Re: [FRnOG] Level3

[Rani Assaf]

Bonjour,

- Radu-Adrian Feurdean r...@ftml.net wrote:
 d'allocation des RIR ca devra faire l'affaire. Je filtre les /8 APNIC
 comme ca et j'elimine environ 4 routes. Il doit y avoir des
 effets secondaires, mais pour l'instant ca ne me derange pas trop (j'evacue
 les residus via un 0.0.0.0/0 statique).

Oui, ça peut avoir malheureusement bcps d'effets secondaires! On avait
quelques routeurs configurés comme ça et j'étais tombé au moins sur un
cas important: Sony. Ils ont un gros préfixe qui leur est attribué aux
US et ces boulets se sont amusés à annoncer des /24 issues du tas dans
d'autres AS (probablement pour héberger leurs serveurs un peu partout).

Là où c'était moins drôle, c'est qu'ils ont mis des filtres au niveau
du réseau parent sur les sous-réseaux annoncés ailleurs! Moralité: si
par malheur tu vois le réseau parent en peering direct et que t'as pas
les annonces plus spécifiques, le trafic part à la poubelle...

Au bout de 4 mois d'échange de mails avec eux à essayer de leur expliquer
ce que c'était une PA et qu'ils étaient responsables de la continuité de
leur réseau, ils ont fini par choisir la solution la plus bourrin: ils
ont arrêté d'annoncer leur préfixe et laissé juster les sous-réseaux!

Après, on s'étonne qu'une table BGP complète fasse plus de 260k routes...

A+
Rani
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Level3

[Pior Bastida]

Le lundi 29 décembre 2008 09:31:59 Rani Assaf, vous avez écrit :
 Au bout de 4 mois d'échange de mails avec eux à essayer de leur expliquer
 ce que c'était une PA et qu'ils étaient responsables de la continuité de
 leur réseau, ils ont fini par choisir la solution la plus bourrin: ils
 ont arrêté d'annoncer leur préfixe et laissé juster les sous-réseaux!

Quelles auraient été la ou les méthodes judicieuses ?
(C'est une vrai question !)


 Rani
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

-- 
Pior Bastida
p...@pbastida.net
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Level3

[Rani Assaf]

- Pior Bastida p...@pbastida.net wrote:
 Quelles auraient été la ou les méthodes judicieuses ?
 (C'est une vrai question !)

A mon avis:

1) soit ne pas utiliser des plages d'IP de leur PA pour
les annoncer dans les AS de leurs hébergeurs et prendre
des IPs venant de ces hébergeurs

2) soit, s'ils veulent jouer à faire du réseau, ils se font
un vrai réseau et ils assurent la continuité de leur réseau
(quitte à garder les annonces spécifiques ce qui est super
crade en soi mais bon on ne voit plus que ça par les tps
qui courent...)

A+
Rani
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Level3

[Radu-Adrian Feurdean]

On Mon, 29 Dec 2008 18:17:11 +0100 (CET), Rani Assaf
ras...@corp.free.fr said:

 2) soit, s'ils veulent jouer à faire du réseau, ils se font
 un vrai réseau et ils assurent la continuité de leur réseau
 (quitte à garder les annonces spécifiques ce qui est super
 crade en soi mais bon on ne voit plus que ça par les tps
 qui courent...)

  Garder le PA aggereges coute que coute, dans n'importe quelle
  circonstance, c'est limite integrisme. Ca veut dire presque
  automatiquement (de nos jours) avoir un AS = etre LIR, ce qui est
  quand-meme exagere. Dans ces conditions j'aimerais aussi voir ce que
  les grands transitaires font avec leurs nombreuses /8 ... /16 (dont
  une partie non-negligeable sont en multihome). Pour certains pas si
  grands que ca c'est pire encore. TRANSITAIRE(s) etant le mot-cle
  ici

  Autre chose, il y a les pas vraiment PA (comme les 3.*.*.* -
  57.*.*.*) la grande majorite des classes B et bonne partie du
  19[34].*.*.*. Je parles de blocs qui ont ete attribues avant la
  separation en PA et PI (dont je ne suis pas sur que ca existe vraiment
  chez tous les RIR - pensee vers les derniers arrives). C'est dans ce
  logique que certaines LIR fonctionnent encore (une pensee a Jump.Ro
  qui vend effectivement des blocs d'IP - les interesses, apprenez le
  roumain). Ou que certains ont fonctionne pendant des longs annees
  (voir les equivalents d'AFNIC dans certains pays de l'est).

