On Wed, Mar 9, 2016, at 15:03, Jérôme Nicolle wrote:
> Subnet précis ou supernet, l'un comme l'autre, posent les problèmes
> suivants :
> 
> - Exposition des interfaces de routeurs pas nécessairement simples à
> protéger, sur lesquelles on est certain d'avoir au moins un speaker BGP,
> si ce n'est plein de backdoors (La NSA vous remercie de tout bien
> exposer sur un préfixe bien identifié)

Pas que la situation soit sensiblement plus differente d'un subnet qui
contient que des interco BGP pour des upstreams/clients/PNI.
Mais pourquoi-pas ?

> - Possible hijack d'un more-specific depuis l'intérieur : si un membre
> annonce, par session directe mal filtrée en face, un /24 (ou plus long)
> du /23 de la zone, alors il détournera le trafic de son pair vers tous
> les membres de ce /24

En quoi tu as besoin d'une route externe pour ca ? 

> Bref, voir un préfixe de LAN d'IXP dans la DFZ, même si je peux trouver
> ça pratique dans de rares cas, je trouve ça globalement flippant.

Il faut juste se rappeler qu'il y a aussi quelques-uns qui fonctionnent
en mode "default + peering" comme perfusion pour des 6500/6800 non-XL.
La moins specifique ca vaut le meme chose que la 0.0.0.0/0 (juste un cas
particulier de "beaucoup moins specifique").


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à