[NLNOG] atom86: invalid==reject (RPKI)
Job Snijders
job at ntt.net
Tue Sep 4 14:03:12 CEST 2018
Beste Ralph,
On Tue, Sep 04, 2018 at 11:47:42AM +0000, Ralph Dirkse wrote:
> Voor klanten filteren we middels een prefix filter dus valideren is
> dan eigenlijk niet nodig. Toch valideren we klant prefixes wel echter
> zonder de reject.
Ik raad aan om op alle EBGP sessies "invalid == reject" te doen, ook op
klant sessies. Ik denk dat dit makkelijker is voor zowel jullie als de
klanten. Een prefix kan zowel onderdeel zijn van het prefix-filter, maar
tegelijk een RPKI invalid zijn (omdat het origin niet klopt).
Mogelijk heeft een klant een prefix verkocht, of op een andere manier de
autoriteit verloren om de prefix te announcen - de echte eigenaar van de
prefix hoeft dan enkel de RPKI ROAs te updaten om zaken naar hun hand te
zetten.
Met vriendelijke groeten,
Job
More information about the NLNOG
mailing list