In diesem Artikel möchte ich kurz die Filter für den Import von Routen von Transit-Providern, Peerings und Kunden beschreiben. Diese Filterbasis verwende ich u.a. für das AS209844 und AS209238.
Die Policy für Transit-Partner umfasst die folgenden Prüfkriterien.
- Eigene und Downstream Netzwerke verwerfen
- Bogon AS-Nummern verwerfen
- AS-Pfadlängen >100 verwerfen
- Erste ASN muss Peer-AS entsprechen
- Next-Hop IP muss korrekt sein, sonst verwerfen
- spezifische Routen verwerfen (spezifischer als /24 bei IPv4 und /48 bei IPv6)
- Bogon/Martian Netzwerke und ggf. Default-Route verwerfen
- RPKI Invalide Netze verwerfen (ausnahmslos)
- RPKI Valide Netzwerke importieren und präferieren
- RPKI Unbekannte Netzwerk akzeptieren
Für Peers und Kunden greife ich zusätzlich auf per bgpq3 generierte und per ansible auf die Router verteilte Prefix-Listen zurück, sofern der RPKI Status nicht bekannt ist. Nicht per RPKI oder IRR validierte Netzwerke werden ausnahmslos verworfen. Als Blackhole markierte Routen werden lediglich gegen Prefix-Listen und nicht gegen RPKI geprüft.