Re: [FRnOG] Level3
Bonjour, - Radu-Adrian Feurdean r...@ftml.net wrote: d'allocation des RIR ca devra faire l'affaire. Je filtre les /8 APNIC comme ca et j'elimine environ 4 routes. Il doit y avoir des effets secondaires, mais pour l'instant ca ne me derange pas trop (j'evacue les residus via un 0.0.0.0/0 statique). Oui, ça peut avoir malheureusement bcps d'effets secondaires! On avait quelques routeurs configurés comme ça et j'étais tombé au moins sur un cas important: Sony. Ils ont un gros préfixe qui leur est attribué aux US et ces boulets se sont amusés à annoncer des /24 issues du tas dans d'autres AS (probablement pour héberger leurs serveurs un peu partout). Là où c'était moins drôle, c'est qu'ils ont mis des filtres au niveau du réseau parent sur les sous-réseaux annoncés ailleurs! Moralité: si par malheur tu vois le réseau parent en peering direct et que t'as pas les annonces plus spécifiques, le trafic part à la poubelle... Au bout de 4 mois d'échange de mails avec eux à essayer de leur expliquer ce que c'était une PA et qu'ils étaient responsables de la continuité de leur réseau, ils ont fini par choisir la solution la plus bourrin: ils ont arrêté d'annoncer leur préfixe et laissé juster les sous-réseaux! Après, on s'étonne qu'une table BGP complète fasse plus de 260k routes... A+ Rani --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Level3
Le lundi 29 décembre 2008 09:31:59 Rani Assaf, vous avez écrit : Au bout de 4 mois d'échange de mails avec eux à essayer de leur expliquer ce que c'était une PA et qu'ils étaient responsables de la continuité de leur réseau, ils ont fini par choisir la solution la plus bourrin: ils ont arrêté d'annoncer leur préfixe et laissé juster les sous-réseaux! Quelles auraient été la ou les méthodes judicieuses ? (C'est une vrai question !) Rani --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pior Bastida p...@pbastida.net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Level3
- Pior Bastida p...@pbastida.net wrote: Quelles auraient été la ou les méthodes judicieuses ? (C'est une vrai question !) A mon avis: 1) soit ne pas utiliser des plages d'IP de leur PA pour les annoncer dans les AS de leurs hébergeurs et prendre des IPs venant de ces hébergeurs 2) soit, s'ils veulent jouer à faire du réseau, ils se font un vrai réseau et ils assurent la continuité de leur réseau (quitte à garder les annonces spécifiques ce qui est super crade en soi mais bon on ne voit plus que ça par les tps qui courent...) A+ Rani --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Level3
On Mon, 29 Dec 2008 18:17:11 +0100 (CET), Rani Assaf ras...@corp.free.fr said: 2) soit, s'ils veulent jouer à faire du réseau, ils se font un vrai réseau et ils assurent la continuité de leur réseau (quitte à garder les annonces spécifiques ce qui est super crade en soi mais bon on ne voit plus que ça par les tps qui courent...) Garder le PA aggereges coute que coute, dans n'importe quelle circonstance, c'est limite integrisme. Ca veut dire presque automatiquement (de nos jours) avoir un AS = etre LIR, ce qui est quand-meme exagere. Dans ces conditions j'aimerais aussi voir ce que les grands transitaires font avec leurs nombreuses /8 ... /16 (dont une partie non-negligeable sont en multihome). Pour certains pas si grands que ca c'est pire encore. TRANSITAIRE(s) etant le mot-cle ici Autre chose, il y a les pas vraiment PA (comme les 3.*.*.* - 57.*.*.*) la grande majorite des classes B et bonne partie du 19[34].*.*.