On Dec 12, 2007, at 2:29 PM, Youssef Ghorbal wrote:
Bonjour,
Je souhaite mettre en place un filtrage "basique" sur les annonces
BGP que je recois de mes peer (les peer nous envoies toutes les
routes d'Internet)
peers ou transits ? Si c'est des peers et qu'il t'envoies toutes les
routes de l'internet, y'a un souci et passe le sous silence, car t'as
trouvé un transitaire gratuit :)
Le routeur est un Cisco 7200 VXR avec un IOS 12.3
Dans l'idée, filtrer des aspath c'est plus sain que des prefixes, ca
fait moins d'entrées à lookup.
Cependant, en IN, t'as plus tendance à filtrer sur la base de préfixes:
- BOGONS (supernets non affectés par les RIRs)
- MARTIANS (RFC1918, ranges spécifiques)
- filtrage sur la taille du préfix reçu entre autres (sur ta dernière
clause qui match-all)
- filtrage de la default
Tu trouveras tout ici: http://www.cymru.com/Bogons/index.
Attention, les BOGONS, ca se met à jour régulièrement, donc concois
aussi un petit robot pour la mise à jour.
L'autre truc, c'est si ta machine ne peut pas faire de full-view BGP
avec le nombre de routes qui augmente, c'est d'avoir une default, et
de filtrer tous les prefixes au dessus d'une valeur seuil à ta
convenance (le plus souvent /24 après ca dépend de toi), ce qui sors
de ce cadre passera par la default et toi tu gagneras beaucoup de
routes.
Tu remarqueras également que les carriers ont des harvesters sur le
RIPE, ARIN, APNIC pour voir quels sont les subnets associés à ton AS.
Ces robots constituent des prefix-list qu'ils appliquent à chaque
changement du RIR sur les sessions de leurs clients, de telle sorte à
ne pas recevoir d'annonces autres que celles que les clients
documentent dans le RIR - si un client ajoute un préfix à ses
annonces, c'est automatiquement pris en compte dès le moment que le
RIR est renseigné.
Le truc important c'est surtout de concevoir cela le plus tot
possible, pour le mettre dans des peers-groups afin d'avoir une
template de base la plus fournie et économiser de l'opérationnel en
mise en prod de peering.
J'ai vu qu'il y'a 3 methodes :
- via redistribute-list avec une access list avec les prefix
authorises/rejets.
- via filter-list avec une regexp sur les AS_PATH.
- via prefix-filter avec un prefix-list.
Ce que je voudrais savoir c'est
- Est ce que tous ces 3 methodes sont complementaires ? ou il y'en
a qui font pas bon menages.
- C'est quoi l'ordre de precedence ?
- C'est quoi la reelle difference entre prefix-filter et distribute-
list ? parce que d'apres ce que j'ai compris ca fait la meme chose...
historiquement, je me suis toujours servi de distribute lists pour les
IGP ou des processus de fallback sur des liens DSL vers ISDN
s'appuyant sur un IGP.
Mais c'est juste une question d'habitude, distribute-list et BGP j'ai
jamais fait.
Merci de votre aide.
Bonne journee.
Youssef Ghorbal
Netplus Communnication
Greg VILLAIN
Network Architect
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
