Вот как вы справляетесь с утечками маршрута
Это, надо сказать, пока что уникальная история.
Вот и начало: примерно в течение часа, начиная с 19:28 UTC 1 апреля 2020 года, крупнейший российский провайдер — Ростелеком (AS12389) — анонсировал префиксы, принадлежащие известным интернет-игрокам: Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS и другие известные имена.
До того, как проблема была решена, пути между крупнейшими облачными сетями были несколько нарушены — интернет заморгал. Утечка маршрута была достаточно хорошо распределена через Rascom (AS20764), затем Cogent (AS174) и через пару минут через Level3 (AS3356) по всему миру. Проблема внезапно стала настолько серьезной, что насыщала процесс принятия решения о маршруте для нескольких интернет-провайдеров первого уровня.
Это выглядело так:
С этим:
Эта утечка затронула 8870 сетевых префиксов, принадлежащих почти 200 автономным системам. С большим количеством недействительных объявлений, которые не были отброшены всеми принимающими уровнями. В конечном счете, это не изменит день, но распределение утечек на маршруте может быть ниже, если фильтры будут на месте. Посмотрите на RIPE BGPlay, если вы хотите наблюдать за динамикой произошедшего: stat.ripe.net/widget/bgplay#w.resource=2.17.123.0/24
Как мы писали вчера, все сетевые инженеры должны быть осведомлены о том, что они делают, предотвращая вероятность такой критической ошибки. Ошибка Ростелекома показывает, насколько хрупка стандартизированная IETF маршрутизация BGP, и особенно — в такие напряженные времена с точки зрения роста трафика.
Однако, что сильно отличает ситуацию, так это то, что «Ростелеком» получил предупреждение от канала Qrator.Radar в реальном времени и обратился за помощью в устранении неполадок.
Учитывая простоту ошибок BGP, во время кризиса с коронавирусом так легко допустить ошибку. Однако с предоставленными данными мониторинга инцидент быстро закончился, и правильная маршрутизация была восстановлена.
Мы настоятельно рекомендуем другим интернет-провайдерам, не являющимся Ростелекомом, начать мониторинг своих объявлений BGP для предотвращения масштабных инцидентов. И, конечно же, RPKI Origin Validation — это то, о чем каждый должен не просто думать, а реализовывать.
0 комментариев
Вставка изображения
Оставить комментарий