*. Je parles de blocs qui ont ete attribues avant la separation en PA et PI (dont je ne suis pas sur que ca existe vraiment chez tous les RIR - pensee vers les derniers arrives). C'est dans ce logique que certaines LIR fonctionnent encore (une pensee a Jump.Ro qui vend effectivement des blocs d'IP - les interesses, apprenez le roumain). Ou que certains ont fonctionne pendant des longs annees (voir les equivalents d'AFNIC dans certains pays de l'est). Et encore autre chose, les cretins qui n'ont pas encore (dec 2008) decouvert ni le CIDR ni (encore moins) l'aggregation et annoncent tout ce qui est entre /17 et /23 en tant que N fois /24. Pas d'erreur, tous les /24 ont strictement le meme (et seul) AS-PATH. C'est en effet ceux-la qui font grossir inutillement la table, pas ceux qui commencent leur activite avec un pauvre 38.x.y.0/24 ou 8.a.b.0/24 en multihome. Comme j'ai commence a me defouler, je pense aussi aux gens qui font de la securite (de tout sort), qui font que la re-numerotation des certains reseaux (notamment d'entreprise) est un chose qui se planifie plusieurs annees en avance (nous, ca fait deja 18 mois qu'on essaye de se debarasser d'un pauvre /26 - qu'on a eu il y a ~7 ans - sans couper quelques grands comptes qui securisent leurs acces reseau). On a aussi ceux qui dans l'annee de grace 2008, bientot 2009, n'ont pas encore decouvert le DNS et gardent un plaisir fou a utiliser des addresses IP en toute circonstance (rien que pour les punir, l'IPv6 vaut la peine). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Level3
Radu-Adrian Feurdean a écrit : Hello, On Mon, 29 Dec 2008 18:17:11 +0100 (CET), Rani Assaf ras...@corp.free.fr said: 2) soit, s'ils veulent jouer à faire du réseau, ils se font un vrai réseau et ils assurent la continuité de leur réseau (quitte à garder les annonces spécifiques ce qui est super crade en soi mais bon on ne voit plus que ça par les tps qui courent...) Garder le PA aggereges coute que coute, dans n'importe quelle circonstance, c'est limite integrisme. heu, ah bon pourquoi ? Sinon tu prend un bloc ou tu fais des allocated PA, mais si tu as une PA que tu utilises pour des clients statiques, je ne vois pas pourquoi ce serait integriste de garder cette PA aggrege. Pour ma part, je ne veux pas que mes clients annoncent mes blocs PA, meme s'ils ont au moins un /24 Ca veut dire presque automatiquement (de nos jours) avoir un AS = etre LIR, ce qui est quand-meme exagere. et les PI alors ? Dans ces conditions j'aimerais aussi voir ce que les grands transitaires font avec leurs nombreuses /8 ... /16 (dont une partie non-negligeable sont en multihome). Pour certains pas si grands que ca c'est pire encore. TRANSITAIRE(s) etant le mot-cle ici Ils en ont beaucoup trop affecte au depart a des HP/IBM/cie, ou encore les constructeurs automobiles qui utilisent par exemple des ip publiques pour leurs imprimantes en interne (si si, je l'ai vu), et ensuite qui natent le tout sur un autre bloc PA ( d'un autre operateur sinon c'est pas marrant) Autre chose, il y a les pas vraiment PA (comme les 3.*.*.* - 57.*.*.*) la grande majorite des classes B et bonne partie du 19[34].*.*.*. Je parles de blocs qui ont ete attribues avant la separation en PA et PI (dont je ne suis pas sur que ca existe vraiment chez tous les RIR - pensee vers les derniers arrives). C'est dans ce logique que certaines LIR fonctionnent encore (une pensee a Jump.Ro qui vend effectivement des blocs d'IP - les interesses, apprenez le roumain). Ou que certains ont fonctionne pendant des longs annees (voir les equivalents d'AFNIC dans certains pays de l'est). Et encore autre chose, les cretins qui n'ont pas encore (dec 2008) decouvert ni le CIDR ni (encore moins) l'aggregation et annoncent tout ce qui est entre /17 et /23 en tant que N fois /24. Pas d'erreur, tous les /24 ont strictement le meme (et seul) AS-PATH. C'est en effet ceux-la qui font grossir inutillement la table, pas ceux qui commencent leur activite avec un pauvre 38.x.y.0/24 ou 8.a.b.0/24 en