Jump to content

JUNOS, BGP, фильтрация префиксов

mightyscv
 Share

Recommended Posts

mightyscv

mightyscv

Posted
Posted

коллеги, а кто чем пользуется для обновления BGP-фильтров на джуниперах?

пользуюсь IRRtoolset, но у него есть ряд недостатков

  • у меня пиринги в отдельном VR, а rtconfig'у это не скормишь. приходится парсить конфиг внешним скриптом, и вставлять определения нужного инстанса
  • для пиров с которыми есть IPv4 и IPv6 сессия он строит единый префикс-лист, который не коммитится, так как нельзя в один лист ставить и IPv4 и IPv6 префиксы

ну и просто опций у него мало по сравнению с конфигом для циски, а на его развитие, похоже, все забили

RPKI в его текущем виде практически бесполезен, до BGPSec ещё как до луны

может я пропустил какую-то новинку на этом поле? или все окончательно стали доверять друг другу и теперь никто анонсы не фильтрует?

dmvy

dmvy

Posted
Posted

вечерок посидеть и можно на bash написать скрипт-генератор.

dmvy@dmvy:~$ whois -T route -i origin AS12389|grep -oP "\d+\.\d+\.\d+\.\d+\\/\d{2}$"|sort -n
46.61.128.0/17
79.133.64.0/19
87.226.128.0/17
92.50.192.0/18
94.25.0.0/17
95.167.0.0/16
188.128.0.0/17
188.128.65.0/24
188.254.0.0/17
193.142.249.0/24

 

посидеть пару вечеров и сделать скрпит, который AS-SET кушает...

 

но зачастую фильтры нужны на мелких пиров. в крупных либо инженеры с прямыми руками, либо на точках IX существует своя проверка префиксов.

mightyscv

mightyscv

Posted
  • Author
Posted

но зачастую фильтры нужны на мелких пиров. в крупных либо инженеры с прямыми руками, либо на точках IX существует своя проверка префиксов.

как показывает мировая практика, опасность роут лика есть всегда. тут лучше перестраховаться

ваш совет по сути - написать свой IRR. зачем, если он уже есть?

 

bgpq3 уже смотрели?

посмотрел. сливает IRR вчистую, так как не умеет local pref, as-path prepend, итд

хочется что-то такое, чтобы изменил политику в RIPE DB, кнопку нажал - оно пошло само перестраивать всё

Telesis

Telesis

Posted
Posted

Мы как то через whois пытались добыть сведения - так, блин, словили бан на сутки за попытку массированной эксплуатации :)

А забрать с FTP не судьба?

ftp.ripe.net/ripe/dbase/split/

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.