Re: [FRnOG] BGP FlowSpec RFC 5535
Le Wed, 3 Feb 2010 13:40:35 +, Thomas Mangin a écrit : > > Par contre, j'ai un peu du mal à comprendre pourquoi on s'acharne on > > rajouter au proto BGP des choses qui n'ont plus grand chose à voir > > avec rôle initial ... > > http://tools.ietf.org/html/rfc5575#section-1 > les trois derniers paragraphes :) Oué, je suis respectueusement pas d'accord avec eux :) C'est le plus court chemin pour faire une usine à gaz ce genre d'argument ... regardes SS7 ou dans un autre genre emacs. a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpMM0gRfA821.pgp Description: PGP signature
Re: [FRnOG] BGP FlowSpec RFC 5535
> Je vois pas de limitation pour une utilisation pour de l'EGBP dans la > RFC (si ce n'est que çà risque d'être une vrai douleur pour les > ingés à administrer par la suite). Ce n'est pas impossible mais autant que je sache il n'y a pas de manière de filtrer ces routes. Ca veux dire que si des flows sont acceptées via une connexion EBGP, tu peux bloquer du trafic qui n'est pas pour toi chez ton peer/transit ... Mais je suis sur que quand le déploiement sera généralise, on en reparlera. > Par contre, j'ai un peu du mal à comprendre pourquoi on s'acharne on > rajouter au proto BGP des choses qui n'ont plus grand chose à voir > avec rôle initial ... http://tools.ietf.org/html/rfc5575#section-1 les trois derniers paragraphes :) Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] BGP FlowSpec RFC 5535
Le Wed, 3 Feb 2010 08:27:16 +, Thomas Mangin a écrit : > >> Je viens d'ajouter le support de FlowSpec (RFC5575) a mon injecteur de > >> route BGP http://bgp.exa.org.uk/ > > > > Bcp de peering autour de ton AS te propose un BGP qui implémente > > cette RFC ? > Cette RFC n'a pas été crée pour le peering mais pour le déploiement sur les > routeurs BGP de règles de filtrage. Je vois pas de limitation pour une utilisation pour de l'EGBP dans la RFC (si ce n'est que çà risque d'être une vrai douleur pour les ingés à administrer par la suite). > Tu peux voir cette RFC comme une manière de coder une règle de firewall dans > un packet BGP pour la déployer sur plusieurs routeurs sans avoir a te loger > sur chaque routeurs. Il me semblait avoir compris que çà permet de faire çà aussi, plus des décisions de queuing policy sur un type de flux bien défini ou de routage :) Par contre, j'ai un peu du mal à comprendre pourquoi on s'acharne on rajouter au proto BGP des choses qui n'ont plus grand chose à voir avec rôle initial ... a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpOgRxEVYEaQ.pgp Description: PGP signature
Re: [FRnOG] BGP FlowSpec RFC 5535
> ou d'implementer les filtrages de la loppsi2 ? Reponse Courte: oui Si ca peut stopper une DDOS ca peut faire du loppsi2. Reponse Longue: non La RFC n'est pas encore supporte par la majorité des équipements. si elle devait devenir universelle, si les packets doivent passer d'un "fast path" en ASIC a un "slow path" via the processeur, ca tuerai le routeur - donc utiliser ces flow n'est pas (encore) pratique. Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] BGP FlowSpec RFC 5535
On Wed, 2010-02-03 at 08:27 +, Thomas Mangin wrote: > Cela permet d'automatiser une réponse du NOC a une DDOS par exemple. > Ou rediriger les IP d'un client dans vers un tunnel MPLS ou il sera mis en > quarantine (worms, non-payment, etc.) ou d'implementer les filtrages de la loppsi2 ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] BGP FlowSpec RFC 5535
>> Je viens d'ajouter le support de FlowSpec (RFC5575) a mon injecteur de route >> BGP http://bgp.exa.org.uk/ > > Bcp de peering autour de ton AS te propose un BGP qui implémente > cette RFC ? Autant que je sache il n'y a que Junos qui implemente cette RFC mais entre le Draft et la RFC (Aout 09) deux des quatre ingénieurs ont vu leur emails changer de @juniper a @cisco :) Cette RFC n'a pas été crée pour le peering mais pour le déploiement sur les routeurs BGP de règles de filtrage. Tu peux voir cette RFC comme une manière de coder une règle de firewall dans un packet BGP pour la déployer sur plusieurs routeurs sans avoir a te loger sur chaque routeurs. Cela permet d'automatiser une réponse du NOC a une DDOS par exemple. Ou rediriger les IP d'un client dans vers un tunnel MPLS ou il sera mis en quarantine (worms, non-payment, etc.) Plus d'info : - http://www.terena.org/activities/tf-ngn/tf-ngn17/uze-flowspec.pdf - http://resources.nznog.org/2006/Friday-240306/DavidLambert-BGPFlowSpecificationUpdate/Lambert.ppt - http://uknof.org/uknof15/Mangin-NakedBGP.pdf (3 slides vers la fin mais je prêche pour mon eglise la :p) Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] BGP FlowSpec RFC 5535
