
<div dir="auto">Mark,<div dir="auto"><br></div><div dir="auto">On last point yes. The entire idea behind flow spec is to work inter-as to mitigate DDoS as close to a source as possible.</div><div dir="auto"><br></div><div dir="auto">And if you validate against advertising reachability what's the problem ?</div><div dir="auto"><br></div><div dir="auto">And as far as wide they just let you structure your community in a common way. It is both to customers or to others as you choose. Nothing there is about trust. It is all about mechanics how you pass embedded instructions.</div><div dir="auto"><br></div><div dir="auto">Best,</div><div dir="auto">R.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 9, 2020, 06:25 Mark Tinka <<a href="mailto:mark.tinka@seacom.com">mark.tinka@seacom.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

<br>

On 8/Sep/20 20:15, Robert Raszuk wrote:<br>

<br>

> This does not require any more trust for say directly connected peers<br>

> more then today when you publish communities on the web page.<br>

<br>

I'd tend to disagree.<br>

<br>

Trusting your direct peer to not send you default or to have a 24/7 NOC<br>

to handle connectivity issues is not the same level of trust I'd afford<br>

them to send me a community that told my network what to announce to my<br>

other eBGP neighbors or not.<br>

<br>

Of course, I am probably less trusting than most, so I'm not<br>

recommending anyone follow my advice :-).<br>

<br>

<br>

> It is not about opening up your network. It is about expressing your<br>

> policy in a common way in the exact say amount as you would open up<br>

> your network today.<br>

<br>

I can express my policy, publicly. But I can also indicate who has the<br>

power to implement that expression on my side.<br>

<br>

<br>

> Notice that in addition to common types there is equal amount of<br>

> space left for operator's define types. It is just that the structure<br>

> of community can take number of arguments used during execution -<br>

> that's all.<br>

<br>

That is all good and well, and works beautifully within an operator's<br>

network, which is the point of the capability.<br>

<br>

Extending that to non-customer networks is not technically impossible.<br>

It's just a question of trust.<br>

<br>

It's not unlike trusting your customers to send you FlowSpec<br>

instructions. No issues technically, but do you want to do it?<br>

<br>

Mark.<br>

<br>

</blockquote></div>