On 13/11/2007 19:39, David Ramahefason wrote:
Ben tu as donné la réponse :)
C'est non ce n'est pas normal, mais comme tout le monde ne fait pas
forcement attention ben faut filtrer ce que tu reçois, pour cela que je
n'aime pas trop les "max-prefix" comme "securité" en peering.
Je suis/étais assez partisan des filter-list basées sur les objet RIPE mais
par chez nous ça ne fonctionne pas très bien (fonctionne trop bien plutôt
:)) car beaucoup de personnes ne tiennent pas à jour leur RIPE objects, le
truc est peut être de filtrer et forcer les personnes à mettre à jour leur
records RIPE, ce que j'ai fais un temps.
J'ai une moulinette sous la main pour ceux qui veulent pour la construction
de filter list.
Le problème est le suivant :

tu as un client transit BGP (client A) qui lui à plusieurs clients transit BGP également (clients 1, 2 et 3).
Les clients 1, 2 et 3 ont leurs objets route à jour.
Le client A recoit donc les routes de ces clients.
Le client A va t'annoncer les routes des clients 1, 2 et 3 de façon légitime alors qu'il n'y aura pas d'objet route dans la base du ripe ayant comme origin AS-clientA pour les routes des clients 1, 2 et 3. Donc ce genre de filtre c'est bien mais un peu restrictif. Il faudrait à chaque fois aller plus loin en regardant : s'il n'y a pas d'objet route pour cet AS il faut regarder qui annonce cette route, si c'est l'AS en question : il faut que l'objet route soit créé. si c'est un autre AS, il faut vérifier que l'autre AS en question soit client transit de ton client, bref c'est gérable manuellement, mais automatiquement, bonjour le dev :-)

Surtout que la base du ripe est une base déclarative pas super fiable parfois.

Pour ta remarque sur le fait que tu n'aimes pas trop un max-prefix comme sécurité sur un peering, tu fais comment si t'as un gros peer qui t'envoie 3000 routes et qui peut varier assez régulièrement ? Bon généralement faut dire que les gens envoyant un nombre de route dans ces environs ne sont pas des boulets et n'envoient pas n'importe quoi non plus, je pense qu'on peut les faire confiance avec un max-prefix uniquement comme sécurité.

--
Pierre-Yves
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à