[NLNOG] atom86: invalid==reject (RPKI)

[Ralph Dirkse]

Job,

Ik ben het met je eens, we valideren de routes wel maar rejecten ze (nog) niet.

Gr,
Ralph

On 04/09/2018, 14:03, "Job Snijders" <job at ntt.net> wrote:

    Beste Ralph,
    
    On Tue, Sep 04, 2018 at 11:47:42AM +0000, Ralph Dirkse wrote:
    > Voor klanten filteren we middels een prefix filter dus valideren is
    > dan eigenlijk niet nodig. Toch valideren we klant prefixes wel echter
    > zonder de reject.
    
    Ik raad aan om op alle EBGP sessies "invalid == reject" te doen, ook op
    klant sessies. Ik denk dat dit makkelijker is voor zowel jullie als de
    klanten. Een prefix kan zowel onderdeel zijn van het prefix-filter, maar
    tegelijk een RPKI invalid zijn (omdat het origin niet klopt).
    
    Mogelijk heeft een klant een prefix verkocht, of op een andere manier de
    autoriteit verloren om de prefix te announcen - de echte eigenaar van de
    prefix hoeft dan enkel de RPKI ROAs te updaten om zaken naar hun hand te
    zetten.
    
    Met vriendelijke groeten,
    
    Job