Bonne année @ tous !
Michel, concernant la prefix-list PL-NODEFAULT j'utilise celle-ci, est-ce que je peux avoir ton avis ?
ip prefix-list PL-NODEFAULT seq 5 deny 0.0.0.0/0
ip prefix-list PL-NODEFAULT seq 10 deny 0.0.0.0/0 ge 25
ip prefix-list PL-NODEFAULT seq 15 deny 0.0.0.0/8 le 32
ip prefix-list PL-NODEFAULT seq 20 deny 10.0.0.0/8 le 32
ip prefix-list PL-NODEFAULT seq 25 deny 100.64.0.0/10 le 32
ip prefix-list PL-NODEFAULT seq 30 deny 127.0.0.0/8 le 32
ip prefix-list PL-NODEFAULT seq 35 deny 169.254.0.0/16 le 32
ip prefix-list PL-NODEFAULT seq 40 deny 172.16.0.0/12 le 32
ip prefix-list PL-NODEFAULT seq 45 deny 192.0.0.0/24 le 32
ip prefix-list PL-NODEFAULT seq 50 deny 192.0.2.0/24 le 32
ip prefix-list PL-NODEFAULT seq 55 deny 192.168.0.0/16 le 32
ip prefix-list PL-NODEFAULT seq 60 deny 198.18.0.0/15 le 32
ip prefix-list PL-NODEFAULT seq 65 deny 198.51.100.0/24 le 32
ip prefix-list PL-NODEFAULT seq 70 deny 203.0.113.0/24 le 32
ip prefix-list PL-NODEFAULT seq 75 deny 224.0.0.0/3 le 32
ip prefix-list PL-NODEFAULT seq 80 deny 255.255.255.255/32
ip prefix-list PL-NODEFAULT seq 100 deny p1.p1.p1.0/24 le 32
ip prefix-list PL-NODEFAULT seq 105 deny p2.p2.p2.0/24 le 32
ip prefix-list PL-NODEFAULT seq 200 permit 0.0.0.0/0 le 32
ip prefix-list PL-NODEFAULT seq 10 deny 0.0.0.0/0 ge 25
ip prefix-list PL-NODEFAULT seq 15 deny 0.0.0.0/8 le 32
ip prefix-list PL-NODEFAULT seq 20 deny 10.0.0.0/8 le 32
ip prefix-list PL-NODEFAULT seq 25 deny 100.64.0.0/10 le 32
ip prefix-list PL-NODEFAULT seq 30 deny 127.0.0.0/8 le 32
ip prefix-list PL-NODEFAULT seq 35 deny 169.254.0.0/16 le 32
ip prefix-list PL-NODEFAULT seq 40 deny 172.16.0.0/12 le 32
ip prefix-list PL-NODEFAULT seq 45 deny 192.0.0.0/24 le 32
ip prefix-list PL-NODEFAULT seq 50 deny 192.0.2.0/24 le 32
ip prefix-list PL-NODEFAULT seq 55 deny 192.168.0.0/16 le 32
ip prefix-list PL-NODEFAULT seq 60 deny 198.18.0.0/15 le 32
ip prefix-list PL-NODEFAULT seq 65 deny 198.51.100.0/24 le 32
ip prefix-list PL-NODEFAULT seq 70 deny 203.0.113.0/24 le 32
ip prefix-list PL-NODEFAULT seq 75 deny 224.0.0.0/3 le 32
ip prefix-list PL-NODEFAULT seq 80 deny 255.255.255.255/32
ip prefix-list PL-NODEFAULT seq 100 deny p1.p1.p1.0/24 le 32
ip prefix-list PL-NODEFAULT seq 105 deny p2.p2.p2.0/24 le 32
ip prefix-list PL-NODEFAULT seq 200 permit 0.0.0.0/0 le 32
Je sais que tu utilises également cymru mais dans un premier temps j'aimerais avoir une prefix-list en interne qui filtre pas mal de merdasse...
Cool ton ip as-path access-list 99, je vais enrichir la mienne !
Envoyé: mardi 31 décembre 2019 à 19:18
De: "Michel Py" <mic...@arneill-py.sacramento.ca.us>
À: "Antoine DURAND" <ant...@gmx.fr>
Cc: "frnog-t...@frnog.org" <frnog-t...@frnog.org>
Objet: RE: RE: [FRnOG] [TECH] BGP filtrage AS-PATH
De: "Michel Py" <mic...@arneill-py.sacramento.ca.us>
À: "Antoine DURAND" <ant...@gmx.fr>
Cc: "frnog-t...@frnog.org" <frnog-t...@frnog.org>
Objet: RE: RE: [FRnOG] [TECH] BGP filtrage AS-PATH
> Antoine DURAND a écrit :
> Par contre David m'a mit le doute sur le fait qu'il serait plus simple de
> laisser BGP jouer tout seul et de faire un prepend sur le transit cher.
