Ben on dit la même chose non ? Ok je n'ai pas précisé que pour les "gros peers"/Transit on étaient obligé de faire du max-préfix, mais en général les problèmes ne viennent pas d'eux, quoi que :p Le client A peut créer une AS-Macro non ?? ca sert a ca par exemple, mais je suis d'accord avec toi sur le fait que c'est très restrictif car beaucoup de peer n'ont pas leur RIPE objects à jour.
David R. Le 14/11/07, Pierre-Yves Maunier <[EMAIL PROTECTED]> a écrit : > > On 13/11/2007 19:39, David Ramahefason wrote: > > Ben tu as donné la réponse :) > > C'est non ce n'est pas normal, mais comme tout le monde ne fait pas > > forcement attention ben faut filtrer ce que tu reçois, pour cela que je > > n'aime pas trop les "max-prefix" comme "securité" en peering. > > Je suis/étais assez partisan des filter-list basées sur les objet RIPE > mais > > par chez nous ça ne fonctionne pas très bien (fonctionne trop bien > plutôt > > :)) car beaucoup de personnes ne tiennent pas à jour leur RIPE objects, > le > > truc est peut être de filtrer et forcer les personnes à mettre à jour > leur > > records RIPE, ce que j'ai fais un temps. > > J'ai une moulinette sous la main pour ceux qui veulent pour la > construction > > de filter list. > Le problème est le suivant : > > tu as un client transit BGP (client A) qui lui à plusieurs clients > transit BGP également (clients 1, 2 et 3). > Les clients 1, 2 et 3 ont leurs objets route à jour. > Le client A recoit donc les routes de ces clients. > Le client A va t'annoncer les routes des clients 1, 2 et 3 de façon > légitime alors qu'il n'y aura pas d'objet route dans la base du ripe > ayant comme origin AS-clientA pour les routes des clients 1, 2 et 3. > Donc ce genre de filtre c'est bien mais un peu restrictif. Il faudrait > à chaque fois aller plus loin en regardant : > s'il n'y a pas d'objet route pour cet AS il faut regarder qui annonce > cette route, si c'est l'AS en question : il faut que l'objet route soit > créé. > si c'est un autre AS, il faut vérifier que l'autre AS en question soit > client transit de ton client, bref c'est gérable manuellement, mais > automatiquement, bonjour le dev :-) > > Surtout que la base du ripe est une base déclarative pas super fiable > parfois. > > Pour ta remarque sur le fait que tu n'aimes pas trop un max-prefix comme > sécurité sur un peering, tu fais comment si t'as un gros peer qui > t'envoie 3000 routes et qui peut varier assez régulièrement ? Bon > généralement faut dire que les gens envoyant un nombre de route dans ces > environs ne sont pas des boulets et n'envoient pas n'importe quoi non > plus, je pense qu'on peut les faire confiance avec un max-prefix > uniquement comme sécurité. > > -- > Pierre-Yves > -- David Ramahefason - [EMAIL PROTECTED]