  Et encore autre chose, les cretins qui n'ont pas encore (dec 2008)
  decouvert ni le CIDR ni (encore moins) l'aggregation et annoncent tout
  ce qui est entre /17 et /23 en tant que N fois /24. Pas d'erreur, tous
  les /24 ont strictement le meme (et seul) AS-PATH. C'est en effet
  ceux-la qui font grossir inutillement la table, pas ceux qui
  commencent leur activite avec un pauvre 38.x.y.0/24 ou 8.a.b.0/24 en
  multihome.

  Comme j'ai commence a me defouler, je pense aussi aux gens qui font
  de la securite (de tout sort), qui font que la re-numerotation des
  certains reseaux (notamment d'entreprise) est un chose qui se planifie
  plusieurs annees en avance (nous, ca fait deja 18 mois qu'on essaye de
  se debarasser d'un pauvre /26 - qu'on a eu il y a ~7 ans - sans couper
  quelques grands comptes qui securisent leurs acces reseau). 
  On a aussi ceux qui dans l'annee de grace 2008, bientot 2009, n'ont
  pas encore decouvert le DNS et gardent un plaisir fou a utiliser des
  addresses IP en toute circonstance (rien que pour les punir, l'IPv6
  vaut la peine).

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Level3

[Raphael Maunier]

Radu-Adrian Feurdean a écrit :

Hello,

On Mon, 29 Dec 2008 18:17:11 +0100 (CET), Rani Assaf
ras...@corp.free.fr said:

  

2) soit, s'ils veulent jouer à faire du réseau, ils se font
un vrai réseau et ils assurent la continuité de leur réseau
(quitte à garder les annonces spécifiques ce qui est super
crade en soi mais bon on ne voit plus que ça par les tps
qui courent...)



  Garder le PA aggereges coute que coute, dans n'importe quelle
  circonstance, c'est limite integrisme.
heu, ah bon pourquoi ? Sinon tu prend un bloc ou tu fais des allocated 
PA, mais si tu as une PA que tu utilises pour des clients statiques, je 
ne vois pas pourquoi ce serait integriste de garder cette PA aggrege.
Pour ma part, je ne veux pas que mes clients annoncent mes blocs PA, 
meme s'ils ont au moins un /24

 Ca veut dire presque
  automatiquement (de nos jours) avoir un AS = etre LIR, ce qui est
  quand-meme exagere.

et les PI alors ?

 Dans ces conditions j'aimerais aussi voir ce que
  les grands transitaires font avec leurs nombreuses /8 ... /16 (dont
  une partie non-negligeable sont en multihome). Pour certains pas si
  grands que ca c'est pire encore. TRANSITAIRE(s) etant le mot-cle
  ici
  
Ils en ont beaucoup trop affecte au depart a des HP/IBM/cie, ou encore 
les constructeurs automobiles qui utilisent par exemple des ip publiques 
pour leurs imprimantes en interne (si si, je l'ai vu), et ensuite qui 
natent le tout sur un autre bloc PA ( d'un autre operateur sinon c'est 
pas marrant)

  Autre chose, il y a les pas vraiment PA (comme les 3.*.*.* -
  57.*.*.*) la grande majorite des classes B et bonne partie du
  19[34].*.*.*. Je parles de blocs qui ont ete attribues avant la
  separation en PA et PI (dont je ne suis pas sur que ca existe vraiment
  chez tous les RIR - pensee vers les derniers arrives). C'est dans ce
  logique que certaines LIR fonctionnent encore (une pensee a Jump.Ro
  qui vend effectivement des blocs d'IP - les interesses, apprenez le
  roumain). Ou que certains ont fonctionne pendant des longs annees
  (voir les equivalents d'AFNIC dans certains pays de l'est).

  Et encore autre chose, les cretins qui n'ont pas encore (dec 2008)
  decouvert ni le CIDR ni (encore moins) l'aggregation et annoncent tout
  ce qui est entre /17 et /23 en tant que N fois /24. Pas d'erreur, tous
  les /24 ont strictement le meme (et seul) AS-PATH. C'est en effet
  ceux-la qui font grossir inutillement la table, pas ceux qui
  commencent leur activite avec un pauvre 38.x.y.0/24 ou 8.a.b.0/24 en
  multihome.
  
Je dirais qu'une bonne partie utilise les n*/24 pour avoir des routes 
plus fine. Les cretins ( ou boulets comme tu veux) qui ne savent pas 
utiliser le cidr sont minoritaires.

