[NLNOG] Negeer route announcements met Bogon ASNs in het AS_PATH attribuut
Job Snijders
job at instituut.net
Tue May 10 12:46:05 UTC 2016
Hi NLNOG,
Onder het mom van "make routing tables great again!" wil ik iedereen
aanmoedigen route announcements waarvan het AS_PATH attribuut een Bogon
ASN bevat weg te filteren. Hier een aantal up-to-date voorbeelden op
basis van RFC 4893, RFC 5398 en RFC 6996.
De redenatie is als volgt:
1/ Op het publieke internet, hebben Private ASNs geen plek.
2/ Wanneer jouw apparatuur 4-byte ASNs support, dan zou je nooit
_23456_ in een AS_PATH moeten zien, maar altijd in plaats daarvan het
originele 4-byte ASN. Zie je toch _23456_ in een pad, dan is dit een
grove misconfiguratie aan de andere kant, een "bgp-optimizer"-achtig-iets
dat geen 4-byte ASNs snapt of andere gekkigheid. Zaken die we niet moeten
aanmoedigen door zulke routes te accepteren.
Bij mijn werkgever mikken we er op om dit in juli 2016 uit te rollen.
Hieronder voorbeeld configuraties voor diverse platformen.
Met vriendelijke groeten,
Job
----------------------------
Juniper:
policy-options {
as-path-group bogon-asns {
/* RFC 4893 AS_TRANS */
as-path as_trans ".* 23456 .*";
/* RFC 5398 and Reserved ASNs */
as-path reserved1 ".* [64496-131071] .*";
/* RFC 6996 */
as-path reserved2 ".* [4200000000-4294967295] .*";
}
policy-statement import_from_ebgp {
term bogon-asns {
from as-path-group bogon-asns;
then reject;
}
term .....
}
}
Cisco IOS XR:
as-path-set bogon-asns
passes-through '23456',
passes-through '[64496..131071]',
passes-through '[4200000000..4294967295]'
end-set
route-policy import_from_ebgp
if as-path in bogon-asns then
drop
else
......
endif
end-policy
BIRD:
define BOGON_ASNS = [23456, 64496..131071, 4200000000..4294967295];
function ebgp_import()
int set bogon_asns;
{
# ignore bogon AS_PATHs
bogon_asns = BOGON_ASNS;
if ( bgp_path ~ bogon_asns ) then {
print "Reject: bogon AS_PATH: ", net, " ", bgp_path;
reject;
}
.......
}
More information about the NLNOG
mailing list