Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map
Je connais Cymru, je l'avais mis en place il y a longtemps sur Quagga... C'est pas plus mal non plus d'avoir une prefix-list que l'on maîtrise et sur laquelle il est facile d'agir :) De : Michel Py Envoyé : lundi 26 octobre 2020 19:14 À : Sébastien 65 ; frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] ipv6 prefix-list avec route-map > Sébastien 65 a écrit : > En voulant actualiser ma prefix-list des Bogons IPV6 sur mes transits, Pourquoi tu n'utilises pas le feed full-bogons de Team Cymru ? https://team-cymru.com/community-services/bogon-reference/bogon-reference-bgp/ Pas la peine de ré-inventer la roue quand quelqu'un se décarcasse déjà avec les MAJ. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map
On Mon, 26 Oct 2020 18:14:43 + > Pourquoi tu n'utilises pas le feed full-bogons de Team Cymru ? > https://team-cymru.com/community-services/bogon-reference/bogon-reference-bgp/ > > Pas la peine de ré-inventer la roue quand quelqu'un se décarcasse > déjà avec les MAJ. Oui, pourquoi faire aveuglément confiance au truc centralisé quand on peut faire la même chose de manière indépendente et décentralisée ? PP --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] ipv6 prefix-list avec route-map
> Sébastien 65 a écrit : > En voulant actualiser ma prefix-list des Bogons IPV6 sur mes transits, Pourquoi tu n'utilises pas le feed full-bogons de Team Cymru ? https://team-cymru.com/community-services/bogon-reference/bogon-reference-bgp/ Pas la peine de ré-inventer la roue quand quelqu'un se décarcasse déjà avec les MAJ. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] ipv6 prefix-list avec route-map
Oui ça fonctionne, le préfixe 2001:DB8::/32 n'est plus présent : route-map TRANSIT_ENTRANT_IPV6 deny 10 description *** DENY routes with invalid AS numbers *** match as-path 100 ! route-map TRANSIT_ENTRANT_IPV6 deny 20 match ipv6 address prefix-list MY-PREFIXE ! route-map TRANSIT_ENTRANT_IPV6 deny 30 match ipv6 address prefix-list BOGONS-IPV6 ! route-map TRANSIT_ENTRANT_IPV6 permit 40 description *** PERMIT routes only for AS TRANSIT *** match as-path 10 ! Effectivement... Merci David🙂 De : David Ponzone Envoyé : lundi 26 octobre 2020 10:55 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map Ben oui, avec ça tu autorises tout ce qui vient de 174, donc si les bogon viennent de là…. Essaie voir de mettre tous tes deny avant le permit. Le 26 oct. 2020 à 10:46, Sébastien 65 mailto:sebastien...@live.fr>> a écrit : Le permit 20 filtre sur l'AS du Transitaire afin d'obtenir uniquement les réseaux provenant de l'AS174 et de tous les AS directement attachés sur 174 ip as-path access-list 10 permit ^174_ ip as-path access-list 10 deny .* Penses-tu que l'erreur vient de la route-map 20 ? De : David Ponzone mailto:david.ponz...@gmail.com>> Envoyé : lundi 26 octobre 2020 10:38 À : Sébastien 65 mailto:sebastien...@live.fr>> Cc : frnog-t...@frnog.org<mailto:frnog-t...@frnog.org> mailto:frnog-t...@frnog.org>> Objet : Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map Je suis un peu ennuyé par ton permit 20 avant le deny 30. Tu es sûr que l’as-path 10 ne match pas les routes que tu veux refuser avec BOGONS-IPV6 ? > Le 26 oct. 2020 à 09:58, Sébastien 65 > mailto:sebastien...@live.fr>> a écrit : > > Bonjour, > > En voulant actualiser ma prefix-list des Bogons IPV6 sur mes transits, je > test d'abord avec deux routeurs en interne, je n'arrive pas à filtrer par > exemple 2001:DB8::/32. > > Sur R1 j'envoi le préfixe 2001:DB8::/32 à R2. > > Sur R2 j'ai la configuration suivante : > > ipv6 prefix-list BOGONS-IPV6 description - Filtre Entrant IPV6 - > ipv6 prefix-list BOGONS-IPV6 seq 5 permit ::/0 > ipv6 prefix-list BOGONS-IPV6 seq 10 permit ::/8 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 15 permit 100::/64 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 20 permit 2001::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 25 permit 2001:2::/48 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 30 permit 2001:3::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 35 permit 2001:10::/28 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 40 permit 2001:20::/28 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 45 permit 2001:DB8::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 50 permit 2002::/16 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 55 permit 3FFE::/16 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 60 permit FC00::/7 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 65 permit FE00::/9 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 70 permit FE80::/10 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 75 permit FEC0::/10 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 80 permit FF00::/8 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 1000 deny ::/0 le 128 > > route-map TRANSIT_ENTRANT_IPV6 deny 10 > description *** DENY routes with invalid AS numbers *** > match as-path 100 > ! > route-map TRANSIT_ENTRANT_IPV6 permit 20 > description *** PERMIT routes only for AS TRANSIT *** > match as-path 10 > ! > route-map TRANSIT_ENTRANT_IPV6 deny 30 > match ipv6 address prefix-list