[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

Joao Carlos Peixoto Ponce jocapponce at gmail.com
Sun Nov 23 19:20:21 -02 2014 

2014-11-23 0:15 GMT-02:00 Joao Carlos Peixoto Ponce <jocapponce at gmail.com>:

> 2014-11-22 19:04 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:
>
>> 2014-11-22 14:24 GMT-02:00 Joao Carlos Peixoto Ponce <
>> jocapponce at gmail.com>:
>>
>> > >
>> > >
>> > > Seu anúncio BGP hoje para trânsito: <SEU AS> ou <SEU AS> <SEU AS>
>> > > Seu novo anúncio BGP: <SEU AS> <AS1 de onde vem o ataque> <AS2 de onde
>> > vem
>> > > o ataque> <SEU AS>
>> > >
>> >
>> > Rubens continuando nessa linha que me pareceu promissora, eu fiz isso
>> para
>> > testar mas minha operadora filtrou. A GLBX alega que eu so posso
>> colocar a
>> > direita do meu AS o meu próprio AS ou um AS com quem eu faço peering
>> > direto. E a esquerda do meu AS o meu próprio AS ou algum AS que eu tenha
>> > informado a eles para quem sou transito ou ainda que eles possam validar
>> > consultando import e export de algum IRR.
>> >
>>
>> A rigidez deles é louvável para o dia-a-dia mas não te ajuda num momento
>> de
>> resposta a crise.
>
>
> GVT mesma coisa, nada feito meter AS alheio no ASPATH.
> Mas GVT tem mais flexibilidade que ALGAR estou conseguindo anunciar pros
> EUA, CA, Africa, sem anunciar pra EU e Asia. Me prometeram umas communities
> "especialmente pra mim" para ir pra alguns países. Na Algar é tudo ou nada
> pra tráfego internacional.
> A GLX  tem uma lista de country communities mas é no ingress deles, estou
> tentando negociar algo parecido para "customer TE"
>
> No PDF que o o Rodrigo da Connectoway mencionou, tem as communities da
> GLBX mas a referencia mais atualizada estou consultando com `whois -h
> whois.ripe.net AS3356` bate totalmente com o que o suporte deles esta me
> sugerindo fazer.
> Espero que um dia tenhamos políticas similares ou mais amplas ainda, em
> todas operadoras sérias que estão no mercado.
> Adoraria colocar meus prefixos em uma community e meu prefixo simplesmente
> deixar de ser anunciado nas cidades ou nos paises. Ou seja um nível de
> organização que a GLBX ja tem para os anúncios ingress so que com
> equivalentes para "deny". Eu adoraria poder resolver meus próprios
> problemas e me sentir um sistema autônomo de verdade e tenho certeza que o
> suporte deles também adoraria que resolvesse meus próprios problemas sem
> ter que abrir um chamado não é? Enquanto isso de autônomo nada, me sinto um
> impotente isso sim. Autonomia só para trocar upstream X por Y. Fica meu
> apelo a quem for sério e responsável pela engenharia BGP de grandes
> operadoras caso venham a ler meu apelo. Dar mais autonomia aos próprios
> clientes com mais communities de filtros de export alem dos ingress.
>
> > Outras sugestões que façam os AS de transito que eu preciso me
>> descartarem,
>> > técnicas similares caso essa sua sugestão insista em não funcionar?
>> > Obrigado! Me parece promissor essa linha.
>> >
>>
>> Não tem outros jeitos que não as já citadas communities e o AS-Path(esse
>> que mencionei). Pois é só isso que vai se propagar do seu roteador até
>> onde
>> você quer que faça efeito...
>>
>> ... mas em communities, pode tanto ser communities da própria Level 3
>> quanto ela topar você incluir communities que ela depois inclua nos
>> peerings dela lá fora.
>>
>
> OK uma atualização, estou anunciando com:
>
> Community:  65000:0 65000:27699 65000:15895 65000:15491 65000:9318
> 65000:8708 65000:8622 65000:6849 65000:4837 65000:3216 64980:0 16735:900
>
> Segundo o suporte da GLBX o 6500:XXX vai anunciar o prefixo para todos
> exceto para XXX enquanto o 65000:0 vai pra transitos/clientes deles mas não
> para peers, enquanto o  64980:0 assume uma regra geral de não anunciar para
> europa exceto se 6500:XXX
> A mim parece promissor, vou descobrir pela manha.
>

Uma atualização.
Nada funcionou.
Diminuiu algum trafego mas não cessou.
A GLBX se comprometeu a fazer uma analise.
Mas estou sem esperança
Porque ao meu entender a GLBX vai anunciar meu prefixo para todos exceto
para o XXX das communities que é o que diz a documentação e o suporte deles.
Mas acho que so vai deixar de anunciar meu prefixo para XXX quando XXX for
peering deles.
Nesse caso vai funcionar para uns poucos mas não todos ja que meu problema
é quando esses AS são o transito, no meio do AS-Path e não na direita.
Ou seja já estou desesperançoso. Não creio que eu encontre uma solução BGP.
O mundo não é organizado suficiente para conseguirmos filtrar a esse ponto.

Rubens alguma outra sugestão?
Ou perco a esperança de vez do lado BGP?



>
>
>> Rubens
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>

More information about the gter mailing list