On Wed, Mar 9, 2016, at 15:03, Jérôme Nicolle wrote: > Subnet précis ou supernet, l'un comme l'autre, posent les problèmes > suivants : > > - Exposition des interfaces de routeurs pas nécessairement simples à > protéger, sur lesquelles on est certain d'avoir au moins un speaker BGP, > si ce n'est plein de backdoors (La NSA vous remercie de tout bien > exposer sur un préfixe bien identifié)
Pas que la situation soit sensiblement plus differente d'un subnet qui contient que des interco BGP pour des upstreams/clients/PNI. Mais pourquoi-pas ? > - Possible hijack d'un more-specific depuis l'intérieur : si un membre > annonce, par session directe mal filtrée en face, un /24 (ou plus long) > du /23 de la zone, alors il détournera le trafic de son pair vers tous > les membres de ce /24 En quoi tu as besoin d'une route externe pour ca ? > Bref, voir un préfixe de LAN d'IXP dans la DFZ, même si je peux trouver > ça pratique dans de rares cas, je trouve ça globalement flippant. Il faut juste se rappeler qu'il y a aussi quelques-uns qui fonctionnent en mode "default + peering" comme perfusion pour des 6500/6800 non-XL. La moins specifique ca vaut le meme chose que la 0.0.0.0/0 (juste un cas particulier de "beaucoup moins specifique"). --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
