Перейти до

Серые ип для BGP сессий


LENS

Рекомендованные сообщения

Кто то использует серые ип адреса внутри сети и на внешних BGP стыках?

+ не будет возможности ДОСить конкретно роутер

+ экономия внешних ип

 

Есть у кого то опыт работы на серых?

Ссылка на сообщение
Поделиться на других сайтах

Технически разницы никакой. А практически - на наге постоянно ржут с таких реализаций, это ж трасса к вам будет проходить по серым IP :)

Ссылка на сообщение
Поделиться на других сайтах

Трасса элементарно хайдится. Всегда использую такую схему на пирингах локальных. Оба участника равноправны, никто не хочет предоставлять друг-другу свой реальный IP - зачем городить лишний файрвол.

Ссылка на сообщение
Поделиться на других сайтах

OSPF?

а при чем тут OSPF ? 

вопрос о BGP и серых адресах

 

ответ

все работает нормально... используем на пирингах...  технически нет никаких проблем

Ссылка на сообщение
Поделиться на других сайтах

Кто то использует серые ип адреса внутри сети и на внешних BGP стыках?

+ не будет возможности ДОСить конкретно роутер

+ экономия внешних ип

 

Есть у кого то опыт работы на серых?

1) Используя "серые" IP на граничных интефейсах вы ломаете протокол ICMP между вашей сетью и миром.

2) Используя серые сети в глобальной маршрутизации, вы и аплинк явным образом нарушаете RFC на использование серых IP (rfc5735).

3) Для маршрутизации без BGP между двумя корпоративными клиентами допускается использовании сети 100.64.0.0/10 (rfc6598) .

4) Если у вас не стоят входящие и выходящие фильтры, то когда-нибудь к вам прилетит мусор по BGP и положит сеть.

Відредаговано supportod
Ссылка на сообщение
Поделиться на других сайтах

 

 

1) Используя "серые" IP на граничных интефейсах вы ломаете протокол ICMP между вашей сетью и миром.

 

Каким образом? Моя сеть 1.1.1.0/24  отлично коммуницирует с миром по всем протоколам если с аплинком построен линк на сети 10.0.0.2/30.

 

 

 

2) Используя серые сети в глобальной маршрутизации, вы и аплинк явным образом нарушаете RFC на использование серых IP (rfc5735).

 

 

Они никак не общаются с миром. Мой 10.0.0.2 общается исключительно с аплинковым 10.0.0.1. Остальное зафильтровано. И да - на линковом инт-се гарантировано проходят пакеты с mtu 1500, т.е. нинакой коммуникации с миром по icmp мой 10.0.0.2 не осуществляется. Фрагментации нету.

Ссылка на сообщение
Поделиться на других сайтах

 

Кто то использует серые ип адреса внутри сети и на внешних BGP стыках?

+ не будет возможности ДОСить конкретно роутер

+ экономия внешних ип

 

Есть у кого то опыт работы на серых?

1) Используя "серые" IP на граничных интефейсах вы ломаете протокол ICMP между вашей сетью и миром.

2) Используя серые сети в глобальной маршрутизации, вы и аплинк явным образом нарушаете RFC на использование серых IP (rfc5735).

3) Для маршрутизации без BGP между двумя корпоративными клиентами допускается использовании сети 100.64.0.0/10 (rfc6598) .

4) Если у вас не стоят входящие и выходящие фильтры, то когда-нибудь к вам прилетит мусор по BGP и положит сеть.

1) не согласен. Я могу выполнять ping x.x.x.x source loopback 1 со своего реального адреса

2) да. Ну то такое...

3) это мы сейчас не обсуждаем

4) это тоже не при чем сейчас

 

Интересно то, что если построить всю свою bgp / ospf сеть на серых ип я получу бонусы в виде экономии адресов и защиты от ддос либо порт сканеров.

 

Вопрос в том, кто это внедрил и какие отзывы.

 

 

Отправлено с моего iPhone используя Tapatalk

Ссылка на сообщение
Поделиться на других сайтах

 

 

Интересно то, что если построить всю свою bgp / ospf сеть на серых ип я получу бонусы в виде экономии адресов и защиты от ддос либо порт сканеров.

не очень понятна задача. Если собственная сеть, то OSPF и серые адреса. У меня так. Все на серых и OSPF.  У мнея нет необходимости ходить по сети извне. А если такая необходимость встанет, то можно поднять виртуалку/вдс с РДП. Т.е. вообще не вижу смысла на роутеры и свичи пихать белые.

Для пиринга - bgp лучше. ИМХО. Если пиринг без анонсов наружу чужих сетей, то в серых адресах ваще все ровно. Хотя вот люди используют серые и для пиринга с аплинками, и живы ).

Ссылка на сообщение
Поделиться на других сайтах

 

Интересно то, что если построить всю свою bgp / ospf сеть на серых ип я получу бонусы в виде экономии адресов и защиты от ддос либо порт сканеров.

