<br>
Apologies in advance, notes from this morning will be a bit<br>
more scattered, as I was working on an issue in parallel<br>
to taking notes.<br>
<br>
Matt<br>
<br>
<br>
<br>
2006.02.14 talk 1 IRR Power Tools<br>
<br>
<br>
12:10 to 12:25, extra talk added, not on<br>
printed agenda.<br>
Thanks to those who submitted lightning<br>
talks.<br>
<br>
PC committee members are doing moderation,<br>
Todd Underwood will be handling the first<br>
session this morning.<br>
<br>
There will be 3 talks about tools for operators<br>
1 IRR and 2 Netflow tools.  Be thinking of <br>
interesting questions to ask.<br>
<br>
Todd has to introduce RAS at 9am, 7am west<br>
coast time which is normally his bedtime.<br>
<br>
IRR power tools, Dec 2004 first generation<br>
re-write.<br>
<br>
IRR--a quick review<br>
People have been asking him "why do we need<br>
the IRR?"  Any time you have a protocol like<br>
BGP that can propagate information, you need<br>
some form of filtering in place to limit <br>
damage.<br>
<br>
IRRs are databases for storing lists of<br>
customer information.  Written to speak RPSL<br>
some speak RPSLng.<br>
RADB<br>
ALTDB<br>
VERIO, LEVEL3, SAVVIS<br>
RIR-run databases: ARIN, RIPE, APNIC, etc.<br>
<br>
IRRs better than manual filtering.<br>
huge list on the slides.<br>
Filtering is needed, and hard to keep updated by<br>
hand.<br>
<br>
Why doesn't everyone use IRR?<br>
Many people do<br>
In Europe, pretty much total support in Europe; it's<br>
required by RIPE, providers won't deal with you if<br>
you don't keep your entries up, large exchanges likewise<br>
check.<br>
<br>
Few major networks in US use IRR too:<br>
NTT/Verio<br>
Level3<br>
Savvis<br>
Most people don't.<br>
<br>
Why doesn't everyone use it?<br>
In US, it's too complex for customers.<br>
support costs go up if you have to teach customers.<br>
Networks don't like to list their customers in a public<br>
database that can be mined by competitors<br>
<br>
RAS figured he could fix at least one piece<br>
Wrote a tool to help with:<br>
automatic retrieval of prefixes behind an IRR object<br>
automatic filtering of bogon or other undesirable routes<br>
Automatic aggregation of prefixes to reduce config size<br>
Tracking and long-term recording of prefix changes<br>
Emails the customer and ISP with prefix changes<br>
Exports the change data to plain-text format for easy<br>
interaction with non-IRR enabled networks<br>
Generates router configs for easy deployments.<br>
<br>
Doesn't do import/export policies,<br>
doesn't do filter-sets, rtr-set, peering-set, etc.<br>
Just focuses on essential portions.<br>
<br>
Tool was written around IRRToolSet initially, but<br>
the C++ code didn't compile nicely.<br>
This isn't a complete replacement for IRRToolSet,<br>
but provides the basic functionality<br>
<br>
A few conf files:<br>
IRRDB.CONF<br>
EXCLUSIONS.CONF<br>
NAG.CONF<br>
<br>
./irrpt_fetch grabs the current database info<br>
<br>
It also speaks clear english on add/remove of<br>
prefixes for access lists; default format is<br>
english, but you can change it to diff format.<br>
<br>
./irrpt_pfxgen ASNUM<br>
generates a prefix list suitable for the customer<br>
interface.<br>
Can use -f juniper to create juniper filters.<br>
<br>
<a href="http://irrpt.sourceforge.net/">http://irrpt.sourceforge.net/</a><br>
Always looking for more feedback; it's been deployed<br>
by a few people in the peering community; this will<br>
be its first widescale announcement.<br>
<br>
Future plans:<br>
Add support for IPv6/RPSLng<br>
 needs IPv6 aggregation tools<br>
RADB tool uses a faster protocol, RIPE just breaks down<br>
  one level; you have to do multiple iterations to get<br>
  the full expansion.  Servers tend to time out before<br>
