Опис Route Server

Опис роботи Route Server'ів і застосування communities

🧰 Оновлення фільтрів

Автоматично та безперервно за наступним алгоритмом:

  • кожні 15 хвилин — отримання данних з IRR;
  • кожні 4 години — оновлення кожного Route Server'у;
  • 2 години відносно один одного — інтервал оновлення кожного Route Server'у. Спочатку оновився RS0, через 2 години ті ж дані потрапляють на RS1.
Адреси роут-серверів:
  • RS0: 193.25.180.255/23, 2001:7F8:63::FF/64;
  • RS1: 193.25.181.0/23, 2001:7F8:63::FFFF/64

ASN: AS31210

AS-SET для побудови фільтрів:

  • IPv4: AS-DTEL-IX;
  • IPv6: AS-DTEL-IX-V6
📊 Таблиця BGP Communities
Опис Basic
RFC 1997		 Extended
RFC 4360		 Large
RFC 8092
Не реанонсувати жодному учаснику (максимальний пріоритет) 0:31210 rt:0:31210 large:31210:0:31210
Не реанонсувати учаснику з 16-бітним номером автономної системи 0:X rt:0:X large:31210:0:X
Не реанонсувати учаснику з 32-бітним номером автономної системи rt:0:X large:31210:0:X
Реанонсувати тільки учаснику з 16-бітним номером автономної системи 31210:X rt:31210:X large:31210:31210:X
Реанонсувати тільки учаснику з 32-бітним номером автономної системи rt:31210:X large:31210:31210:X
Анонсувати всім учасникам (за замовчуванням, мінімальний пріоритет) 31210:31210 rt:31210:31210 large:31210:31210:31210
Додати номер своєї автономної системи до as-path X разів в напрямку автономної системи Y.
1 <= X <= 3		 large:31210:6500X:Y
Додати номер своєї автономної системи до as-path X разів в напрямку всіх учасників.
1 <= X <= 3		 large:31210:6500X:31210
Blackhole префіксу IPv4 /32 або IPv6 /64 65535:666

Simple Remote Triggered Firewall

Простий механізм RTBH дозволяє Учаснику скинути весь трафік до певного хоста у своїй мережі на межі DTEL-IX.
Приймаються маршрути тільки /32 (IPv4) або /56 і довші (IPv6).

Щоб активувати блокування, потрібно одночасно вказати:

  • 65535:666 — стандартна BLACKHOLE community згідно з RFC 7999
  • 31210:X або target:31210:X, де X — ASN Учасника, трафік від якого потрібно заблокувати
Якщо X = 31210, то блокування відбудеться з боку всіх Учасників.
Note: RTBH працює тільки якщо одночасно встановлені: 65535:666 і 31210:31210.

Advanced Remote Triggered Firewall

Розширена версія RTBH дозволяє не лише скинути трафік, а й направити його на Firewall DTEL-IX із вказівкою, який саме тип трафіку необхідно заблокувати або обмежити.

Використовується та ж комбінація community, як і в Simple RTBH, але з додатковою extended community для визначення типу трафіку:

Тип трафіку Drop Community Shape Community
Весь UDP трафік target:31210:1017000000 target:31210:1117000000
UDP, Src Port 53 (DNS) target:31210:1017000005 target:31210:1117000005
UDP, Src Port 123 (NTP) target:31210:1017000010 target:31210:1117000010
UDP, Src Port 389 (LDAP) target:31210:1017000050 target:31210:1117000050
UDP, Src Port 1900 (SSDP) target:31210:1017000100 target:31210:1117000100

Drop Community — скинути всі пакети, які відповідають умові.

Shape Community — обмежити трафік до 5 Мбіт/с.

Інформаційні комʼюніті

Анонс отримано від учасника з 16-бітним номером автономної системи 31210:X ro:31210:X large:31210:31210:X
Анонс отримано від учасника з 32-бітним номером автономної системи ro:31210:X large:31210:31210:X
Геомітка префіксу (X - регіон, Y - ISO 3166-1 код країни)
  • 1 – Африка
  • 2 – Океанія
  • 3 – Азія / Тихоокеанський регіон
  • 4 – Антарктида
  • 5 – Європа
  • 6 – Південна і Латинська Америка
  • 7 – Північна Америка
  • 8 – анонімні проксі
  • 9 – провайдери супутникового звʼязку
  • 0 – невідомий регіон
6500X:10YYY
Особливості роботи route server'ів
  • НЕ анонсує default route, приватні мережі, приватні AS;
  • анонсує своим клієнтам наявну на ньому таблицю маршрутів в повному обсязі та дозволяє для гнучкості управління (складання фільтрів) користуватися певними атрибутами BGP, які описані нижче;
  • при прийомі анонсів від конкретного клієнта RS проставляеє в них координати (next-hop) того роутера, з якого вони отримані і в такому вигляді анонсує їх іншим своїм Учасникам.

Таким чином, через RS проохдять тільки анонси маршрутів, а трафік іде напряму поміж Учасниками.

Завжди свіжий опис в whois

Детальну інформацію про Учасників DTEL-IX, що отримали обмін маршрутною інформацією з RS, можна отримати з бази даних RIPE, виконавши запит опису AS 31210 (RS):

whois -h whois.ripe.net as31210

Правила побудови фільтрів анонсів

При побудові фільтрів на прийом анонсів виконується опитування баз даних whois.radb.net та фільтрація анонсів, які приймає RS, за наступними принципами:

  • анонси приватних мереж не прийимаються;
  • анонси приватних AS не приймаються;
  • анонси default route не приймаються;
  • від AS XXX приймаються анонси тільки тих мереж, для яких значення поля origin потрапляє в діапазон AS, що приймаються;
  • від AS XXX приймаються анонси тільки тих AS, які в описі AS XXX вказані, як такі, що анонсуються в AS31210.

Базовий функціонал роут-серверів
  • побудова префікс-листів по підключеним автономним системам і їх фільтрація по IRR;
  • робота з IPv4 і IPv6;
  • підтримка RPKI;
  • підтримка BFD;
  • блеклист автономних систем і префіксів;
  • прив‘язка префіксів до геоданих;
  • простий Remote Triggered Blackhole для боротьби з DDOS;
  • розширений Remote Triggered Blackhole з перенаправленням на Firewall DTEL-IX для більш тонких налаштувань для бротьби з DDOS;
  • підтримка flowspec з перенаправленням на Firewall DTEL-IX
Повний перелік підтримуваних Route Server'ами стандартів
  • RFC 1997 – BGP Communities Attribute
  • RFC 4360 – BGP Extended Communities
  • RFC 4384 – BGP Communities для геолокації
  • RFC 4893 / RFC 6793 – 32-бітні ASN
  • RFC 7947 – Internet Exchange Route Servers
  • RFC 7999 – BLACKHOLE community
  • RFC 8092 – BGP Large Communities
  • draft-hilliard-ix-bgp-route-server-operations