On Wed, Jun 5, 2019, at 16:38, Paul Rolland (ポール・ロラン) wrote: > Mon experience personnelle, c'est que le RoA, c'est de l'administratif, un > bout de papier a en-tete avec une signature, pour dire a X qu'il est > autorise a faire les annonces de f.g.h.i/k.
Pas confondre avec les LOA, pratique qui pour le routage Internet peut etre consideree comme "barbare" de nos jours. Pour les ROA, il faut le lier aussi au mot-clef "RPKI" : https://www.ripe.net/manage-ips-and-asns/resource-management/certification > Donc, pour moi, il faut permuter dans la liste ci-dessus les deux > operations suivantes : > - Enlever les ROA (Route Origin Authorization) pour AS1 > et > - creer les ROA pour AS2 > car tu as besoin que AS1 continue a pouvoir annoncer jusqu'a la fin de la > migration, et il faut que AS2 puisse demarrer les annonces des le debut. Non, car sans ROA (ce qui doit etre encore le cas d'un certain nombre de LIR) la validation RPKI donne "unknown" (pas d'impact en temps normal), alors qu'avec le mauvais AS (annonce BGP par rapport au ROA) ca donne "invalid", et met la route comme candidat au drop/reject (impact de plus en plus grand). Quelques T1 ainsi que de plus en plus de route-serveurs d'IXP rejettent par default les routes avec "RPKI invalid", mais pas encore les "RPKI unknown". --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
