D
Size: a a a
2021 March 24
D
при чем вы не единственный ему это говорили. Но "не помогает".
Если вы поглубже погрузитесь в вопрос, то поймёте, что я имею дело не с одним хостером, у которого неправильные пиры, а с несколькими, причём каждый раз с новыми. И на основе статистики сделал вывод, что это не работает. Вообще. Т.е. большинству участников этой системы плевать на RPKI, если это не в их интересах.
D
Dmitry
Это не у меня не работает. Это просто вообще не работает.
Работает - проверено лично.
Сделайте анонс своей сети из под корректной AS.
Посмотрите на ripe atlas какое кол-во atlas probe видит данную сеть от других операторов и какая глобальная доступность сети.
Потом намеренно создайте RPKI ROA кривой, чтобы сеть стала со статусом RPKI ROA Invalid.
Посмотрите что происходит на NTT, Telia мин через 30.
А через сутки например (через сутки потому что я не знаю как чётно обновляются эти данные на сайте Ripe) посмотрите что кол-во probe которые видят вашу сеть:
кол-во уменьшиться и глобальное connectivity для этой сети ухудшиться. Это пока что.
Как только все Tier-1 будут фильтровать по RPKI roa этот показатель ещё уменьшиться и т.д, что будет приводить в вашем кейсе к невостребованности использования данной сети и проблемы оказания с ней сервисов.
Но никто не мешает вашему арендодателю продолжить «гадить» и анонсировать сеть во внешний мир.
Сделайте анонс своей сети из под корректной AS.
Посмотрите на ripe atlas какое кол-во atlas probe видит данную сеть от других операторов и какая глобальная доступность сети.
Потом намеренно создайте RPKI ROA кривой, чтобы сеть стала со статусом RPKI ROA Invalid.
Посмотрите что происходит на NTT, Telia мин через 30.
А через сутки например (через сутки потому что я не знаю как чётно обновляются эти данные на сайте Ripe) посмотрите что кол-во probe которые видят вашу сеть:
кол-во уменьшиться и глобальное connectivity для этой сети ухудшиться. Это пока что.
Как только все Tier-1 будут фильтровать по RPKI roa этот показатель ещё уменьшиться и т.д, что будет приводить в вашем кейсе к невостребованности использования данной сети и проблемы оказания с ней сервисов.
Но никто не мешает вашему арендодателю продолжить «гадить» и анонсировать сеть во внешний мир.
D
Dmitry
Если вы поглубже погрузитесь в вопрос, то поймёте, что я имею дело не с одним хостером, у которого неправильные пиры, а с несколькими, причём каждый раз с новыми. И на основе статистики сделал вывод, что это не работает. Вообще. Т.е. большинству участников этой системы плевать на RPKI, если это не в их интересах.
Вы можете быть первым участником сети интернет который будет просить все AS внедрить такую фильтрацию. Лучше начать просить TIER-1 операторов. 🙂
CS
Простите, а почему нет вопроса нахрена нужОн РАНР?)
про ранр кстати отдельный чатик уже есть
D
Работает - проверено лично.
Сделайте анонс своей сети из под корректной AS.
Посмотрите на ripe atlas какое кол-во atlas probe видит данную сеть от других операторов и какая глобальная доступность сети.
Потом намеренно создайте RPKI ROA кривой, чтобы сеть стала со статусом RPKI ROA Invalid.
Посмотрите что происходит на NTT, Telia мин через 30.
А через сутки например (через сутки потому что я не знаю как чётно обновляются эти данные на сайте Ripe) посмотрите что кол-во probe которые видят вашу сеть:
кол-во уменьшиться и глобальное connectivity для этой сети ухудшиться. Это пока что.
Как только все Tier-1 будут фильтровать по RPKI roa этот показатель ещё уменьшиться и т.д, что будет приводить в вашем кейсе к невостребованности использования данной сети и проблемы оказания с ней сервисов.
Но никто не мешает вашему арендодателю продолжить «гадить» и анонсировать сеть во внешний мир.
Сделайте анонс своей сети из под корректной AS.
Посмотрите на ripe atlas какое кол-во atlas probe видит данную сеть от других операторов и какая глобальная доступность сети.
Потом намеренно создайте RPKI ROA кривой, чтобы сеть стала со статусом RPKI ROA Invalid.
Посмотрите что происходит на NTT, Telia мин через 30.
А через сутки например (через сутки потому что я не знаю как чётно обновляются эти данные на сайте Ripe) посмотрите что кол-во probe которые видят вашу сеть:
кол-во уменьшиться и глобальное connectivity для этой сети ухудшиться. Это пока что.
Как только все Tier-1 будут фильтровать по RPKI roa этот показатель ещё уменьшиться и т.д, что будет приводить в вашем кейсе к невостребованности использования данной сети и проблемы оказания с ней сервисов.
Но никто не мешает вашему арендодателю продолжить «гадить» и анонсировать сеть во внешний мир.
Буквально в течение двух прошедших недель. Заказчик отказывается от адресов. Прошу его снять анонсы. Он открывает тикет в ДЦ. ДЦ тупит. Я удаляю роут, удаляю ROA. Безрезультатно, анонс висит. Тут мне приходит запрос от другого клиента. Я ему отвечаю, братан, подожди, анонс не снят. Он мне в ответ, пропиши мне ROA, у меня будет приоритет. Прописываю ROA на его АС. Проходит неделя, Райпстат показывает анонсы с двух АС, на одной смайлик RPKI красный, на другой зелёный, но оба анонса активны. В итоге мой новый клиент пишет в предыдущий ДЦ - "Dear NOC, снимите, плиз, анонс". В этот раз админы первого ДЦ наконец-то поняли, чего от них требуется и только тогда второй анонс исчез. Вот такой кейс, и подобных навалом. Пока админ не пнёт свою циску ручками, плевать все хотели на RPKI.
D
Все так.
вы описали кейс 1.2 https://t.me/enogtalk/79512
вы описали кейс 1.2 https://t.me/enogtalk/79512
D
Все так.
вы описали кейс 1.2 https://t.me/enogtalk/79512
вы описали кейс 1.2 https://t.me/enogtalk/79512
И?
D
Dmitry
Зачем мне теория? Мне надо, чтобы это работало на практике с любой произвольно взятой АС. Сейчас этого нет. У меня не сферический конь в вакууме, у меня бизнес.
Тогда именно вы заинтересованы чтобы все операторы внедрили фильтрацию по RPKI ROA в мире и чтобы ваш сферический конь не испытывал проблемы.
Удачи.👍
Удачи.👍
D
Переслано от BGP-TableBot
TH
Вот думаю, рассказать ли человеку про IPv6...