не очень понятна задача. Если собственная сеть, то OSPF и серые адреса. У меня так. Все на серых и OSPF.  У мнея нет необходимости ходить по сети извне. А если такая необходимость встанет, то можно поднять виртуалку/вдс с РДП. Т.е. вообще не вижу смысла на роутеры и свичи пихать белые.

Для пиринга - bgp лучше. ИМХО. Если пиринг без анонсов наружу чужих сетей, то в серых адресах ваще все ровно. Хотя вот люди используют серые и для пиринга с аплинками, и живы ).

 

Сейчас на iBGP и OSPF стоят внешние интерфейсные ип, а я перевожу все на серые.

Может и eBGP на серые тоже перевести?

Ссылка на сообщение
Поделиться на других сайтах

 

Может и eBGP на серые тоже перевести?

а что это вам даст? фволом дропнуть все, если боитесь атак, и все, имхо. не?

 

Я возможно закрыть фволом внешний ип хоп при трассировке?

Ссылка на сообщение
Поделиться на других сайтах

 

 

Кто то использует серые ип адреса внутри сети и на внешних BGP стыках?

+ не будет возможности ДОСить конкретно роутер

+ экономия внешних ип

 

Есть у кого то опыт работы на серых?

1) Используя "серые" IP на граничных интефейсах вы ломаете протокол ICMP между вашей сетью и миром.

2) Используя серые сети в глобальной маршрутизации, вы и аплинк явным образом нарушаете RFC на использование серых IP (rfc5735).

3) Для маршрутизации без BGP между двумя корпоративными клиентами допускается использовании сети 100.64.0.0/10 (rfc6598) .

4) Если у вас не стоят входящие и выходящие фильтры, то когда-нибудь к вам прилетит мусор по BGP и положит сеть.

1) не согласен. Я могу выполнять ping x.x.x.x source loopback 1 со своего реального адреса

 

Если пиринг транзитный, то icmp трасса не пройдет.

Ссылка на сообщение
Поделиться на других сайтах

 

 

Может и eBGP на серые тоже перевести?

а что это вам даст? фволом дропнуть все, если боитесь атак, и все, имхо. не?

 

Я возможно закрыть фволом внешний ип хоп при трассировке?

 

Не будет работать TCP offload engine и соответственно каналы будет значительно нагружены.

Ссылка на сообщение
Поделиться на других сайтах

 

 

Если пиринг транзитный, то icmp трасса не пройдет.

 

Какая такая "icmp трасса"? Не отрисуется IP транзитного роутера в трейсе? И не обязан. Обязан через себя транзит пропустить без проблем. 

Ссылка на сообщение
Поделиться на других сайтах

 

Если пиринг транзитный, то icmp трасса не пройдет.

 

Какая такая "icmp трасса"? Не отрисуется IP транзитного роутера в трейсе? И не обязан. Обязан через себя транзит пропустить без проблем. 

 

Обязана отрисовываться, почитайте RFC. А вот что, с потерями отображается на маршрутизаторе, это уже другие проблемы.

Ссылка на сообщение
Поделиться на других сайтах

Вот трасса например от Фрегата

traceroute to local.com.ua (92.249.69.58), 64 hops max, 52 byte packets
 1  10.10.30.30 (10.10.30.30)  5.122 ms  1.556 ms  1.639 ms
 2  lo0.bras-dp-01.fregat.net (212.115.225.241)  2.487 ms  2.691 ms  2.596 ms
 3  10.0.11.5 (10.0.11.5)  2.785 ms  3.823 ms  2.438 ms
 4  10.0.10.34 (10.0.10.34)  11.088 ms  9.516 ms  9.956 ms
 5  synapse-ix.giganet.ua (91.245.221.64)  19.438 ms  10.300 ms  10.821 ms
 6  galactica.synapse.net.ua (195.69.84.174)  10.162 ms  10.053 ms  9.970 ms
 7  zain.local.com.ua (92.249.69.58)  9.318 ms !Z  9.048 ms !Z  8.649 ms !Z

 

И все бегает и +100500 клиентов не жалуются.

Ссылка на сообщение
Поделиться на других сайтах

Вот трасса например от Фрегата

traceroute to local.com.ua (92.249.69.58), 64 hops max, 52 byte packets

 1  10.10.30.30 (10.10.30.30)  5.122 ms  1.556 ms  1.639 ms

 2  lo0.bras-dp-01.fregat.net (212.115.225.241)  2.487 ms  2.691 ms  2.596 ms

 3  10.0.11.5 (10.0.11.5)  2.785 ms  3.823 ms  2.438 ms

 4  10.0.10.34 (10.0.10.34)  11.088 ms  9.516 ms  9.956 ms

 5  synapse-ix.giganet.ua (91.245.221.64)  19.438 ms  10.300 ms  10.821 ms

 6  galactica.synapse.net.ua (195.69.84.174)  10.162 ms  10.053 ms  9.970 ms

 7  zain.local.com.ua (92.249.69.58)  9.318 ms !Z  9.048 ms !Z  8.649 ms !Z

 

И все бегает и +100500 клиентов не жалуются.

