Bgp

BGP Blackholing wrócił - małymi kroczkami (‘better done than perfect’). zapraszam na stronę z aktualną “instrukcją obsługi”. miłego blackholowania!

jak pewnie można było zauważyć miałem ostatnio okazję pobawić się ponownie paczkami routingu dynamicznego w ogólnodostępnych OSach. z perspektywy znajomości CLI trzymałem się FRRouting, który jest ewolucją pakietu Quagga, która z kolei jest ewolucją pakietu Zebra. a składnia poleceń i cały interfejs linii poleceń (CLI) przypomina Cisco IOS. ...

po ostatnim wpisie dotyczącym pomysłu podzielenia się pełną tablicą BGP IPv4, dostałem dużo ciekawych maili. w części z nich wspominacie o IPv6 - postanowiłem zatem nieco “zmodyfikować” projekt. oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne. innymi słowy - wszystko jest w Twoich rękach. mogę również zakończyć życie tej usługi albo zmienić ją i nie muszę się z tego tłumaczyć. nie zakładaj zatem, że będzie wieczna :) ...

Daniel Dib zapytał ostatnio na Twitterze o czas konwergencji światowego BGP. dwie godziny, które uzyskał od swojego znajomego w odpowiedzi wydawały mi się nieco podejrzane. sam ostatnio pomagałem uruchomić zupełnie nowy ASN z zupełnie nowym prefiksem IPv4 (no dobrze, zarówno ASN jak i prefiks z drugiej ręki, ale jednak) i czas propagacji do najdalszych zakątków świata do których mogłem dotrzeć był zdecydowanie krótszy. więc zacząłem kopać. znalazłem ciekawe opracowanie z 2007 roku, które wspominało o czasach typu 15-30 minut, oraz inne z 2019, które wspomina już o czasie konwergencji rzędu czterech minut. ma to sens, ponieważ przez ostatnie parę lat ilość ścieżek pomiędzy ASNami się zwiększyła, zwiększyły się również moce przerobowe routerów BGP a sam protokół został nieco podkręcony - m.in. przez efektywne wyłączenie zabezpieczeń typu MRAI (Minimum Route Advertisement Interval). ...

aktualizacja projekt nadal żyje i jest aktywny, ale rezyduje obecnie pod innym adresem IP. przejdź proszę do tego, nowszego posta. poniżej STARY post jeden z ostanich wątków na liście nanog@ spowodował, że wróciłem myślami do projektu, który zamierzałem uruchomić lata temu. a ponieważ miałem dzisiaj dużo “czasu”, odpaliłem darmową usługę “załaduj-swój-router-pełną-prawdziwą-tablicą-bgp” :) jeśli jesteś zainteresowany skorzystaniem z projektu, przejdź od razu tutaj oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne. innymi słowy - wszystko jest w Twoich rękach. ...

mój ostatni wpis o konstrukcji domowej sieci spowodował, że otrzymałem parę ciekawych maili. mniejsza o większość - doceniam głosy pochwały i chylę czoła przed głosami krytyki :) krótki opis (odsyłam do powyższego linku) jak co jest połączone zakończony, zajmijmy się zatem usługami. podstawową jest oczywiście rozwiązywanie nazw, czyli DNS. “bo to zawsze jest DNS” jak mówi jedna z mądrości sieciowych. ponieważ korzystam z UPSów (dziękujemy Ci, PGE…) mam to szczęście, że większość infrastruktury nawet w przypadku utraty zasilania, będzie działać. czasem jednak trzeba coś uaktualnić, zatrzymać, przenieść - i dobrze byłoby, gdyby usługi nadal działały. w szczególności, gdy Twoje własne dzieci wymuszają SLA sieci powyżej sześciu dziewiątek… ;) ...

o ile wielokrotnie wspominałem już, że routing dynamiczny na firewallu jest proszeniem się o kłopoty, czasami nie ma innego wyjścia. w Cisco nie rekomendujemy używania ASA czy FTD do routing BGP z pełną tablicą. nie dlatego, że się do tego nie nadają, a dlatego, że nie jest to po prostu dobra praktyka w budowaniu, wymiarowaniu i prawidłowej inżynierii sieciowej. poniżej przykłada z testowania w domowym labie klastra składającego się z pary ASA 5516-X, pracujących z oprogramowaniem. klaster dwóch takich ASA otrzymuje sesje BGP z pełnym widokiem światowym z mojego routera brzegowego - ASRa 1001X: ...

…bo google znowu padło przez błąd z akceptowaniem prefiksów. konfiguracja jest banalna - przykłady na cisco IOS-XE, IOS-XR, na Juniperze można znaleźć w pół sekundy. trzeba odwiedzić RIPE i wycertyfikować swoje zasoby, potem jest już z górki. każdy prefiks i system autonomiczny, który zacznie podejmować decyzje o routingu pomaga. każdy.

dawno dawno temu, zabawa z BGP (samo nieco ironiczne tłumaczenie tego akronimu jako Bardzo Groźny Protokół zdaje się zdradzać w którą stronę podąża ten akapit) była zdecydowanie zarezerwowana dla wtajemniczonych tego świata, którzy nieco jak Lemowski Trurl i Klapaucjusz naśmiewali się z niewiedzy, ale z drugiej strony sami tą wiedzą się nie dzielili. potem zmieniło się wiele, opary w jaskiniach wiedzy nieco się rozrzedziły, pojawiły się kursy, certyfikacje, elitarne a potem masowe kursy - i nagle BGP ma w domu każda gospodyni domowa, gdyż bez niego nie wrzuci sobie via bluetooth nowego kontaktu do komórki. ...

na poprzednim PLNOGu podyskutowaliśmy sobie dosyć szeroko w trakcie iście apokaliptycznych sesji o wyczerpywaniu się przestrzeni adresowej IPv4 o wyczerpywaniu się przestrzeni adresowej 2 bajtowych numerów systemów autonomicznych. jakiś czas temu pojawił się Cisco IOS w wersji 12.4(24)T, który wprowadza wcześniej niż to planowaliśmy wsparcie dla 4 bajtowej notacji ASN na platformy takie jak routery ISR (1800/2800/3800) oraz 7200. możliwe staje się zatem po otrzymaniu od RIPE 4-bajtowego numeru AS poprawne skonfigurowanie swojego systemu autonomicznego i jego poprawne rozgłaszanie (od 1ego stycznia 2009 RIPE domyślnie rozdaje ASNy 32-bitowe). ...