<div dir="ltr">I'm also in the externally managed space...very cool tool though.  I love the idea of distributing some of this functionality.<div><br></div><div>Are you also exporting and managing this data outside?</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Aug 17, 2021 at 12:23 PM Ben Maddison via NANOG <<a href="mailto:nanog@nanog.org">nanog@nanog.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Hi Saku,<br>
<br>
On 08/17, Saku Ytti wrote:<br>
> I share your confusion Randy. It seems like perhaps Jakob answered a<br>
> slightly different question and his answer is roughly.<br>
> <br>
> a) Use this as-set feature to ensure valid set of ASNs from given peer<br>
> b) Validate prefix using RPKI (I'm assuming with rejecting unknowns<br>
> and invalids)<br>
> c) Don't punch in prefix-lists anywhere<br>
> <br>
> Which in theory works, but in practice it does not, as RPKI validity<br>
> cover is incomplete.<br>
> <br>
This, and (more fundamentally) RPKI-breakage gets translated into a dataplane<br>
outage.<br>
<br>
> Somewhat related, when JNPR implemented RTR the architecture was<br>
> planned so that the RTR implementation itself isn't tightly coupled to<br>
> RPKI validity. It was planned day1 that customers could have multiple<br>
> RTR setups feeding prefixes and the NOS side could use these for other<br>
> purposes too. So technically JNPR is mostly missing CLI work to allow<br>
> you to feed prefix-lists dynamically over RTR, instead of punching<br>
> them in vendor-specific way in config.<br>
> <br>
We already do essentially this on arista EOS using a custom agent.<br>
<br>
It runs under the EOS process supervisor and calls home to a REST-API<br>
wrapper around bgpq3. It looks for specific config lines to work out<br>
which prefix lists to build, and then fetches them on a configurable<br>
interval.<br>
<br>
This has been in production for a year or two, without major incident.<br>
It's all open source, available at <a href="https://github.com/wolcomm/eos-prefix-list-agent.Pull-requests" rel="noreferrer" target="_blank">https://github.com/wolcomm/eos-prefix-list-agent.<br>
Pull-requests</a> welcomed ;-)<br>
<br>
I'm in the middle of writing the equivalent tool for junos at the<br>
moment. Assuming that it works, we'll open source that too.<br>
<br>
HTH,<br>
<br>
Ben<br>
</blockquote></div>