multihome. Je dirais qu'une bonne partie utilise les n*/24 pour avoir des routes plus fine. Les cretins ( ou boulets comme tu veux) qui ne savent pas utiliser le cidr sont minoritaires. Comme j'ai commence a me defouler, je pense aussi aux gens qui font de la securite (de tout sort), qui font que la re-numerotation des certains reseaux (notamment d'entreprise) est un chose qui se planifie plusieurs annees en avance (nous, ca fait deja 18 mois qu'on essaye de se debarasser d'un pauvre /26 - qu'on a eu il y a ~7 ans - sans couper quelques grands comptes qui securisent leurs acces reseau). On a aussi ceux qui dans l'annee de grace 2008, bientot 2009, n'ont pas encore decouvert le DNS et gardent un plaisir fou a utiliser des addresses IP en toute circonstance (rien que pour les punir, l'IPv6 vaut la peine). La , je ne peux trop rien dire, on a tous ici le meme cas avec ces dossiers que l'on traine tous :( -- Raphaël Maunier NEO TELECOMS Engineering Manager rmaun...@neotelecoms.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Level3
On Mon, 29 Dec 2008 20:01:00 +0100, Raphael Maunier rmaun...@neotelecoms.com said: Garder le PA aggereges coute que coute, dans n'importe quelle circonstance, c'est limite integrisme. heu, ah bon pourquoi ? Sinon tu prend un bloc ou tu fais des allocated PA, mais si tu as une PA que tu utilises pour des clients statiques, je ne vois pas pourquoi ce serait integriste de garder cette PA aggrege. Pour ma part, je ne veux pas que mes clients annoncent mes blocs PA, meme s'ils ont au moins un /24 Deja, pas tout le monde peut se permettre une allocation (/19 a /21 selon les cas). Apres, les histoires de re-numerotation qui n'est pas toujours facile/possible pour des raisons plutot obscures. ou chez certains les vendeurs vendent n'importe quoi (pour avoir leur comm). Je ne suis pas en train de defendre les gens qui veulent partir avec leur morceau de PA, mais bien des gens qui commenent petit avec des blocs PA et qui commencent a diversifier/multihomer apres. Ca veut dire presque automatiquement (de nos jours) avoir un AS = etre LIR, ce qui est quand-meme exagere. et les PI alors ? Ca doit faire tres longtemps qu tu as a faire avec RIPE, et que tu dois etre habitue avec leu terminologie/procedures. Ce n'est pas le cas de tout le monde. Souvent, le premier contact, meme par l'intermediaire d'un LIR, est tres doulereux et se solde avec un echec; ou par le manque totale de volonte de repeter l'experience. Les gens ordinaires et les pas techniques savent tres bien ca (pour certains c'est pire que le fisc), et c'est pour ca qu'ils acceptent les PA, dont les cirteres d'attribution sont beaucoup plus laxistes; en plus c'est l'ISP/NSP qui les offre qui se charge des procedures. Exemple chez nous: - assignment d'un /22 PA dans notre allocation, avec justification a 3 ans et utilisation immediate a moins de 20%, ca n'a pas eu aucune probleme a passer chez RIPE. - un client essayant d'avoir son /24 en PI, avec utilisation immediate a 50% et 100% dans un an, a abandonne apres essays chez deux LIR (nous et un autre hebergeur). Dans ces conditions j'aimerais aussi voir ce que les grands transitaires font avec leurs nombreuses /8 ... /16 (dont une partie non-negligeable sont en multihome). Pour certains pas si grands que ca c'est pire encore. TRANSITAIRE(s) etant le mot-cle ici Ils en ont beaucoup trop affecte au depart a des HP/IBM/cie, ou encore Worst offender : DoD information center - 12 x /8 = 5% de l'espace total. Plein des /8 qui ne sont meme pas dans la table. sh ip bgp 6.0.0.0/8 longer-prefixes - (1) sh ip bgp 6.0.0.0/7 longer-prefixes - (1) sh ip bgp 7.0.0.0/8 longer-prefixes sh ip bgp 11.0.0.0/8 longer-prefixes sh ip bgp 21.0.0.0/8 longer-prefixes sh ip bgp 22.0.0.0/8 