On 13/11/2007 19:39, David Ramahefason wrote:
Ben tu as donné la réponse :)
C'est non ce n'est pas normal, mais comme tout le monde ne fait pas
forcement attention ben faut filtrer ce que tu reçois, pour cela que je
n'aime pas trop les "max-prefix" comme "securité" en peering.
Je suis/étais assez partisan des filter-list basées sur les objet RIPE mais
par chez nous ça ne fonctionne pas très bien (fonctionne trop bien plutôt
:)) car beaucoup de personnes ne tiennent pas à jour leur RIPE objects, le
truc est peut être de filtrer et forcer les personnes à mettre à jour leur
records RIPE, ce que j'ai fais un temps.
J'ai une moulinette sous la main pour ceux qui veulent pour la construction
de filter list.
Le problème est le suivant :
tu as un client transit BGP (client A) qui lui à plusieurs clients
transit BGP également (clients 1, 2 et 3).
Les clients 1, 2 et 3 ont leurs objets route à jour.
Le client A recoit donc les routes de ces clients.
Le client A va t'annoncer les routes des clients 1, 2 et 3 de façon
légitime alors qu'il n'y aura pas d'objet route dans la base du ripe
ayant comme origin AS-clientA pour les routes des clients 1, 2 et 3.
Donc ce genre de filtre c'est bien mais un peu restrictif. Il faudrait
à chaque fois aller plus loin en regardant :
s'il n'y a pas d'objet route pour cet AS il faut regarder qui annonce
cette route, si c'est l'AS en question : il faut que l'objet route soit
créé.
si c'est un autre AS, il faut vérifier que l'autre AS en question soit
client transit de ton client, bref c'est gérable manuellement, mais
automatiquement, bonjour le dev :-)
Surtout que la base du ripe est une base déclarative pas super fiable
parfois.
Pour ta remarque sur le fait que tu n'aimes pas trop un max-prefix comme
sécurité sur un peering, tu fais comment si t'as un gros peer qui
t'envoie 3000 routes et qui peut varier assez régulièrement ? Bon
généralement faut dire que les gens envoyant un nombre de route dans ces
environs ne sont pas des boulets et n'envoient pas n'importe quoi non
plus, je pense qu'on peut les faire confiance avec un max-prefix
uniquement comme sécurité.
--
Pierre-Yves
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/