<div dir="ltr"><div>Thanks everyone for your inputs. So bottomline setup RPKI and setup ROA's for all our subnets being advertised. <br></div><div>Much of this is legacy and has too many unknowns, being handed down networks without documentation also does not help. <br></div><div><br></div><div>Thanks,</div><div>Sam<br></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Nov 1, 2022 at 9:07 AM heasley <<a href="mailto:heas@shrubbery.net">heas@shrubbery.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Tue, Nov 01, 2022 at 12:01:46PM -0400, Jon Lewis:<br>
> One danger with RPKI, is shooting yourself (or customers) in the foot by <br>
> creating too general a ROA.  i.e. Suppose you have an ARIN /20.  You have <br>
> a multihomed customer to whom you've assigned a /24 from your /20.  You <br>
> create a ROA for the /20 saying your ASN is authorized to originate your <br>
> /20.  Now that customer /24 has become an RPKI-invalid, and the customer <br>
> may find that their other provider is filtering their /24 advertisement.<br>
<br>
ie: you must also create roa(s) for your bgp customer's more specific(s) of<br>
your aggregate.<br>
</blockquote></div>