[Към каталога на техническите бележки]
Техническа бележка: Анализ на некоректна филтрация на BGP префикси касаещи мрежовите алокации 79.124.0.0/18 и 79.124.64.0/19, извършена от БТК
Публикувана на: 06 юни 2009 г.
Забележка: Описаната информация е валидна към 16:00 на 6 юни 2009г.
Списък на префиксите с origin AS8877 и AS-path ".. 8866 8877" (източник: колектор RRC01 на RIS, оператор RIPE NCC):
ASpath_regexp_8866_8877_RIS_RRC01_06_jun_2009.txt [електронен подпис][TimeStamp]
Списък на префиксите с origin AS8877 и AS-path ".. 8866 8877" (източник: граничен с AS8866 маршрутизатор на AS5421, оператор "Софийски Университет"):
ASpath_regexp_8866_8877_AS5421_border_06_jun_2009.txt [електронен подпис][TimeStamp]
Сортиран списък с префиксите с с origin AS8877 и AS-path ".. 8866 8877", получени от RIS:
sorted_ris.txt [електронен подпис][TimeStamp]
Сортиран списък с префиксите с с origin AS8877 и AS-path ".. 8866 8877", получени от граничния маршрутизатор на AS5421:
sorted_su.txt [електронен подпис][TimeStamp]
Забележка: Описаната информация е валидна към 16:00 на 6 юни 2009г.
На основа на съпоставка на данните за префиксите, получавани в глобалната BGP таблица (данни от RIS) и на тези получавани от BGP сесиите на клиентите на БТК, може да се състави списък на префикси с origin AS8877, които граничните маршрутизатори на БТК (AS8866) не съобщават на клиентите:
79.124.0.0/18 79.124.10.0/24 79.124.11.0/24 79.124.12.0/24 79.124.13.0/24 79.124.14.0/24 79.124.15.0/24 79.124.16.0/24 79.124.20.0/24 79.124.24.0/24 79.124.25.0/24 79.124.26.0/24 79.124.40.0/23 79.124.42.0/24 79.124.43.0/24 79.124.44.0/24 79.124.56.0/22 79.124.60.0/23 79.124.6.0/23 79.124.63.0/24 79.124.64.0/19 79.124.74.0/24 79.124.80.0/23 79.124.8.0/24 79.124.82.0/23 79.124.86.0/23 79.124.88.0/23 79.124.9.0/24 79.124.91.0/24 79.124.92.0/22
Въпросните префикси са неагрегирани, но всички те покриват специфично в една или друга степен мрежовите сегменти 79.124.0.0/18 и 79.124.64.0/19, които са обособени от RIPE NCC адресни алокации, които би следвало да бъдат с origin AS34425 (поне според базата на RIPE).
Забележка: Описаната информация е валидна към 16:00 на 6 юни 2009г.
Единствените префикси, които касаят достъпа мрежовите алокации 79.124.0.0/18 и 79.124.64.0/19, обявявани от БТК към клиентите им в рамките на BGP сесии, са следните:
79.124.0.0/18 79.124.64.0/19
Забележка: Описаната информация е валидна към 16:00 на 6 юни 2009г.
На база на данните за префиксите касаещи мрежовите алокации 79.124.0.0/18 и 79.124.64.0/19, излъчвани в глобалната BGP таблица и на данни за префиксите за тези мрежови алокации, излъчвани в BGP сесиите на БТК към маршрутизаторите на техни клиенти, може да се формира следния списък с префикси, които граничните маршрутизатори на AS8866 не съобщават на клиентите:
79.124.10.0/24 79.124.11.0/24 79.124.12.0/24 79.124.13.0/24 79.124.14.0/24 79.124.15.0/24 79.124.16.0/24 79.124.20.0/24 79.124.24.0/24 79.124.25.0/24 79.124.26.0/24 79.124.40.0/23 79.124.42.0/24 79.124.43.0/24 79.124.44.0/24 79.124.56.0/22 79.124.60.0/23 79.124.6.0/23 79.124.63.0/24 79.124.74.0/24 79.124.80.0/23 79.124.8.0/24 79.124.82.0/23 79.124.86.0/23 79.124.88.0/23 79.124.9.0/24 79.124.91.0/24 79.124.92.0/22
Такова неоповестяване на префикси води до там, че ако клиентът има друг доставчик на свързаност (освен БТК) и има установена BGP сесия с него, изходящия трафик на клиента към мрежите, описани с префиксите по-горе, ще преминава само през другия доставчик, но не и през БТК.
