On 30 May 2014, at 21:33, Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> wrote:
> On Fri, May 30, 2014, at 18:01, Nicolas Strina wrote: > >> Heuu filtrage RFC1918 ? Bogons ? C’est un peu la base à mon sens surtout > > Pour le RFC1918 (et consorts) oui, ok. > Pour les bogons, hmmm..... 128.0.0.0/16 anyone ? si tout ton staff sait > que le bogons, ca se met a jour - ok, sinon - priere de s'abstenir. > >> Après le filtrage côté client -> Chez nous c’est DB RIPE toutes les nuits >> et filtering sur les objets route etc .. Donc en gros si rien -> pas de >> routes. Si le client fait son travail -> défiltrage etc .. Bref ça >> devrait exister partout. > > Filtrer les routes et filtrer le traffic en fonction de la source n'est > pas le meme chose. > Il y a des cas legitimes pour envoyer du trafic avec une source pour > laquelle tu ne peux pas annoncer "proprement" une route. > J'ai ete personellement tres content de pouvoir le faire pendant 2 ans > en travaillant avec 6 transitaires differents (1 x petit, 1 x moyen et 4 > x grands). Question de discussion entre client et opérateur. Il y a toujours un moyen technique de faire les choses intelligemment. C’est tout la le soucis. Souvent il n’y a pas d’accompagnement donc on fait tout et n’importe quoi. Après ce n’est pas à l’opérateur de porter l’infra du client. Le client doit également respecter les best practices. Donc éducation etc .. C’est ce qui manque cruellement à mon avis. Au delas de l’aspect technique. > > Pour faire rapide: tu fais du content, tu as un ancien bloc PA alloue > par un de tes anciens fournisseurs. Tu as sur ce bloc des services qui > prennent un temps fou a faire changer d'IP : des VPN, des services dont > tu controles pas le DNS voire carrement des services codes en dur chez > tes partenaires (ou pire encore, clients). Tu est depuis devenu LIR, tu > as un AS et ton propre PA, mais ni la volonte ni les moyens de maintenir > 2 reseaux ou des configurations qui causent plus de problemes qe ce > qu'ils resoudent. La migration va finir par se faire, mais un nombre > reduit de services prennent un temps fou pour etre migres. Pendant ce > temps, ca serait pas mal de reccuperer le trafic entrant pour ces > services "legacy" sur le lien "legacy" (souvent a prix d'or, dont tout > le monde attend l'expiration des 36 mois d'engagement), tout en sortant > le trafic correspondant par l'endroit ou tout le traffic sort ... oups - > c'est ton nouveau upstream qui droppe ton trafic s'il n'y a pas un objet > "route" bien renseigne dans la RIPE DB :) Tu as deux choix: - Demander à ton ancien opérateur de faire l’objet (jamais eu de refus) - Accepter certaines exceptions après vérification du droit d’utilisation du PA C’est le rôle d’un opérateur de vérifier certaines choses et surtout d’essayer d’accompagner son client (dans la limite du raisonnable bien entendu). A+ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Nicolas STRINA Jaguar Network Switzerland Boulevard Georges Favon, 19 CH - 1024 Genève Leading Your Performance Tel : +33 4 88 00 65 16 Gsm : +33 6 18 20 49 55 Std : +41 8 40 65 61 11 Fax : +33 4 88 00 65 25 URL: <http://www.jaguar-network.ch/> Support 24+7 : supp...@jaguar-network.ch
signature.asc
Description: Message signed with OpenPGP using GPGMail
