Главная   |    Организация   |    Услуги   |    Сервисы   |    Участники   |    Сеть   |    Контакты


  Сеть


Route Server

Назначение

Служба Route Server (RS) - сетевой сервис, позволяющий упростить пиринговое взаимодействие между участниками ULN-IX и сократить количество индивидуальных администрируемых пиринговых сессий. RS передает BGP-анонсы подключенных к нему участников, таким образом пиринг с RS позволяет установить пиринговое взаимодействие со всеми остальными участниками ULN-IX, использующими RS.

Служба RS действует на общем пиринговом VLAN, поддерживает использование 16- и 32-битных номеров AS и позволяет вести обмен трафиком по протоколам IPv4 и IPv6. Аппаратная база RS состоит из сервера, установленного на технологической площадке ООО «АйПиТелеком».


Как начать пользоваться RS?

Чтобы начать пользоваться RS, участнику необходимо организовать взаимодействие со служебной автономной системой AS50125 по протоколу BGP.

Для этого:

  1. Внесите описание политики взаимодействия вашей сети с AS50125 в базу данных Internet Routing Registry (IRR), поддерживаемую ULN-IX (RIPE, ARIN, RADB).

  2. Направьте с любого из авторизованных по договору адресов на адрес noc@uln-ix.ru заявку, содержащую название организации и номер AS участника чтобы получить IPv4 и/или IPv6 адрес для маршрутизатора.

  3. Настройте BGP-сессию со своей стороны с RS, имеющим следующие параметры:

    • Номер AS  AS50125
    • IPv4-адрес  185.1.19.1/26
    • IPv6-адрес  2001:7f8:7d::c3cd:1/64
    • Анонсирует участникам  AS-ULNIX
    • Платформа  BIRD Software
  4. В конфигурации BGP со своей стороны отключите проверку first-as командой no bgp enforce-first-as

Процедура реконфигурации производится ежедневно в 12:00 (время местное). Она включает в себя процесс запросов / обновления политики в базах IRR (RIPE, ...), а также процесс построения/обновления фильтров и их применение в конфигурации RS. Процедура по времени занимает от нескольких минут до одного часа.

Информацию об участниках ULN-IX, использующих RS, можно получить из базы данных RIPE по запросу https://stat.ripe.net/AS50125, либо whois -h whois.ripe.net as50125.

Для отладки маршрутизации и контроля BGP-анонсов, принимаемых RS, пользуйтесь Looking Glass.

Требования к участникам, пользующимся RS, содержатся в технологических условиях.


Политика маршрутизации RS

Обмен роутинговой информацией между RS и каждым участником осуществляется по протоколу BGP4, описанном в RFC4271. Пиры RS получают от RS лучший выбранный маршрут из принятых от всех пиров. При передаче BGP-анонса от RS атрибут Next-Hop содержит IP-адрес того маршрутизатора, от которого данный анонс был получен RS; атрибут AS_PATH передается без изменений. Таким образом, обмен трафиком участников происходит напрямую, минуя RS.

Принимаемые RS анонсы фильтруются в соответствии со следующими принципами:

  • Не принимаются анонсы сетей, для которых значение поля origin протокола BGP не совпадает со значением поля origin объекта route в базе данных IRR.
  • Не принимаются анонсы сетей, не указанных как анонсирующиеся в AS50125 в описании политики маршрутизации данных сетей в базе данных IRR.
  • Не принимаются анонсы приватных сетей и маршрута по умолчанию (default route).

Атрибуты BGP community

Route Server поддерживает базовую группу атрибутов BGP community. Атрибуты базовой группы действуют в порядке, приведенном в таблице.

BGP Community Действие
0:peer-as Блокировка анонса префикса участнику с номером AS peer-as
50125:peer-as Анонс префикса участнику с номером AS peer-as
0:50125 Блокировка анонса префикса всем участникам
50125:50125 Анонс префикса всем участникам
65535:666 Blackhole community (блокировка входящего трафика)

Примечания:

  1. В случае отсутствия атрибута BGP community или при его несоответствии указанному списку, префикс принимается и передается всем участникам.
  2. При анонсировании префиксов участникам службы RS управляющие BGP community ULN-IX вырезаются (0:* и 50125:*), остальные BGP community передаются прозрачно.
  3. Все анонсы имеют по умолчанию local-preference 100.
  4. Префиксы с атрибутом BGP no-export (65535:65281) прозрачно передаются участникам с сохранением атрибута.

Особенности работы с community в случае 32-битных номеров AS

Для построения политики взаимодействия с участниками ULN-IX, использующими 32-битные номера автономных систем, воспользуйтесь приведенной ниже таблицей соответствия номера AS участника и номера community, который необходимо использовать в качестве peer-as (см. описание базовых BGP community).

Участник Номер AS Community
ОГКУ «Правительство для граждан» 198207 64701

Защита от DDoS-атак методом Blackholing

ULN-IX предоставляет своим участникам механизм защиты от DDoS-атак методом Blackholing. Данный механизм позволяет участнику на время атаки полностью отфильтровать входящий трафик на атакуемый префикс своей сети в рамках BGP-сессии, установленной с RS.

Фильтрация трафика производится путем замены next-hop в полученных от участника BGP-анонсах на адрес фильтрующего интерфейса (Blackhole) сети ULN-IX. Замена next-hop производится RS автоматически, при получении от участника анонса с установленным Blackhole community 65535:666. При снятии атрибута Blackhole community маршруты трафика на данный префикс автоматически восстанавливаются.


Примечания:

  1. Атрибут 65535:666 для Blackhole Community используется в соответствии с RFC 7999
  2. RS принимает сети с атрибутом 65535:666 размером от /25 до /32 включительно. Во избежание ошибок рекомендуется использовать /32
  3. Участникам, пользующимся RS, рекомендуется настроить прием от RS анонсов сетей с атрибутом 65535:666 размером от /25 до /32 включительно
  4. В соответствии с политикой RIPE NCC Blackhole community может быть установлено только на уже анонсируемые Участником сети. RS принимает от Участника анонсы сетей с атрибутом 65535:666 только если данные сети также анонсируются Участником без атрибута 65535:666

Параметры фильтрующего интерфейса Blackhole

IPv4-адрес 185.1.19.6
MAC-адрес 66:ac:df:cb:95:ea
BGP community 65535:666

Ульяновский Internet Exchange © 2009-2022 "ULN-IX"
тел.: +7 (8422) 248-108