Комментарии 8
Конечно такой параметр есть, но до него еще дойти нужно. В своей практике практически с ним не сталкивался. А как этот параметр поможет в данных ситуациях?
Основная идея в том, что не так уж мало зависит от Ваших upstream'ов и от их peer'ов и/или upstream'ов.
Основная идея в том, что не так уж мало зависит от Ваших upstream'ов и от их peer'ов и/или upstream'ов.
Для входящего трафика, я бы разделил по приоритету использования следующие технологии:
1. Лучше всего использовать advances community, да не все поддерживают. Но у крупных оно есть, и работает замечательно.
2. Conditionally Advertising BGP Routes — достаточно юзабельно, если у вас простая схема сети.
3. AS-path prepend — совсем не лучший вариант в жизни. Особенно если провайдер крупный.
4. Suppressing and Unsuppressing Advertising Aggregated Routes — куча нюансов, крайний вариант.
Описания технологий на сиске описаны достаточно хорошо.
1. Лучше всего использовать advances community, да не все поддерживают. Но у крупных оно есть, и работает замечательно.
2. Conditionally Advertising BGP Routes — достаточно юзабельно, если у вас простая схема сети.
3. AS-path prepend — совсем не лучший вариант в жизни. Особенно если провайдер крупный.
4. Suppressing and Unsuppressing Advertising Aggregated Routes — куча нюансов, крайний вариант.
Описания технологий на сиске описаны достаточно хорошо.
Можно ли нуллроутить трафик не по destination адресу, а по source адресу? Чтобы, например, отбрасывать трафик приходящий из конкретных AS в случае DDoS-а?
Вроде существует подобная фильтрация с помощью fake-AS.
Вроде существует подобная фильтрация с помощью fake-AS.
Маршрутизировать таким образом можно (называется policy-routing), но на сколько это будет Вас спасать — вопрос спорный.
Пример:
Будете просто в ACL bad-hosts дописывать адреса «вражеских» хостов.
Пример:
ip route 192.168.100.1 255.255.255.255 Null0
ip access-list standard bad-hosts
permit 1.1.1.1 0.0.0.0
permit 2.2.2.2 0.0.0.0
route-map NULL-ROUTE permit 5
match ip address bad-hosts
set ip next-hop 192.168.100.1
interface Gix/x
ip policy route-map NULL-ROUTE
Будете просто в ACL bad-hosts дописывать адреса «вражеских» хостов.
> Природно, что сетевой администратор хочет абсолютно точно поминать как трафик
> входит/выходит/проходит через его сеть.
поминать -> понимать
Хотя что-то в этом есть… «Так помянем же трафик безвозвратно ушедший» :)
> входит/выходит/проходит через его сеть.
поминать -> понимать
Хотя что-то в этом есть… «Так помянем же трафик безвозвратно ушедший» :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
BGP: некоторые особенности поведения трафика