuliuk wrote:
On Thu, Dec 18, 2003 at 21:25 +0200, Volodymyr Yakovenko wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
Вариант 2 - если A, B и C Cisco роутеры, связанные через dot1q транки через Cisco коммутаторы использовать на роутерах локальный QoS для маркирования пакетов на ingres-е, далее на egres-е в Ethernet-backbone транслировать QoS group в dot1q COS, потом на ingres-е из Ethernet-backbone обратно транслировать dot1q COS в QoS group, и на Egres-е в мир траффик, маркированный Ukraine-only QoS group дропать, например CAR-ом.
А для чего мне использовать switch ? Тут IMHO задача для 3го уровня
У тебя три разных роутера, между ними нужно передавать информацию о типе траффика, ассоциированную с каждым IP пакетом. Ее можно передавать на 3-ем уровне (TOS/DSCP), или 2-ом (COS). Предача на 3-ем требует того, чтобы на всех ingres-ах в твою сеть значения TOS/DSCP которыми тебя может кормить клиент/мир скидывались. Передача на 2-ом хороша тем, что данные о характере траффика в L3 пакете не аффектят сам пакет. -- Regards, Volodymyr. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (8)
-
Alexander Trotsai -
Andrey Blochintsev -
andyo -
Dmitry Kohmanyuk Дмитрий Кохманюк -
Maxim Tuliuk -
Sergey Kovalenko -
Sergey Pershin -
Volodymyr Yakovenko