Jump to content
Калькуляторы

JUNOS, BGP, фильтрация префиксов

коллеги, а кто чем пользуется для обновления BGP-фильтров на джуниперах?

пользуюсь IRRtoolset, но у него есть ряд недостатков

  • у меня пиринги в отдельном VR, а rtconfig'у это не скормишь. приходится парсить конфиг внешним скриптом, и вставлять определения нужного инстанса
  • для пиров с которыми есть IPv4 и IPv6 сессия он строит единый префикс-лист, который не коммитится, так как нельзя в один лист ставить и IPv4 и IPv6 префиксы

ну и просто опций у него мало по сравнению с конфигом для циски, а на его развитие, похоже, все забили

RPKI в его текущем виде практически бесполезен, до BGPSec ещё как до луны

может я пропустил какую-то новинку на этом поле? или все окончательно стали доверять друг другу и теперь никто анонсы не фильтрует?

Share this post


Link to post
Share on other sites

вечерок посидеть и можно на bash написать скрипт-генератор.

dmvy@dmvy:~$ whois -T route -i origin AS12389|grep -oP "\d+\.\d+\.\d+\.\d+\\/\d{2}$"|sort -n
46.61.128.0/17
79.133.64.0/19
87.226.128.0/17
92.50.192.0/18
94.25.0.0/17
95.167.0.0/16
188.128.0.0/17
188.128.65.0/24
188.254.0.0/17
193.142.249.0/24

 

посидеть пару вечеров и сделать скрпит, который AS-SET кушает...

 

но зачастую фильтры нужны на мелких пиров. в крупных либо инженеры с прямыми руками, либо на точках IX существует своя проверка префиксов.

Share this post


Link to post
Share on other sites
коллеги, а кто чем пользуется для обновления BGP-фильтров на джуниперах?

 

bgpq3 уже смотрели?

Share this post


Link to post
Share on other sites

но зачастую фильтры нужны на мелких пиров. в крупных либо инженеры с прямыми руками, либо на точках IX существует своя проверка префиксов.

как показывает мировая практика, опасность роут лика есть всегда. тут лучше перестраховаться

ваш совет по сути - написать свой IRR. зачем, если он уже есть?

 

bgpq3 уже смотрели?

посмотрел. сливает IRR вчистую, так как не умеет local pref, as-path prepend, итд

хочется что-то такое, чтобы изменил политику в RIPE DB, кнопку нажал - оно пошло само перестраивать всё

Share this post


Link to post
Share on other sites

Мы как то через whois пытались добыть сведения - так, блин, словили бан на сутки за попытку массированной эксплуатации :)

Share this post


Link to post
Share on other sites

Мы как то через whois пытались добыть сведения - так, блин, словили бан на сутки за попытку массированной эксплуатации :)

А забрать с FTP не судьба?

ftp.ripe.net/ripe/dbase/split/

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this