Servidor de Rotas

SERVIDORES DISPONIBILIZADOS

 

No contexto de um ponto de troca de tráfego, a entrada de um novo membro é dificultada pela quantidade de acordos de peering que terá de estabelecer com os demais membros. Cada acordo com um membro obriga à configuração de um novo peering de BGP através de acordos bilaterais.

 

Tendo como objetivo ultrapassar esta barreira, existem vários servidores de rotas disponibilizados e geridos pelo GigaPIX:

rs06-lan1.gigapix.pt

IPv4: 193.136.250.245

IPv6: 2001:7F8:A:1::1000

ASN: 12833

Plataforma: BIRD 2.0.7

Em produção. Communities e filtragem de segurança ativos.

rs03-lan1.gigapix.pt

IPv4: 193.136.250.244

IPv6: 2001:7F8:A:1::1244

ASN: 12833

Plataforma: BIRD 1.6.8

Em produção. Communities e filtragem de segurança ativos.

rs03-lan2.gigapix.pt

IPv4: 193.136.251.61

IPv6: 2001:7F8:A:2::1061

ASN: 12833

Plataforma: BIRD 2.0.7

Em produção. Communities e filtragem de segurança ativos.

rs06-lan2.gigapix.pt

IPv4: 193.136.251.62

IPv6: 2001:7F8:A:2::1062

ASN: 12833

Plataforma: BIRD 1.6.8

Em produção. Communities e filtragem de segurança ativos.

RS.PRT.GIGAPIX.PT

IPv4: 193.136.251.100

IPv6: 2001:7F8:A:11::100

ASN: 12833

Plataforma: BIRD 1.6.4

Fase de upgrade. Communities e filtragens de segurança inativos.

Qualquer membro que estabeleça peering com qualquer um dos servidores de rotas está automaticamente a trocar prefixos com todos os outros membros que se ligam a esse servidor (acordo multilateral), simplificando e agilizando assim a configuração, ao mesmo tempo que melhora o desempenho.

 

O estabelecimento de peering com qualquer dos servidores de rotas não impede que sejam estabelecidos acordos diretos entre os membros, melhorando até a resiliência da ligação.

 

Também por motivos de resiliência, pedimos aos nossos membros que configurem em cada LAN uma sessão para cada servidor, anunciando os mesmos prefixos em cada uma das sessões. Deste modo garantimos o correto funcionamento do mesmo em caso de falha ou manutenção de qualquer um deles.

Configurações BGP

Deve ser configurada uma sessão de eBGP para cada servidor. O ASN configurado na sessão do Route Server não será acrescentado ao AS-PATH dos prefixos, pelo que alguns sistemas operativos poderão necessitar de configuração adicional que permita que o ASN da sessão não seja o mais à esquerda do AS-PATH.

As sessões no servidor estão em modo passivo, pelo que deverá o router de cada membro a iniciar a conexão.

 

O número de prefixos total dos servidores é atualizado no PeeringDB:

  • IPv4: 110000
  • IPv6: 40000

Com novas adesões é normal que o número possa aumentar, pelo que deverá ser consultado regularmente ou configurado com alguma margem para crescimento.

 

Pedimos igualmente que mantenham os registos no PeeringDB atualizados, visto ser a fonte utilizada para:

  • Recolher AS-SETs para validar IRRdb
  • Recolher e configurar o número máximo de prefixos IPv4 (margem de 15%)
  • Recolher e configurar o número máximo de prefixos IPv6 (margem de 15%)
Políticas de Filtragem

Sendo um servidor de rotas uma máquina de reflexão de prefixos, as únicas filtragens que são implementadas de origem na validação são as indicadas pela iniciativa MANRS. Assim, serão filtradas rotas que:

  • Tenham um prefixo reservado em RFCs
  • Tenham ASNs inválidas no AS-PATH
  • Tenham mais do que 32 ASNs no AS-PATH
  • Tenham pelo menos uma ASN assinalada com “never-via-route-server” no AS-PATH
  • Tenham um ROAs inválido
  • Representem redes IPv4 maiores que /8 ou menores que /24
  • Representem redes IPv6 maiores que /12 ou menores que /48

 

Os route servers fazem filtragem com base no registo de IRR. Como tal todos os membros deverão manter esta informação atualizada no sistema IRR.

Contudo, os mesmos são verificados e assinalados com communities informacionais (Large Communities):

  • 12833:1900:1 Prefixo presente no AS-SET
  • 12833:1900:2 Prefixo não está presente no AS-SET
  • 12833:1900:3 ASN Origem está presente no AS-SET
  • 12833:1900:4 ASN Origem não está presente no AS-SET
  • 12833:1900:8 ASN foi aceite através de uma whitelist

 

Alterações no comportamento padrão de filtragem, ou da possível adição de whitelist ou blacklist para cada membro, devem ser encaminhadas para análise da equipa do GigaPIX.

 

A consulta de ROAs é feita através de uma aplicação interna gerida pela equipa do CERT da FCT | FCCN, implementada com recurso ao validador disponibilizado pelo RIPE.

Communities

Além das informações dadas pelas communities na exportação dos servidores, é possível o uso das mesmas na para implementar uma política de routing mais controlada no Servidor de Rotas.

Recomendamos a utilização de Large Communities. Ainda assim, para algumas das opções, existe um mapeamento com as standard.

 

CONTROLO DE EXPORTAÇÃO

Para definir quem deve ser receber determinados prefixos existem duas opções (standard community | large community):

  • Utilizar a community de “não-exportar-para” por cada ASN que não deve receber:

0:peerasn | 12833:0:peerasn 

  • Utilizar a community de “não-exportar-para-ninguém” combinada com as communities de cada ASN que deve receber o prefixo:

0:12833 | 12833:0:0 combinada com 1:peerasn | 12833:1:peerasn

.
PREPENDING

Para adicionar a própria ASN aos prefixos (até 3 vezes) disponibilizamos as seguintes opções (standard communities | large communities):

  • Utilizar as communities de “prepend-para-todos”:

65000:1 | 12833:101:0 – prepend uma vez

65000:2 | 12833:102:0 – prepend duas vezes

65000:3 | 12833:103:0 – prepend três vezes

  • Utilizar as communities de “prepend-para”:

12833:101:peerasn – prepend uma vez para peerasn

12833:102:peerasn – prepend duas vezes para peerasn

12833:103:peerasn – prepend três vezes para peerasn

 

ADICIONAR NO-EXPORT OU NO-ADVERTISE

Para que seja o Servidor de Rotas a adicionar as communites definidas por RFC deverão ser usadas:

  • A community de “adicionar-no-export” ou “adicionar-no-advertise” para todos:

12833:65281 para no-export

12833:65282 para no-advertise

  • A community de “adicionar-no-export-para” ou “adicionar-no-advertise-para” para um membro específico:

12833:901:peerasn para no-export ao peerasn

12833:902:peerasn para no-advertise ao peerasn

 

COMMUNITIES RFC

Os Route Servers do GigaPIX agem ativamente de acordo com o estabelecido nos RFCs para as standard communities:

  • RFC 8326 para Graceful Shutdown
  • RFC 1993 para No-Export e No-Advertise
Looking Glass

Disponibilizamos publicamente o acesso a todos os prefixos que são processados nas nossas máquinas.

 

LG GigaPIX

 

Aqui poderão ver o estado das sessões, as razões pelas quais alguns prefixos podem estar a ser bloqueados, bem como quem tem sessão ativa em cada LAN.