Route serveri omogućavaju multilateralan peering između članica u IXP okruženju. Za razliku od standardnog BGP peeringa, gdje svatko mora uspostaviti BGP konekciju sa svakim, uspostavom BGP Route Servera, IXP članicama nudi se usluga gdje je s jednom BGP konekcijom moguće dohvatiti sve mreže u IXP okruženju.
U nastavku je dan prikaz primjene Route Servera u CIX-u.
BGP Community |
Značenje za RS |
---|---|
0:ASN |
ne šalji prema BGP susjedu oznake ASN |
0:51702 |
ne šalji nikome |
51702:51702 |
poslati svima |
51702:ASN |
poslati prema BGP susjedu oznake ASN |
BGP community za 32-bitne AS brojeve:
Kod 32-bitnih AS brojeva se na mjesto ASN ne unosi AS broj, nego broj po sljedećoj tablici:
Članica |
AS broj |
Community (ASN) |
---|---|---|
Sedmi odjel d.o.o. |
198785 |
65002 |
Altus IT | 199244 | 65003 |
Avalon | 201563 | 65004 |
Databox | 206575 | 65005 |
Telemach | 205714 | 65006 |
4TEL Telekomunikacije | 203964 | 65007 |
HAKOM | 207514 | 65008 |
Fenice Telekom | 204020 | 65009 |
EOLO | 201987 | 65010 |
Sve oglašene mreže/route moraju biti označene nekim od sljedećih BGP community-a:
Ukoliko routa nije označena niti jednim od navedenih community-a tada RS tu routu neće oglasiti dalje drugim članicama!
Ukoliko je routa označena sa više community-a od kojih su neki kontradiktorni tada se primjenjuju sljedeća pravila:
- prvo se uzima u obzir specifičniji community (51702:ASN, 0:ASN) s tim da prednost ima community koji govori da se routa oglašava dalje(51702:ASN)
- zatim se uzima u obzir općeniti community (51702:51702, 0:51702) s tim da prednost ima community koji govori da se sve route oglašavaju dalje (51702:51702)
Primjer:
CIX AS: 51702
AS peer1: 65222
AS peer2: 65333
AS peer3: 65444
{ 51702:51702 0:51702}
- ovako označena routa će biti proslijeđena prema svim AS-ovima CIX-a
{ 0:51702 51702:65333}
- ovako označena routa će biti proslijeđena samo prema AS65333
{ 51702:51702 0:65333}
- ovako označena routa će biti proslijeđena svima osim AS65333
{ 51702:51702 0:51702 51702:65222 0:65222 0:65444}
- ovako označena routa će biti proslijeđena prema svim AS-ovima CIX-a osim prema AS 65444
{ 0:51702 51702:65222 0:65222 51702:65333 0:65444}
-ovako označena routa će biti proslijeđena prema AS 65222 te prema AS 65333
AS-CIX-ZG-RS
Popis AS-ova, odnosno AS-SET objekata, čiji prefiksi se oglašavaju preko route servera u CIX-u možete naći na AS-CIX-ZG-RS objektu u RIPE bazi podataka.
BLACKHOLE
- BGP community za označavanje BLACKHOLE rute - 65535:666.
- Veličina BLACKHOLE ruta može biti u rasponu od /16 do /32.
- Članice na svojim ulaznim filterima trebaju propustiti rute u rasponu od /25 do /32 ako su označene BLACKHOLE communityem
- CIX članice smiju oglašavati BLACKHOLE rute samo iz opsega svog adresnog prostora!
- Moguće je blackholeati rute samo prema određenim BGP susjedima držeći se pravila ranije opisanih na ovoj stranici.
Primjer:
CIX AS: 51702
AS peer1: 65222
AS peer2: 65333
{ 65535:666 51702:51702}
- ovako označena routa će biti proslijeđena prema svim AS-ovima CIX-a
{ 65535:666 }
- ovako označena ruta neće biti proslijeđena nikome
{ 65535:666 51702:65222 51702:65333}
- ovako označena routa će biti proslijeđena samo prema AS65222 i AS65333
Članice koje koriste direktne peeringe za razmjenu ruta također mogu koristiti uslugu blackholinga u smislu da koriste identičnu adresu za blackholing prometa kao i usluga.
Mreže, odnosno hostove, koje žele zaštititi trebaju oglasiti na način da nexthop IP adresa bude 185.1.87.3. Pri tome članice koje ostvaruju direktne peeringe trebaju dogovoriti način za oglašavanje ruta do /32 (npr. korištenjem međusobno dogovorenih bgp communitya za koje bi se dozvolilo slanje ruta do /32).
RKPI provjera usmjerivačkih konfiguracija
RPKI (Resource Public Key Infrastructure) je kriptografska metoda potpisivanja zapisa koja rutu povezuje s AS brojem. Trenutno pet RIR-ova (AFRINIC, APNIC, ARIN, LACNIC & RIPE) pružaju način na koji članovi mogu uzeti IP/ASN par i potpisati ROA zapis.
ROA (Route Origin Authorisations) je kriptografski potpisan objekt koji navodi koji je autonomni sustav (AS) ovlašten za porijeklo određenih IP prefiksa.
ROA između ostalog sadrži i polje 'maximum prefix length' koje je opcionalno. Ako to polje nije definirano, AS je ovlašten oglašavati samo točno navedeni prefiks. Svako specifičnije oglašavanje prefiksa će se smatrati neispravnim (invalid). Ako je polje 'maximum prefix length' definirano, ono određuje duljinu najspecifičnijeg IP prefiksa koji je AS ovlašten oglašavati. Na primjer, ako je prefiks IP adrese 10.0.0.0/16, a 'maximum prefix length' jednak 22, AS je ovlašten oglašavati bilo koji prefiks pod 10.0.0.0/16, sve dok nije specifičniji od /22. Dakle, u ovom primjeru AS bi bio ovlašten oglašavati 10.0.0.0/16, 10.0.128.0/20 ili 10.0.252.0/22, ali ne i 10.0.255.0/24.
Na route serverima u CIX-u pokrenuta je RPKI provjera usmjerivačkih informacija pri čenu se neispravne (invalid) rute filtriraju. Rezultati su vidljivi na CIX Looking Glassu (https://www.cix.hr/usluge/looking-glass) - klikom na 'Neighbour info' uz unos AS broja te zatim klikom na 'Prikaži'. U drugom stupcu prikaza (ovs) su vidljivi rezultati validacije. Oni mogu biti:
- VALID – za oglašeni prefiks postoji valjani ROA zapis.
- INVALID – prefiks se oglašava s neovlaštenog AS-a (to znači da postoji ROA za ovaj prefiks za drugi AS, ali ne postoji ROA koji autorizira ovaj AS. Osim toga ovo bi mogao biti i pokušaj krađe) ili je oglašeni prefiks specifičniji nego što je definirano u polju 'maximum prefix length' postavljenom u ROA.
- UNKNOWN – za oglašeni prefiks ne postoji ROA zapis.