Опис Route Server'у

Опис роботи Route Server'ів і застосування communities

🧰 Оновлення фільтрів

Автоматично та безперервно за наступним алгоритмом:

кожні 15 хвилин — отримання данних з IRR;
кожні 4 години — оновлення кожного Route Server'у;
2 години відносно один одного— інтервал оновлення кожного Route Server'у. Спочатку оновився RS0, через 2 години ті ж дані потрапляють на RS1.

Адреси роут-серверів:

RS0: 193.25.180.255/23, 2001:7F8:63::FF/64;
RS1: 193.25.181.0/23, 2001:7F8:63::FFFF/64

ASN: AS31210

AS-SET для побудови фільтрів: AS-DTEL-IX

📊 Таблиця BGP Communities

Опис Basic
RFC 1997 Extended
RFC 4360 Large
RFC 8092

Не реанонсувати жодному учаснику (максимальний пріоритет) 0:31210 rt:0:31210 large:31210:0:31210

Не реанонсувати учаснику з 16-бітним номером автономної системи 0:X rt:0:X large:31210:0:X

Не реанонсувати учаснику з 32-бітним номером автономної системи — rt:0:X large:31210:0:X

Реанонсувати тільки учаснику з 16-бітним номером автономної системи 31210:X rt:31210:X large:31210:31210:X

Реанонсувати тільки учаснику з 32-бітним номером автономної системи — rt:31210:X large:31210:31210:X

Анонсувати всім учасникам (за замовчуванням, мінімальний пріоритет) 31210:31210 rt:31210:31210 large:31210:31210:31210

Додати номер своєї автономної системи до as-path X разів в напрямку автономної системи Y.
1 <= X <= 3 — — large:31210:6500X:Y

Додати номер своєї автономної системи до as-path X разів в напрямку всіх учасників.
1 <= X <= 3 — — large:31210:6500X:31210

Blackhole префіксу IPv4 /32 або IPv6 /64 65535:666 — —

Simple Remote Triggered Firewall

Простий механізм RTBH дозволяє Учаснику скинути весь трафік до певного хоста у своїй мережі на межі DTEL-IX.
Приймаються маршрути тільки /32 (IPv4) або /56 і довші (IPv6).

Щоб активувати блокування, потрібно одночасно вказати:

65535:666 — стандартна BLACKHOLE community згідно з RFC 7999
31210:X або target:31210:X, де X — ASN Учасника, трафік від якого потрібно заблокувати

Якщо X = 31210, то блокування відбудеться з боку всіх Учасників.
Note: RTBH працює тільки якщо одночасно встановлені: 65535:666 і 31210:31210.

Advanced Remote Triggered Firewall

Розширена версія RTBH дозволяє не лише скинути трафік, а й направити його на Firewall DTEL-IX із вказівкою, який саме тип трафіку необхідно заблокувати або обмежити.
Використовується та ж комбінація community, як і в Simple RTBH, але з додатковою extended community для визначення типу трафіку:

Тип трафіку	Drop Community	Shape Community
Весь UDP трафік	target:31210:1017000000	target:31210:1117000000
UDP, Src Port 53 (DNS)	target:31210:1017000005	target:31210:1117000005
UDP, Src Port 123 (NTP)	target:31210:1017000010	target:31210:1117000010
UDP, Src Port 389 (LDAP)	target:31210:1017000050	target:31210:1117000050
UDP, Src Port 1900 (SSDP)	target:31210:1017000100	target:31210:1117000100

Drop Community — скинути всі пакети, які відповідають умові.
Shape Community — обмежити трафік до 5 Мбіт/с.

Інформаційні комʼюніті

Анонс отримано від учасника з 16-бітним номером автономної системи 31210:X ro:31210:X large:31210:31210:X

Анонс отримано від учасника з 32-бітним номером автономної системи — ro:31210:X large:31210:31210:X

Геомітка префіксу (X - регіон, Y - ISO 3166-1 код країни)

1 – Африка
2 – Океанія
3 – Азія / Тихоокеанський регіон
4 – Антарктида
5 – Європа
6 – Південна і Латинська Америка
7 – Північна Америка
8 – анонімні проксі
9 – провайдери супутникового звʼязку
0 – невідомий регіон

6500X:10YYY

—

Особливості роботи route server'ів

НЕ анонсує default route, приватні мережі, приватні AS;
анонсує своим клієнтам наявну на ньому таблицю маршрутів в повному обсязі та дозволяє для гнучкості управління (складання фільтрів) користуватися певними атрибутами BGP, які описані нижче;
при прийомі анонсів від конкретного клієнта RS проставляеє в них координати (next-hop) того роутера, з якого вони отримані і в такому вигляді анонсує їх іншим своїм Учасникам.

Таким чином, через RS проохдять тільки анонси маршрутів, а трафік іде напряму поміж Учасниками.

Завжди свіжий опис в whois

Детальну інформацію про Учасників DTEL-IX, що отримали обмін маршрутною інформацією з RS, можна отримати з бази даних RIPE, виконавши запит опису AS 31210 (RS):
whois -h whois.ripe.net as31210

Правила побудови фільтрів анонсів

При побудові фільтрів на прийом анонсів виконується опитування баз даних whois.radb.net та фільтрація анонсів, які приймає RS, за наступними принципами:

анонси приватних мереж не прийимаються;
анонси приватних AS не приймаються;
анонси default route не приймаються;
від AS XXX приймаються анонси тільки тих мереж, для яких значення поля origin потрапляє в діапазон AS, що приймаються;
від AS XXX приймаються анонси тільки тих AS, які в описі AS XXX вказані, як такі, що анонсуються в AS31210.

Базовий функціонал роут-серверів

побудова префікс-листів по підключеним автономним системам і їх фільтрація по IRR;
робота з IPv4 і IPv6;
підтримка RPKI;
підтримка BFD;
блеклист автономних систем і префіксів;
прив‘язка префіксів до геоданих;
простий Remote Triggered Blackhole для боротьби з DDOS;
розширений Remote Triggered Blackhole з перенаправленням на Firewall DTEL-IX для більш тонких налаштувань для бротьби з DDOS;
підтримка flowspec з перенаправленням на Firewall DTEL-IX

Повний перелік підтримуваних Route Server'ами стандартів

RFC 1997 – BGP Communities Attribute
RFC 4360 – BGP Extended Communities
RFC 4384 – BGP Communities для геолокації
RFC 4893 / RFC 6793 – 32-бітні ASN
RFC 7947 – Internet Exchange Route Servers
RFC 7999 – BLACKHOLE community
RFC 8092 – BGP Large Communities
draft-hilliard-ix-bgp-route-server-operations

Цікаві досліди — технічна розсилка для поціновувачів.

Якісний контент від технічного директора. Жодного продажного спаму — лише найкращі практики та, звісно, естетика кабелів:

Обирайте дата-парк BE MOBILE для безпечного розміщення обладнання, а про зв’язок подбає DTEL-IX.

Зв'яжіться з нами

DTEL-IX contacts:

Phone

+38 044 300 2233

E-mail:

BE MOBILE contacts:

Phone:

+38 044 494 35 05

E-mail:

Web site:

https://bemobile.ua/