 

И что ты тут увидел? 10.0.10.34 - это внутренний интерфейс. скорее всего BGP анонсится с 91.245.221.64 и явно не на локальный адрес :) 

 

У меня другой вопрос. BGP настроен на белом адресе, но потом идет узел с локальным адресом. 

примерно так:

tracert 91.245.5.5

...

91.245.1.1

192.168.15.6

91.245.5.5

 

Это плохо? Варианты? 

Ссылка на сообщение
Поделиться на других сайтах

Сам по себе роутер даже имея реальные адреса не обязан никому отвечать,трасса будет чакатса с дохлым хопом в чем проблема?

Ссылка на сообщение
Поделиться на других сайтах

 

 

1) Используя "серые" IP на граничных интефейсах вы ломаете протокол ICMP между вашей сетью и миром.
 

 

 

1) не согласен. Я могу выполнять ping x.x.x.x source loopback 1 со своего реального адреса

Если невозможность досить роутер это первопричина предложенной схемы, тогда real ip loopback это такая же цель для атаки, ведь ваш первый аргумент "не будет возможности ДОСить конкретно роутер" гарантированно работает только тогда, когда на роутере вообще нет "белых" адресов. При этом эта схема никак не спасает вас от банального флуда на всю доступную полосу пропускания или, по-вашему, это не входит в понятие "досить конкретно роутер"? В итоге, как сказал supportod, сломаете icmp, а всё-равно задосят.

Но скорее всего вся задумка не держать на маршрутизаторе "белых" адресов закончится тем, что кто-то из ваших аплинков или пиринговых партнеров откажется строить линк по этой схеме ссылаясь на нарушения RFC или свои внутренние политики. В итоге на маршрутизаторе всё-равно будут присутствовать "белые" адреса.

Это я к тому, что врядли стоит рассматривать ваш первый аргумент как существенный.

На счет экономии адресов и реализуемости схемы - адреса экономит, реализуемо, "на наге постоянно ржут с таких реализаций" :)

Ссылка на сообщение
Поделиться на других сайтах

На счет экономии адресов и реализуемости схемы - адреса экономит, реализуемо, "на наге постоянно ржут с таких реализаций"

не в ржачке дело,пусть ржут, на IBGP к примеру нету смысла вешать 100500 реалок, по уму вешаетса 1 реальник на лупбек и все пиры строятся на серых адресах

Но даже если у роутера все пиры белые,то теже внутренние политики вполне могут резать ICMP не из своей АС на роутер.

RFC имеет вообще-то рекомендательный характер,как догму его воспринимать ненужно

Ссылка на сообщение
Поделиться на других сайтах

Сам по себе роутер даже имея реальные адреса не обязан никому отвечать,трасса будет чакатса с дохлым хопом в чем проблема?

В моем случае два локаьных хопа, и оба чекаются... в сети другого провайдера. Получается дезинформация.  <_<

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від TRB
      Купимо IP-адреси /23 - /24 PA або PI.
      Деталі в осибистих повідомленнях. 
    • Від alexeya
      Сдам в аренду 2 блока /24. Цена за один блок 750$ в год.
    • Від VAndrey
      Доброго дня!
      Порадьте альтернативу -  порядного LIRa. І чи варто міняти?
      Багато років обслуговувався в LIRa НетАссіст. Ніколи нічого поганого не можу за них сказати. Тільки респект. Завжди все якісно, швидко і порядно. Тільки найкращі відгуки. Всім їх радив!
      Але окрім якісного обслуговування є ще й ціна.
      Вчора прийшов лист від них про підняття цін вдвіччі!?!? Ціна при цьому ж звісно в євро і разом із курсом також зростала щороку.
      Обгрунтування, бо за багато років зросла ціна на електроненергію,  зарплата  (так і курс евро зріс,  відповідно і відрахування LIRу).
      Ну і ще зросли відрахування в RIPE і та й комісія (15%) за перерахування коштів RIPE, бо типу тепер потрібно перераховувати виключно з українських рахунків. Тут можна десь з чимось погодитися напевно. Але знову ж таки підняття вдвіччі в Євро,  то якось,  як на мене занадто.
      Розумію, що все дорожчає. Спробував переговорити,  бо менш стрімке підняття,  але безрезультатно.
       
      Хотів почути думки колег. Варто міняти LIRa? Якщо так,  то на кого?
    • Від YuriyH
      Продам енкодер 8 HDMI в IP , 1U
      Ціна 1400 дол з ПДВ , оплата в грн. по курсу , безготівка.
    • Від Myr4ik
      Всем привет!
      Когда-то на просторах локала находил as-set со списком российских asn, но сейчас что-то не нахожу.
      Поделитесь, пожалуйста.
       
×
×
  • Створити нове...