Re: [Cug] dubbio sintassi as-path access-list
16/01/10 15:17 , Francesco mypho...@interfree.it: Beh, questo è quello che fanno sempre i Provider, nel caso in cui tu abbia un collegamento Primario ed uno Secondario, tutti e due in BGP, se non sbaglio si chiama Prepending, no? Si chiama AS path prepending (buona chiave di ricerca per google, tra parentesi). Sul fatto che lo facciano sempre...dipende (btw, quando si fa, in una situazione come quella che descrivi, e' il cliente che lo fa, non il provider). I provider piu' seri permettono di utilizzare le community, che sono molto piu' flessibili e potenti. La mia impressione e' che il path prepending venga usato come seconda scelta nel caso in cui non si possano usare le community. Beh, ma questo soltanto se il Cliente ha accesso ai dispositivi di frontiera (di solito Router Cisco posti in sede Cliente dal Provider), e mi pare molto difficile che il Provider permetta questo, Dipende. Se il cliente e' abbastanza grande o tecnicamente esperto, generalmente ha AS e indirizzi IP (e probabilmente anche apparati) propri, e li gestisce lui. Ovviamente non e' detto che debba sempre essere cosi', pero' sicuramente le situazioni in cui cio' accade esistono. Probabilmente molto dipende dalle risorse disponibili e dal rapporto (anche economico) che si instaura tra cliente e ISP. di solito può creargli una interfaccia di management e dargli dei permessi di sola lettura, forse qualche debug... senza contare che il Cliente dovrebbe avere assunto gente molto esperta per realizzare una cosa del genere, e di solito usa l'Outsourcing fornito dal Provider... Se il cliente non ha accesso o ha accesso limitato, generalmente e' come dici tu. Clienti di un certo livello che hanno risorse proprie, possono permettersi di gestire la rete in proprio. Onestamente non saprei se questi casi sono piu' o meno frequenti rispetto ai casi in cui il cliente non gestisce; penso che stiamo parlando di realta' differenti ma entrambe possibilii. Nuova grafica e nuove funzionalità! Crea subito Gratis la tua nuova Casella di Posta Katamail ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
Il 16 gennaio 2010 00.31, Davide Brini d...@katamail.com ha scritto: On Friday 15 January 2010, Francesco wrote: Pero' e' possibile creare delle policy che artificialmente, se mi passi il termine, aggiungono piu' volte l'AS number. Il motivo per cui cio' viene fatto e' perche' cosi' l'AS_PATH e' piu' lungo (e quindi per BGP e' meno preferibile rispetto ad altre route in cui e' piu' corto). Generalmente si fa cio' per tentare di influenzare le route scelte da chi invia traffico verso il tuo AS (anche se ci sono modi piu' puliti di farlo, che dovrebbero essere usati se possibile). Beh, questo è quello che fanno sempre i Provider, nel caso in cui tu abbia un collegamento Primario ed uno Secondario, tutti e due in BGP, se non sbaglio si chiama Prepending, no? Si chiama AS path prepending (buona chiave di ricerca per google, tra parentesi). Sul fatto che lo facciano sempre...dipende (btw, quando si fa, in una situazione come quella che descrivi, e' il cliente che lo fa, non il provider). I provider piu' seri permettono di utilizzare le community, che sono molto piu' flessibili e potenti. La mia impressione e' che il path prepending venga usato come seconda scelta nel caso in cui non si possano usare le community. Mi trovo molto d'accordo con Davide. Infatti provider 'seri' aiutano i clienti a scegliere il collegamento primario (tipicamente flat) rispetto al secondario (tipicamente con data-rate basso e a consumo) usando la BGP local preference, dando la possibilità al cliente di indicare la local preference desiderata attraverso le community. L'as-path prepending è consigliato ad esempio: - come seconda scelta quando il provider è 'poco serio' - come soluzione primaria quando i collegamenti del cliente sono con 2 providers diversi e molto distanti nella topologia internet, per cui l'attributo local preference è inadeguato. Matteo ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
