Техника
Условия подключения и настройки портов
Участник IX должен выполнять следующие условия:
- явно указать тип подключаемого порта: 1000BaseT, 1000BaseFX, 10000BaseF или 40GBase-LR4;
- иметь номер автономной системы – AS;
- отражать информацию о политике маршрутизации своей AS и записи о префиксах (route-object) в RIPE NCC;
- при приеме анонсов от rs анонсировать rs свои сети в соответствии с отраженной в ripe routing policy для исключения появления несимметричного трафика;
- отключить ARP proxy, Spanning tree, IP redirects, протоколы канального уровня (LLDP и др.) и протоколы производителей оборудования, инициирующие рассылку посторонних Ethernet-фреймов (CDP, Layer 2 keepalive, и др.), исключая протокол LACP в случае подключения по технологии EtherChannel;
- сообщить используемые им mac-адреса;
- использовать только выданные PITER-IX ip-адреса;
- не анонсировать ip-адреса PITER-IX другим операторам;
- не анонсировать в PITER-IX сети клиентов без согласия владельца.
- явно указать тип подключаемого порта: 1000BaseT, 1000BaseFX, 10000BaseF или 40GBase-LR4;
- иметь номер автономной системы – AS;
- отражать информацию о политике маршрутизации своей AS и записи о префиксах (route-object) в RIPE NCC;
- при приеме анонсов от rs анонсировать rs свои сети в соответствии с отраженной в ripe routing policy для исключения появления несимметричного трафика;
- отключить ARP proxy, Spanning tree, IP redirects, протоколы канального уровня (LLDP и др.) и протоколы производителей оборудования, инициирующие рассылку посторонних Ethernet-фреймов (CDP, Layer 2 keepalive, и др.), исключая протокол LACP в случае подключения по технологии EtherChannel;
- сообщить используемые им mac-адреса;
- использовать только выданные PITER-IX ip-адреса;
- не анонсировать ip-адреса PITER-IX другим операторам;
- не анонсировать в PITER-IX сети клиентов без согласия владельца.
Route Server
Описание использования route-server
Для реализации политики связности в Piter-IX в каждой географической точке присутствия размещены два сервера обмена анонсами (route-server), c которыми участники настраивают взаимодействие по протоколу BGP. Для более детальной настройки используется личный кабинет участника, где каждый может либо напрямую указать всех, с кем хочет обмениваться анонсами, либо сформировать черный или белый список, с учетом которого строится конфигурация обоих route-server для каждой локации.Параметры для настройки bgp-сессий с route-servers
| Город | AS | Анонсируемый объект | R/S inet | R/S inet6 |
| Санкт-Петербург | 50817 | AS-PITER-IX-SPB | 185.1.152.255 185.1.153.0 |
2001:7f8:e6::c681:1 2001:7f8:e6::c681:2 |
| Москва | 49869 | AS-PITER-IX-MSK | 185.1.160.255 185.1.161.0 |
2001:7f8:eb::c2cd:1 2001:7f8:eb::c2cd:2 |
| Франкфурт-на-Майне | 48193 | AS-PITER-IX-FRA | 31.44.186.255 31.44.187.0 |
|
| Ростов-на-Дону | 59539 | AS-PITER-IX-RND | 193.27.38.100 193.27.38.254 |
|
| Таллин | 57936 | AS-PITER-IX-TLL | 37.9.49.100 37.9.49.254 |
|
| Рига | 49634 | AS-PITER-IX-RIGA | 193.27.39.100 193.27.39.254 |
|
| Хельсинки | 39607 | AS-PITER-IX-HEL | 193.27.37.100 193.27.37.254 |
|
| Киев | 61376 | AS-PITER-IX-KIEV | 146.185.252.100 146.185.252.254 |
2001:7f8:109::efc0:1 2001:7f8:109::efc0:2 |
Использование BFD
Для быстрой смены активных маршрутов в случае падения интерфейса или bgp-сессии используется протокол BFD; Активирован по-умолчанию для всех участников. Параметры: интервалы 750 ms, множитель 5. В случае вопросов по BFD свяжитесь пожалуйста с noc@piter-ix.ru.Защита от DDoS-атак методом Blackholing
В качестве первичного механизма защиты от DDos-атак в Piter-IX используется механизм blackhole-community - перенаправление трафика на атакуемые адреса с интерфейса участника на систему фильтрации или "в /dev/null". Анонсируйте на роут-серверы любой /32 входящий в подсети из вашего as-set, с коммьюнити 65535:666 - так вы перекроете поступление трафика от участников на этот /32. Чтобы это срабатывало в случае исходящих атак с вашей стороны разрешите на своих бордерах приём связки /32+65535:666 от наших R/S.BGP-communities
При анонсе своих маршрутов в сторону роут-серверов вы можете дополнительно пометить их нашими bgp-community. Последняя вещь представляет собой 32-битное число, записываемое обычно как пара 16-битных, разделенных знаком ":", например "1:6939". Таких кодов может быть сразу несколько. Комбинируя их, вы управляете трафиком прибывающим в вашу сторону от участников. К примеру, вы решили запретить анонс в сторону некоторого участника с автономной системой номер 64519 и применили для этого "0:64519". Роут-сервер при экспорте вашего маршрута в asn 64519 "увидит", что есть блокирующее коммьюнити и отбросит его. В результате, AS 64519 не будет знать о ваших сетях и трафик от этого участника к вам не поступит.Хорошо: но как быть с ASN в 32-битном диапазоне? Ведь в код коммьюнити, в правую часть куда кодируется целевая ASN влезает лишь 16 бит? Ответ на этот вопрос - так называемый AsnID (AID) - маппинг 16/32 бит. Вы найдете актуальный перечень AID в RIPE/AS50817 (whois as50817). Там же представлены прочие управляющие и информационные коммьюнити - группы, локации, препенды, локалпрефы и т.д.