Опис Route Server'у

Опис роботи Route Server'ів і застосування communities


🧰 Оновлення фільтрів

Автоматично та безперервно за наступним алгоритмом:

  • кожні 15 хвилин — отримання данних з IRR;
  • кожні 4 години — оновлення кожного Route Server'у;
  • 2 години відносно один одного інтервал оновлення кожного Route Server'у. Спочатку оновився RS0, через 2 години ті ж дані потрапляють на RS1.

 

Адреси роут-серверів:


  • RS0: 193.25.180.255/23, 2001:7F8:63::FF/64;
  • RS1: 193.25.181.0/23, 2001:7F8:63::FFFF/64

ASN: AS31210

AS-SET для побудови фільтрів: AS-DTEL-IX


📊 Таблиця BGP Communities

Опис Basic
RFC 1997
Extended
RFC 4360
Large
RFC 8092
Не реанонсувати жодному учаснику (максимальний пріоритет) 0:31210 rt:0:31210 large:31210:0:31210
Не реанонсувати учаснику з 16-бітним номером автономної системи 0:X rt:0:X large:31210:0:X
Не реанонсувати учаснику з 32-бітним номером автономної системи rt:0:X large:31210:0:X
Реанонсувати тільки учаснику з 16-бітним номером автономної системи 31210:X rt:31210:X large:31210:31210:X
Реанонсувати тільки учаснику з 32-бітним номером автономної системи rt:31210:X large:31210:31210:X
Анонсувати всім учасникам (за замовчуванням, мінімальний пріоритет) 31210:31210 rt:31210:31210 large:31210:31210:31210
Додати номер своєї автономної системи до as-path X разів в напрямку автономної системи Y.
1 <= X <= 3
large:31210:6500X:Y
Додати номер своєї автономної системи до as-path X разів в напрямку всіх учасників.
1 <= X <= 3
large:31210:6500X:31210
Blackhole префіксу IPv4 /32 або IPv6 /64 65535:666
Simple Remote Triggered Firewall
Простий механізм RTBH дозволяє Учаснику скинути весь трафік до певного хоста у своїй мережі на межі DTEL-IX.
Приймаються маршрути тільки /32 (IPv4) або /56 і довші (IPv6).

Щоб активувати блокування, потрібно одночасно вказати:
  • 65535:666 — стандартна BLACKHOLE community згідно з RFC 7999
  • 31210:X або target:31210:X, де X — ASN Учасника, трафік від якого потрібно заблокувати
Якщо X = 31210, то блокування відбудеться з боку всіх Учасників.
Note: RTBH працює тільки якщо одночасно встановлені: 65535:666 і 31210:31210.
Advanced Remote Triggered Firewall
Розширена версія RTBH дозволяє не лише скинути трафік, а й направити його на Firewall DTEL-IX із вказівкою, який саме тип трафіку необхідно заблокувати або обмежити.
Використовується та ж комбінація community, як і в Simple RTBH, але з додатковою extended community для визначення типу трафіку:
Тип трафіку Drop Community Shape Community
Весь UDP трафік target:31210:1017000000 target:31210:1117000000
UDP, Src Port 53 (DNS) target:31210:1017000005 target:31210:1117000005
UDP, Src Port 123 (NTP) target:31210:1017000010 target:31210:1117000010
UDP, Src Port 389 (LDAP) target:31210:1017000050 target:31210:1117000050
UDP, Src Port 1900 (SSDP) target:31210:1017000100 target:31210:1117000100

Drop Community — скинути всі пакети, які відповідають умові.
Shape Community — обмежити трафік до 5 Мбіт/с.

Інформаційні комʼюніті
Анонс отримано від учасника з 16-бітним номером автономної системи 31210:X ro:31210:X large:31210:31210:X
Анонс отримано від учасника з 32-бітним номером автономної системи ro:31210:X large:31210:31210:X
Геомітка префіксу (X - регіон, Y - ISO 3166-1 код країни)
  • 1 – Африка
  • 2 – Океанія
  • 3 – Азія / Тихоокеанський регіон
  • 4 – Антарктида
  • 5 – Європа
  • 6 – Південна і Латинська Америка
  • 7 – Північна Америка
  • 8 – анонімні проксі
  • 9 – провайдери супутникового звʼязку
  • 0 – невідомий регіон
6500X:10YYY

Особливості роботи route server'ів


  • НЕ анонсує default route, приватні мережі, приватні AS;
  • анонсує своим клієнтам наявну на ньому таблицю маршрутів в повному обсязі та дозволяє для гнучкості управління (складання фільтрів) користуватися певними атрибутами BGP, які описані нижче;
  • при прийомі анонсів від конкретного клієнта RS проставляеє в них координати (next-hop) того роутера, з якого вони отримані і в такому вигляді анонсує їх іншим своїм Учасникам.

Таким чином, через RS проохдять тільки анонси маршрутів, а трафік іде напряму поміж Учасниками. 


Завжди свіжий опис в whois

  • Детальну інформацію про Учасників DTEL-IX, що отримали обмін маршрутною інформацією з RS, можна отримати з бази даних RIPE, виконавши запит опису AS 31210 (RS):

    whois -h whois.ripe.net as31210

Правила побудови фільтрів анонсів

При побудові фільтрів на прийом анонсів виконується опитування баз даних whois.radb.net та фільтрація анонсів, які приймає RS, за наступними принципами:

  • анонси приватних мереж не прийимаються;
  • анонси приватних AS не приймаються;
  • анонси default route не приймаються;
  • від AS XXX приймаються анонси тільки тих мереж, для яких значення поля origin потрапляє в діапазон AS, що приймаються;
  • від AS XXX приймаються анонси тільки тих AS, які в описі AS XXX вказані, як такі, що анонсуються в AS31210.

 

Базовий функціонал роут-серверів

  • побудова префікс-листів по підключеним автономним системам і їх фільтрація по IRR;
  • робота з IPv4 і IPv6;
  • підтримка RPKI;
  • підтримка BFD;
  • блеклист автономних систем і префіксів;
  • прив‘язка префіксів до геоданих;
  • простий Remote Triggered Blackhole для боротьби з DDOS;
  • розширений Remote Triggered Blackhole з перенаправленням на Firewall DTEL-IX для більш тонких налаштувань для бротьби з DDOS;
  • підтримка flowspec з перенаправленням на Firewall DTEL-IX

Повний перелік підтримуваних Route Server'ами стандартів

  • RFC 1997 – BGP Communities Attribute
  • RFC 4360 – BGP Extended Communities
  • RFC 4384 – BGP Communities для геолокації
  • RFC 4893 / RFC 6793 – 32-бітні ASN
  • RFC 7947 – Internet Exchange Route Servers
  • RFC 7999 – BLACKHOLE community
  • RFC 8092 – BGP Large Communities
  • draft-hilliard-ix-bgp-route-server-operations

Цікаві досліди — технічна розсилка для поціновувачів.

Якісний контент від технічного директора. Жодного продажного спаму — лише найкращі практики та, звісно, естетика кабелів:

    Обирайте дата-парк BE MOBILE для безпечного розміщення обладнання, а про зв’язок подбає DTEL-IX.

    Зв'яжіться з нами

    Ask a Question
    DTEL-IX contacts:

    Phone

    +38 044 300 2233

    E-mail:

    BE MOBILE contacts:

    Phone:

    +38 044 494 35 05

    E-mail:

    Web site:

    https://bemobile.ua/