Граничните маршрутизатори на БИОМ (AS6802) и Софийския Университет "Св. Климент Охридски" - СУ (AS5421), получават глобалната BGP таблица от поне два транзитни доставчика. Един от тях е БТК (AS8866). В рамките на услугата, която е договорена от двете организации с този доставчик, има дефинирани два канала за свързаност - глобален и локален. Локалният канал служи за транспорт на трафик, който касае мрежи на субекти в българското интернет пространство - т.нар. "peering" (той е с по-ниска цена и с по-висок капацитет от глобалния канал). Глобалният канал има за цел да осъществява свързаност към световното интернет пространство (той е с по-малък капацитет от локалния и е с по-висока цена). За да могат граничните маршрутизатори на AS6802 и AS5421 да знаят кои мрежи през кой канал на доставка са достъпни, се изграждат BGP сесии до маршрутизаторите на AS8866 (БТК), като за всеки канал (глобален и локален) има по една BGP сесия. Идеята е БИОМ и СУ да пропускат изходящия трафик към мрежи на субекти в българското интернет пространство само през канала за локална свързаност, за да не натоварват с локален трафик канала за глобална свързаност.
Ако БТК беше единственият доставчик на свързаност на БИОМ и СУ, проблем не би следвало да има, защото и по глобалната и по локалната BGP сесии се подават едни и същи префикси касаещи мрежовите алокации 79.124.0.0/18 и 79.124.64.0/19. Проблемът се проявява заради това, че и БИОМ, и СУ са оператори на автономни системи и те по замисъл следва да имат най-малко два транзитни доставчика, през BGP сесиите с които да обявяват мрежите си. В момента, в който граничните им маршрутизатори се свържат с граничните маршрутизатори на друг транзит (в случая това е GEANT2), те получават през сесиите си с него специфичните префикси с origin AS8877, които БТК филтрира за свои клиенти, но анонсира към своите транзити и поради това се виждат глобално в BGP. Ефектът от това е такъв, че почти целия изходящ трафик за мрежовите алокации 79.124.0.0/18 и 79.124.64.0/19 излиза през втория транзит (GEANT2), защото той съобщава в BGP по-точен път за тях. Проблемът може би нямаше да е толкова голям, ако и този втори транзит, подобно на БТК, доставяше и локална българска свързаност. В случая обаче GEANT2 е оператор, който няма напречна свързаност в България с никой друг, освен с БИОМ (СУ получава свързаност към транзита GEANT2 през БИОМ). По този начин изходящия канал към GEANT2 се натоварва с локален български трафик, който се транспортира от София до някой от възлите на GEANT2 в Европа, след което отново се транспортира до София.
Фактът, че БТК получават от граничните маршрутизатори на AS8866 целият набор префикси, касаещи мрежовите алокации 79.124.0.0/18 и 79.124.64.0/19, но не го подават в цялост към своите клиенти, показва ясно наличието на BGP префиксна филтрация, която е извършена в ущърб на клиентите на този доставчик. Не е възможно, а и не е работа на всеки клиент на БТК да извършва подобен анализ, за да може да види проблеми, които един транзит НЕ БИВА да допуска. Допускането на подобен проблем показва лоша координация между операторите на маршрутизаторите на този доставчик, невнимание или некомпетентност.
Допълнителен фактор, който засилва проблема е големия пазарен дял, който предишният оператор на мрежовите алокации 79.124.0.0/18 и 79.124.64.0/19 имаше в София. Оказва се, че голям брой служители на БИОМ и СУ, бивши клиенти на "Еърбайтс България", използващи адреси от посочените алокации за нуждите на домашния си достъп, са станали автоматично клиенти на Пауърнет. Поради описвания тук проблем, споменатите служители имат затруднение в използването на услуги, свързани с видео терминали, VPN тунели и др. И причината е, че поради огромната асиметрия на канала, скоростта на трафика от тях към мрежата на БИОМ или СУ е с пъти по-висока от тази в обратната посока.
В допълнение, специално за случая на Софийския Университет "Св. Климент Охридски", договорът за доставка задължава БТК да предоставя пълна таблица с префикси, отразяваща каналите на този доставчик за локална и глобална свързаност. С подобна филтрация БТК нарушават този договор, защото филтрират префикси, които те получават от външен субект и които са обявени в глобалната BGP таблица. Не само това, подобен маниер на филтрация рефлектира върху качеството на услугата на БИОМ и СУ, която се осигурява от друг доставчик. Волно или неволно извършена, тази филтрация на префикси може да се разглежда като типичен пример за нарушаване на мрежовата неутралност!
Този документ е с OpenPGP подписано съдържание
[информация] [електронен подпис][TimeStamp]