Pour répondre à Michel Py
Je suis pas forcément fan du null routing. C'est bien pour se dépanner
mais explicité un truc qui vas déjà être discard, borf
un bon filtrage des bogons et le respect de la BCP38 ca aide. Le bon
usage des VRF est aussi a recommander. Perso je tente de limiter la
VRF par
C’est quoi la route pour joindre 8.8.8.8 depuis R2 ?
Si c’est R1 et que tu précises pas l’ip source, ton Ping va venir de l’ip
privée du FE de R2.
Donc...
David Ponzone
> Le 12 déc. 2019 à 15:31, Antoine DURAND a écrit :
>
>
> Je viens de monter un lab pour mon histoire de deny/permit !
Je viens de monter un lab pour mon histoire de deny/permit ! J'arrive enfin à quelque chose qui me convient ! Je posterai ici la version finale pour ceux qui sont interessés...
Par contre j'ai un problème avec l'utilisation iBGP que je ne m'explique pas.
ISP-1 connecté sur R1
ISP-2 connecté
> Alarig Le Lay a écrit :
> C’était surtout à destination d’une RFC1918.
Qui a fuité sur le réseau du FAI.
> Hugues Voiturier a écrit :
> Plutôt son opérateur que l’école...
Il n'y a pas que les opérateurs qui devraient faire du travail propre. Si
c'était une boulangerie je dis pas, mais un
Le 2019-12-11 22:30, Alarig Le Lay a écrit :
On mer. 11 déc. 22:25:12 2019, Hugues Voiturier wrote:
Ça me semble évident que c’était juste du NAT, le réseau upstream n’a
pas par magie une route retour vers le subnet privé de la salle de TP,
hein :P
C’était surtout à destination d’une RFC1918.
Ah oui, en effet.
Plutôt son opérateur que l’école… Et encore, j’suis team DFZ sans Default,
perso...
Hugues
AS57199 - AS50628
> On 11 Dec 2019, at 22:30, Alarig Le Lay wrote:
>
> On mer. 11 déc. 22:25:12 2019, Hugues Voiturier wrote:
>> Ça me semble évident que c’était juste du NAT, le
On mer. 11 déc. 22:25:12 2019, Hugues Voiturier wrote:
> Ça me semble évident que c’était juste du NAT, le réseau upstream n’a
> pas par magie une route retour vers le subnet privé de la salle de TP,
> hein :P
C’était surtout à destination d’une RFC1918.
--
Alarig
---
> C'est ce que tout le monde devrait faire, full-feed ou pas, en particulier
> l'école de Cécile.
Ça me semble évident que c’était juste du NAT, le réseau upstream n’a pas par
magie une route retour vers le subnet privé de la salle de TP, hein :P
Hugues
AS57199 - AS50628
> On 11 Dec 2019,
> Fabien VINCENT a écrit :
> Bref c'est un choix d'architecture, mais comme dit Michel, c'est bien
> pour uRPF de null router. Mais bon uRPF en multi-homed, bein
Vu la nature asymétrique du trafic c'est évident qu'il faut être en mode
"loose", mais avec le null-routage et uRPF je jette un
Le 11-12-2019 10:54, Raphael Mazelier a écrit :
On 11/12/2019 08:36, Antoine DURAND wrote:
Hello,
Période calme pour moi avant les fêtes, je me remets sur la refonte de mon
archi BGP...
Est-ce que vous supprimez la route par défaut 0.0.0.0/0 de vos routeurs BGP
lorsque vous êtes en
> Antoine DURAND a écrit :
> Est-ce que vous supprimez la route par défaut 0.0.0.0/0 de vos routeurs BGP
> lorsque vous êtes en full-view ?
> Je veux dire en utilisant la commande magique ip route 0.0.0.0/0 Null0 254 ?
Moi oui, et en pire : je ne mets pas le 254.
> Est-ce que cela n’a pas une
Antoine,
C’est vraiment pas la documentation qui manque sur le sujet!