  Comme j'ai commence a me defouler, je pense aussi aux gens qui font
  de la securite (de tout sort), qui font que la re-numerotation des
  certains reseaux (notamment d'entreprise) est un chose qui se planifie
  plusieurs annees en avance (nous, ca fait deja 18 mois qu'on essaye de
  se debarasser d'un pauvre /26 - qu'on a eu il y a ~7 ans - sans couper
  quelques grands comptes qui securisent leurs acces reseau). 
  On a aussi ceux qui dans l'annee de grace 2008, bientot 2009, n'ont

  pas encore decouvert le DNS et gardent un plaisir fou a utiliser des
  addresses IP en toute circonstance (rien que pour les punir, l'IPv6
  vaut la peine).
  
La , je ne peux trop rien dire, on a tous ici le meme cas avec ces 
dossiers que l'on traine tous :(



--
Raphaël Maunier
NEO TELECOMS
Engineering Manager

rmaun...@neotelecoms.com 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Level3

[Radu-Adrian Feurdean]

On Mon, 29 Dec 2008 20:01:00 +0100, Raphael Maunier
rmaun...@neotelecoms.com said:

Garder le PA aggereges coute que coute, dans n'importe quelle
circonstance, c'est limite integrisme.
 heu, ah bon pourquoi ? Sinon tu prend un bloc ou tu fais des allocated 
 PA, mais si tu as une PA que tu utilises pour des clients statiques, je 
 ne vois pas pourquoi ce serait integriste de garder cette PA aggrege.
 Pour ma part, je ne veux pas que mes clients annoncent mes blocs PA, 
 meme s'ils ont au moins un /24

Deja, pas tout le monde peut se permettre une allocation (/19 a /21
selon les cas).

Apres, les histoires de re-numerotation qui n'est pas toujours
facile/possible pour des raisons plutot obscures.
 ou chez certains les vendeurs vendent n'importe quoi (pour avoir
leur comm).

Je ne suis pas en train de defendre les gens qui veulent partir avec
leur morceau de PA, mais bien des gens qui commenent petit avec des
blocs PA et qui commencent a diversifier/multihomer apres.

   Ca veut dire presque
automatiquement (de nos jours) avoir un AS = etre LIR, ce qui est
quand-meme exagere.
 et les PI alors ?

Ca doit faire tres longtemps qu tu as a faire avec RIPE, et que tu dois
etre habitue avec leu terminologie/procedures. Ce n'est pas le cas de
tout le monde.
Souvent, le premier contact, meme par l'intermediaire d'un LIR, est
tres doulereux et se solde avec un echec; ou par le manque totale de
volonte de repeter l'experience. Les gens ordinaires et les pas
techniques savent tres bien ca (pour certains c'est pire que le fisc),
et c'est pour ca qu'ils acceptent les PA, dont les cirteres
d'attribution sont beaucoup plus laxistes; en plus c'est l'ISP/NSP qui
les offre qui se charge des procedures.

Exemple chez nous:
 - assignment d'un /22 PA dans notre allocation, avec justification a
 3 ans et utilisation immediate a moins de 20%, ca n'a pas eu aucune
 probleme a passer chez RIPE.
 - un client essayant d'avoir son /24 en PI, avec utilisation immediate
 a 50% et 100% dans un an, a abandonne apres essays chez deux LIR (nous
 et un autre hebergeur).

   Dans ces conditions j'aimerais aussi voir ce que
les grands transitaires font avec leurs nombreuses /8 ... /16 (dont
une partie non-negligeable sont en multihome). Pour certains pas si
grands que ca c'est pire encore. TRANSITAIRE(s) etant le mot-cle
ici

 Ils en ont beaucoup trop affecte au depart a des HP/IBM/cie, ou encore 

Worst offender : DoD information center - 12 x /8 = 5% de l'espace
total.

Plein des /8 qui ne sont meme pas dans la table.

sh ip bgp 6.0.0.0/8 longer-prefixes  - (1)
sh ip bgp 6.0.0.0/7 longer-prefixes  - (1)
sh ip bgp 7.0.0.0/8 longer-prefixes

sh ip bgp 11.0.0.0/8 longer-prefixes
sh ip bgp 21.0.0.0/8 longer-prefixes
sh ip bgp 22.0.0.0/8 longer-prefixes
sh ip bgp 26.0.0.0/8 longer-prefixes
sh ip bgp 28.0.0.0/8 longer-prefixes
sh ip bgp 29.0.0.0/8 longer-prefixes
sh ip bgp 30.0.0.0/8 longer-prefixes
sh ip bgp 28.0.0.0/7 longer-prefixes
sh ip bgp 33.0.0.0/8 longer-prefixes  - VICTROIRE 
sh ip bgp 214.0.0.0/7 longer-prefixes - ENCORE VICTOIRE !

