Der Stuttgart-IX Verfügt über zwei Route Server, die es Peers vereinfachen sollen so viele andere Peers wie möglich mit nur einer BGP Session zu erreichen. Jeder Peer erhält mit einer Verbindung zum Route Server die BGP Announcements aller anderen Route Server Peers.

BGP Session Parameters

Bitte bauen Sie eine BGP-Session mit folgenden Parameter zu beiden Route Servern auf.

RouteServer IPv4 IPv6 ASN Max. Prefix IPv4 Max. Prefix IPv6 IRRDB
rs1.s-ix.de 193.138.31.252 2001:7f8:56::1 41139 500 100 AS-STUTTGARTIX-RS
rs2.s-ix.de 193.138.31.253 2001:7f8:56::2 41139 500 100 AS-STUTTGARTIX-RS

BGP Communities

Steuerung des Route Servers

Der Route Server kann anhand folgender Large Communities gesteuert werden:

Large Community Beschreibung
41139:0:0 Route an kein AS Advertisen (überschreiben mit 41139:1:PEERAS)
41139:0:PEERAS Nicht an das PEERAS advertisen
41139:1:PEERAS Route an das PEERAS advertisen (nur in kombination mit 41139:0:0)
41139:101:PEERAS PEERAS 1x an den AS-Pfad anfügen (prependen)
41139:102:PEERAS PEERAS 2x an den AS-Pfad anfügen (prependen)
41139:103:PEERAS PEERAS 3x an den AS-Pfad anfügen (prependen)

Zur Kompatibität mit älteren Routen sind noch folgende Communities implementiert:

Community Beschreibung
0:PEERAS Route nicht an PEERAS advertisen
41139:PEERAS Route an PEERAS advertisen
0:41139 Route nicht advertisen

Informations-Communities

Zur Erleichterung des Debuggings setzt der Route Server diverse BGP Communities, welche im Looking Glass nach Klick auf das jeweilige Präfix sichtbar sind.

Large Community Beschreibung
41139:1101:1 Der Präfix ist zu Lang (/24 IPv4, /48 IPv6)
41139:1101:2 Der Präfix ist zu kurz
41139:1101:3 Der Präfix ist darf nicht öffentlich geroutet werden (Bogon)
41139:1101:4 Das AS darf nicht öffentlich geroutet werden (Bogon)
41139:1101:5 Der AS Pfad ist zu lang
41139:1101:6 Der AS Pfad ist zu kurz
41139:1101:7 Das erste AS im Pfad ist nicht das Peer AS
41139:1101:8 Der Next Hop ist nicht die Peer IP
41139:1101:9 Der Präfix ist nicht im AS-SET des origin AS
41139:1101:10 Das Origin AS ist nicht im peer AS-SET
41139:1101:11 Der Präfix ist nicht im origin AS
41139:1101:12 RPKI Unknown
41139:1101:13 RPKI Invalid
41139:1101:14 Ein Transit Free AS ist im AS Pfad
41139:1101:15 Zu viele BGP Communities
41139:1000:1 RPKI valid
41139:1000:2 RPKI Unknown
41139:1000:3 RPKI nicht überprüft
41139:1001:1 IRRDB eintrag valide
41139:1001:2 IRRDB nicht überprüft
41139:1001:3 Präfix existiert nicht in IRRDB, aber ein less specific
41139:1001:1000 IRRDB filtered loose
41139:1001:1001 IRRDB filtered strict
41139:1001:1002 IRRDB Präfix ist leer
41139:1001:200 Identisch zum next-hop

Filter Mechanismus

Die Route Server des Stuttgart-IX verfügen über diverse Sicherheitsmechanismen um Prefix Hijacks o.ä. zu verhindern.

1. Filtern von zu kleinen Präfixen

Routen die spezifischer als ein /24 IPv4 oder /48 IPv6 sind werden vom Route Server verworfen

2. Filtern von Martians und Bogons

Diverse Prefixe die von der IETF nicht für das öffentliche Routing im Internet vorgesehen sind werden vom Route Server verworfen.
Hierzu gehören unter anderem RFC1918-Netze, Multicast-Netze, Dokumentationsnetze u.v.m. Eine vollständige Liste findet sich z.B. im NLNOG BGP Filter Guide.

3. AS Pfad Überprüfung

Routen, die keinen AS-Pfad haben, oder deren AS-Pfad eine Länge von 64 ASNs überschreitet werden verworfen.
Routen, deren erstes AS im AS-Pfad nicht dem AS des Peers entsprechen werden verworfen.

4. Next Hop Überprüfung

Routen, deren Next-Hop nicht der IP-Adresse des Peers entsprechen werden verworfen.

5. Bekannte Transit Netzwerke

Routen, die ein bekanntes Transit Netzwerk im AS-Pfad haben werden vom Route Server verworfen. Eine vollständige Liste findet sich z.B. NLNOG BGP Filter Guide

6. IRRDB AS-Set Verifizierung

Routen, deren Origin-AS nicht im AS-SET des Peers sind, werden vom Route Server verworfen.

7. RPKI Validierung

Sofern für eine Route eine ROA veröffentlich wurde wird dieser vom Route Server entsprechend überprüft.
Routen deren RPKI ROA Status invalid ist werden vom Route Server verworfen.
Routen deren RPKI ROA Status unknown ist werden anhand der IRRDB gefiltert. Mehr Infromationen zu RPKI finden Sie z.B. im RPKI Guide der RIPE oder im RPKI FAQ der NLNetLabs.

7.1 IRRDB Filtering

Alle gelernten Routen des Route Servers deren RPKI ROA Status unknown ist werden anhand der IRRDB (z.B. RIPE) anhand des AS-Sets des Peers gefiltert. Nur Routen mit einem in der IRRDB hinterlegten route oder route6 Objekt werden vom Route Server akzeptiert. Die Filter für in die in der IRRDB hinterlegten Routen werden alle 6 Stunden vom Route Server aktualisiert.