Sans voir les stats détaillées de ton 95th tile c'est difficile a dire, mais mon pifomètre bientôt rouge pour le réveillon me dit que David a probablement raison, en termes de pognon pur. KISS c'est toujours d'actualité.
> Maintenant je n'arrive pas à savoir si mes regexp sont vraiment utile ou pas...
Va falloir une moulinette qui analyse tes données pour çà.
> et quelle direction prendre pour avoir un truc simple/fonctionnel/optimisé ?
C'est pas si pire ce que tu fais, si je comprends la logique.
>> Ce que je comprends pas, c'est pourquoi tu as autant de route-maps avec des regexp partout.
> Pour pouvoir agir rapidement sur un transit afin de modifier la local-pref en cas d'un éventuel problème...
Pas besoin de regexp ou de match as-path. Si tu as une route-map par transitaire (avec 3 c'est ce que je ferais) il te suffit de mettre le set local-preference dans la route-map. En d'autres termes, une route-map par transitaire, sans clause match a part les bogons.
Je prétends pas avoir la science infuse pour BGP, mais c'est ce que je fais; voir plus bas.
> Un truc que je n'ai pas compris sur les routes-map est de savoir s'il faut rajouter la clause de fin en permit ??
OUI, une route-map c'est comme une access-list, il y a un deny explicite à la fin.
Michel.
route-map RM-TRANSIT-XXXXX-IN deny 9
description deny routes with invalid AS numbers
match as-path 99
!
route-map RM-TRANSIT-XXXXX-IN permit 10
set community nnnnn:xxxxx no-export additive
set local-preference yyy <=============================
router bgp nnnnn
bgp log-neighbor-changes
bgp graceful-restart
neighbor a.b.c.d remote-as XXXXX
neighbor a.b.c.d description ISP1 ASXXXXX
neighbor a.b.c.d password zzzzzzzzzzzzz
neighbor a.b.c.d update-source GigabitEthernet0/1
address-family ipv4
neighbor a.b.c.d activate
neighbor a.b.c.d prefix-list PL-NODEFAULT in
neighbor a.b.c.d prefix-list PL-MABOITE out
neighbor a.b.c.d route-map RM-TRANSIT-XXXXX-IN in
neighbor a.b.c.d route-map RM-TRANSIT-XXXXX-OUT out
ip route 0.0.0.0 0.0.0.0 null0 name DEFAULT-FREE-ZONE
ip prefix-list PL-NODEFAULT seq 5 deny 0.0.0.0/0
ip prefix-list PL-NODEFAULT seq 10 permit 0.0.0.0/0 ge 1
ip prefix-list PL-MABOITE seq 5 permit p.p.p.0/24
ip as-path access-list 99 permit _0_
ip as-path access-list 99 permit _23456_
ip as-path access-list 99 permit _(6449[6-9])_|_(6450[0-9])_|_(6451[0-1])_|_(6553[6-9])_|_(6554[0-9])_|_(6555[0-1])_
ip as-path access-list 99 permit _6(4(5(1[2-9]|[2-9][0-9])|[6-9][0-9][0-9])|5([0-4][0-9][0-9]|5([0-2][0-9]|3[0-5])))_
ip as-path access-list 99 permit _6555[2-9]_|_655[6-9][0-9]_|_65[6-9][0-9][0-9]_|_6[6-9][0-9][0-9][0-9]_
ip as-path access-list 99 permit _[7-9][0-9][0-9][0-9][0-9]_|_1[0-2][0-9][0-9][0-9][0-9]_|_130[0-9][0-9][0-9]_
ip as-path access-list 99 permit _1310[0-6][0-9]_|_13107[0-1]_
ip as-path access-list 99 permit _42[0-8][0-9][0-9][0-9][0-9][0-9][0-9][0-9]_
ip as-path access-list 99 permit _(429[0-3][0-9][0-9][0-9][0-9][0-9][0-9])_|_(4294[0-8][0-9][0-9][0-9][0-9][0-9])_
ip as-path access-list 99 permit _(42949[0-5][0-9][0-9][0-9][0-9])_|_(429496[0-6][0-9][0-9][0-9])_
ip as-path access-list 99 permit _(4294967[0-1][0-9][0-9])_|_(42949672[0-8][0-9])_|_(429496729[0-4])_
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
> Par contre David m'a mit le doute sur le fait qu'il serait plus simple de
> laisser BGP jouer tout seul et de faire un prepend sur le transit cher.
