[atnog] Frage zu peering handling (setting/filtering)

Harald Michl harald.michl at univie.ac.at
Wed May 13 09:17:28 CEST 2015 

Servus Bernd, liebe Gruppe!

Danke für die Initiative, ich antworte hier einmal für AS1853 + AS1120:

On 12.05.15 09:55, Bernd Spiess wrote:
> Hallo atnog Gruppe
> 
>  
> 
> Mich würde mal ein Austausch über best practice Methoden in Österreich

Austausch heißt, wir erfahren auch Deine Settings? :-)

> bzgl. filtering und settings bei Peerings interessieren…
> 
> 1)
> Maxpref wird, denke ich, jeder einsetzen?
> 

Bei jenen mit mehr als ca. 300 Prefixes verwenden wir maxpref (siehe
auch 6).
>  
> 
> 2)
> 
> Bogon Filter (10.x / 192.168.x / …) hat vermutlich auch jeder?
> 
> ( full list: siehe http://www.team-cymru.org/bogon-dotted-decimal.html
> => verwendet ihr die volle Liste?)

Brauchen wir nicht bei expliziten Prefix-lists und haben wir nicht bei
maxpref-peers, aber siehe dazu

> 
>  
> 
> 3)
> 
> Wie verwendet ihr filtering von: “do not accept if originate packet ip
> is from ourselves”?

Das bezieht sich aber auf Payload, nicht auf BGP, oder?
Also hier haben wir derzeit keine Filter. Wir selbst haben BCP38-Filter
an allen unseren Teilnehmeranschlüssen und hoffen somit mit Recht
behaupten zu können, hier "clean" zu sein. Natürlich könnten Pakete von
außen kommen. Hier ist ein bissl schwer, wer "ourselves" ist, denn wir
haben einige Multihomed-Teilnehmer, wo also auch legitimer Traffic mit
"unseren" Source-IPs von außen hereinkommen könnte.

> 
>  
> 
> 4)
> 
> AS path filter ja/nein?

(seit ca. 10 Jahren) nicht mehr. Wir hatten das mal als unsere Router
noch nicht die full-routing-table beherrschen konnten.


> 
> 5)
> 
> Gerade auf Nanog liste gesehen: DSCP flags auf 0 reset um zu verhindern,
> 
> dass traffic von peering prefixes ungewollt interne EF queue´s / …
> ansteuert…
> 
> machen das alle?

Macht unsere Platform automatisch, da wir kein Trust gesetzt haben.

> 
>  
> 
> 6)
> 
> Statische acl pro peering wird wohl niemand machen? Wer verwendet dynamische
> Acl´s auf Basis RADB/Ripe und wie sind die Erfahrungen hiermit?
> 
>  

Wir bauen primär Prefixlisten für jene Peers, die wenig (ca. <300)
Prefixe announcen. Das geschieht automatisch aus der RIPE-DB mit
rtconfig (v4 + v6). Die Erfahrungen damit sind gut, allerdings
funktnioniert es in unserer Implementierung nur mit RIPE-DB-Objects.

> 
> 7)
> 
> set metric auf 0 an den Borders auf gelernte Prefixe oder übernehmt ihr
> alles
> 
> was Euer gegenüber bzgl. den med´s eingestellt hat?

Wir setzen unsere eigenen Meds.

> 
>  
> 
> 8)
> 
> Bgp community tagging (sofern benötigt), ist denke ich klar …

Die Frage verstehe ich nicht ganz, aber ja, wir taggen unsere gelernten
Routen mit communities, um "weiter hinten" noch zu wissen, wo sie
herkamen. Und ja, outgoing setzen wir natürlich auch dort communities,
wo wir irgendeine Info mitgeben wollen.

> 
>  
> 
> 9)
> 
> Fremde bgp community tags alle per default löschen oder lässt Ihr die
> einfach?
> 

Wir löschen sie nicht. Ist aber eine gute Frage und mich würde hier auch
feedback von anderen freuen.

>  
> 
> 10)
> 
> Filter auf alles was kleiner ist als /24

nein.

> 
>  
> 
> 11)
> 
> Default route filtern (no-na)

Ha, erwischt. Bei den maxpref-peers haben wir einen derartigen Filter
nicht. Das wäre vielleicht eine gute Idee, neben den RFC1918 auch gleich
die Default-Route wegzuhauen.

> 
>  
> 
> 12)
> 
> Was fehlt hier sonst noch?

12) Ist IPv4 und IPv6 kongruent konfiguriert?

Bei uns ja, wir versuchen Announcements und Metriken für beide
Protokolle so gleich wie möglich abzubilden. D.h. dort wo es die
Gerätefamilie zulässt, haben wir auch die gleichen Route-Policies für
IPv4 und IPv6.

13) Wenn noch kein IPv6 - warum, bzw. was ist das Hindernis?

>  
> 
> Danke für Eure Meinungen hierzu…

Bitte, ich bin auf weitere gespannt!

Schöne Grüße vom RIPE70-meeting,
Harald


> 
>  
> 
> lG Bernd
> 
> 
> 
> _______________________________________________
> atnog mailing list
> atnog at mailing.atnog.at
> http://atnog.at/mailman/listinfo/atnog
> 

-- 
 Harald Michl                <harald.michl at univie.ac.at>
 Vienna University - ACOnet www.ACO.net - VIX www.VIX.at
 Universitaetsstrasse 7, A-1010 Vienna,  Austria, Europe
 Tel: +43 1 4277 - 14078 (Fax: - 814078)     HM3550-RIPE

More information about the atnog mailing list