[NLNOG] Voorkom AS-set namespace collisions. AS-A2B vs AS51088:AS-A2B

Pim van Pelt pim at ipng.nl
Fri Nov 18 14:08:57 CET 2022


Hoi,

Done for AS8298, thanks for the tip :)

groet,
Pim

On Fri, Nov 18, 2022 at 2:02 PM Erik Bais <erik at bais.name> wrote:

> Ollah,
>
>
>
> Er loopt momenteel bij de RIPE Database Working group ( DB-WG ) een
> discussie
> <https://www.ripe.net/ripe/mail/archives/db-wg/2022-November/007646.html>
> waarbij de AS-Set name misbruikt kan worden, omdat de normale short notatie
> zoals ( AS-A2B ) bij het aanmaken van een ‘nieuwe’ short as name,
>
> geen authorisatie vereist in referentie naar een origineel of naar een
> eigenaar van een netwerk.
>
>
>
> Nu is er een optie om je AS nummer als authorisatie te gebruiken .. en dan
> moet je dus je AS set naam aanpassen .. in <ASnummer>:<AS-set naam>
>
>
>
> Dit is al misbruikt in de afgelopen weken..  waarbij een of andere leukerd
> in de RIPE Database een AS-Set aangemaakt had met een naam AS-<grote cloud
> provider> ..
>
> Aangezien hun normaal hun AS-Set bij een andere database bijhielden,
> hadden ze hierdoor opeens een AS-Set name collission .. met als resultaat
> .. dat alle partijen die bijvoorbeeld bgpq4 gebruiken om de prefixfilters
> te maken,
>
> een lege prefixfilter als resultaat set kregen .. omdat ze tegen de lege
> AS set in de RIPE db aanliepen ..en daarna exit.
>
>
>
> Het is dus sterk aan te raden om de ‘long’ AS-Set notatie te gaan
> gebruiken voor je eigen (en je klanten) hun bereikbaarheid.
>
>
>
> Wat je nu binnen een paar minuten kan doen is:
>
>
>
> Creëer een nieuwe AS-Set naam .. die begint met je eigen AS nummer ….
> ASNUMMER:<oude AS set naam>
>
> Kopieer daar alle informatie in, die ook in je huidige (Short) AS-Set
> staat..
>
> Bewaar en check die dan even in de RIPE DB.
>
>
>
> ( A2B voorbeeld :
> https://apps.db.ripe.net/db-web-ui/query?searchtext=as51088:as-a2b  )
>
>
>
> In de oude AS-Set .. zet je 1 verwijzing in .. en de rest laat je leeg ..
> Dus je krijgt dan alleen een regel met ..  members:        ASNUMMER:<oude
> AS set naam>
>
> ( Voorbeeld van AS-A2B -
> https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as-a2b&source=RIPE
> )
>
>
>
> En bij peeringdb : zet je de nieuwe AS set naam (ASNUMMER:<oude AS set
> naam>)  .. en wil je het helemaal fancy doen ..  dan doe je RIPE::
> ASNUMMER:<oude AS set naam>
>
> Als je RIPE:: ervoor zet, dan is dat een referentie naar in welke RIR DB
> je AS-Set te vinden is ..
>
>
>
> ( voorbeeld in PeeringDB : https://www.peeringdb.com/net/3237 )
>
>
>
> Daarna is het handig om ook je AS object even een update te geven ..
>
>
>
> En loop even overal na, dat je je nieuwe AS-Set in je export regels hebt
> staan.. zoals :
>
>
>
>    - remarks:         Transits
>    - remarks:
>    ============================================================
>    - import:          from AS2914 action pref=100; accept ANY AND NOT {
>    0.0.0.0/0}
>    - export:          to AS2914 announce AS51088:AS-A2B
>    - import:          from AS3257 action pref=100; accept ANY AND NOT {
>    0.0.0.0/0}
>    - export:          to AS3257 announce AS51088:AS-A2B
>
> Mocht je dat bij peers / klanten of internet exchanges ook hebben staan..
> rinse & repeat .. you know the drill.
>
>
>
> ( Voorbeeld AS51088 -
> https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as51088&source=RIPE
> ).
>
>
>
> Het is een pleister tegen een mogelijk issue .. maar wel handig om dit
> correct te fixen ..  waar je later veel plezier van kan hebben ..  dus doe
> er je voordeel mee.
>
>
>
> Die fix die er besproken wordt in de RIPE DB WG, zorgt er voor dat er geen
> nieuwe AS-Sets met een short notatie aangemaakt kunnen worden. Maar
> verhelpen is beter dan genezen.
>
>
>
> Alvast prettig weekend,
>
>
>
> Groetjes,
>
> Erik Bais
> _______________________________________________
> NLNOG mailing list
> NLNOG at nlnog.net
> http://mailman.nlnog.net/listinfo/nlnog
>


-- 
Pim van Pelt <pim at ipng.nl>
PBVP1-RIPE - http://www.ipng.nl/
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nlnog.net/pipermail/nlnog/attachments/20221118/2f17c808/attachment-0001.html>


More information about the NLNOG mailing list