Sans voir les stats détaillées de ton 95th tile c'est difficile a dire, mais mon pifomètre bientôt rouge pour le réveillon me dit que David a probablement raison, en termes de pognon pur. KISS c'est toujours d'actualité.
> Maintenant je n'arrive pas à savoir si mes regexp sont vraiment utile ou pas...
Va falloir une moulinette qui analyse tes données pour çà.
> et quelle direction prendre pour avoir un truc simple/fonctionnel/optimisé ?
C'est pas si pire ce que tu fais, si je comprends la logique.
>> Ce que je comprends pas, c'est pourquoi tu as autant de route-maps avec des regexp partout.
> Pour pouvoir agir rapidement sur un transit afin de modifier la local-pref en cas d'un éventuel problème...
Pas besoin de regexp ou de match as-path. Si tu as une route-map par transitaire (avec 3 c'est ce que je ferais) il te suffit de mettre le set local-preference dans la route-map. En d'autres termes, une route-map par transitaire, sans clause match a part les bogons.
Je prétends pas avoir la science infuse pour BGP, mais c'est ce que je fais; voir plus bas.
> Un truc que je n'ai pas compris sur les routes-map est de savoir s'il faut rajouter la clause de fin en permit ??
OUI, une route-map c'est comme une access-list, il y a un deny explicite à la fin.
Michel.
route-map RM-TRANSIT-XXXXX-IN deny 9
description deny routes with invalid AS numbers
match as-path 99
!
route-map RM-TRANSIT-XXXXX-IN permit 10
set community nnnnn:xxxxx no-export additive
set local-preference yyy <=============================
router bgp nnnnn
bgp log-neighbor-changes
bgp graceful-restart
neighbor a.b.c.d remote-as XXXXX
neighbor a.b.c.d description ISP1 ASXXXXX
neighbor a.b.c.d password zzzzzzzzzzzzz
neighbor a.b.c.d update-source GigabitEthernet0/1
address-family ipv4
neighbor a.b.c.d activate
neighbor a.b.c.d prefix-list PL-NODEFAULT in
neighbor a.b.c.d prefix-list PL-MABOITE out
neighbor a.b.c.d route-map RM-TRANSIT-XXXXX-IN in
neighbor a.b.c.d route-map RM-TRANSIT-XXXXX-OUT out
ip route 0.0.0.0 0.0.0.0 null0 name DEFAULT-FREE-ZONE
ip prefix-list PL-NODEFAULT seq 5 deny 0.0.0.0/0
ip prefix-list PL-NODEFAULT seq 10 permit 0.0.0.0/0 ge 1
ip prefix-list PL-MABOITE seq 5 permit p.p.p.0/24
ip as-path access-list 99 permit _0_
ip as-path access-list 99 permit _23456_
ip as-path access-list 99 permit _(6449[6-9])_|_(6450[0-9])_|_(6451[0-1])_|_(6553[6-9])_|_(6554[0-9])_|_(6555[0-1])_
ip as-path access-list 99 permit _6(4(5(1[2-9]|[2-9][0-9])|[6-9][0-9][0-9])|5([0-4][0-9][0-9]|5([0-2][0-9]|3[0-5])))_
ip as-path access-list 99 permit _6555[2-9]_|_655[6-9][0-9]_|_65[6-9][0-9][0-9]_|_6[6-9][0-9][0-9][0-9]_
ip as-path access-list 99 permit _[7-9][0-9][0-9][0-9][0-9]_|_1[0-2][0-9][0-9][0-9][0-9]_|_130[0-9][0-9][0-9]_
ip as-path access-list 99 permit _1310[0-6][0-9]_|_13107[0-1]_
ip as-path access-list 99 permit _42[0-8][0-9][0-9][0-9][0-9][0-9][0-9][0-9]_
ip as-path access-list 99 permit _(429[0-3][0-9][0-9][0-9][0-9][0-9][0-9])_|_(4294[0-8][0-9][0-9][0-9][0-9][0-9])_
ip as-path access-list 99 permit _(42949[0-5][0-9][0-9][0-9][0-9])_|_(429496[0-6][0-9][0-9][0-9])_
ip as-path access-list 99 permit _(4294967[0-1][0-9][0-9])_|_(42949672[0-8][0-9])_|_(429496729[0-4])_
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
