<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt'>
<p>On 18/04/2015 10:11, Roland Dobbins wrote:</p>
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0">
<div class="pre" style="margin: 0; padding: 0; font-family: monospace"><br /> On 18 Apr 2015, at 7:06, Doug Barton wrote:<br /><br />
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0">You snipped out the part of my message that explained the answer to that question.</blockquote>
<br /> I understood the answer, I've just seen enough examples of ACLs and firewall rules and so forth being borked and remaining borked for unreasonable lengths of time until they're finally fixed that even in this context, having another address which can be used for recursive DNS service makes sense to me.<br /><br /></div>
</blockquote>
<div class="pre" style="margin: 0; padding: 0; font-family: monospace"> </div>
<div class="pre" style="margin: 0; padding: 0; font-family: monospace">If it is so screwed because of fat fingering, the problem will be noticed en mass, and CSR's would be overloaded with complaint levels that it would actually be escalated rather quickly, and the problem would be identified and fixed much faster than if it was by your assumptions.</div>
<div class="pre" style="margin: 0; padding: 0; font-family: monospace"> </div>
<div class="pre" style="margin: 0; padding: 0; font-family: monospace">At _ISP_ we anycasted the primary end user cache server IP at every PoP, if for whatever reason it was unavailable, the secondary cache IP was the "main secondary" in the primary NOC, this works fine for many years, with rarely any hits on it, even from that states users, I think your trying to introduce unnecessary complexities, and THAT we all know increases the risk of disasters.</div>
<div class="pre" style="margin: 0; padding: 0; font-family: monospace"> </div>
</body></html>