Комментарии 2
Делая
address-family ipv4 unicast
bgp origin-as validation enable
bgp bestpath origin-as allow invalid
BGP будет делать новую версию роутинг таблицы на каждое обновление RPKI базы в роутинаторе. Лучше делать все политиками, скажем так
route-policy rpki-route-validation
if validation-state is invalid then
drop
else
pass
endif
end-policy
и добавлять ее на клиентские сессии. Скажем так
route-policy customer1-import-pol
apply as-path-filer1
apply black-hole-policy
apply prefif-filter1
apply rpki-route-validation
apply standard-cust-policies
end-policy
Так мы сможем решить ряд проблем. Например политикой мы можем разрешить ipv4 /32 с blackhole community или какие-нибудь сессии от кубера. В тоже время RPKI валидация включеная как у Вас сразу в address family лишает Вас такой гибкости.
Подробно писать про политики в этой статье не стали по нескольким причинам:
наши политики на сетевом оборудовании мы чаще всего не можем обнародовать в связи с NDA;
а если говорить в общем, то здесь может быть много индивидуальных ситуаций для разных компаний. Если учитывать большую их часть — наберется на отдельную статью. Возможно как-нибудь в следующий раз соберем.
А по сути все так.
Из грязи в RPKI-князи-2. Имплементация RPKI на сетевом оборудовании