[ITNOG] Bogons team cymru
Marco Marzetti
marco@lamehost.it
Mar 6 Giu 2017 17:49:41 CEST
Ciao,
Concordo con l'approccio.
Droppare INVALID sarebbe troppo pericoloso.
Ma UNKNOWN e' circa il 90% del totale.
E ci vorra' ancora parecchio prima che il valore diventi risibile.
Per ora e' solamente una soluzione complementare a filtrare bogons.
2017-06-06 17:43 GMT+02:00 Brian Turnbow <b.turnbow@twt.it>:
> al momento accetti e abbassi local preference .
>
> route-map rpki-loc-pref permit 30
> match rpki valid
> set local-preference 110
>
> route-map rpki-loc-pref permit 10
> match rpki invalid
> set local-preference 90
>
> Meglio pero cominciare da qualche parte e con l'aumento di utilizzatori
> migliorerà..
>
> Un po quello che diceva Kevin al salottino del mix per MANRS
>
>
>
>
>
> Brian Turnbow
> Network Manager
> TWT S.p.A.
>
>
>> -----Original Message-----
>> From: Marco Marzetti [mailto:marco@lamehost.it]
>> Sent: martedì 6 giugno 2017 17:27
>> To: Brian Turnbow
>> Cc: Luca Ercoli; itnog@lists.itnog.it
>> Subject: Re: [ITNOG] Bogons team cymru
>>
>> Brian,
>>
>> Ammetto di avere qualche lacuna sul tema RPKI, ma mi pare lontano
>> dall'essere utilizzabile in produzione.
>> Al piu' puoi droppare gli invalid (meno del 10% dei prefissi), ma cosa fai
>> con i
>> "not found"?
>>
>>
>>
>> 2017-06-06 17:20 GMT+02:00 Brian Turnbow <b.turnbow@twt.it>:
>> > Ciao
>> >
>> > se pensi a solo quelli definiti nei vari rfc "la traditional" sì e
>> > facile e non cambia da almeno 5 anni.
>> > Se usi la full bogon list cambia invece, è in movimento.
>> > Devi aggiungere anche i bogon ipv6 che sono 85k prefissi... ovvero più
>> > della tabella bgp di ipv6!
>> > Sicuramente un feed bgp è più facile se vuoi usare tutto .
>> > Personalmente non lo uso, mi fa paura quello che dice Marco sotto, ma
>> > conosco altri che lo usano e sono contenti.
>> > Alla fine con bgp diamo fiducia ai terzi da default e paghiamo le
>> > conseguenze.
>> > Per esempio un nostro rete è stato soggetto a highjacking un paio di
>> > anni fa.
>> >
>> > Hai mai pensato ad arrivare dal altra parte a certificare i buoni ?
>> > https://www.ripe.net/manage-ips-and-asns/resource-management/certifica
>> > tion/bgp-origin-validation
>> >
>> >
>> >
>> >
>> > Brian
>> >
>> >
>> >> -----Original Message-----
>> >> From: itnog [mailto:itnog-bounces@lists.itnog.it] On Behalf Of Marco
>> >> Marzetti
>> >> Sent: martedì 6 giugno 2017 16:58
>> >> To: Luca Ercoli
>> >> Cc: itnog@lists.itnog.it
>> >> Subject: Re: [ITNOG] Bogons team cymru
>> >>
>> >> Ciao,
>> >>
>> >> Quale vantaggio ti dovrebbe dare un feed?
>> >>
>> >> Conoscere lo spazio IP "non assegnato"?
>> >> Ce n'e' ancora?
>> >>
>> >> Una lista dinamica?
>> >> Hai pensato a come filtrare quel che ti viene annunciato da Cymru?
>> >> Cosa succederebbe se per sbaglio ti annunciassero 8.8.8.0/24 ?
>> >>
>> >> Io preferisco utilizzare RFC6890.
>> >> Non cambia poi tanto spesso.
>> >> E poi ci voglion pochi minuti per aggiornare i BRAS.
>> >>
>> >>
>> >> 2017-06-04 0:13 GMT+02:00 Luca Ercoli <lercoli01@gmail.com>:
>> >> > Buongiorno a tutti,
>> >> >
>> >> > Qualcuno ha mai fatto peering con il team cymru per avere una lista
>> >> > di
>> >> bogons sempre aggiornata? Esistono alternative valide, eventualmente?
>> >> >
>> >> > Ciao e grazie in anticipo, Luca
>> >> >
>> >> > --
>> >> > Mailing list info: http://lists.itnog.it/listinfo/itnog
>> >>
>> >>
>> >>
>> >> --
>> >> Marco
>> >>
>> >> --
>> >> Mailing list info: http://lists.itnog.it/listinfo/itnog
>>
>>
>>
>> --
>> Marco
--
Marco
Maggiori informazioni sulla lista
itnog