Davide Brini ha scritto: On Friday 15 January 2010, Francesco wrote: Pero' e' possibile creare delle policy che artificialmente, se mi passi il termine, aggiungono piu' volte l'AS number. Il motivo per cui cio' viene fatto e' perche' cosi' l'AS_PATH e' piu' lungo (e quindi per BGP e' meno preferibile rispetto ad altre route in cui e' piu' corto). Generalmente si fa cio' per tentare di influenzare le route scelte da chi invia traffico verso il tuo AS (anche se ci sono modi piu' puliti di farlo, che dovrebbero essere usati se possibile). Beh, questo è quello che fanno sempre i Provider, nel caso in cui tu abbia un collegamento Primario ed uno Secondario, tutti e due in BGP, se non sbaglio si chiama Prepending, no? Si chiama AS path prepending (buona chiave di ricerca per google, tra parentesi). Sul fatto che lo facciano sempre...dipende (btw, quando si fa, in una situazione come quella che descrivi, e' il cliente che lo fa, non il provider). I provider piu' seri permettono di utilizzare le community, che sono molto piu' flessibili e potenti. La mia impressione e' che il path prepending venga usato come seconda scelta nel caso in cui non si possano usare le community. ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug Beh, ma questo soltanto se il Cliente ha accesso ai dispositivi di frontiera (di solito Router Cisco posti in sede Cliente dal Provider), e mi pare molto difficile che il Provider permetta questo, di solito può creargli una interfaccia di management e dargli dei permessi di sola lettura, forse qualche debug... senza contare che il Cliente dovrebbe avere assunto gente molto esperta per realizzare una cosa del genere, e di solito usa l'Outsourcing fornito dal Provider... Francesco ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
Davide Brini ha scritto: On Wednesday 13 January 2010, Luca Gervasi wrote: mi permetto di rispondere con una domanda :D Di BGP conosco pochissimo (giusto le basi per bsci) e mi chiedevo in quale caso in un as-path compaia due volte di seguito lo stesso AS di transito. In caso di peering interno (iBGP) pensavo che l'as interno venisse inserito una sola volta nel path. Se nessuno fa nulla, hai ragione: ogni AS viene aggiunto solo una volta (e non in iBGP; viene aggiunto quando una route e' annunciata a un peer eBGP). Pero' e' possibile creare delle policy che artificialmente, se mi passi il termine, aggiungono piu' volte l'AS number. Il motivo per cui cio' viene fatto e' perche' cosi' l'AS_PATH e' piu' lungo (e quindi per BGP e' meno preferibile rispetto ad altre route in cui e' piu' corto). Generalmente si fa cio' per tentare di influenzare le route scelte da chi invia traffico verso il tuo AS (anche se ci sono modi piu' puliti di farlo, che dovrebbero essere usati se possibile). ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug Beh, questo è quello che fanno sempre i Provider, nel caso in cui tu abbia un collegamento Primario ed uno Secondario, tutti e due in BGP, se non sbaglio si chiama Prepending, no? Francesco ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
On Friday 15 January 2010, Francesco wrote: Pero' e' possibile creare delle policy che artificialmente, se mi passi il termine, aggiungono piu' volte l'AS number. Il motivo per cui cio' viene fatto e' perche' cosi' l'AS_PATH e' piu' lungo (e quindi per BGP e' meno preferibile rispetto ad altre route in cui e' piu' corto). Generalmente si fa cio' per tentare di influenzare le route scelte da chi invia traffico verso il tuo AS (anche se ci sono modi piu' puliti di farlo, che dovrebbero essere usati se possibile). Beh, questo è quello che fanno sempre i Provider, nel caso in cui tu abbia un collegamento Primario ed uno Secondario, tutti e due in BGP, se non sbaglio si chiama Prepending, no? Si chiama AS path prepending (buona chiave di ricerca per google, tra parentesi). Sul fatto che lo facciano sempre...dipende (btw, quando si fa, in una situazione come quella che descrivi, e' il cliente che lo fa, non il provider). I provider piu' seri permettono di utilizzare le community, che sono molto piu' flessibili e potenti. La mia impressione e' che il path prepending venga usato come seconda scelta nel caso in cui non si possano usare le community. ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
Il 14 gennaio 2010 01.18, Stefano Sasso stesa...@gmail.com ha scritto: Il 13 gennaio 2010 17.24, Davide Brini d...@katamail.com ha scritto: Pero' e' possibile creare delle policy che artificialmente, se mi passi il termine, aggiungono piu' volte l'AS number. Il motivo per cui cio' viene fatto e' perche' cosi' l'AS_PATH e' piu' lungo (e quindi per BGP e' meno preferibile rispetto ad altre route in cui e' piu' corto). Generalmente si fa cio' per tentare di influenzare le route scelte da chi invia traffico verso il tuo AS (anche se ci sono modi piu' puliti di farlo, che dovrebbero essere usati se possibile). si, ciò è chiaro, non ho dubbi su questo. la mia domanda è un po' diversa (scusate se non mi sono spiegato bene). quello che voglio fare è questo: ipotizzando che As300 sia un mio transit