Le 2014-05-31 10:40, Nicolas Strina a écrit :
> On 30 May 2014, at 21:33, Radu-Adrian Feurdean > <fr...@radu-adrian.feurdean.net> wrote: > > On Fri, May 30, 2014, at 18:01, Nicolas Strina wrote: > > Heuu filtrage RFC1918 ? Bogons ? C'est un peu la base à mon sens surtout > Pour le RFC1918 (et consorts) oui, ok. > Pour les bogons, hmmm..... 128.0.0.0/16 anyone ? si tout ton staff sait > que le bogons, ca se met a jour - ok, sinon - priere de s'abstenir. > > Après le filtrage côté client -> Chez nous c'est DB RIPE toutes les nuits > et filtering sur les objets route etc .. Donc en gros si rien -> pas de > routes. Si le client fait son travail -> défiltrage etc .. Bref ça > devrait exister partout. > Filtrer les routes et filtrer le traffic en fonction de la source n'est > pas le meme chose. > Il y a des cas legitimes pour envoyer du trafic avec une source pour > laquelle tu ne peux pas annoncer "proprement" une route. > J'ai ete personellement tres content de pouvoir le faire pendant 2 ans > en travaillant avec 6 transitaires differents (1 x petit, 1 x moyen et 4 > x grands). Question de discussion entre client et opérateur. Il y a toujours un moyen technique de faire les choses intelligemment. C'est tout la le soucis. Souvent il n'y a pas d'accompagnement donc on fait tout et n'importe quoi. Après ce n'est pas à l'opérateur de porter l'infra du client. Le client doit également respecter les best practices. Donc éducation etc .. C'est ce qui manque cruellement à mon avis. Au delas de l'aspect technique. > Pour faire rapide: tu fais du content, tu as un ancien bloc PA alloue > par un de tes anciens fournisseurs. Tu as sur ce bloc des services qui > prennent un temps fou a faire changer d'IP : des VPN, des services dont > tu controles pas le DNS voire carrement des services codes en dur chez > tes partenaires (ou pire encore, clients). Tu est depuis devenu LIR, tu > as un AS et ton propre PA, mais ni la volonte ni les moyens de maintenir > 2 reseaux ou des configurations qui causent plus de problemes qe ce > qu'ils resoudent. La migration va finir par se faire, mais un nombre > reduit de services prennent un temps fou pour etre migres. Pendant ce > temps, ca serait pas mal de reccuperer le trafic entrant pour ces > services "legacy" sur le lien "legacy" (souvent a prix d'or, dont tout > le monde attend l'expiration des 36 mois d'engagement), tout en sortant > le trafic correspondant par l'endroit ou tout le traffic sort ... oups - > c'est ton nouveau upstream qui droppe ton trafic s'il n'y a pas un objet > "route" bien renseigne dans la RIPE DB :) J'ai comme une idée de déjà-vu... Question : Normalement, l'ancien fournisseur est sensé avoir renseigné l'objet route du PA avec l'ASN comme origine dans la RIPE-DB à partir du moment ou tu as eu un ASN et que tu as annoncé ta PA legacy ? Du coup, tant que tu ne résilies pas ton service "legacy", l'objet existe et doit être pris en compte par les autres upstream qui s'appuie sur la RIPE DB ? L'intérêt du filtre sur l'objet route en DB, c'est aussi la prise en compte automatique d'un nouveau bloc ou d'un changement (préfixe plus grand ou plus petit) par tes transitaires quand tu es AS final, sans avoir besoin de les contacter chacun et de faire des demandes pas du tout automatisées, ce qui donne plus d'autonomie pour gérer l'annonce des ressources sur lesquels on a autorité. Je ne prône pas le tout-automatisé mais quand je vois le temps que ça prend à certain ISP... > Tu as deux choix: > > - Demander à ton ancien opérateur de faire l'objet (jamais eu de refus) > - Accepter certaines exceptions après vérification du droit d'utilisation du > PA > > C'est le rôle d'un opérateur de vérifier certaines choses et surtout > d'essayer d'accompagner son client (dans la limite du raisonnable bien > entendu). Sauf si le service de fourniture du bloc PA est packagé avec la fourniture du lien (souvent le cas) : Si tu résilies le lien, tu résilies ce qui te lies contractuellement au bloc PA, du coup aucune légitimité pour demander à ton ancien opérateur de créer l'objet route correspondant. Après qui tente rien n'a rien... mais c'est risqué de compter dessus. -- Damien LECCIA -- --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