longer-prefixes sh ip bgp 26.0.0.0/8 longer-prefixes sh ip bgp 28.0.0.0/8 longer-prefixes sh ip bgp 29.0.0.0/8 longer-prefixes sh ip bgp 30.0.0.0/8 longer-prefixes sh ip bgp 28.0.0.0/7 longer-prefixes sh ip bgp 33.0.0.0/8 longer-prefixes - VICTROIRE sh ip bgp 214.0.0.0/7 longer-prefixes - ENCORE VICTOIRE ! (1) Comparez l'espace alloue avec l'espace visible tans la table. Bon il etait le premier sponsor, mais quand-meme.. les constructeurs automobiles qui utilisent par exemple des ip publiques pour leurs imprimantes en interne (si si, je l'ai vu), et ensuite qui natent le tout sur un autre bloc PA ( d'un autre operateur sinon c'est pas marrant) Pire encore, apres les /8 qu'ils utilisent a la place de 10.0.0.0/8, ils arrivent a avoir des /16 ... /24 supplimentaires, et pas 2 ou 3 sh ip bgp regexp _71_ sh ip bgp regexp _80_ sh ip bgp regexp _714_ ou bien sh ip bgp 9.0.0.0/8 longer-prefixes sh ip bgp 51.0.0.0/8 longer-prefixes mon favori !!! Et dans l'esprit du topic d'origine (desaggregation/PA/PI et non pas allocation/assignments a la con): sh ip bgp 34.0.0.0/8 longer-prefixes sh ip bgp 12.0.0.0/8 longer-prefixes Desole pour les fans Juniper; installez un route-collector quagga, en bonus il vous donne a la fin le nombre de routes qui font le match (quand il y en a). Faites aussi un effort de faire un whois sur les blocs/AS des offenders. Je dirais qu'une bonne partie utilise les n*/24 pour avoir des routes plus fine. Les cretins ( ou boulets comme tu veux) qui ne savent pas utiliser le cidr sont minoritaires. .. si au moins il y avait des AS-PATH differents.. Mais non, ca passe toujours par le(s) meme(s) upstream. comme si annoncer l'aggregat globalement et les plus fin avec no-export c'etait vraiment difficile Aparamment ca l'est Je te trouve un exemple demain. La , je ne peux trop rien dire, on a tous ici le meme cas avec ces dossiers que l'on traine tous :( :) -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Level3
Radu-Adrian Feurdean a écrit : On Mon, 29 Dec 2008 20:01:00 +0100, Raphael Maunier rmaun...@neotelecoms.com said: Garder le PA aggereges coute que coute, dans n'importe quelle circonstance, c'est limite integrisme. heu, ah bon pourquoi ? Sinon tu prend un bloc ou tu fais des allocated PA, mais si tu as une PA que tu utilises pour des clients statiques, je ne vois pas pourquoi ce serait integriste de garder cette PA aggrege. Pour ma part, je ne veux pas que mes clients annoncent mes blocs PA, meme s'ils ont au moins un /24 Deja, pas tout le monde peut se permettre une allocation (/19 a /21 selon les cas). Apres, les histoires de re-numerotation qui n'est pas toujours facile/possible pour des raisons plutot obscures. ou chez certains les vendeurs vendent n'importe quoi (pour avoir leur comm). Je ne suis pas en train de defendre les gens qui veulent partir avec leur morceau de PA, mais bien des gens qui commenent petit avec des blocs PA et qui commencent a diversifier/multihomer apres. Ca veut dire presque automatiquement (de nos jours) avoir un AS = etre LIR, ce qui est quand-meme exagere. et les PI alors ? Ca doit faire tres longtemps qu tu as a faire avec RIPE, et que tu dois etre habitue avec leu terminologie/procedures. Ce n'est pas le cas de tout le monde. Il faut de la rigueur. A chaque audit du ripe, on avait TOUS les docs pret et nous etions en mesure de les fournir dans le 1/4 d'heure. Nous avons un formulaire plus simple pour nos clients et nous faisons ensuite le document pour le ripe et nous faisons TOUS les enregistrements, meme si on est dans le WA. Souvent, le premier contact, meme par l'intermediaire d'un LIR, est tres doulereux et se solde avec un echec; ou par le manque totale de volonte de repeter l'experience. Les gens ordinaires et les pas techniques