<div dir="ltr">Gracias Hugo, <div> ese va mas al grano, yo encontre esto:</div><div><br></div><div><h3 style="margin:0px;padding:0px;border:0px;font-size:14px;font-family:Noto,"Open Sans","Helvetica Neue",Helvetica,sans-serif;color:rgb(0,0,0)">Network diversity</h3><div><br></div><p style="margin:1em 0px;padding:0px;border:0px;font-size:13px;font-family:Noto,"Open Sans","Helvetica Neue",Helvetica,sans-serif;color:rgb(85,85,85)">The name servers must be in at least two topologically separate networks. A network is defined as an origin autonomous system in the BGP routing table. The requirement is assessed through inspection of views of the BGP routing table.</p><p style="margin:1em 0px;padding:0px;border:0px;font-size:13px;font-family:Noto,"Open Sans","Helvetica Neue",Helvetica,sans-serif;color:rgb(85,85,85)"><a href="https://www.iana.org/help/nameserver-requirements">https://www.iana.org/help/nameserver-requirements</a> <br></p><p style="margin:1em 0px;padding:0px;border:0px;font-size:13px;font-family:Noto,"Open Sans","Helvetica Neue",Helvetica,sans-serif;color:rgb(85,85,85)">Que siendo la IANA, podría considerarse una formalidad. creo que con la explicación de la caída de la sesión BGP... se justifica que deban estar en AS diferentes... y mas aun en infraestructuras diferentes.</p><p style="margin:1em 0px;padding:0px;border:0px;font-size:13px;font-family:Noto,"Open Sans","Helvetica Neue",Helvetica,sans-serif;color:rgb(85,85,85)"> Saludos</p><p style="margin:1em 0px;padding:0px;border:0px;font-size:13px;font-family:Noto,"Open Sans","Helvetica Neue",Helvetica,sans-serif;color:rgb(85,85,85)"><br></p><p style="margin:1em 0px;padding:0px;border:0px;font-size:13px;font-family:Noto,"Open Sans","Helvetica Neue",Helvetica,sans-serif;color:rgb(85,85,85)"><br></p></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El mié., 3 abr. 2019 a las 23:01, Hugo Salgado-Hernández (<<a href="mailto:hsalgado@nic.cl">hsalgado@nic.cl</a>>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 18:15 03/04, Miguel Angel Amador wrote:<br>
> Gracias<br>
> Saben si esa buena practica esta en algun RFC ? o en que se justifica...<br>
<br>
RFC2182 "Selection and Operation of Secondary DNS Servers", sección 3.1:<br>
<br>
"Secondary servers must be placed at both topologically and<br>
geographically dispersed locations on the Internet, to minimise the<br>
likelihood of a single failure disabling all of them.<br>
<br>
That is, secondary servers should be at geographically distant<br>
locations, so it is unlikely that events like power loss, etc, will<br>
disrupt all of them simultaneously. They should also be connected to<br>
the net via quite diverse paths. This means that the failure of any<br>
one link, or of routing within some segment of the network (such as a<br>
service provider) will not make all of the servers unreachable.<br>
"<br>
<br>
No dice explícitamente ASN, pero por lo general se considera que diversidad<br>
de ASN implica diversidad de organizaciones y paths.<br>
<br>
Hugo<br>
<br>
> aparte de la posibilidad de caida del AS, como para considerarlos en la<br>
> justificacion de la inversion de infraestructura que me sirva para<br>
> mitigarla.<br>
> Saludos!<br>
> <br>
> El mié., 3 abr. 2019 a las 17:49, Carlos M. Martinez (<<a href="mailto:carlosm3011@gmail.com" target="_blank">carlosm3011@gmail.com</a>>)<br>
> escribió:<br>
> <br>
> > Hola Miguel Angel,<br>
> ><br>
> > Tener DNSs autoritativos en ASes diferentes es en general una buena<br>
> > práctica. Dependiendo del tamaño de tu operación puedes tener p.ej. 2<br>
> > en tu red y 2 mas fuera.<br>
> ><br>
> > Hoy por hoy es muy facil tener esto, alcanza contratar unas VMs en<br>
> > sitios como Digital Ocean o el mismo Amazon AWS. También puedes buscar<br>
> > hacer acuerdos de intercambio de secundarios con otras organizaciones.<br>
> > Nosotros en particular (LACNIC) hacemos eso. Por ejemplo, somos<br>
> > secundarios de zonas de RIPE y RIPE es secundario de zonas nuestras.<br>
> ><br>
> > s2<br>
> ><br>
> > Carlos<br>
> ><br>
> > On 3 Apr 2019, at 17:42, Miguel Angel Amador wrote:<br>
> ><br>
> > > Estimados<br>
> > > Esperando que se encuentren bien, me surgió una duda, actualmente<br>
> > > estamos<br>
> > > en proceso de migrar de bloques ip públicos con ISP a tener nuestro<br>
> > > propio<br>
> > > ASN, donde agrupar nuestras IP's Publicas... y me surgió la duda,<br>
> > > porque me<br>
> > > parece que vi por ahí que dentro de las buenas practicas para dns<br>
> > > autoritativos públicos, estaba el tener al menos 2 DNS Públicos y<br>
> > > que<br>
> > > estuvieran en AS (sistemas autónomos) diferentes. que tan cierto es<br>
> > > esto?<br>
> > > que tan riesgoso puede ser? lo único que se me ocurre, es perder el<br>
> > > AS...<br>
> > > pero eso seria muy difícil, alguien sabe de algún pro o contra de<br>
> > > esta<br>
> > > recomendación?<br>
> > > Los leo...<br>
> > > Atte.<br>
> > > Miguel Angel Amador L.<br>
> > > _______________________________________________<br>
> > > dns-esp mailing list<br>
> > > <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
> > > <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
> > _______________________________________________<br>
> > dns-esp mailing list<br>
> > <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
> > <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
> ><br>
<br>
> _______________________________________________<br>
> dns-esp mailing list<br>
> <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
> <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
<br>
_______________________________________________<br>
dns-esp mailing list<br>
<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
</blockquote></div>