Auteur Sujet: FranceIX dépasse les 100k routes sur les Route-Server  (Lu 11523 fois)

0 Membres et 1 Invité sur ce sujet

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #12 le: 26 octobre 2017 à 12:58:06 »
Tu refuses rien là, tu logs des trucs. C'est super.
Non

Oct 25 13:52:47:E:BGP: No. of prefix received from BGP Peer 192.65.185.1: exceeded maximum limit 25000
#sh ip bgp sum | inc 192.65.185.1
192.65.185.1      57859       ESTAB   23d12h59m     24997       1        43       0 

Merci raf pour le lien

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #13 le: 26 octobre 2017 à 14:54:45 »
Mais ca ca marche parce-que tu filtres, que ton peer a un AS-MACRO utilisable pour que tu generes les filtres, et qu'ils n'ont jamais merde avec un leak de routes re-originies.
Have fun sur les RS equinix avec des tels pre-requis :) Deja que sur FranceIX ca genere des monstres de config.

De mon cote je prefere couper les sessions avec les RS et rester temporairement avec les peers avec lesquels j'ai des sessions directes... ou sur l'autre IXP :P

ut0mt8

  • AS49477 e-TF1
  • Expert
  • *
  • Messages: 145
  • Boulognes(92)
    • (ex AS49477) Senior Engineering Manager
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #14 le: 26 octobre 2017 à 22:51:59 »
Normalement les RS FranceIX shut rapidement les sessions sur les max-prefix (je le sais j'ai fait de la ### hier, mais j'ai une bonne excuse).
Et comme bientôt tous sera bien filtré sur les RS on sera safe.

Bengelly

  • AS12876 Expert Scaleway
  • Expert
  • *
  • Messages: 297
  • Paris (75)
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #15 le: 30 octobre 2017 à 16:32:47 »
Et comme bientôt tous sera bien filtré sur les RS on sera safe.

On voit ce que ça a donné sur AMS-IX semaine dernière  :P

@++

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #16 le: 30 octobre 2017 à 18:31:17 »
France-IX va contrôler (comme le font déjà les gros transitaires) que tu n’annonces que les plages IP qui t'on été allouées et pas celle d'un autre ?

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #17 le: 30 octobre 2017 à 18:54:10 »
Alors si j'ai bien compris, ils vont verifier si il y'a bien ton AS en Origin dans l'IRR de ton préfixe.

Exemple pour mon préfixe v4 : https://bgp.he.net/net/185.126.228.0/22#_irr

J'ai bien "origin:         AS203698" pour mon préfixe, donc tout va bien :)

Après y'a aussi ROA, mais alors ça, je crois qu'ils n'ont pas prévu de le mettre en place (et je n'y connais rien du tout :/)

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #18 le: 30 octobre 2017 à 19:04:19 »
Actuellement, les routes "incorrectes" disposent de communautés adaptés
Le vote de vendredi dernier portait sur le comportement du route serveur: doit-il conserver le système actuel, ou doit-il supprimer ces annonces défectueuses ?

Voici les communautés utilisées chez France-IX pour tagger les routes :
 
51706:65012 = Préfixe avec statut ROA: VALID
51706:65022 = Préfixe avec statut ROA: INVALID
51706:65023 = Préfixe avec statut ROA: UNKNOWN
51706:65011 = Préfixe présent dans les IRR et lié à l’AS/AS-SET
51706:65021 = Préfixe non présent dans les IRR et/ou non lié à l’AS/AS-SET

Pour les ROA, il suffit de configurer le RPKI: aller sur https://my.ripe.net/#/rpki et valider les annonces qui existent :)

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #19 le: 30 octobre 2017 à 19:06:39 »
Tiens je vais essayer de les drop à l'occasion pour voir ce que l'on perd..

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #20 le: 30 octobre 2017 à 20:08:26 »
Même si les transits vérifie les annonces, on a déjà vu qu'un membre qui peer beaucoup et qui annonce des IP qui ne sont pas à lui a un grand pouvoir de nuisance.

J'ai de mémoire un opérateur étranger qui avait sa plage IP annoncé par OVH.

Il avait contacté un a un les peer d'OVH pour demander de filtrer les annonces d'OVH.

Je ne sais pas si vous en savez plus sur ce vieux cas (pourquoi OVH n'a pas rapidement supprimé l'annonce défectueuse).

ut0mt8

  • AS49477 e-TF1
  • Expert
  • *
  • Messages: 145
  • Boulognes(92)
    • (ex AS49477) Senior Engineering Manager
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #21 le: 30 octobre 2017 à 20:56:19 »
On voit ce que ça a donné sur AMS-IX semaine dernière  :P

@++

Qu'est ce qui s'est passé sur Amsix encore ? enfin safe c'est effectivement un bien grand mot. Il restera encore toutes les saloperies L2 inhérentes à un IX.

Synack

  • AS16080 Rentabiliweb Telecom
  • Expert
  • *
  • Messages: 689
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #22 le: 02 novembre 2017 à 18:18:27 »
C'est marrant, je lis des choses qui me choquent en fait :
- Faire confiance au RS alors qu'il est toujours préférable d'être prudent vis à vis de ses fournisseurs et de sécuriser ce qu'on peut sécuriser de son côté.
- Avoir un problème de trafic lorsqu'une session BGP avec un RS tombe.


jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
FranceIX dépasse les 100k routes sur les Route-Server
« Réponse #23 le: 02 novembre 2017 à 19:04:25 »
C'est marrant, je lis des choses qui me choquent en fait :
- Faire confiance au RS alors qu'il est toujours préférable d'être prudent vis à vis de ses fournisseurs et de sécuriser ce qu'on peut sécuriser de son côté.
- Avoir un problème de trafic lorsqu'une session BGP avec un RS tombe.

Faire confiance à afenioux me parait être une bonne chose !
(oui, faire du filtrage ROA chez soi est une bonne idée, malheureusement ce n'est pas le cas)

Pour le deuxième point en revanche, je suis tout à fait en phase avec toi
Des transitaires capables d'absorber l'intégralité du trafic IX / d'un autre transitaire me parait être le minimum