----- Original Message -----
From: "Dmitri Kalintsev" <dek@hades.uz>
To: <inet-admins@info.east.ru>
Sent: 3 июля 2001 г. 2:46
Subject: Re: [inet-admins] BGP communities 'n' more specific
>
> > Вопрос по построению BGP:
> > Как правильно защищаться от more specific routes клиента, пришедших НЕ с
> > клиентского подключения?
> > (Например, от пира).
> Этого делать не надо. Пояснения ниже. :)
Смею возразить: ты не прав. Бывает, что нужно.
> > Поясняю задачу. Итак, дано:
> > - клиент со своим AS плюс BGP сессия с ним на его подключении
> > - его анонсы "маркируются" определенным внутренним коммьюнити
> > - соответственно этому "маркеру" они анонсируются туда, куда нужно,
и
> > являются наиболее приоритетными
> > Однако routing на клента может быть "уведен", например, в сторону пира,
если
> > от него прийдут more specific routes клиента.
> Угу. Только с какой радости они оттуда придут? Если клиент начал раздавать
> специфики, то тебе он их скорее всего тоже пришлёт. Со всеми вытекающими,
если
> ты их конечно не зафильтровал на входе.
Из твоих же слов - вывод: факт. Легко может и не прислать. Не обязан.
А тем более, если, например, сам захочет "увести" спецификами причитающийся
ему трафик в сторону пира -- например, может денег сэкономит, или еще чего
выгадает. А анонсировать я его все-равно буду обязан, если он мне со своего
порта присылает анонсы (без спецификов). А мне, допустим, по определенным
оргпричинам надо отдавать его трафик именно ему в порт, и никуда иначе.
> > Безусловно, можно на всех пирах, аплинках и иных клиентских сессиях
> > запретить принимать сети клиента через
> > filter-list/prefix-list/distribute-list, но как то такое решение не
кажется
> > мне правильным. К тому же, в этом случае, во время временного падения
сессии
> > клиент будет не доступен (или надо перестраивать все фильтры), хотя
> Нет, ты же собрался фильтровать только специфики, то есть аггрегаты от
него
> всё равно придут. Соответственно проблема отпадает.
Ну это тоже не до конца корректный путь -- фильтровать от клиента специфики,
а агрегаты не фильтровать. К тому же клиент может изначально при настройке
сессии по-умолчанию лить в тебя спецификами и определенным образом это
обосновать. А потом, рано или поздно, здесь - убрать спицифики, а там -
оставить.
> > теоретически он скорее всего имеет другое подключение к сети, раз уж
имеет
> > свой AS.
Безусловно проблема решается фильтрами - но это статичное и не до конца
корректно решение.
Поэтому вопрос остается:
> > Отсюда и вопрос: как наиболее правильно решить эту задачу.
Спасибо.
--
Sincerely yours,
Ilia Zubkov,
Educational Network technical director
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
