Hi! On Fri, Dec 19, 2003 at 12:39 +0200, Maxim Tuliuk wrote:
On Thu, Dec 18, 2003 at 9:20 +0200, Andrey Blochintsev wrote:
Топология: роутер A через отдельные интерфейсы и iBGP связан с роутерами B и С; через B приходит full-view, через C - только Украина. Есть сеть X, которую аннонсируют только локально, т.е. на A и C. Проблема: некий провайдер P пуляет траффик на сеть X через раутер C, но при этом аннонсы видны _только_ через раутер B, т.е. вход идет через Украину, а исход в мир при том, что сеть аннонсируется только в Украину. Предполагаемое решение: на раутере C включить ip verify unicast, но не всплывут ли грабли?
А задача в чем? 1. не пропустить траффик "X->мир" (причем наличие провайдера P тут не требуется, вирус в сети X сработает не хуже ;) ?
ip verify unicast включенное на роутере B (на интерфейсе откуда влетает траффик от ?A?) эту задачу решит. попутно задавит и других "незнакомых" - но если это устраивает...
Я думал несколько не так решить:
Все-же уточни задачу. Что именно решить? Если: запретить приход траффика от сетей, которые ты не считаешь "украинскими" с "украинских" интерфейсов - то решение:
на раутере C у меня только "украинские" сети и на интерфейсах, где принимаю ua-ix и utc-ix поставить: ip verify unicast source reachable-via any должно работать.
Оно, только реальность с симметрий украинского трафика оказалась просто удручающей
:) Ну я не зря спрашивал, какой эффект нужно получить... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message