AS Routen

[virtual2]

Welche Informationen wären denn relevant? Im Moment sind bei uns 500 IPs up, und die 1024 von RIPE werden ebenfalls in wenigen Monaten vergeben sein.
Traffic jederzeit etwa 100-150mbit in beide Richtungen, aber recht stark wachsend, ca 10-25% pro Monat.
Kurze Peaks gibts immer wieder mal, aber eigentlich keine längeren - außer eben bei DDOS. Größere DDOS Attacken sind die Ausnahme, aber die Angst ist natürlich vorhanden, dass eine >1gbit DDOS Attacke alles lahm legt. Mit dem Junpier wären wir hier auf der sicheren Seite, da 4x 10gbit Ports.

Was meint ihr?

Wieso nicht einfach vernünftig lösen und den Inbound Traffic komplett über einen Peer routen, der dir den DDoS Traffic wäscht? Es gibt Firmen, die derlei per GRE Tunnel / Crossconnect anbieten.

 

[vb-server]

Darf man fragen, warum so eine grosse Angst einer DDOS da ist? In den nun 3.5 Jahren wo ich beim aktuellen Arbeitgeber arbeite kam bisher genau eine DDoS Attacke vor, und die war nichtmal so gross.

 

[Jesaja]

Als relevante Frage hätte ich gesehen, ob/wie du Edge und Core trennst.

Wenn du nämlich alles zum Core routest, brauchst du am Edge nicht unbedingt VLANs, weil die Trennung weiter innen stattfindet.

Der Switch ist meines Wissens ein Layer3-Switch. Die können Switching, Routing und (oft eingeschränkt) auch dynamische Routingprotokolle. Ich denke (auf Grund der vielen Ports), dass du dann BGP direkt auf deinem Core machst und von da auch an die Distribution-Switche und von da an die Server gehst.

Mit Zusatzlizenz kann der Switch BGP, dabei ist aber noch nicht klar, ob der auch genug Speicher für 2 Upstreams hat.

 

[PHP-Friends]

Kurze Peaks gibts immer wieder mal, aber eigentlich keine längeren - außer eben bei DDOS. Größere DDOS Attacken sind die Ausnahme, aber die Angst ist natürlich vorhanden, dass eine >1gbit DDOS Attacke alles lahm legt.

Ist Nullrouting einzelner IPs (k)eine Möglichkeit? Denn wenn dein Switch / Router 4x 10 GBit/s kann, bringt dir das nichts, solange deine physikalische Außenanbindung 1 GBit/s hat. Bei irgendeiner Bandbreite musst du sowieso nullrouten, das würde ich von Anfang an berücksichtigten.

Ja, es gibt sicherlich Kunden, bei denen das nie passiert - aber in Summe habe ich doch den Eindruck, dass immer irgendwann mal das erste Mal ist. Den einen trifft's härter, den anderen halt schwächer.


Edit: Und ja, dieser Switch kann aufgrund seiner Layer-3-Funktionalität auch grundsätzlich erstmal Routing.

 

[vb-server]

Ja, klar kann es einem treffen, trotzdem würde ich nicht die teuerste Hardware kaufen nur weil alle paar Jahre mal eine DDoS vorkommt, dann hat man halt pech gehabt (und kann die Ziel-IPs ber BGP Blackholing nullrouten).

Der Switch kann soweit ich weiss nur 1000 Routen, somit für Multihoming nicht geeignet (>500k Routen pro Upstream).

 

[Selfy]

Ja, klar kann es einem treffen, trotzdem würde ich nicht die teuerste Hardware kaufen nur weil alle paar Jahre mal eine DDoS vorkommt, dann hat man halt pech gehabt (und kann die Ziel-IPs ber BGP Blackholing nullrouten).

Der Switch kann soweit ich weiss nur 1000 Routen, somit für Multihoming nicht geeignet (>500k Routen pro Upstream).

wie viele routen kann denn im Vergleich so ein EdgeRouter ER Pro 8 von Ubiqi?
Welches Leistungsmerkmal verrät einem die mögliche Anzahl an Routen?

 

[vb-server]

Bei den Junipers ist es wohl eher ein Lizenzproblem oder absicht, dass man einen teureren Router kaufen muss. Ubiquiti hat meines Wissens nach kein Limit, da ist RAM der Faktor der zählt. Allerdings kenne ich Ubiquiti nicht, daher kann ich keine genaue Antwort geben.

 

[PHP-Friends]

Ja, klar kann es einem treffen, trotzdem würde ich nicht die teuerste Hardware kaufen nur weil alle paar Jahre mal eine DDoS vorkommt, dann hat man halt pech gehabt (und kann die Ziel-IPs ber BGP Blackholing nullrouten).

Ich habe mich missverständlich ausgedrückt und meinte genau das Gleiche wie du: Dass man das Nullrouting einplanen sollte, wenn man eben nicht die theoretisch mögliche DDoS-Bandbreite präventiv anbinden möchte. Daher auch meine Frage, ob Nullrouting eine Option ist; es mag ja Dienste geben, die einen Umsatz generieren, der Nullrouting quasi ausschließt.

 

[10g]

Nullrouten ist in der Regel kein Problem. Ich habe mich nun für einen Router entschieden

Muss man mit mindestens 2 AS peeren, damit man als Multihomed anerkannt wird, oder reicht es aus, wenn ein peer multihomed ist?

 

[vb-server]

Mit 2 ASNs peeren.