Kennisbank

Если вы масштабируете прокси, рано или поздно упрётесь в вопрос маршрутизации: тащить трафик через ASN провайдера или получить собственный номер автономной системы. Ошибка на этом шаге дорого стоит: лишние баны из-за «токсичного» ASN, невозможность быстро сменить апстрим, зависимость от чужих политик и потери при авариях.

Критерий выбора не в «престижности» собственного ASN, а в задачах. Нужны независимость, мультихоминг, тонкое управление путями, blackhole, трафик-инжиниринг через communities и предсказуемая геометрия анонсов в разных локациях — ваш путь к своему ASN. Если же вы работаете в 1–2 GEO с предсказуемыми потоками и цените простоту, правильная выдача от провайдера закрывает 80% потребностей.

Ниже — практическая матрица: когда хватит анонса провайдера, а когда имеет смысл получить свой ASN. В конце приложу «пакет внедрения» и блок для быстрой оценки под ваш кейс. Напоминание: при аренде от 6 месяцев мы настраиваем серверы бесплатно.

Когда хватает выдачи от провайдера

• Один апстрим и 1–2 локации, нет потребности в мультихоминге.

• Нужна быстрая активация /29…/24 без бюрократии RIR и сетевой команды в штате.

• Приоритет на стабильный SLA и низкую себестоимость, а не на тонкий трафик-инжиниринг.

• Готовы жить в политике ASN провайдера и его репутации, rDNS/SWIP/ROA делает провайдер.

• Достаточно communities провайдера для локальной оптимизации внутри его сети.

Плюсы: простота, быстрые сроки, минимум CAPEX/OPEX на сеть. Минусы: зависимость от чужого ASN и его BL-фон; сложнее менять апстрим и строить собственные политики.

Когда нужен свой ASN

• Требуется мультихоминг с 2+ апстримами для отказоустойчивости и оптимизации путей.

• Нужны собственные IRR route-объекты, ROA в RPKI, единой политики для всех локаций.

• Хотите независимость от репутации ASN провайдера и возможность гибко «мигрировать» подсети.

• Нужен трафик-инжиниринг BGP communities, selective prepending, региональные анонсы.

• Требуются автоматизированные blackhole (RTBH), max-prefix-контроль, быстрее реакция на инциденты.

• Планируете пул /24+ в нескольких географиях и рост 10k+ одновременных сессий.

Плюсы: контроль, масштаб, отказоустойчивость, предсказуемая репутация на уровне своей AS-семьи. Минусы: сложнее операционно, придётся вести RIR-бумаги и держать сетевой контур.

Экономика и операционная модель

Выдача провайдера

• Затраты: аренда подсетей и серверов. Бумаг минимум, ответственность за BL-гигиену разделена.

• Риски: общий BL-фон ASN, сложнее менять апстрим и сохранять те же префиксы.

Свой ASN

• Затраты: регистрация префиксов и ASN в соответствующем RIR, сопровождение IRR/ROA, инженеры на BGP.

• Выгоды: снижение простоев при авариях апстрима, лучшая управляемость путями, независимость от чужих политик, предсказуемость для антифрода.

Примечание: взносы и процедуры зависят от вашего RIR. Если нужно, дадим сводную таблицу требований по регионам.

Мини-чек-лист перед выбором

• GEO: одна страна или распределённый трафик по ЕС/США/Азии.

• SLA: сколько простоев готовы терпеть, целевой MTTR при падении апстрима.

• Репутация: устраивает ли фон ASN провайдера, есть ли жалобы уровня L2/L3.

• Политики: нужны ли communities, RTBH, selective анонсы, разделение по регионам.

• Команда: есть ли инженер, который ведёт IRR/RPKI/BGP, или сравним стоимость аутсорса.

Схемы внедрения

Модель А. Выдача провайдера с делегированным rDNS/SWIP

• Для 1–2 GEO, быстрый старт, минимум бюрократии.

• Обязательны ROA и route-объекты на стороне провайдера, согласованный PTR-шаблон и актуальная геометка.

Модель B. Свой ASN + 2 апстрима в каждой ключевой локации

• Для 3+ GEO и требований к отказоустойчивости.

• IRR объекты на вашу организацию, собственные ROA, communities для управления путями.

• RTBH для быстрой локализации атак, max-prefix, MD5/BFD на сессиях.

Матрица выбора (упрощённо)

• Малый объём, 1 GEO, до 3k параллельных сессий – выдача провайдера.

• Средний объём, 2–3 GEO, до 10k сессий – выдача провайдера с опцией второго апстрима через кросс-анонс, рассмотрение собственного ASN по мере роста.

• Крупный объём, 3+ GEO, 10k+ сессий, жёсткий SLA – собственный ASN, мультихоминг, communities, RTBH.

Репутация и блэклисты: что учесть

• BL-фон на уровне ASN может влиять на первичные фильтры и вероятность капч. Свой ASN с чистой историей уменьшает наследуемые риски.

• rDNS/SWIP/ROA обязательны в обеих моделях, но с собственным ASN легче удерживать консистентность во всех локациях.

• Регулярный аудит 16–32 IP из каждой /24, мониторинг UCE L2/L3, Spamhaus, SORBS, IP-репутационных агрегаторов.

План на 7 дней

• День 1: инвентаризация GEO, апстримов, подсетей, SLA. Решение по модели.

• День 2: если выбран свой ASN – собираем пакет для RIR, готовим IRR-префиксы и шаблоны ROA. Если выдача провайдера – подтверждаем LOA/SWIP, PTR-шаблон.

• День 3: дизайн BGP-политик, communities, max-prefix, RTBH, схемы failover.

• День 4: стенд, тестовые сессии BGP, проверка ROA и видимости префиксов.

• День 5: продуктивный релиз в одной зоне, мониторинг путей и BL-аудит.

• День 6: развёртывание во всех GEO, включение оповещений по BGP/IRR/RPKI.

• День 7: ретро, корректировки prepending/communities, документирование.

Пакет внедрения «Подсеть + анонс под ключ»

• Подбор модели: выдача провайдера или собственный ASN с дорожной картой.

• Док-комплект: шаблоны IRR-объектов, ROA, LOA, PTR-паттерны, чек-лист BL-гигиены.

• Сетевые политики: communities, prepending, RTBH, лимиты max-prefix, BFD.

• Мониторинг: видимость префиксов, алерты BGP, отчёт по IP-репутации.

• При аренде от 6 месяцев настройка серверов бесплатно.

Спец-предложение при аренде у нас серверов

При оплате за год сервер E2136/16Gb/240Gb SSD + /24 за 99 $ в месяц при предоплате за 12 месяцев.

• Включено: подсеть /24, rDNS, базовая корректировка геометок, оформление реассигна.

• Настройка серверов бесплатно при аренде от 6 месяцев.

• Оплата: криптовалюта, инвойс в EUR/USD по запросу.

• Напишите в тикет или чат на сайте: «Хочу сервер + /24 за 99 $/мес на год» и укажите желаемые страны или города. Мы пришлём доступные локации и зарезервируем блок.