Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
478 connectés 

 



 Mot :   Pseudo :  
  Aller à la page :
 
 Page :   1  2  3  4  5  ..  17  18  19  20  21  22
Page Suivante
Auteur Sujet :

Beyond the first mile - Le topic du réseau des réseaux

n°1080360
Sly Angel
Architecte / Développeur principal
Posté le 10-06-2019 à 22:07:15  profilanswer
 

Reprise du message précédent :

ptibeur a écrit :

Justement si c'est une full view tu ne mets "pas" de max prefix vu que le nombre est en constante évolution, si ? [:transparency] De mon côté j'ai surtout mis des stratégies pour filtrer les préfixes trop petits à la con, les bogons, ne pas te faire annoncer tes propres préfixes, etc. Et sur les peering sans full view, là c'est soit whitelist soit max prefix correctement sizé.  
70K préfixes sur les 700K+ préfixes actuellement ça fait moins de 10%, pas sûr que ça ait déclenché le shut de la session s'ils ont configuré un max prefix assez large.  
 
Je doute aussi qu'un datacenter Suisse annonce une full view à China Telecom, ou à des fins de statistiques sur sa connectivité ? [:transparency]  
 
Dans tous les cas oui c'est moche de ne pas vérifier ce qu'on annonce et les graphes de trafic :/


 
T'annonces pas une full view sur un peering, ça n'a pas de sens, sinon c'est du transit et dans ce cas la route a toujours été annoncée. 70K préfixes, ça veut dire que les suisses auraient leaké qu'une partie des routes, peut-être leur voisins de peering sur le même routeur ? Parce que 128/8 sera surement pas dans les premiers 70K en cas de max prefix (qui pourrait être configuré pour alerter et non pour couper)
 
70K c'est quand même un peu sérieux, je suis curieux de savoir ce qui est annoncé en temps normal et le filtrage en place de l'autre côté.
 


---------------
Fan et séquestrateur de Deprem De Prel Photographie, célèbre photographe de tuning automobile :o
mood
Publicité
Posté le 10-06-2019 à 22:07:15  profilanswer
 

n°1080369
bulldozer_​fusion
rip Mekthoub
Posté le 10-06-2019 à 22:51:50  profilanswer
 

Sly Angel a écrit :

 

Si, il y a des mécanismes qui existent mais qui mettent du temps à être adoptés par tout le monde (check RPKI/IRR). Le truc c'est que les mettre de manière "nazi" c'est réduire le volume qui passe par le peering, là où voudrait qu'il passe de préférence.

 

Après qu'une route égale qui passe par la Chine soit préférée à une route locale en Europe, c'est pas fréquent, faut un AS-path de merde sur le chemin valide ou un masque plus petit.

 

Donc en gros ça peut arriver surtout quand un opérateur prepend (ajoute de l'AS-path artificiel à ses routes) abusivement sur les transitaires et pas sur les peerings (cas de Free) ou quand on a pas de bons transitaires et qu'on se retrouve avec des chemins pas optimisés déjà à l'origine.

 

Bref ça peut arriver, il y a des moyens de se protéger mais faut que tout le monde participe au truc, il y a déjà des choses normalement en place pour limiter la casse et apparemment ça n'a pas été fait bien, ça aurait du être vu bien plus vite par les gens concernés, meilleur est le réseau et moins tu es impacté par ce genre de merdes.


 :jap:


---------------
feed-back : http://forum.hardware.fr/forum2.ph [...] nojs=0#bas
n°1080372
ptibeur
Snafu
Posté le 10-06-2019 à 23:35:13  profilanswer
 

Ivy gu a écrit :


 
 
en tant qu'opérateur tu t'attends pas à une full view de la part d'un client donc si tu peux mettre une max prefix.
Après si tu mets ni max prefix, ni irr filter, ni check roa/rpki bah... faut aimer le risque [:wade:3]


Les clients downstream auxquels je fournis du transit ont une whitelist, mes peers ont un mix de whitelist et max prefix assez serré, ya que mes fournisseurs de transit upstream qui soient open sur le nombre de préfixes (mais pas open sur le contenu, je filtre pour éliminer des éléments qui n'ont rien à y faire) :jap:  
On peut tjrs améliorer avec roa/rpki, je fais du lobbying en interne mais on n'y est pas encore :o
 
Sly a parlé en premier de full view plus haut, justement ça m'a étonné donc je me suis demandé dans quelles conditions (stats ?) ce serait crédible parce que c'est assez inattendu dans ce cas précis (hébergeur suisse, fai chinois).  
 
Je vais voir si je trouve + de détails sur l'affaire, ça m'intéresse [:huit]


---------------
#lesgens
n°1080420
ptibeur
Snafu
Posté le 11-06-2019 à 12:27:03  profilanswer
 

Quelques infos glanées sur Swinog :  
 
SafeHost investigue sur le problème et annonce qu'ils n'ont rien changé à leur config [:tinostar] et qu'ils n'ont pas d'outil automatique / optimisation BGP du style Noction Software :  
https://twitter.com/swisscolo/statu [...] 41312?s=21  
 
SafeHost a bien un partenariat avec China Telecom, depuis 2017 :  
https://www.safehost.com/en/news/33 [...] artnership
 
Un parallèle possible, ou pas, avec les 30 ans des manifestations de Tiananmen en Chine [:cosmoschtroumpf]  
 
L'analyse de l'apnic :  
https://blog.apnic.net/2019/06/07/l [...] a-telecom/
 
Détail intéressant : certains préfixes leakés n'étaient pas directement présent dans la full view (=DFZ) mais étaient des préfixes plus spécifiques que des préfixes existants. Soit ces préfixes plus spécifiques ont été récupérés ailleurs, soit ils ont été générés artificiellement, d'une façon ou d'une autre ?


---------------
#lesgens
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  ..  17  18  19  20  21  22
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
Problème intermittent de connexion InternetPb reseau ; 1 connexion pc->lente les autres OK
Problème périphériques réseaux (LaBox Numéricable)Demarer pc a distance sans Wake on Lan mais par reseau celullaire
Aucun reseau sans fil detectéProblème d'accès entre 2 sous réseaux
Débit instable sur reseau, lent pour première opération puis rapide !Débit reseau instable: Lent première opération puis rapide
[résolu jesaispascomment]partages réseau hs (mais le reste fonctionne)Sécuriser un réseaux pour la location
Plus de sujets relatifs à : Beyond the first mile - Le topic du réseau des réseaux


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR