Pierre, Merci pour ce document, il n'y en a pas beaucoup en français. Des exemples pour Quagga et BIRD seraient aussi utile.
Quelques solutions plus avancées ne sont pas présentées dans ce document, surement car plus dures a mettre en place, donc avec moins de chances de se voir implemente correctement, car la configuration ne peux pas etre donnee pour un copier / coller. 1 - A moins d'avoir comme sur JunOS des op scripts qui mettent a' jour automatiquement le nombre de préfixes sur les session de peering [1], il est courant de voir des limites "max prefix" assez hautes (surtout les gros peers). il peut être aussi prudent de filtrer les routes reçues de vos peers, en utilisant l'AS_PATH : en plus de verifier le premier AS, il est très improbable qu'une route contenant l'AS d'un Tier 1, ou large reseau national ( Orange, SFR, Free ) soit valide si reçu d'un peer ! [2] 2 - Toute route reçue, devrait recevoir une communauté, qui est ensuite utilise pour filtrer les routes sortantes. Par exemples, toutes routes reçues via transit, devraient être filtrées sur les peers. Thomas [1] http://juniper.cluepon.net/index.php/OS_Auto_Tuning_Prefix_Limits [2] http://thomas.mangin.com/data/pdf/LINX%2057%20-%20Mangin%20-%20BGP%20Leak.pdf On 2 Oct 2013, at 11:30, Lorinquer Pierre <[email protected]> wrote: > Bonjour, > > En parallèle de l'élaboration du rapport de l'observatoire, nous avons > travaillé à la rédaction d'un document synthétisant un ensemble de > bonnes pratiques de configuration de BGP : > > http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-des-reseaux/le-guide-des-bonnes-pratiques-de-configuration-de-bgp.html > > > Ce document rassemble des éléments de configuration de quatre > implémentations : Alcatel-Lucent, Cisco, Juniper et OpenBGPD. Il a été > rédigé en coopération avec les opérateurs suivants : > > - l'Association Kazar ; > - France-IX ; > - Jaguar Network ; > - Neo Telecoms ; > - Orange; > - RENATER ; > - SFR. > > > Si vous souhaitez intégrer d'autres éléments de configuration (mécanisme > non mentionné, extraits de configuration pour une autre implémentation > ...), ou nous faire part de vos remarques ou suggestions, n'hésitez pas > à nous contacter à l'adresse suivante : > > [email protected] > > > Bonne lecture, > Pierre Lorinquer, pour l'équipe de l'observatoire > > -- > Pierre Lorinquer > ANSSI/SDE/ST/LRP > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