savent tres bien ca (pour certains c'est pire que le fisc), et c'est pour ca qu'ils acceptent les PA, dont les cirteres d'attribution sont beaucoup plus laxistes; en plus c'est l'ISP/NSP qui les offre qui se charge des procedures. Exemple chez nous: - assignment d'un /22 PA dans notre allocation, avec justification a 3 ans et utilisation immediate a moins de 20%, ca n'a pas eu aucune probleme a passer chez RIPE. - un client essayant d'avoir son /24 en PI, avec utilisation immediate a 50% et 100% dans un an, a abandonne apres essays chez deux LIR (nous et un autre hebergeur). Franchement ca ne nous est jamais arrive depuis que nous sommes serieux sur nos demandes et affectations clientes. Dans ces conditions j'aimerais aussi voir ce que les grands transitaires font avec leurs nombreuses /8 ... /16 (dont une partie non-negligeable sont en multihome). Pour certains pas si grands que ca c'est pire encore. TRANSITAIRE(s) etant le mot-cle ici Ils en ont beaucoup trop affecte au depart a des HP/IBM/cie, ou encore Worst offender : DoD information center - 12 x /8 = 5% de l'espace total. Plein des /8 qui ne sont meme pas dans la table. sh ip bgp 6.0.0.0/8 longer-prefixes - (1) sh ip bgp 6.0.0.0/7 longer-prefixes - (1) sh ip bgp 7.0.0.0/8 longer-prefixes sh ip bgp 11.0.0.0/8 longer-prefixes sh ip bgp 21.0.0.0/8 longer-prefixes sh ip bgp 22.0.0.0/8 longer-prefixes sh ip bgp 26.0.0.0/8 longer-prefixes sh ip bgp 28.0.0.0/8 longer-prefixes sh ip bgp 29.0.0.0/8 longer-prefixes sh ip bgp 30.0.0.0/8 longer-prefixes sh ip bgp 28.0.0.0/7 longer-prefixes sh ip bgp 33.0.0.0/8 longer-prefixes - VICTROIRE sh ip bgp 214.0.0.0/7 longer-prefixes - ENCORE VICTOIRE ! (1) Comparez l'espace alloue avec l'espace visible tans la table. Bon il etait le premier sponsor, mais quand-meme.. les constructeurs automobiles qui utilisent par exemple des ip publiques pour leurs imprimantes en interne (si si, je l'ai vu), et ensuite qui natent le tout sur un autre bloc PA ( d'un autre operateur sinon c'est pas marrant) Pire encore, apres les /8 qu'ils utilisent a la place de 10.0.0.0/8, ils arrivent a avoir des /16 ... /24 supplimentaires, et pas 2 ou 3 sh ip bgp regexp _71_ sh ip bgp regexp _80_ sh ip bgp regexp _714_ ou bien sh ip bgp 9.0.0.0/8 longer-prefixes sh ip bgp 51.0.0.0/8 longer-prefixes mon favori !!! Et dans l'esprit du topic d'origine (desaggregation/PA/PI et non pas allocation/assignments a la con): sh ip bgp 34.0.0.0/8 longer-prefixes sh ip bgp 12.0.0.0/8 longer-prefixes Desole pour les fans Juniper; installez un route-collector quagga, en bonus il vous donne a la fin le nombre de routes qui font le match (quand il y en a). Faites aussi un effort de faire un whois sur les blocs/AS des offenders. Franchement, je ne crois pas que les rir souhaitent vraiment recuperer ces blocs. De toute facon, nous sommes tous sauves, l'ipv6 arrive :) /mode pub on Juste un petit blog marrant sur le sujet http://ipv6sucks.com/ /mode pub off Je dirais qu'une bonne partie utilise les
Re: [FRnOG] Level3
Le 29 déc. 08 à 21:13, Radu-Adrian Feurdean a écrit : Ils en ont beaucoup trop affecte au depart a des HP/IBM/cie, ou encore Worst offender : DoD information center - 12 x /8 = 5% de l'espace total. Une image que j'aime bien, représentant l'ensemble les IPs suivant leur comportement face aux pings : - noir : aucune réponse - rouge : réponses négatives (prohibited / no host / ...) - vert : réponses positives - bleu : non alloué ou réservé http://www.isi.edu/ant/address/index.html Il y a sûrement pleins de biais, mais ça reste une représentation assez symptomatique de ce qu'il se passe : une majorité des adresses attribuées ne sont pas utilisées dans un but public. -- Damien Bobillot --- Liste de diffusion du FRnOG http://www.frnog.org/