provider, io voglio ricevere le rotte originate da questo AS (e per fare questo uso _300$); voglio inoltre ricevere, tramite l'as 300 le rotte originate dai suoi peer. ora, io non posso sapere a priori se i peer (o clienti) di as 300 usino as prepending, ma voglio accettare in ogni caso le loro rotte (transitanti comunque per l'as 300). E non posso a priori sapere quale sia il loro as number (quindi non posso usare direttamente _$) la regex scritta mi sembrava la più efficace... o sbaglio? ciao, stefano Ciao Stefano, ora è chiarissimo. La tua regex _300_([0-9]+)(_\1)*$ nell'as-path acl permette rotte originate da un peer diretto dell'AS300 per le quali quest'ultimo è di transito, anche in caso di prepending. Ad esempio, se L'AS '' è un qualsiasi peer diretto dell'AS300, la tua regex permetterà i seguenti as-path: 300_ 300__ 300____ ... e così via... Ma anche: _300__ ... __300__ ... ... ____300__ ... dove, , , sono gli AS che separano il tuo AS dall'AS300. CIao, Matteo ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
2010/1/13 Stefano Sasso stesa...@gmail.com: ciao, ho un dubbio sulla correttezza della sintassi di una as-path access-list: supponendo di avere peering con AS300, e di voler accettare le rotte originate dall'AS300 stesso, più dai suoi peer, *qualsiasi* sia un possibile as-path prepending, sono corrette le seguenti regole? ip as-path access-list 5 permit _300$ (e fin qui ci siamo, questa sicuramente è ok :) ) ip as-path access-list 5 permit _300_([0-9]+)(_\1)*$ in teoria il \1 dovrebbe recuperare il valore della prima parentesi tonda dell'espressione, quindi ad esempio l'as-path 300 300 500 500 500 500 viene accettato, mentre 300 500 400 invece no. giusto? :) ciao, stefano ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug Ciao, mi permetto di rispondere con una domanda :D Di BGP conosco pochissimo (giusto le basi per bsci) e mi chiedevo in quale caso in un as-path compaia due volte di seguito lo stesso AS di transito. In caso di peering interno (iBGP) pensavo che l'as interno venisse inserito una sola volta nel path. Grazie per la risposta. Luca -- GnuPG / PGP Key Available on http://pgp.mit.edu KeyID: 0xF1824D07 - Key Fingerprint: BD5D AD99 D455 589E 6AF5 B1D3 B75A 8A7D 0B12 F1DA Linux Registered User: #192634 Cisco CCNA - CSCO11577058 Web: http://www.ashetic.net/wordpress/ ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
Il 13 gennaio 2010 13.30, Stefano Sasso stesa...@gmail.com ha scritto: ciao, ho un dubbio sulla correttezza della sintassi di una as-path access-list: supponendo di avere peering con AS300, e di voler accettare le rotte originate dall'AS300 stesso, più dai suoi peer, *qualsiasi* sia un possibile as-path prepending, sono corrette le seguenti regole? ip as-path access-list 5 permit _300$ (e fin qui ci siamo, questa sicuramente è ok :) ) ip as-path access-list 5 permit _300_([0-9]+)(_\1)*$ in teoria il \1 dovrebbe recuperare il valore della prima parentesi tonda dell'espressione, quindi ad esempio l'as-path 300 300 500 500 500 500 viene accettato, mentre 300 500 400 invece no. Credo che la sintassi scritta da te non permette l'as-path 300 300 500 500 500; invece, può permettere i seguenti as-path: 300 500 500 300 300 300 300 400 400 Come hai detto tu non accetta 300 500 400 Però non ho ben capito cosa intendi dire con voler accettare le rotte originate dall'AS300 stesso, più dai suoi peer? Se sono generate dall'AS 300 l'as-path finirà con _300$. Se accetti tutto quello che transita dall'AS 300, allora l'as-path sarà una cosa tipo _300_. Ciao, Davide ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
On Wednesday 13 January 2010, Luca Gervasi wrote: mi permetto di rispondere con una domanda :D Di BGP conosco pochissimo (giusto le basi per bsci) e mi chiedevo in quale caso in un as-path compaia due volte di seguito lo stesso AS di transito. In caso di peering interno (iBGP) pensavo che l'as interno venisse inserito una sola volta nel path. Se nessuno fa nulla, hai ragione: ogni AS viene aggiunto solo una volta (e non in iBGP; viene aggiunto quando una route e' annunciata a un peer eBGP). Pero' e' possibile creare delle policy che artificialmente, se mi passi il termine, aggiungono piu' volte l'AS number. Il motivo per cui cio' viene fatto e' perche' cosi' l'AS_PATH e' piu' lungo (e quindi per BGP e' meno preferibile rispetto ad altre route in cui e' piu' corto). Generalmente si fa cio' per tentare di influenzare le route scelte da chi invia traffico verso il tuo AS (anche se ci sono modi piu' puliti di farlo, che dovrebbero essere usati se possibile). ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
