https://slinkov.ru/openforum/vsluhforumID6/15263.html Заранее прошу прощения за серость и небольшой offtop темы, но так как вопрос косвенно касается маршрутизации, пишу именно в эту ветку.<br><br>Провайдер зарегистрировал на нашу организацию AS и PI и готов предоставить свое оборудование для маршрутизации (наши сервера стоят в дата-центре этого же провайдера), теперь он просит создать в базе RIPE Route-object. При создании route-объекта возникает ошибка авторизации для указанной в запросе AS. В качестве AS (поле origin) указывается AS провайдера, а не наша (это сделано по просьбе провайдера) - правильно ли это?<br><br>Провайдер предложил следующее решение проблемы: написать официальное письмо в RIPE и добавить его в поле mnt-routes для нашей сети (в наш PI). Решение на наш взгляд странное. <br><br>Знатоки подскажите где косяк (мне кажется что без косяка не обошлось) ;( <br><br><br><br><br> https://slinkov.ru/openforum/vsluhforumID6/15263.html#18 Wed, 16 Jan 2008 14:24:10 GMT &gt;&gt;- дальше начинаются проблемы с авторизацией, так как здесь используются объекты принадлежащие <br>&gt;&gt;разным мантэйнерам, inetnum в поле route - наш, а AS в <br>&gt;&gt;поле origin - провайдерский. Провайдер предложил добавить его в список mnt-routes <br>&gt;&gt;для inetnum (MNT-NETWORKNAME), что наверное должно помочь, но непонятен сам принцип <br>&gt;&gt;- почему в origin указывается ASПРОВАЙДЕРА? Провайдер квалифицированный, так что я <br>&gt;&gt;склонен предполагать что какой то смысл тут есть :) <br>&gt;<br>&gt;Почитайте ответы на 21-27 вопросы отсюда - http://www.nic.ru/ip-reg/service/FAQ/maintainer.html#2100 <br><br>- спасибо за полезную ссылку, мы полностью "отдались" провайдеру, указав в mnt-routes, объекта inetnum, ПРОВАЙДЕР-MNT, т. е. теперь у него есть право на создание route-объекта для нашего диапазона, так что пусть сам и создает нужные объекты :)<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/15263.html#17 Wed, 16 Jan 2008 14:19:55 GMT &gt;<br>&gt;&gt;- не доросли мы до таких блоков :) <br>&gt;<br>&gt;значит, из инета мало кто к вам сможет достучаться. <br><br>- видимо отсюда и растут ноги у желания провайдера осуществлять роутинг в наш inetnum через свою AS (провайдер аргументирует для нас свое желание отсутствием у нас собственного оборудования для маршрутизации). Единая политика маршрутизации и т. п.<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/15263.html#16 Wed, 16 Jan 2008 14:07:42 GMT &gt;- дальше начинаются проблемы с авторизацией, так как здесь используются объекты принадлежащие <br>&gt;разным мантэйнерам, inetnum в поле route - наш, а AS в <br>&gt;поле origin - провайдерский. Провайдер предложил добавить его в список mnt-routes <br>&gt;для inetnum (MNT-NETWORKNAME), что наверное должно помочь, но непонятен сам принцип <br>&gt;- почему в origin указывается ASПРОВАЙДЕРА? Провайдер квалифицированный, так что я <br>&gt;склонен предполагать что какой то смысл тут есть :) <br><br>Почитайте ответы на 21-27 вопросы отсюда - http://www.nic.ru/ip-reg/service/FAQ/maintainer.html#2100<br> https://slinkov.ru/openforum/vsluhforumID6/15263.html#15 Wed, 16 Jan 2008 13:59:13 GMT <br>&gt;- не доросли мы до таких блоков :) <br><br>значит, из инета мало кто к вам сможет достучаться.<br><br> https://slinkov.ru/openforum/vsluhforumID6/15263.html#14 Wed, 16 Jan 2008 12:52:09 GMT &gt;При одном аплинке (тупиковая AS) не обязательно получение всего списка сетей (full-view), <br>&gt;достаточного простого default gateway на роутер аплинка. <br>&gt;Наличие одного аплинка не приветствуется RIPE. Вам надо хотя бы для приличия <br>&gt;сделать пиринг еще с одной AS, которая имеет пиринг с вашим <br>&gt;аплинком. <br><br>- в орписании AS у на две внешних AS, но фактически пиринг будет только с провайдером<br><br><br>&gt;Надо было больше брать блок - /23 или /22, иначе многие роутеры режут префиксы меньше /23. <br><br>- не доросли мы до таких блоков :)<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/15263.html#13 Wed, 16 Jan 2008 12:41:12 GMT &gt;Имеем объект <br>&gt;aut-num: AS41XXX <br>&gt;Основные и важные параметры <br><br>[code] <br>...