> Dominique Rousseau a écrit: > Pourquoi tu devrais forcément filter, au niveau forwarding en fonction > des préfixes *annoncés* ? Ça pourrait aussi bien être filtré sur la base > des préfixes *annonçables* (ie, ceux que tu mets dans la prefix list in), > et ça n'empêche personne de faire du traffic engineering.
Je pense que Radu tout comme moi avait URPF en tête. A large échelle, c'est pratiquement la seule méthode qui ne soit pas ingérable. http://www.cisco.com/web/about/security/intelligence/urpf.pdf http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/Baseline_Security/sec_chap6.html Ca marche comment avec Juniper, d'ailleurs? > Radu-Adrian Feurdean a écrit: > Une fois passe aux clients qui ont leur propres AS, le client est dans > son "droit naturel" de ne pas t'annoncer *TOUS* ses prefixes pour du > traffic entrant (au pif parce-qu;il a d'autres providers et qu'il peut > utiliser des annonces conditionnels), mais de vouloir quand-meme sortir > du traffic pour ces prefixes en question. Malheureusement, oui. Dans un monde parfait, le client ferait un prepend de son AS et annoncerait tous ses préfixes, mais dans la réalité pas toujours. Et il y a des fois ou pour tester tu arrêtes d'annoncer certains préfixes à certains de tes pairs BGP pour aller voir le résultat dans un looking glass quelque part. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