(1) Comparez l'espace alloue avec l'espace visible tans la table.

Bon il etait le premier sponsor, mais quand-meme..

 les constructeurs automobiles qui utilisent par exemple des ip publiques 
 pour leurs imprimantes en interne (si si, je l'ai vu), et ensuite qui 
 natent le tout sur un autre bloc PA ( d'un autre operateur sinon c'est 
 pas marrant)

Pire encore, apres les /8 qu'ils utilisent a la place de 10.0.0.0/8, ils
arrivent a avoir des /16 ... /24 supplimentaires, et pas 2 ou 3

sh ip bgp regexp _71_
sh ip bgp regexp _80_
sh ip bgp regexp _714_

ou bien

sh ip bgp 9.0.0.0/8 longer-prefixes
sh ip bgp 51.0.0.0/8 longer-prefixes  mon favori !!!

Et dans l'esprit du topic d'origine (desaggregation/PA/PI et non pas
allocation/assignments a la con):

sh ip bgp 34.0.0.0/8 longer-prefixes
sh ip bgp 12.0.0.0/8 longer-prefixes

Desole pour les fans Juniper; installez un route-collector quagga, en
bonus il vous donne a la fin le nombre de routes qui font le match
(quand il y en a).

Faites aussi un effort de faire un whois sur les blocs/AS des
offenders.

 Je dirais qu'une bonne partie utilise les n*/24 pour avoir des routes 
 plus fine. Les cretins ( ou boulets comme tu veux) qui ne savent pas 
 utiliser le cidr sont minoritaires.

.. si au moins il y avait des AS-PATH differents..
Mais non, ca passe toujours par le(s) meme(s) upstream. comme si
annoncer l'aggregat globalement et les plus fin avec no-export c'etait
vraiment difficile Aparamment ca l'est

Je te trouve un exemple demain.

 La , je ne peux trop rien dire, on a tous ici le meme cas avec ces 
 dossiers que l'on traine tous :(

:)


-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Level3

[Raphael Maunier]

Radu-Adrian Feurdean a écrit :

On Mon, 29 Dec 2008 20:01:00 +0100, Raphael Maunier
rmaun...@neotelecoms.com said:

  

  Garder le PA aggereges coute que coute, dans n'importe quelle
  circonstance, c'est limite integrisme.
  
heu, ah bon pourquoi ? Sinon tu prend un bloc ou tu fais des allocated 
PA, mais si tu as une PA que tu utilises pour des clients statiques, je 
ne vois pas pourquoi ce serait integriste de garder cette PA aggrege.
Pour ma part, je ne veux pas que mes clients annoncent mes blocs PA, 
meme s'ils ont au moins un /24



Deja, pas tout le monde peut se permettre une allocation (/19 a /21
selon les cas).

Apres, les histoires de re-numerotation qui n'est pas toujours
facile/possible pour des raisons plutot obscures.
 ou chez certains les vendeurs vendent n'importe quoi (pour avoir
leur comm).

Je ne suis pas en train de defendre les gens qui veulent partir avec
leur morceau de PA, mais bien des gens qui commenent petit avec des
blocs PA et qui commencent a diversifier/multihomer apres.

  

 Ca veut dire presque
  automatiquement (de nos jours) avoir un AS = etre LIR, ce qui est
  quand-meme exagere.
  

et les PI alors ?



Ca doit faire tres longtemps qu tu as a faire avec RIPE, et que tu dois
etre habitue avec leu terminologie/procedures. Ce n'est pas le cas de
tout le monde.
  
Il faut de la rigueur. A chaque audit du ripe, on avait TOUS les docs 
pret et nous etions en mesure de les fournir dans le 1/4 d'heure.
Nous avons un formulaire plus simple pour nos clients et nous faisons 
ensuite le document pour le ripe et nous faisons TOUS les 
enregistrements, meme si on est dans le WA.

Souvent, le premier contact, meme par l'intermediaire d'un LIR, est
tres doulereux et se solde avec un echec; ou par le manque totale de
volonte de repeter l'experience. Les gens ordinaires et les pas
techniques savent tres bien ca (pour certains c'est pire que le fisc),
et c'est pour ca qu'ils acceptent les PA, dont les cirteres
d'attribution sont beaucoup plus laxistes; en plus c'est l'ISP/NSP qui
les offre qui se charge des procedures.

