Hi! On Wed, Dec 17, 2003 at 17:54 +0200, Sergey Pershin wrote:
On Wed, 17 Dec 2003, Maxim Tuliuk wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
А задача в чем? 1. не пропустить траффик "X->мир" (причем наличие провайдера P тут не требуется, вирус в сети X сработает не хуже ;) ? ip verify unicast включенное на роутере B (на интерфейсе откуда влетает траффик от ?A?) эту задачу решит. попутно задавит и других "незнакомых" - но если это устраивает... 2. не пропустить траффик P -> X ? А почему собственно? А чем в этом смысле лучше сеть Y, которая анонсируется "везде"?
Частные случаи с помощью верифай решать не стоит. Лучше потребовать от провайдера Р анонсировать _всё_ своё в украину,
Хмм... в задаче не сказано "UA-IX" - policy которой требует симметрии.
так как мнение такое, что из мира приходит морспецифик. На А завысить преференции в С не городить огород.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message