Опис роботи Route Server'ів і застосування communities
🧰 Оновлення фільтрів
Автоматично та безперервно за наступним алгоритмом:
- кожні 15 хвилин — отримання данних з IRR;
- кожні 4 години — оновлення кожного Route Server'у;
- 2 години відносно один одного— інтервал оновлення кожного Route Server'у. Спочатку оновився RS0, через 2 години ті ж дані потрапляють на RS1.
Адреси роут-серверів:
- RS0: 193.25.180.255/23, 2001:7F8:63::FF/64;
- RS1: 193.25.181.0/23, 2001:7F8:63::FFFF/64
ASN: AS31210
AS-SET для побудови фільтрів: AS-DTEL-IX
📊 Таблиця BGP Communities
Опис | Basic RFC 1997 | Extended RFC 4360 | Large RFC 8092 | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Не реанонсувати жодному учаснику (максимальний пріоритет) | 0:31210 | rt:0:31210 | large:31210:0:31210 | ||||||||||||||||||
Не реанонсувати учаснику з 16-бітним номером автономної системи | 0:X | rt:0:X | large:31210:0:X | ||||||||||||||||||
Не реанонсувати учаснику з 32-бітним номером автономної системи | — | rt:0:X | large:31210:0:X | ||||||||||||||||||
Реанонсувати тільки учаснику з 16-бітним номером автономної системи | 31210:X | rt:31210:X | large:31210:31210:X | ||||||||||||||||||
Реанонсувати тільки учаснику з 32-бітним номером автономної системи | — | rt:31210:X | large:31210:31210:X | ||||||||||||||||||
Анонсувати всім учасникам (за замовчуванням, мінімальний пріоритет) | 31210:31210 | rt:31210:31210 | large:31210:31210:31210 | ||||||||||||||||||
Додати номер своєї автономної системи до as-path X разів в напрямку автономної системи Y. 1 <= X <= 3 | — | — | large:31210:6500X:Y | ||||||||||||||||||
Додати номер своєї автономної системи до as-path X разів в напрямку всіх учасників. 1 <= X <= 3 | — | — | large:31210:6500X:31210 | ||||||||||||||||||
Blackhole префіксу IPv4 /32 або IPv6 /64 | 65535:666 | — | — | ||||||||||||||||||
Simple Remote Triggered Firewall | |||||||||||||||||||||
Простий механізм RTBH дозволяє Учаснику скинути весь трафік до певного хоста у своїй мережі на межі DTEL-IX. Приймаються маршрути тільки /32 (IPv4) або /56 і довші (IPv6).Щоб активувати блокування, потрібно одночасно вказати:
X = 31210 , то блокування відбудеться з боку всіх Учасників.Note: RTBH працює тільки якщо одночасно встановлені: 65535:666 і 31210:31210 . | |||||||||||||||||||||
Advanced Remote Triggered Firewall | |||||||||||||||||||||
Розширена версія RTBH дозволяє не лише скинути трафік, а й направити його на Firewall DTEL-IX із вказівкою, який саме тип трафіку необхідно заблокувати або обмежити. Використовується та ж комбінація community, як і в Simple RTBH, але з додатковою extended community для визначення типу трафіку:
Drop Community — скинути всі пакети, які відповідають умові. | |||||||||||||||||||||
Інформаційні комʼюніті | |||||||||||||||||||||
Анонс отримано від учасника з 16-бітним номером автономної системи | 31210:X | ro:31210:X | large:31210:31210:X | ||||||||||||||||||
Анонс отримано від учасника з 32-бітним номером автономної системи | — | ro:31210:X | large:31210:31210:X | ||||||||||||||||||
Геомітка префіксу (X - регіон, Y - ISO 3166-1 код країни)
| 6500X:10YYY | — | — |
Особливості роботи route server'ів
- НЕ анонсує default route, приватні мережі, приватні AS;
- анонсує своим клієнтам наявну на ньому таблицю маршрутів в повному обсязі та дозволяє для гнучкості управління (складання фільтрів) користуватися певними атрибутами BGP, які описані нижче;
- при прийомі анонсів від конкретного клієнта RS проставляеє в них координати (next-hop) того роутера, з якого вони отримані і в такому вигляді анонсує їх іншим своїм Учасникам.
Таким чином, через RS проохдять тільки анонси маршрутів, а трафік іде напряму поміж Учасниками.
Завжди свіжий опис в whois
Детальну інформацію про Учасників DTEL-IX, що отримали обмін маршрутною інформацією з RS, можна отримати з бази даних RIPE, виконавши запит опису AS 31210 (RS):
whois -h whois.ripe.net as31210
Правила побудови фільтрів анонсів
При побудові фільтрів на прийом анонсів виконується опитування баз даних whois.radb.net та фільтрація анонсів, які приймає RS, за наступними принципами:
- анонси приватних мереж не прийимаються;
- анонси приватних AS не приймаються;
- анонси default route не приймаються;
- від AS XXX приймаються анонси тільки тих мереж, для яких значення поля origin потрапляє в діапазон AS, що приймаються;
- від AS XXX приймаються анонси тільки тих AS, які в описі AS XXX вказані, як такі, що анонсуються в AS31210.
Базовий функціонал роут-серверів
- побудова префікс-листів по підключеним автономним системам і їх фільтрація по IRR;
- робота з IPv4 і IPv6;
- підтримка RPKI;
- підтримка BFD;
- блеклист автономних систем і префіксів;
- прив‘язка префіксів до геоданих;
- простий Remote Triggered Blackhole для боротьби з DDOS;
- розширений Remote Triggered Blackhole з перенаправленням на Firewall DTEL-IX для більш тонких налаштувань для бротьби з DDOS;
- підтримка flowspec з перенаправленням на Firewall DTEL-IX
Повний перелік підтримуваних Route Server'ами стандартів
- RFC 1997 – BGP Communities Attribute
- RFC 4360 – BGP Extended Communities
- RFC 4384 – BGP Communities для геолокації
- RFC 4893 / RFC 6793 – 32-бітні ASN
- RFC 7947 – Internet Exchange Route Servers
- RFC 7999 – BLACKHOLE community
- RFC 8092 – BGP Large Communities
- draft-hilliard-ix-bgp-route-server-operations