Bonjour,
Je suis en train de faire le ménage sur mes route-map et prefix-list, j'ai une
question concernant ma prefix-list OUT.
Actuellement j'ai :
ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24
ip prefix-list PL_OUT seq 10 deny 0.0.0.0/0
ip prefix-list PL_OUT seq 15 deny 0.0.0.0/8 le 32
ip
Tu n'as meme pas besoin de la ligne deny any ... les ACL, prefix-list, et
route-map ont un deny implicit a la fin.
tout ce que tu as dans tes listes peuvent etre reduit a simplement:
ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24
!
ipv6 prefix-list PL_OUT seq 5 permit 111:222::/32 ge 32
!
!
ip prefix-list ipv4-AS62713 permit 1.2.3.0/24
!
route-map ipv4-transit-AS-out permit 5
description Export routes to AS - Super Mega Upstream
match ip address ipv4-AS62713
match as-path 1
set community none
!
Le plus important c'est le IN, c'est la qu'il y du boulot à faire :)
On
Bonjour,
Tu n'as meme pas besoin de la ligne deny any ... les ACL, prefix-list, et
route-map ont un deny implicit a la fin.
Ok... J'utilise quagga, est-ce que le deny any est bien implicite à la fin pour
lui ??
J'avais pris l'habitude de rajouter deny any en fin des ACL et Prefix-list car
Voici comment j'ai configuré mon IN
!
route-map v4_in permit 10
match ip address prefix-list PL_IN
!
route-map v4_in permit 100
Ta route-map n'a que des permit donc aucun effet !
Je te conseile de faire l'inverse : deny d'abord et permit le reste
route-map v4_in deny 10
match ip address
Le 13/10/2013 16:29, Cedric T. a écrit :
Voici comment j'ai configuré mon IN
!
route-map v4_in permit 10
match ip address prefix-list PL_IN
!
route-map v4_in permit 100
Ta route-map n'a que des permit donc aucun effet !
Je te conseile de faire l'inverse : deny d'abord et permit le reste
Oulaaa Donc j'ai tous faux ???
Donc si je comprends il faut que je configure comme ceci :
neighbor 10.1.1.1 remote-as 10
neighbor 10.1.1.1 description FAI_10
neighbor 10.1.1.1 soft-reconfiguration inbound
neighbor 10.1.1.1 route-map FAI_10-in in
neighbor 10.1.1.1 route-map FAI_10-out out
Bonjour,
tu trouveras ci-dessous une conf en IPV4 avec les filtrages BOGONS +
les preco de l'ANSSI :
neighbor 10.1.1.1 remote-as 10
neighbor 10.1.1.1 description FAI_10
neighbor 10.1.1.1 route-map PREFIX-FROM-FAI_10 in
neighbor 10.1.1.1 route-map PREFIX-TO-FAI_10 out
neighbor 10.1.1.1
ip as-path access-list 1 permit ^$
!
route-map FAI_10-in deny 10
match as-path 1
Cela n'a de sens qu'en out pour n'annoncer que les routes en
provenance de ton réseau (l'as-path vide)
Tel que tu l'écris tu refuses les routes de ton fournisseur n'ayant
pas d'as-path, ce qui est
Concernant ip as-path access-list 1 permit ^$ je me suis trompé... Un
mauvais copier/coller... Je l'utilise dans le OUT et non pas dans le IN comme
ici !!!
Je pense même que cela doit fonctionner pour le OUT (en prenant le mail de
Carrel) :
ip as-path access-list 1 permit ^$
ip as-path
re-bonjour,
On 13 Oct 2013, at 14:27, Antoine Durant wrote:
J'avais pris l'habitude de rajouter deny any en fin des ACL et Prefix-list
car sur les tutos que j'avais lu à l'époque il y avait régulièrement le deny
any
Donc utile ou pas dans mon cas avec quagga ??
Pareil,
car...@akposso.com a écrit:
tu trouveras ci-dessous une conf en IPV4 avec les filtrages
BOGONS + les preco de l'ANSSI :
Pour les bogons, il y a nettement mieux que les 13 préfixes connus:
IPv4 fullbogons http://www.team-cymru.org/Services/Bogons/bgp.html
3262 préfixes aujourd'hui, une grosse
J'en ai entendu parler... Il est possible de monter une session directement
avec eux comme ça (je ne suis présent sur aucun point d'échange...) ?
Tu l'utilises Michel ? Quelqu'un a un retour à me faire sur l'utilisation de
CYMRU ?
De : Michel Py
Antoine Durant a écrit:
J'en ai entendu parler... Il est possible de monter une session directement
avec eux comme ça (je ne suis présent sur aucun point d'échange...) ?
Oui, pas besoin d'ASN non plus, ils te donneront un ASN privé si tu n'en as pas
de public. Faut une adresse IP fixe.
Tu
A première lecture cela a pas l'air trop mal... J'ai presque envi de me laisser
tenter par CYMRU !!
Niveau config BGP lorsque on dispose d'un AS public comment on fait ? As tu un
exemple d'intégration du route-server dans un AS public sous la main ?
De :
Il y a des exemples pour les principaux routeurs du marché:
http://www.team-cymru.org/Services/Bogons/bgp-examples.html
Je réfléchissais aussi à mettre cela en place dans ma config... Donc pas
encore testé...
Fred
Le 13/10/2013 22:34, Antoine Durant a écrit :
A première lecture cela a pas
Frédéric Perrod a écrit:
Il y a des exemples pour les principaux routeurs du marché:
http://www.team-cymru.org/Services/Bogons/bgp-examples.html
Je réfléchissais aussi à mettre cela en place dans ma config...
Donc pas encore testé...
Voici la config que j'utilise for fullbogons depuis des
17 matches
Mail list logo