  you can get all the answer; RIPE servers have hard<br>
  3 minute timeout that closes the socket.<br>
 Add SQL database support for a backend<br>
 Convert from a script to a real application<br>
 IRRWeb -- <a href="http://www.irrweb.com/">http://www.irrweb.com/</a><br>
<br>
He'll talk about irrweb at next nanog.<br>
Allow end users to register routes without needing to<br>
know ANYTHING about RPSL<br>
<br>
You can play with it, register routes, but it<br>
doesn't publish anywhere.<br>
<br>
That's it--happy valentine's day!<br>
Richard A Steenbergen ras at <a href="http://nlayer.net">nlayer.net</a><br>
<br>
Susan notes that<br>
RADB is developed by Merit, the two primary<br>
developers are here today<br>
Chris Fraiser, main cust interface now<br>
Larry Blunk is RPSLng person, also here today.<br>
<br>
Right now, no mirroring between IRRs, you have<br>
to mesh with everyone else when a new IRR comes<br>
up.  RADB at least does pick up from the others,<br>
so right now RADB is the best spot to do your<br>
queries against.<br>
<br>
Todd asks about filters; does it do prefix list<br>
only, or prefix list plus as-path?<br>
It builds off as's behind other as's, which might<br>
not be the best model; latest code is starting<br>
to understand as-sets.  To do it properly, you<br>
might need import/export policy support.<br>
<br>
Randy Bush, IIJ.  Like IPv6, this meeting marks<br>
the tenth anniversary of Randy pushing for IRR<br>
adoption.  And like IPv6, adoption rate has not<br>
been going well.  What's wrong?<br>
Pretty much too complex, which is why this effort<br>
is to make it much simpler, to try to get more <br>
uptake in the US.<br>
<br>
Todd notes that 2 things; 1, tools are too difficult;<br>
this addresses that.  second piece is that in US,<br>
allocations aren't tied to registry entry creation;<br>
this won't solve that part at all.<br>
<br>
For the second part, the benefits are seen mostly<br>
the closer you are to the registration process.<br>
Anyone can register any block; and if you don't<br>
use AS123:, people can register anything in your<br>
block, whether you want them to or not.<br>
<br>
Randy notes that they're trying to tweak allocation<br>
policy on something that nobody wants; he thinks<br>
this might approaching the issue at the wrong end.<br>
There's no push for it, so better tools doesn't<br>
necessarily help; and the data in the database<br>
are poor, so what of the data can really be <br>
trusted?<br>
Randy feels that certification path for allocation<br>
is more needed to formally track and make the<br>
data correct and verifiable, so no stale/bogus<br>
data can enter the database.<br>
<br>
Richard will talk at tools BOF this afternoon, and<br>
<br>
Andrew Dole, Boeing.  ARIN region policy, modify<br>
ORG template, add ASN entry into registry entry<br>
to link AS to prefix in the registry.  Could be a<br>
useful database that could be used to cross-verify<br>
the RADB data.  Discuss on ppml list, if you think<br>
it needs more, or should be mandatory, etc.<br>
RAS notes it would take a communication protocol<br>
between RIRs to make it widespread.<br>
<br>
Sandy Murphy, Sparta.  She submitted the policy<br>
to the ppml list.  There is a security language<br>
for RPSLng--with the tools being submitted, is<br>
there plans to support those security specifications?<br>
You have to have authorization of prefix holder<br>
and AS holder before you can create the route<br>
entry in RIPE, for example.<br>
RAS's goal is to just try to bring US up to level<br>
of rest of the world.<br>
Need to tie registration of prefix to authority to<br>
put entries in routing registry.<br>
IRRs are chock full of old stale data, and no way<br>
to remove it.<br>
<br>
<br>
<br>