Tipo de Tráfego

Regras de Tráfego

Todas as ligações do GigaPIX na mesma LAN fazem parte do mesmo domínio de encaminhamento. Assim, torna-se crucial que todos os membros cumpram uma série de regras básicas que garantam o correcto funcionamento da rede para todos os peers.

 

Caso seja notado algum comportamento fora do padrão, pedimos que contactem directamente o noc@fccn.pt com evidências do sucedido (logs, registos BGP, capturas de pacotes, entre outros).

 

O GigaPIX reserva-se ao direito de mover o acesso de qualquer membro (que avalie como não estando conforme) para uma VLAN de quarentena, tornando assim temporariamente inviável a comunicação com outros membros.

Tráfego Layer 2

O tráfego no GigaPIX só pode ser constituído por tramas Ethernet com MTU de 1500 Bytes ou inferior. Mais concretamente, só poderão ser encaminhados dados com os EtherTypes:

  • 0x0800 – IPv4
  • 0x0806 – ARP
  • 0x86dd – IPv6

 

É permitido o tráfego ARP e ND IPv6. Contudo, não é permitido o uso de Proxy ARP nas interfaces ligadas ao GigaPIX.

 

Todos os protocolos de comunicação local não devem ser encaminhados. São alguns exemplos disso:

  • IEEE 802 Spanning Tree ou equivalente
  • Protocolos de descoberta de vizinhos proprietários (e.g. CDP, EDP)
  • BOOTP/DHCP
  • IPv6 Router Advertisement e Router Solicitation
  • IPv4 ICMP redirects e IPv6 redirects
  • Todos os protocolos de routing interno (e.g. RIP, OSPF, IGRP, EIGRP, ISIS)

 

De modo a evitar problemas de encaminhamento, recomendamos fortemente a ligação do equipamento de L3 directamente ao GigaPIX. Apenas um endereço MAC é permitido e todos os restantes não serão encaminhados.

 

Todo o tráfego deve ser unicast e haverá apenas uma pequena porção de largura de banda que pode ser ocupada por:

  • Broadcast ARPs
  • Multicast Neighbor Discovery IPv6
Tráfego Layer 3

Do ponto de vista IP, é requisito que só sejam configurados os endereços IPv4 e IPv6 alocados nas redes LAN do GigaPIX.

 

As redes LAN do GigaPIX não devem ser exportadas pelos seus membros. A equipa do GigaPIX intervirá sempre que este comportamento seja detectado. A propagação destes prefixos deverá ser feita apenas pelos ASNs autorizados de forma a manter as redes seguras.

 

O tráfego com origem e destino nesses IPs deve ser limitado a ligações BGP (TCP, porto 179) e tráfego ICMP com finalidades de operação, manutenção e diagnóstico. Como exemplos específicos, estes endereços não podem, de maneira alguma, ser usados para tradução de endereços (NAT), serviços de proxy ou qualquer tipo de encapsulamento em túneis.

 

Adicionalmente, o GigaPIX pode solicitar que sejam aplicados filtros, ou mesmo suspender uma porta a um membro, caso se identifique tráfego transportado ou originado não permitido (ou permitido volumétrico) com destino a um IP da LAN do GigaPIX.

 

Embora existam filtros de segurança a nível de servidores de rotas para evitar hijacks, a equipa do GigaPIX poderá intervir desligando a porta de um membro que esteja comprovadamente a usar prefixos que não são seus.

Tráfego Aplicacional

Não existe visibilidade do tráfego aplicacional ao nível do GigaPIX. Contudo, pedimos a colaboração de todos os nossos os membros para evitar ataques dirigidos a quem está ligado neste IXP. Tal pode ser feito com o ajuste correcto das configurações para o uso do serviço de Blackholing dos servidores de rotas ou uso equivalente em sessões bilaterais.

 

Em último caso, o GigaPIX poderá ser informado por ASNs atacadas e suspender uma porta caso se identifique, entre outros:

  • Amplificações NTP, DNS, etc.
  • Tráfego volumétrico HTTP, UDP, DNS, etc.