Ce qui m'étonne le plus c'est qu'apparemment il n'y avait pas de
max-prefix limit sur ce peer, justement pour se protéger d'un mec qui
leak une full table sur un IX, encore plus sur un routeur qui peut pas
l'encaisser en fib.
Voilà ce que Oles en dit:
Le 11/02/2016 18:18, Octave Klaba a écrit :
http://travaux.ovh.net/?do=details&id=16568
Bonjour,
Nous venons d'avoir un problème de routage qui a
impacté 75% de notre trafic. L'origine du probleme
a été fixé et nous sommes en train de finir de
gérer l'incident.
L'origine du probleme vient d'un point de peering
DECIX à Francfort où l'un des réseaux AS31500 nous
a annoncé via le BGP "tout Internet". C'est une
erreur de manipulation qui arrive assez souvent
et nous avons de mécanismes de protections pour
filtrer ce genre d'erreurs humaines. Sauf que ce
mécanisme n'a pas été mis en place sur la connexion
avec ce réseau là. Un oublie de notre part lors
de récentes migrations de routeurs en Europe. On
cherche à quel moment cette erreur s'est glissé
dans nos configurations. Le résultat: 75% de notre
trafic a été aspiré par ce réseau, à travers
Francfort et ça a provoqué une panne. Nous avons
coupé la session BGP avec cet AS et nous avons
stabilisé le routage.
Nous sommes désolés pour cette panne. On est en
train de coder le script pour contre vérifier
toutes les configurations BGP sur nos routeurs
et éviter ce genre d'oublie.
Amicalement
Octave
Apparemment, les 25% non impacté c'est les peering privés.
Bonne soirée
Fabrice
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