Le Tue, 2 Feb 2010 12:57:11 +, Thomas Mangin a écrit : > Salut. > > Je viens d'ajouter le support de FlowSpec (RFC5575) a mon injecteur de route > BGP http://bgp.exa.org.uk/ Bcp de peering autour de ton AS te propose un BGP qui implémente cette RFC ? > Comme ne ne connais pas d'autre projet en Open Source (BSD 3-clauses) > permettant la génération de flow, je me permet d'en informer la liste. Tu devrais vraiment ouvrir ta propre liste développement :) a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpKtKqDi0w9W.pgp Description: PGP signature
[FRnOG] BGP FlowSpec RFC 5535
Salut. Je viens d'ajouter le support de FlowSpec (RFC5575) a mon injecteur de route BGP http://bgp.exa.org.uk/ Comme ne ne connais pas d'autre projet en Open Source (BSD 3-clauses) permettant la génération de flow, je me permet d'en informer la liste. Le code est accessible via SVN: http:/svn.exa.org.uk/bgp/trunk/ Les infos sur l'installation sont sur le wiki. Le code va encore changer avant la prochaine version "stable" (grand mot) mais la branche trunk de SVN devrait rester fonctionnelle. Si cela vous intéresse, avez des questions, ou avez besoin d'une fonction manquante, faites moi signe :) Thomas - neighbor 82.219.123.221 { [] flow { route { match { source 10.0.0.1/32; destination 192.168.0.1/32; port =80; destination-port =3128 >8080&<8088; source-port >1024; protocol tcp; } then { discard; } } } } thomas.man...@m7i-4.u3.tcw.uk> show configuration logical-routers trap protocols bgp local-as 30740; group flow { type external; multihop; local-preference 100; local-address 82.219.123.221; import no-export; export deny-all; peer-as 65500; neighbor 82.219.131.242 { traceoptions { file bgp; flag all; } family inet { unicast; flow { no-validate everything; } } family inet6 { unicast; } } } thomas.man...@m7i-4.u3.tcw.uk> show configuration logical-routers trap policy-options policy-statement everything then accept; # env PYTHONPATH=~/source/bgp/lib/ python daemon/bgpd etc/bgp/m7i-service.txt 033 12:28:13 Supervisor/performing reload 033 12:28:13 Supervisor/New Peer 82.219.123.221 033 12:28:1482.219.123.221/ 30740 -> OPEN version=4 asn=65500 hold_time=180 router_id=82.219.131.242 capabilities=[Graceful Restart Flags 0x8 Time 5 IPv4/flow-ipv4=0x80 IPv4/unicast=0x80 IPv6/unicast=0x80, Multiprotocol IPv4 unicast IPv6 unicast IPv4 flow-ipv4] 033 12:28:1582.219.123.221/ 30740 <- OPEN version=4 asn=30740 hold_time=90 router_id=82.219.123.221 capabilities=[Cisco Route Refresh (unparsed), Multiprotocol IPv4 unicast IPv6 unicast IPv4 flow-ipv4, Route Refresh (unparsed)] 033 12:28:1682.219.123.221/ 30740 -> KEEPALIVE 033 12:28:1782.219.123.221/ 30740 <- KEEPALIVE announcing IPv6 unicast 2a02:b80:0:6:50::1/128 next-hop 2a02:b80::90:0:52e:0:1 med 100 announcing IPv4 flow-ipv4 destination 192.168.0.1/32,source 10.0.0.1/32,protocol =TCP,port =80,destination-port =3128 >8080&<8088,source-port >1024 extended community [ 0x80 0x6 0x0 0x0 0x0 0x0 0x0 0x0 ] announcing IPv4 unicast 82.219.4.100/32 next-hop 82.219.4.101 med 100 033 12:28:1782.219.123.221/ 30740 -> UPDATE (3) 033 12:28:1782.219.123.221/ 30740 <- KEEPALIVE thomas.man...@m7i-4.u3.tcw.uk> show route logical-router trap table inetflow.0 extensive inetflow.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) 192.168.0.1,10.0.0.1,proto=6,port=80,dstport=3128,>8080&<8088,srcport>1024/256 (1 entry, 0 announced) *BGPPreference: 170/-101 Next hop type: Fictitious Next-hop reference count: 1 State: Peer AS: 65500 Age: 1:13 Task: BGP_65500_30740.82.219.131.242+32319 AS path: 65500 I Communities: no-export traffic-rate:0:0 Localpref: 100 Router ID: 82.219.131.242 --- Liste de diffusion du FRnOG http://www.frnog.org/