On parle de Cisco là, y a rien de plus documenté/discuté sur le net dans ce
domaine.
> Le 11 déc. 2019 à 13:05, Antoine DURAND a écrit :
>
> >La meilleure façon, c’est celle qui convient à ta logique. Moi j’aime
>
>La meilleure façon, c’est celle qui convient à ta logique. Moi j’aime séparer.
OK, dans ma logique à moi est-ce que selon toi mon code est correct et fonctionnel ?
>Pour la logique deny/permit, faut expérimenter, sinon tu vas pas t’en souvenir :)
Hum j'aime bien comprendre le phénomène
La meilleure façon, c’est celle qui convient à ta logique. Moi j’aime séparer.
Pour la logique deny/permit, faut expérimenter, sinon tu vas pas t’en souvenir
:)
> Le 11 déc. 2019 à 12:55, Antoine DURAND a écrit :
>
> >Oula mélange pas tout: une route-map par neighbour, c’est plus simple à
>
>Oula mélange pas tout: une route-map par neighbour, c’est plus simple à gérer.
Ah bon ? J'ai a l'esprit que cela est beaucoup plus simple d'avoir UNE seule route-map dans laquelle tu match ton transitaire pour lui appliquer une préférence par exemple.
Egalement cela simplifi la lecture de la
Oula mélange pas tout: une route-map par neighbour, c’est plus simple à gérer.
Mais là, je pense qu’il manque la ligne où tu appliques la route-map à chaque
neighbor :)
> Le 11 déc. 2019 à 10:58, Antoine DURAND a écrit :
>
> >Il te faut en plus:
> Absolument ! Je n'ai pas détaillé car cela
>Il te faut en plus:
Absolument ! Je n'ai pas détaillé car cela est de base. Merci de l'avoir quand même précisé David !
Je regarde les routes-map et j'ai du mal à comprendre la logique deny/permit (?) lorsqu'il y a utilisation consécutive entre prefix-list et route-map !
En lisant une
On 11/12/2019 08:36, Antoine DURAND wrote:
Hello,
Période calme pour moi avant les fêtes, je me remets sur la refonte de
mon archi BGP...
Est-ce que vous supprimez la route par défaut 0.0.0.0/0 de vos
routeurs BGP lorsque vous êtes en full-view ?
Il y a deux choses : accepter une route
> En utilisant ip route A.A.A.0/ip route B.B.B./ip route C.C.C.0 cela permet
> d'activer les annonces des prefixes auprès des transits en utilisant bien
> entendu prefix-list out
>
> ip prefix-list PX_OUT_IP4 seq 15 permit A.A.A.0/24
> ip prefix-list PX_OUT_IP4 seq 20 permit B.B.B.0/23
> ip
> Je veux dire en utilisant la commande magique ip route 0.0.0.0/0 Null0 254 ?
>>Là tu l’ajoutes la route par défaut, mais elle va vers trash. C’est pas exactement la même chose.
>>Il faudrait voir l’implementation sur ton routeur spécifiquement pour voir lequel des 2 est le moins CPU-intensive.
> Le 11 déc. 2019 à 08:36, Antoine DURAND a écrit :
>
> Hello,
> Est-ce que vous supprimez la route par défaut 0.0.0.0/0 de vos routeurs BGP
> lorsque vous êtes en full-view ?
Oui.
> Je veux dire en utilisant la commande magique ip route 0.0.0.0/0 Null0 254 ?
Là tu l’ajoutes la route par
Hello,
Période calme pour moi avant les fêtes, je me remets sur la refonte de mon archi BGP...
Est-ce que vous supprimez la route par défaut 0.0.0.0/0 de vos routeurs BGP lorsque vous êtes en full-view ?
Je veux dire en utilisant la commande magique ip route 0.0.0.0/0 Null0 254 ?
Est-ce que
22 matches
Mail list logo