MY-PREFIXE > ! > route-map TRANSIT_ENTRANT_IPV6 deny 40 > match ipv6 address prefix-list BOGONS-IPV6 > ! > > La prefix-list doit bien être en PERMIT et la route-map en DENY ? > J'ai plus ou moins la même chose en IPV4 et je n'ai pas de problème... > > Je merde ou ? > > > > --- > Liste de diffusion du FRnOG > https://eur06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=04%7C01%7C%7C5a67a6a794924b7bf3e208d87992eaa8%7C84df9e7fe9f640afb435%7C1%7C0%7C637393019185127222%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=5t2ZEO%2F5bBSjlholZo7g1QttNF6jwrF6Apfkr9YrmXw%3D&reserved=0<https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=04%7C01%7C%7C7954d8d1cf2348515ed408d87995368c%7C84df9e7fe9f640afb435%7C1%7C0%7C637393029050412325%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=YVGqpKdZln1TTpRFDeSkq0aXiGco2dGHse2wkPGOYYU%3D&reserved=0> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map
Ben oui, avec ça tu autorises tout ce qui vient de 174, donc si les bogon viennent de là…. Essaie voir de mettre tous tes deny avant le permit. > Le 26 oct. 2020 à 10:46, Sébastien 65 a écrit : > > Le permit 20 filtre sur l'AS du Transitaire afin d'obtenir uniquement les > réseaux provenant de l'AS174 et de tous les AS directement attachés sur 174 > > ip as-path access-list 10 permit ^174_ > ip as-path access-list 10 deny .* > > Penses-tu que l'erreur vient de la route-map 20 ? > > De : David Ponzone mailto:david.ponz...@gmail.com>> > Envoyé : lundi 26 octobre 2020 10:38 > À : Sébastien 65 mailto:sebastien...@live.fr>> > Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> <mailto:frnog-t...@frnog.org>> > Objet : Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map > > > Je suis un peu ennuyé par ton permit 20 avant le deny 30. > Tu es sûr que l’as-path 10 ne match pas les routes que tu veux refuser avec > BOGONS-IPV6 ? > > > Le 26 oct. 2020 à 09:58, Sébastien 65 > <mailto:sebastien...@live.fr>> a écrit : > > > > Bonjour, > > > > En voulant actualiser ma prefix-list des Bogons IPV6 sur mes transits, je > > test d'abord avec deux routeurs en interne, je n'arrive pas à filtrer par > > exemple 2001:DB8::/32. > > > > Sur R1 j'envoi le préfixe 2001:DB8::/32 à R2. > > > > Sur R2 j'ai la configuration suivante : > > > > ipv6 prefix-list BOGONS-IPV6 description - Filtre Entrant IPV6 - > > ipv6 prefix-list BOGONS-IPV6 seq 5 permit ::/0 > > ipv6 prefix-list BOGONS-IPV6 seq 10 permit ::/8 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 15 permit 100::/64 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 20 permit 2001::/32 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 25 permit 2001:2::/48 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 30 permit 2001:3::/32 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 35 permit 2001:10::/28 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 40 permit 2001:20::/28 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 45 permit 2001:DB8::/32 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 50 permit 2002::/16 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 55 permit 3FFE::/16 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 60 permit FC00::/7 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 65 permit FE00::/9 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 70 permit FE80::/10 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 75 permit FEC0::/10 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 80 permit FF00::/8 le 128 > > ipv6 prefix-list BOGONS-IPV6 seq 1000 deny ::/0 le 128 > > > > route-map TRANSIT_ENTRANT_IPV6 deny 10 > > description *** DENY routes with invalid AS numbers *** > > match as-path 100 > > ! > > route-map TRANSIT_ENTRANT_IPV6 permit 20 > > description *** PERMIT routes only for AS TRANSIT *** > > match as-path 10 > > ! > > route-map TRANSIT_ENTRANT_IPV6 deny 30 > > match ipv6 address prefix-list MY-PREFIXE > > ! > > route-map TRANSIT_ENTRANT_IPV6 deny 40 > > match ipv6 address prefix-list BOGONS-IPV6 > > ! > > > > La prefix-list doit bien être en PERMIT et la route-map en DENY ? > > J'ai plus ou moins la même chose en IPV4 et je n'ai pas de problème... > > > > Je merde ou ? > > > > > > > > --- > > Liste de diffusion du FRnOG > > https://eur06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=04%7C01%7C%7C5a67a6a794924b7bf3e208d87992eaa8%7C84df9e7fe9f640afb435%7C1%7C0%7C637393019185127222%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=5t2ZEO%2F5bBSjlholZo7g1QttNF6jwrF6Apfkr9YrmXw%3D&reserved=0 > > > > <https://eur06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=04%7C01%7C%7C5a67a6a794924b7bf3e208d87992eaa8%7C84df9e7fe9f640afb435%7C1%7C0%7C637393019185127222%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=5t2ZEO%2F5bBSjlholZo7g1QttNF6jwrF6Apfkr9YrmXw%3D&reserved=0> > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] ipv6 prefix-list avec route-map
