BGP многопоточный

Правда, но всё же хорошей практикой считается делать фильтрацию от спуфинга на граничном роутере. Мне также спокойнее блокировать трафик к управляющей плоскости с помощью фильтров на цепочке «input» — мало ли, когда появится новая уязвимость в SSH или SNMP.

Чтобы предотвратить спуфинг, зайдите в IP > Settings > RP Filter. Маршруты с недоступным для вас исходным адресом просто не пройдут. Сейчас у нас стоит CCR1072 с двумя полными пирами, 100 BGPv4 сессиями и 120 фильтрами маршрутизации. Правил файрвола — 0. Работает? Да, трафик до 8 Гбит/с в пиковые часы. Максимальная загрузка CPU — 10% (один ядро ВСЕГДА на 100%). Проблема: любой маршрут, даже статический, начинает работать спустя 15-20 минут. Например, если добавить в ether1 адрес 192.168.1.1/24, потребуется несколько минут, прежде чем можно будет пропинговать сеть 192.168.1.0/24. Естественно, если один из полных пиров отключится — готовьтесь к потере связи на 10-15 минут. При такой задержке невозможно эффективно отражать или смягчать DDoS-атаки (когда вы доносите маршрут до blackhole-сервера, нападающий уже закончил атаку и спокойно пьёт пиво на пляже). Может ли CCR1072 справиться с этим? Да, может. Может ли он делать это с производительностью уровня операторского класса? Абсолютно нет. Будет ли это работать, когда выйдет RouterOS v7? Возможно, мы так и не узнаем. К тому времени многие из нас, наверное, уже уйдут на пенсию. Пока что мы переходим на Huawei.

Настройки IP. RPFilter предназначен для антиспуфинга (URPF, но в версии V6 пока не совместим с VRF). Это позволяет всему вашему трафику оставаться в fastpath при включённом URPF, будь то STRICT или LOOSE. Режим STRICT заставляет роутер принимать пакеты с определённого источника на входе только если этот источник маршрутизируется и маршрут АКТИВЕН. В режиме LOOSE пакет принимается, если вообще существует маршрут, активен он или нет. @MT Где в IPv6 настройка URPF? @MT, ПОЖАЛУЙСТА, ИСПРАВЬТЕ проблему с VRF в V6, если возможно. Если нет — тогда ВЫПУСТИТЕ СЛЕДУЮЩУЮ ВЕРСИЮ UNICORN, чтобы RouterOS снова стал ХОРОШИМ роутером. Исправлять проблемы с управляющей плоскостью на устройстве Tilera с кучей ядер, жертвуя fastpath... НЕТ. Но если вы используете более слабые роутеры, сами знаете, что лучше для вашей сети. Установите на бордере, который часто имеет мультихоминг, режим loose, а для остальных, идущих к клиентам, — strict, и вы ГОТОВЫ. Что касается антиспуфинга (иначе URPF).

Есть ли другой протокол, который можно использовать у провайдера сверху, чтобы обойти эту проблему с CCR 1036 и отсутствием многопоточности?

Есть новости по этой теме? Использую оборудование CCR1072, и никто не хочет, чтобы на одном ядре зависала таблица маршрутизации, а вставка или изменение маршрута занимали 15-20 минут.

Было бы здорово, но похоже, что для нормальной работы требует как минимум Linux kernel версии 4.9. Так что пытаться переписать это под более старую версию — не практично. Наверняка потребуются серьёзные доработки. Хотелось бы, чтобы они лучше вложили силы в выпуск альфа- или бета-версии, чтобы запустить процесс для нового ядра. Отправлено с моего SM-A520W через Tapatalk

Есть какие-то новости по этому вопросу? Используем оборудование CCR1072 — никому не хочется столкнуться с зависанием таблицы маршрутизации на одном ядре и ждать 15-20 минут, пока добавятся или изменятся маршруты.

С выходом новой беты 7 мы знаем, что процесс импорта BGP-маршрутов улучшили. Вопрос времени, когда это выпустят в релиз и, например, на Tile. Но я бы ещё долго не рисковал запускать это в продакшене.