-Original Message- From: Matteo Pacifico matteo.pacif...@gmail.com Reply-to: AreaNetworking Cisco Users Group cug@ml.areanetworking.it To: AreaNetworking Cisco Users Group cug@ml.areanetworking.it Subject: Re: [Cug] dubbio sintassi as-path access-list Date: Wed, 13 Jan 2010 18:14:06 +0100 In ogni caso ti posso consigliare di fare quante prove vuoi entrando in telnet si questo router dalla consolle del tuo pc: telnet route-views.on.bb.telus.com Bellissimo, un router disponibile via Internet per fare delle prove ... che figata :D Grazie, Davide ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
Ciao Stefano e Luca, Se posso provo a togliere qualche dubbio. X stefano: la prima regex è chiaramente giusta, come hai precisato anche tu. Sulla seconda c'è qualcosa che non va, più che altro, non riesco a capire la domanda. Tu vuoi ricevere rotte adll'AS300 e da tutti i suoi peer? In ogni caso ti posso consigliare di fare quante prove vuoi entrando in telnet si questo router dalla consolle del tuo pc: telnet route-views.on.bb.telus.com In questo router sono permessi solo i comandi di show, quindi attraverso il comando 'sh ip bgp regexp la_tua_regexp' puoi provare l'efficienza della tua espressione regolare ed implementarla nell'acl Matteo, non gli avrai per caso suggerito l'infido route-server con le confederation vero? :-) Mi dai tante soddisfazioni Ciao Daniele ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
Il 13 gennaio 2010 21.16, Daniele Pagliuca daniele.pagli...@gmail.com ha scritto: Ciao Stefano e Luca, Se posso provo a togliere qualche dubbio. X stefano: la prima regex è chiaramente giusta, come hai precisato anche tu. Sulla seconda c'è qualcosa che non va, più che altro, non riesco a capire la domanda. Tu vuoi ricevere rotte adll'AS300 e da tutti i suoi peer? In ogni caso ti posso consigliare di fare quante prove vuoi entrando in telnet si questo router dalla consolle del tuo pc: telnet route-views.on.bb.telus.com In questo router sono permessi solo i comandi di show, quindi attraverso il comando 'sh ip bgp regexp la_tua_regexp' puoi provare l'efficienza della tua espressione regolare ed implementarla nell'acl Matteo, non gli avrai per caso suggerito l'infido route-server con le confederation vero? :-) Mi dai tante soddisfazioni Ciao Daniele ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug No, no Daniele! Per carità! :D A presto Matteo ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
-Original Message- From: Davide Brini d...@katamail.com Reply-to: AreaNetworking Cisco Users Group cug@ml.areanetworking.it To: AreaNetworking Cisco Users Group cug@ml.areanetworking.it Subject: Re: [Cug] dubbio sintassi as-path access-list Date: Wed, 13 Jan 2010 20:36:55 + Ce ne sono anche altri, vedi la lista in fondo a questa pagina: http://www.bgp4.as/looking-glasses e qui http://www.netdigix.com/servers.html http://cisconet.com/route-server/world_map.html (alcuni danno accesso anche a piu' informazioni) mi avete aperto un mondo .. ed io che ho fuso il mio pc con dynamips per l'esame bgp :P ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
Re: [Cug] dubbio sintassi as-path access-list
Il 13 gennaio 2010 17.24, Davide Brini d...@katamail.com ha scritto: Pero' e' possibile creare delle policy che artificialmente, se mi passi il termine, aggiungono piu' volte l'AS number. Il motivo per cui cio' viene fatto e' perche' cosi' l'AS_PATH e' piu' lungo (e quindi per BGP e' meno preferibile rispetto ad altre route in cui e' piu' corto). Generalmente si fa cio' per tentare di influenzare le route scelte da chi invia traffico verso il tuo AS (anche se ci sono modi piu' puliti di farlo, che dovrebbero essere usati se possibile). si, ciò è chiaro, non ho dubbi su questo. la mia domanda è un po' diversa (scusate se non mi sono spiegato bene). quello che voglio fare è questo: ipotizzando che As300 sia un mio transit provider, io voglio ricevere le rotte originate da questo AS (e per fare questo uso _300$); voglio inoltre ricevere, tramite l'as 300 le rotte originate dai suoi peer. ora, io non posso sapere a priori se i peer (o clienti) di as 300 usino as prepending, ma voglio accettare in ogni caso le loro rotte (transitanti comunque per l'as 300). E non posso a priori sapere quale sia il loro as number (quindi non posso usare direttamente _$) la regex scritta mi sembrava la più efficace... o sbaglio? ciao, stefano -- Stefano Sasso stesa...@gmail.com http://www.gnustile.net/ ___ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug