Oui ça fonctionne, le préfixe 2001:DB8::/32 n'est plus présent : route-map TRANSIT_ENTRANT_IPV6 deny 10 description *** DENY routes with invalid AS numbers *** match as-path 100 ! route-map TRANSIT_ENTRANT_IPV6 deny 20 match ipv6 address prefix-list MY-PREFIXE ! route-map TRANSIT_ENTRANT_IPV6 deny 30 match ipv6 address prefix-list BOGONS-IPV6 ! route-map TRANSIT_ENTRANT_IPV6 permit 40 description *** PERMIT routes only for AS TRANSIT *** match as-path 10 !
Effectivement... Merci David🙂 ________________________________ De : David Ponzone <david.ponz...@gmail.com> Envoyé : lundi 26 octobre 2020 10:55 À : Sébastien 65 <sebastien...@live.fr> Cc : frnog-t...@frnog.org <frnog-t...@frnog.org> Objet : Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map Ben oui, avec ça tu autorises tout ce qui vient de 174, donc si les bogon viennent de là…. Essaie voir de mettre tous tes deny avant le permit. Le 26 oct. 2020 à 10:46, Sébastien 65 <sebastien...@live.fr<mailto:sebastien...@live.fr>> a écrit : Le permit 20 filtre sur l'AS du Transitaire afin d'obtenir uniquement les réseaux provenant de l'AS174 et de tous les AS directement attachés sur 174 ip as-path access-list 10 permit ^174_ ip as-path access-list 10 deny .* Penses-tu que l'erreur vient de la route-map 20 ? ________________________________ De : David Ponzone <david.ponz...@gmail.com<mailto:david.ponz...@gmail.com>> Envoyé : lundi 26 octobre 2020 10:38 À : Sébastien 65 <sebastien...@live.fr<mailto:sebastien...@live.fr>> Cc : frnog-t...@frnog.org<mailto:frnog-t...@frnog.org> <frnog-t...@frnog.org<mailto:frnog-t...@frnog.org>> Objet : Re: [FRnOG] [TECH] ipv6 prefix-list avec route-map Je suis un peu ennuyé par ton permit 20 avant le deny 30. Tu es sûr que l’as-path 10 ne match pas les routes que tu veux refuser avec BOGONS-IPV6 ? > Le 26 oct. 2020 à 09:58, Sébastien 65 > <sebastien...@live.fr<mailto:sebastien...@live.fr>> a écrit : > > Bonjour, > > En voulant actualiser ma prefix-list des Bogons IPV6 sur mes transits, je > test d'abord avec deux routeurs en interne, je n'arrive pas à filtrer par > exemple 2001:DB8::/32. > > Sur R1 j'envoi le préfixe 2001:DB8::/32 à R2. > > Sur R2 j'ai la configuration suivante : > > ipv6 prefix-list BOGONS-IPV6 description - Filtre Entrant IPV6 - > ipv6 prefix-list BOGONS-IPV6 seq 5 permit ::/0 > ipv6 prefix-list BOGONS-IPV6 seq 10 permit ::/8 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 15 permit 100::/64 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 20 permit 2001::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 25 permit 2001:2::/48 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 30 permit 2001:3::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 35 permit 2001:10::/28 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 40 permit 2001:20::/28 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 45 permit 2001:DB8::/32 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 50 permit 2002::/16 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 55 permit 3FFE::/16 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 60 permit FC00::/7 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 65 permit FE00::/9 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 70 permit FE80::/10 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 75 permit FEC0::/10 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 80 permit FF00::/8 le 128 > ipv6 prefix-list BOGONS-IPV6 seq 1000 deny ::/0 le 128 > > route-map TRANSIT_ENTRANT_IPV6 deny 10 > description *** DENY routes with invalid AS numbers *** > match as-path 100 > ! > route-map TRANSIT_ENTRANT_IPV6 permit 20 > description *** PERMIT routes only for AS TRANSIT *** > match as-path 10 > ! > route-map TRANSIT_ENTRANT_IPV6 deny 30 > match ipv6 address prefix-list MY-PREFIXE > ! > route-map TRANSIT_ENTRANT_IPV6 deny 40 > match ipv6 address prefix-list BOGONS-IPV6 > ! > > La prefix-list doit bien être en PERMIT et la route-map en DENY ? > J'ai plus ou moins la même chose en IPV4 et je n'ai pas de problème... > > Je merde ou ? > > > > --------------------------- > Liste de diffusion du FRnOG > https://eur06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=04%7C01%7C%7C5a67a6a794924b7bf3e208d87992eaa8%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637393019185127222%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=5t2ZEO%2F5bBSjlholZo7g1QttNF6jwrF6Apfkr9YrmXw%3D&reserved=0<https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=04%7C01%7C%7C7954d8d1cf2348515ed408d87995368c%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637393029050412325%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=YVGqpKdZln1TTpRFDeSkq0aXiGco2dGHse2wkPGOYYU%3D&reserved=0> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
