Route Server

Route serveri omogućavaju multilateralan peering između članica u IXP okruženju. Za razliku od standardnog BGP peeringa, gdje svatko mora uspostaviti BGP konekciju sa svakim, uspostavom BGP Route Servera, IXP članicama nudi se usluga gdje je s jednom BGP konekcijom moguće dohvatiti sve mreže u IXP okruženju.

U nastavku je dan prikaz primjene Route Servera u CIX-u.

Primjena Route Servera u CIX-u

Značenje BGP Community-ja za Route Servere

BGP Community

Značenje za RS

0:ASN

ne šalji prema BGP susjedu oznake ASN

0:51702

ne šalji nikome

51702:51702

poslati svima

51702:ASN

poslati prema BGP susjedu oznake ASN

BGP community za 32-bitne AS brojeve:

Kod 32-bitnih AS brojeva se na mjesto ASN ne unosi AS broj, nego broj po sljedećoj tablici:

BGP Community za 32-bitne AS brojeve

Članica

AS broj

Community (ASN)

Sedmi odjel d.o.o.

198785

65002

Altus IT 199244 65003
Avalon 201563 65004
Databox 206575 65005
Telemach 205714 65006

Sve oglašene mreže/route moraju biti označene nekim od sljedećih BGP community-a:

Ukoliko routa nije označena niti jednim od navedenih community-a tada RS tu routu neće oglasiti dalje drugim članicama!

Ukoliko je routa označena sa više community-a od kojih su neki kontradiktorni tada se primjenjuju sljedeća pravila:

- prvo se uzima u obzir specifičniji community (51702:ASN, 0:ASN) s tim da prednost ima community koji govori da se routa oglašava dalje(51702:ASN)

- zatim se uzima u obzir općeniti community (51702:51702, 0:51702) s tim da prednost ima community koji govori da se sve route oglašavaju dalje (51702:51702) 

Primjer:

CIX AS: 51702

AS peer1: 65222

AS peer2: 65333

AS peer3: 65444

 { 51702:51702 0:51702}

- ovako označena routa će biti proslijeđena prema svim AS-ovima CIX-a

 { 0:51702 51702:65333}

- ovako označena routa će biti proslijeđena samo prema AS65333

 { 51702:51702 0:65333}

- ovako označena routa će biti proslijeđena svima osim AS65333

 { 51702:51702 0:51702 51702:65222 0:65222 0:65444}

- ovako označena routa će biti proslijeđena prema svim AS-ovima CIX-a osim prema AS 65444

 { 0:51702 51702:65222 0:65222 51702:65333 0:65444}

-ovako označena routa će biti proslijeđena prema AS 65222 te prema AS 65333

AS-CIX-ZG-RS

Popis AS-ova, odnosno AS-SET objekata, čiji prefiksi se oglašavaju preko route servera u CIX-u možete naći na AS-CIX-ZG-RS objektu u RIPE bazi podataka.

BLACKHOLE

  • BGP community za označavanje BLACKHOLE rute - 65535:666.
  • Veličina BLACKHOLE ruta može biti u rasponu od /16 do /32.
  • Članice na svojim ulaznim filterima trebaju propustiti rute u rasponu od /25 do /32 ako su označene BLACKHOLE communityem
  • CIX članice smiju oglašavati BLACKHOLE rute samo iz opsega svog adresnog prostora!
  • Moguće je blackholeati rute samo prema određenim BGP susjedima držeći se pravila ranije opisanih na ovoj stranici.

Primjer:

CIX AS: 51702

AS peer1: 65222

AS peer2: 65333

{ 65535:666 51702:51702}

- ovako označena routa će biti proslijeđena prema svim AS-ovima CIX-a

{ 65535:666 }

- ovako označena ruta neće biti proslijeđena nikome

{ 65535:666 51702:65222 51702:65333}

- ovako označena routa će biti proslijeđena samo prema AS65222 i AS65333

Članice koje koriste direktne peeringe za razmjenu ruta također mogu koristiti uslugu blackholinga u smislu da koriste identičnu adresu za blackholing prometa kao i usluga.
Mreže, odnosno hostove, koje žele zaštititi trebaju oglasiti na način da nexthop IP adresa bude 185.1.87.3. Pri tome članice koje ostvaruju direktne peeringe trebaju dogovoriti način za oglašavanje ruta do /32 (npr. korištenjem međusobno dogovorenih bgp communitya za koje bi se dozvolilo slanje ruta do /32).

RKPI provjera usmjerivačkih konfiguracija

RPKI (Resource Public Key Infrastructure) je kriptografska metoda potpisivanja zapisa koja rutu povezuje s AS brojem. Trenutno pet RIR-ova (AFRINIC, APNIC, ARIN, LACNIC & RIPE) pružaju način na koji članovi mogu uzeti IP/ASN par i potpisati ROA zapis.

ROA (Route Origin Authorisations) je kriptografski potpisan objekt koji navodi koji je autonomni sustav (AS) ovlašten za porijeklo određenih IP prefiksa.

ROA između ostalog sadrži i polje 'maximum prefix length' koje je opcionalno. Ako to polje nije definirano, AS je ovlašten oglašavati samo točno navedeni prefiks. Svako specifičnije oglašavanje prefiksa će se smatrati neispravnim (invalid). Ako je polje 'maximum prefix length' definirano, ono određuje duljinu najspecifičnijeg IP prefiksa koji je AS ovlašten oglašavati. Na primjer, ako je prefiks IP adrese 10.0.0.0/16, a 'maximum prefix length' jednak 22, AS je ovlašten oglašavati bilo koji prefiks pod 10.0.0.0/16, sve dok nije specifičniji od /22. Dakle, u ovom primjeru AS bi bio ovlašten oglašavati 10.0.0.0/16, 10.0.128.0/20 ili 10.0.252.0/22, ali ne i 10.0.255.0/24.

Na route serverima u CIX-u pokrenuta je RPKI provjera usmjerivačkih informacija, zasada bez filtriranja neispravnih (invalid) ruta.  Rezultati su vidljivi na CIX Looking Glassu (https://www.cix.hr/usluge/looking-glass) - klikom na 'Neighbour info' uz unos AS broja te zatim klikom na 'Prikaži'. U drugom stupcu prikaza (ovs) su vidljivi rezultati validacije. Oni mogu biti:

  1. VALID – za oglašeni prefiks postoji valjani ROA zapis.
  2. INVALID – prefiks se oglašava s neovlaštenog AS-a (to znači da postoji ROA za ovaj prefiks za drugi AS, ali ne postoji ROA koji autorizira ovaj AS. Osim toga ovo bi mogao biti i pokušaj krađe) ili je oglašeni prefiks specifičniji nego što je definirano u polju 'maximum prefix length' postavljenom u ROA.
  3. UNKNOWN – za oglašeni prefiks ne postoji ROA zapis.

Primjeri konfiguracije

Primjer Cisco

Primjer Juniper