<div>On Mon, 29 Apr 2024 at 21:27, Nigel Kukard via Bird-users <<a href="mailto:bird-users@network.cz">bird-users@network.cz</a>> wrote:<br></div><div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><u></u>

  
    
  
  <div>
    <div>Hi there Richard,</div>
    <div><br>
    </div>
    <div>On 4/29/24 19:14, Richard Laager wrote:<br>
    </div>
    <blockquote type="cite">
      <pre>Perhaps I am naive, but I assumed one would validate RPKI on the eBGP edge and simply reject INVALID routes.

Why would one want to accept INVALID at all?

If we agree one would reject INVALID, then what is left to tag?</pre>
    </blockquote>
    <p>For my specific use case I wanted to add a community for VALID
      and UNKNOWN. I'm going to look into the non-transitive extended
      communities to see how this works out.</p></div></blockquote><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Sure, but why add such communities? It reduces performance and doesn’t add security benefits.</div><div dir="auto"><br></div><div dir="auto">OTOH - it can satisfy curiosity about where traffic is flowing - then again, using a traffic analyser like pmacct or Kentik helps offer insight how much traffic is going to Valid vs Not-Found destinations, without the need to add any communities.</div><div dir="auto"><br></div><div dir="auto">I’m not saying you shouldn’t pursue adding a few non-transitive extended communities here and there for your use case; just that generally speaking, operators probably should not apply different policies for Valid and Not-Found states. </div><div dir="auto"><br></div><div dir="auto">Kind regards,</div><div dir="auto"><br></div><div dir="auto">Job</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><p dir="auto"></p></div></blockquote></div></div>