<br>import: from AS12XXX accept ANY //OK<br>export: to AS12XXX announce AS41XXX //OK<br>mnt-by: ПРОВАЙДЕР-MNT //не OK, провайдер указал в это поле себя <br>mnt-routes: ПРОВАЙДЕР-MNT //совсем не OK, провайдер указал в это поле себя<br>...<br>[/code] <br><br>&gt;И объект MNT-NETWORKNAME, который является названием вашей сетевой единицы и имя которой <br>&gt;вам присвоил RIPE. <br><br>[code] <br> ...<br> mnt-by: RIPE-MNT<br> mnt-by: ПРОВАЙДЕР-MNT<br> mnt-routes: НАШ-MNT<br> ...<br>[/code] <br><br>Собственно проблема возникает при создании route-объекта<br><br>[code] <br> route: MNT-NETWORKNAME //наша сеть<br> origin: ASПРОВАЙДЕРА //в Вашем примере AS12XXX, почему так не понятно, но провайдер настаивает<br> ...<br>[/code] <br>- дальше начинаются проблемы с авторизацией, так как здесь используются объекты принадлежащие разным мантэйнерам, inetnum в поле route - наш, а AS в поле origin - провайдерский. Провайдер предложил добавить его в список mnt-routes https://slinkov.ru/openforum/vsluhforumID6/15263.html#12 Wed, 16 Jan 2008 12:30:39 GMT &gt;- имеет ли смысл использовать собственную AS, если для маршрутизации используется оборудование <br>&gt;провайдера и пиринг осуществляется только с ним? <br><br>Да, имеет смысл, если вы хотите использовать _свой_ блок сетей (PI) и не зависить от прихотей вышестоящего аплинка.<br>При одном аплинке (тупиковая AS) не обязательно получение всего списка сетей (full-view), достаточного простого default gateway на роутер аплинка.<br>Наличие одного аплинка не приветствуется RIPE. Вам надо хотя бы для приличия сделать пиринг еще с одной AS, которая имеет пиринг с вашим аплинком.<br><br><br>&gt;Согласно рекомендации RIPE сети <br>&gt;имеющие единую политику маршрутизации должны использовать общий AS (в том числе <br>&gt;разные сети разных владельцев) [ http://www.ripn.net:8080/nic/IP-reg/TRANSL/ripe-185.html пункт 7 ], видимо у <br>&gt;нас тот же случай, когда сети разные (наш PI) и провайдерский <br>&gt;блок, а политика маршрутизации общая, так как сервера стоят на площадке <br>&gt;провайдера и весь трафик идет через него (пиринг только с ним?), <br>&gt; чем видимо и об https://slinkov.ru/openforum/vsluhforumID6/15263.html#11 Wed, 16 Jan 2008 12:17:19 GMT Вам выделили XX.YY.16.0/24<br>В RIPE это должно выглядеть так:<br>[code]<br>inetnum: XX.YY.16.0 - XX.YY.16.255<br>netname: NETWORK-NAME-20070703<br>descr: Your descriptions<br>country: UA<br>org: ORG-TBL1-RIPE<br>admin-c: ZZZ11-RIPE<br>tech-c: ZZZ11-RIPE<br>status: ALLOCATED PA "status:" definitions<br>mnt-by: RIPE-NCC-HM-MNT<br>mnt-lower: MNT-NETWORKNAME<br>mnt-routes: MNT-NETWORKNAME<br>source: RIPE # Filtered<br><br>% Information related to 'XX.YY.16.0/24AS41XXX'<br><br>route: XX.YY.16.0/24<br>descr: Your descriptions<br>origin: AS41XXX<br>mnt-by: MNT-NETWORKNAME<br>source: RIPE # Filtered<br>[/code]<br> https://slinkov.ru/openforum/vsluhforumID6/15263.html#10 Wed, 16 Jan 2008 12:10:09 GMT &gt;&gt;- если захочется разбить сеть на подсети надо ли создавать отдельные route-объекты <br>&gt;&gt;для каждой подсети? <br>&gt;<br>&gt;Не надо. <br>&gt;Аплинк указывает только gateway для вашей сети/блока. А дальше вы сами делите <br>&gt;блок на этом роутере как хотите. Правда RIPE требует регистрации подобных <br>&gt;делений, но это уже мелочи... <br><br>- большое спасибо за разъяснение<br><br>- имеет ли смысл использовать собственную AS, если для маршрутизации используется оборудование провайдера и пиринг осуществляется только с ним? Согласно рекомендации RIPE сети имеющие единую политику маршрутизации должны использовать общий AS (в том числе разные сети разных владельцев) [ http://www.ripn.net:8080/nic/IP-reg/TRANSL/ripe-185.html пункт 7 ], видимо у нас тот же случай, когда сети разные (наш PI) и провайдерский блок, а политика маршрутизации общая, так как сервера стоят на площадке провайдера и весь трафик идет через него (пиринг только с ним?), чем видимо и объясняется желание провайдера использовать свою AS при создании route-object.<br><br><br>