Le permit 20 filtre sur l'AS du Transitaire afin d'obtenir uniquement les réseaux provenant de l'AS174 et de tous les AS directement attachés sur 174 ip as-path access-list 10 permit ^174_ ip as-path access-list 10 deny .* Penses-tu que l'erreur vient de la route-map 20 ? De : David Ponzone Envoyé : lundi 26 octobre 2020 10:38 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map Je suis un peu ennuyé par ton permit 20 avant le deny 30. Tu es sûr que l’as-path 10 ne match pas les routes que tu veux refuser avec BOGONS-IPV6 ? > Le 26 oct. 2020 à 09:58, Sébastien 65 a écrit : > > Bonjour, > > En voulant actualiser ma prefix-list des Bogons IPV6 sur mes transits, je > test d'abord avec deux routeurs en interne, je n'arrive pas à filtrer par > exemple 2001:DB8::/32. > > Sur R1 j'envoi le préfixe 2001:DB8::/32 à R2. > > Sur R2 j'ai la configuration suivante : > > ipv6 prefix-list BOGONS-IPV6 description - Filtre Entrant IPV6 - > ipv6 prefix-list BOGONS-IPV6 seq 5 permit ::/0 > ipv6 prefix-list BOGONS-IPV6 seq 10 permit ::/8 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 15 permit 100::/64 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 20 permit 2001::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 25 permit 2001:2::/48 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 30 permit 2001:3::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 35 permit 2001:10::/28 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 40 permit 2001:20::/28 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 45 permit 2001:DB8::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 50 permit 2002::/16 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 55 permit 3FFE::/16 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 60 permit FC00::/7 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 65 permit FE00::/9 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 70 permit FE80::/10 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 75 permit FEC0::/10 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 80 permit FF00::/8 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 1000 deny ::/0 le 128 > > route-map TRANSIT_ENTRANT_IPV6 deny 10 > description *** DENY routes with invalid AS numbers *** > match as-path 100 > ! > route-map TRANSIT_ENTRANT_IPV6 permit 20 > description *** PERMIT routes only for AS TRANSIT *** > match as-path 10 > ! > route-map TRANSIT_ENTRANT_IPV6 deny 30 > match ipv6 address prefix-list MY-PREFIXE > ! > route-map TRANSIT_ENTRANT_IPV6 deny 40 > match ipv6 address prefix-list BOGONS-IPV6 > ! > > La prefix-list doit bien être en PERMIT et la route-map en DENY ? > J'ai plus ou moins la même chose en IPV4 et je n'ai pas de problème... > > Je merde ou ? > > > > --- > Liste de diffusion du FRnOG > https://eur06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=04%7C01%7C%7C5a67a6a794924b7bf3e208d87992eaa8%7C84df9e7fe9f640afb435%7C1%7C0%7C637393019185127222%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=5t2ZEO%2F5bBSjlholZo7g1QttNF6jwrF6Apfkr9YrmXw%3D&reserved=0 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map
Je suis un peu ennuyé par ton permit 20 avant le deny 30. Tu es sûr que l’as-path 10 ne match pas les routes que tu veux refuser avec BOGONS-IPV6 ? > Le 26 oct. 2020 à 09:58, Sébastien 65 a écrit : > > Bonjour, > > En voulant actualiser ma prefix-list des Bogons IPV6 sur mes transits, je > test d'abord avec deux routeurs en interne, je n'arrive pas à filtrer par > exemple 2001:DB8::/32. > > Sur R1 j'envoi le préfixe 2001:DB8::/32 à R2. > > Sur R2 j'ai la configuration suivante : > > ipv6 prefix-list BOGONS-IPV6 description - Filtre Entrant IPV6 - > ipv6 prefix-list BOGONS-IPV6 seq 5 permit ::/0 > ipv6 prefix-list BOGONS-IPV6 seq 10 permit ::/8 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 15 permit 100::/64 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 20 permit 2001::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 25 permit 2001:2::/48 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 30 permit 2001:3::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 35 permit 2001:10::/28 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 40 permit 2001:20::/28 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 45 permit 2001:DB8::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 50 permit 2002::/16 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 55 permit 3FFE::/16 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 60 permit FC00::/7 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 65 permit FE00::/9 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 70 permit FE80::/10 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 75 permit FEC0::/10 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 80 permit FF00::/8 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 1000 deny ::/0 le 128 > > route-map TRANSIT_ENTRANT_IPV6 deny 10 > description *** DENY routes with invalid AS numbers *** > match as-path 100 > ! > route-map TRANSIT_ENTRANT_IPV6 permit 20 > description *** PERMIT routes only for AS TRANSIT *** > match as-path 10 > ! > route-map TRANSIT_ENTRANT_IPV6 deny 30 > match ipv6 address prefix-list MY-PREFIXE > ! > route-map TRANSIT_ENTRANT_IPV6 deny 40 > match ipv6 address prefix-list BOGONS-IPV6 > ! > > La prefix-list doit bien être en PERMIT et la route-map en DENY ? > J'ai plus ou moins la même chose en IPV4 et je n'ai pas de problème... > > Je merde ou ? > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
