On Wed, Aug 28, 2019 at 7:56 PM Michel Py < mic...@arneill-py.sacramento.ca.us> wrote:
> Bonjour Jérôme, > > > Jérôme Fleury a écrit : > > Est-ce qu'on frappe plus fort sur Verizon sur notre blog ? Oui. 2 > raisons a cela: > > - impossibilite totale de les joindre > > Pas pire que les autres. Essaie AT&T ou Cogent, çà peut prendre 1 semaine > entière et parler avec 30 personnes différentes pour _finalement_ en avoir > un qui comprenne le ba-ba du réseau. Si tu n'est pas un client direct ou un > autre T1, tu peux crever. > Au moins AT&T a deploye peerlock et RPKI Origin Validation. Resultat: 0 impact pour leurs clients suite au leak de Verizon/DQE https://twitter.com/JobSnijders/status/1144032070181593088 (les graphs viennent de chez nous) > > - c'est un Tier1, donc leur responsabilite envers la qualite des routes > > fournies sur Internet est bien plus importante que pour DQE > > Cà ne les excuse pas, mais en général ils ne sont pas si pire. Plus le > réseau est grand, plus il y a des trucs qui passent au travers des mailles > du filet. > Je suis d'accord avec cela. Ce qu'on n'excuse pas c'est d'etre injoignable. C'est un des 4 grands principes de MANRS: https://www.manrs.org/isps/guide/coordination/ Si on avait pu joindre quelqu'un, l'incident aurait dure 30 mins au lieu de 2h. > Tu t'en prends à la mauvaise société. Je ne cherche pas à défendre > Verizon, mais honnêtement ce n'est pas eux qui sont le mouton noir des > Tier-1. Tu avais (et toujours a) bien plus de chances que le même scénario > t'arrive avec un autre. > Je pense qu'on s'en prend a la bonne societe. > Si tu as envie de pousser un coup de gueule (c'est compréhensible), fais > que çà serve à quelque chose. Ce que Verizon a fait, c'est une erreur. Et > tu peux brailler tout ce que tu veux, çà continuera à arriver. Errare > humanum est, ce n'est pas facile d'être Tier-1. Le coup du "moi je lave > plus blanc", c'est un peu facile. > Ca fait des annees que la communaute fait comme si ce probleme n'existait pas. On aime bien dire qu'on est des architectes, mais la realite c'est qu'on a construit un chateau de cartes, et que maintenant il faut solidifier tout ca. Par habitude, depuis 20 ans, on cache ca sous le tapis. De notre cotre on a decide de communiquer dessus et d'etre transparents. Ca a plus de chances de faire avancer les choses que de faire l'autruche. On ne pretend pas etre meilleurs. Rien ne me terrifie plus que d'etre le prochain leaker. Avec des milliers de sessions eBGP partout dans le monde, ca peut arriver n'importe quand. Pour cela j'aime bien m'assurer que mes upstreams vont me filtrer. Ce que tu peux faire, c'est pousser à la roue sur les choses qui pourraient > réduire le risque (comme RPKI), et passer la bonne parole que ces > optimiseurs de daube, c'est de la poudre verte. > Ca tombe bien c'est exactement ce qu'on fait depuis plus d'un an: - On a signe tous nos prefixes, et on a deploye RPKI Origin Validation sur nos 193+ PoPs. - On a open-sourced un cache et validateur RPKI: https://blog.cloudflare.com/cloudflares-rpki-toolkit/, https://blog.cloudflare.com/rpki-details/ - En exclu, on sort un portail RPKI public: https://rpki.cloudflare.com/ - En exclu, tu peux tester RPKI-RTR avec tes routeurs sur notre service public: rtr.cloudflare.com (haters gonna hate) Et on presente partout dans le monde: LATAM: https://www.lacnic.net/innovaportal/file/3207/1/rpkideployment-at-scale-lacnog2flacnic-2018.pdf EU: https://ripe77.ripe.net/presentations/156-RPKI-deployment-at-scale-RIPE-1.pdf APAC: https://www.sgnog.net/SGNOG7/A.7%20Sgnog%20-%20Cloudflare_s%20RPKI%20validator%20Updated%20copy.pdf and https://www.slideshare.net/mynog/rpki-and-me Africa: https://www.afpif.org/wp-content/uploads/2019/08/Cloudflare.pdf --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