Exemple chez nous:
 - assignment d'un /22 PA dans notre allocation, avec justification a
 3 ans et utilisation immediate a moins de 20%, ca n'a pas eu aucune
 probleme a passer chez RIPE.
 - un client essayant d'avoir son /24 en PI, avec utilisation immediate
 a 50% et 100% dans un an, a abandonne apres essays chez deux LIR (nous
 et un autre hebergeur).
  
Franchement ca ne nous est jamais arrive depuis que nous sommes serieux 
sur nos demandes et affectations clientes.
  

 Dans ces conditions j'aimerais aussi voir ce que
  les grands transitaires font avec leurs nombreuses /8 ... /16 (dont
  une partie non-negligeable sont en multihome). Pour certains pas si
  grands que ca c'est pire encore. TRANSITAIRE(s) etant le mot-cle
  ici
  
  
Ils en ont beaucoup trop affecte au depart a des HP/IBM/cie, ou encore 



Worst offender : DoD information center - 12 x /8 = 5% de l'espace
total.

Plein des /8 qui ne sont meme pas dans la table.

sh ip bgp 6.0.0.0/8 longer-prefixes  - (1)
sh ip bgp 6.0.0.0/7 longer-prefixes  - (1)
sh ip bgp 7.0.0.0/8 longer-prefixes

sh ip bgp 11.0.0.0/8 longer-prefixes
sh ip bgp 21.0.0.0/8 longer-prefixes
sh ip bgp 22.0.0.0/8 longer-prefixes
sh ip bgp 26.0.0.0/8 longer-prefixes
sh ip bgp 28.0.0.0/8 longer-prefixes
sh ip bgp 29.0.0.0/8 longer-prefixes
sh ip bgp 30.0.0.0/8 longer-prefixes
sh ip bgp 28.0.0.0/7 longer-prefixes
sh ip bgp 33.0.0.0/8 longer-prefixes  - VICTROIRE 
sh ip bgp 214.0.0.0/7 longer-prefixes - ENCORE VICTOIRE !

(1) Comparez l'espace alloue avec l'espace visible tans la table.

Bon il etait le premier sponsor, mais quand-meme..

  
les constructeurs automobiles qui utilisent par exemple des ip publiques 
pour leurs imprimantes en interne (si si, je l'ai vu), et ensuite qui 
natent le tout sur un autre bloc PA ( d'un autre operateur sinon c'est 
pas marrant)



Pire encore, apres les /8 qu'ils utilisent a la place de 10.0.0.0/8, ils
arrivent a avoir des /16 ... /24 supplimentaires, et pas 2 ou 3

sh ip bgp regexp _71_
sh ip bgp regexp _80_
sh ip bgp regexp _714_

ou bien

sh ip bgp 9.0.0.0/8 longer-prefixes
sh ip bgp 51.0.0.0/8 longer-prefixes  mon favori !!!

Et dans l'esprit du topic d'origine (desaggregation/PA/PI et non pas
allocation/assignments a la con):

sh ip bgp 34.0.0.0/8 longer-prefixes
sh ip bgp 12.0.0.0/8 longer-prefixes

Desole pour les fans Juniper; installez un route-collector quagga, en
bonus il vous donne a la fin le nombre de routes qui font le match
(quand il y en a).

Faites aussi un effort de faire un whois sur les blocs/AS des
offenders.
  
Franchement, je ne crois pas que les rir souhaitent vraiment recuperer 
ces blocs. De toute facon, nous sommes tous sauves, l'ipv6 arrive :)

/mode pub on
Juste un petit blog marrant sur le sujet http://ipv6sucks.com/
/mode pub off
  
Je dirais qu'une bonne partie utilise les 

Re: [FRnOG] Level3

[Damien Bobillot]

Le 29 déc. 08 à 21:13, Radu-Adrian Feurdean a écrit :

Ils en ont beaucoup trop affecte au depart a des HP/IBM/cie, ou  
encore


Worst offender : DoD information center - 12 x /8 = 5% de l'espace
total.


Une image que j'aime bien, représentant l'ensemble les IPs suivant  
leur comportement face aux pings :

- noir : aucune réponse
- rouge : réponses négatives (prohibited / no host / ...)
- vert : réponses positives
- bleu : non alloué ou réservé

http://www.isi.edu/ant/address/index.html

Il y a sûrement pleins de biais, mais ça reste une représentation  
assez symptomatique de ce qu'il se passe : une majorité des adresses  
attribuées ne sont pas utilisées dans un but public.


--
Damien Bobillot

---
Liste de diffusion du FRnOG
http://www.frnog.org/