Subnets.ru

Собственно сабж. Как правильно написать роут мап для защиты от несанкционированого слива провайдером фулл вью по БГП???

1. не "они" с "тебя" льют, а все же "ты" "им" отправляешь.
ты хочешь что бы "им" уходил тока default route ? какой то определенный список префиксов ? список автономок ?
2. для какой железки ? cisco ?

Я сейчас принимаю дефолт от провайдера. В моем устройстве 32 Мб ОЗУ и я хочу обезопасить себя, если вдруг кто-то на прове случайно решит мне анонсировать фулл вью....

root писал(а):2. для какой железки ? cisco ?

соответственно в route-map разрешаешь принимать только default route
все остальное deny`ится

Код: Выделить всё

neighbor х.х.х.х route-map my-peer-in in

Код: Выделить всё

ip prefix-list default description default route
ip prefix-list default seq 10 permit 0.0.0.0/0

Код: Выделить всё

route-map my-peer-in permit 100
 match ip address prefix-list default

для наглядности можно написать:

Код: Выделить всё

route-map my-peer-in deny 200

хотя, как известно, у cisco в конце всегда идет неявный deny

Да да... Спасибо... роутер Cisco 4500+ M

С этой ситуацией в принципе ясно.... А вот второй мне анонсит дефолт плюс Уа-Икс, во всех маршрутах из Уа-Икс присутствует АС 15645. Как тут поступить, чтобы принимать только Уа-Икс и дефолт?

plastilin писал(а):во всех маршрутах из Уа-Икс присутствует АС 15645

присутствует где ? в начале as-path ? в середине ? в конце ?
если хочется сделать фильтрацию по as-path, то нужно воспользоваться as-path access-list
примеры c использованием регулярных выражений:
AS15645 в начале:

Код: Выделить всё

ip as-path access-list 1 permit ^15645_

или AS15645 в конце:

Код: Выделить всё

ip as-path access-list 1 permit _15645$

или AS15645 в середине:

Код: Выделить всё

ip as-path access-list 1 permit _15645_

соответственно получаем на итог:

Код: Выделить всё

route-map my-peer-in permit 100
match ip address prefix-list default
route-map my-peer-in permit 110
match as-path 1
route-map my-peer-in deny 200

Спасибо, опробую...