Der Stuttgart-IX Verfügt über zwei Route Server, die es Peers vereinfachen sollen so viele andere Peers wie möglich mit nur einer BGP Session zu erreichen. Jeder Peer erhält mit einer Verbindung zum Route Server die BGP Announcements aller anderen Route Server Peers.
BGP Session Parameters
Bitte bauen Sie eine BGP-Session mit folgenden Parameter zu beiden Route Servern auf.
| RouteServer | IPv4 | IPv6 | ASN | Max. Prefix IPv4 | Max. Prefix IPv6 | IRRDB |
|---|---|---|---|---|---|---|
| rs1.s-ix.de | 193.138.31.252 | 2001:7f8:56::1 | 41139 | 20000 | 5000 | AS-STUTTGARTIX-RS |
| rs2.s-ix.de | 193.138.31.253 | 2001:7f8:56::2 | 41139 | 20000 | 5000 | AS-STUTTGARTIX-RS |
BGP Communities
Steuerung des Route Servers
Der Route Server kann anhand folgender Large Communities gesteuert werden:
| Large Community | Beschreibung |
|---|---|
| 41139:0:0 | Route an kein AS Advertisen (überschreiben mit 41139:1:PEERAS) |
| 41139:0:PEERAS | Nicht an das PEERAS advertisen |
| 41139:1:PEERAS | Route an das PEERAS advertisen (nur in kombination mit 41139:0:0) |
| 41139:101:PEERAS | PEERAS 1x an den AS-Pfad anfügen (prependen) |
| 41139:102:PEERAS | PEERAS 2x an den AS-Pfad anfügen (prependen) |
| 41139:103:PEERAS | PEERAS 3x an den AS-Pfad anfügen (prependen) |
Zur Kompatibität mit älteren Routen sind noch folgende Communities implementiert:
| Community | Beschreibung |
|---|---|
| 0:PEERAS | Route nicht an PEERAS advertisen |
| 41139:PEERAS | Route an PEERAS advertisen |
| 0:41139 | Route nicht advertisen |
Informations-Communities
Zur Erleichterung des Debuggings setzt der Route Server diverse BGP Communities, welche im Looking Glass nach Klick auf das jeweilige Präfix sichtbar sind.
| Large Community | Beschreibung |
|---|---|
| 41139:1101:1 | Der Präfix ist zu Lang (/24 IPv4, /48 IPv6) |
| 41139:1101:2 | Der Präfix ist zu kurz |
| 41139:1101:3 | Der Präfix ist darf nicht öffentlich geroutet werden (Bogon) |
| 41139:1101:4 | Das AS darf nicht öffentlich geroutet werden (Bogon) |
| 41139:1101:5 | Der AS Pfad ist zu lang |
| 41139:1101:6 | Der AS Pfad ist zu kurz |
| 41139:1101:7 | Das erste AS im Pfad ist nicht das Peer AS |
| 41139:1101:8 | Der Next Hop ist nicht die Peer IP |
| 41139:1101:9 | Der Präfix ist nicht im AS-SET des origin AS |
| 41139:1101:10 | Das Origin AS ist nicht im peer AS-SET |
| 41139:1101:11 | Der Präfix ist nicht im origin AS |
| 41139:1101:12 | RPKI Unknown |
| 41139:1101:13 | RPKI Invalid |
| 41139:1101:14 | Ein Transit Free AS ist im AS Pfad |
| 41139:1101:15 | Zu viele BGP Communities |
| 41139:1000:1 | RPKI valid |
| 41139:1000:2 | RPKI Unknown |
| 41139:1000:3 | RPKI nicht überprüft |
| 41139:1001:1 | IRRDB eintrag valide |
| 41139:1001:2 | IRRDB nicht überprüft |
| 41139:1001:3 | Präfix existiert nicht in IRRDB, aber ein less specific |
| 41139:1001:1000 | IRRDB filtered loose |
| 41139:1001:1001 | IRRDB filtered strict |
| 41139:1001:1002 | IRRDB Präfix ist leer |
| 41139:1001:200 | Identisch zum next-hop |
Filter Mechanismus
Die Route Server des Stuttgart-IX verfügen über diverse Sicherheitsmechanismen um Prefix Hijacks o.ä. zu verhindern.
1. Filtern von zu kleinen Präfixen
Routen die spezifischer als ein /24 IPv4 oder /48 IPv6 sind werden vom Route Server verworfen
2. Filtern von Martians und Bogons
Diverse Prefixe die von der IETF nicht für das öffentliche Routing im Internet vorgesehen sind werden vom Route Server verworfen.
Hierzu gehören unter anderem RFC1918-Netze, Multicast-Netze, Dokumentationsnetze u.v.m. Eine vollständige Liste findet sich z.B. im NLNOG BGP Filter Guide.
3. AS Pfad Überprüfung
Routen, die keinen AS-Pfad haben, oder deren AS-Pfad eine Länge von 64 ASNs überschreitet werden verworfen.
Routen, deren erstes AS im AS-Pfad nicht dem AS des Peers entsprechen werden verworfen.
4. Next Hop Überprüfung
Routen, deren Next-Hop nicht der IP-Adresse des Peers entsprechen werden verworfen.
5. Bekannte Transit Netzwerke
Routen, die ein bekanntes Transit Netzwerk im AS-Pfad haben werden vom Route Server verworfen. Eine vollständige Liste findet sich z.B. NLNOG BGP Filter Guide
6. IRRDB AS-Set Verifizierung
Routen, deren Origin-AS nicht im AS-SET des Peers sind, werden vom Route Server verworfen.
7. RPKI Validierung
Sofern für eine Route eine ROA veröffentlich wurde wird dieser vom Route Server entsprechend überprüft.
Routen deren RPKI ROA Status invalid ist werden vom Route Server verworfen.
Routen deren RPKI ROA Status unknown ist werden anhand der IRRDB gefiltert.
Mehr Infromationen zu RPKI finden Sie z.B. im RPKI Guide der RIPE oder im RPKI FAQ der NLNetLabs.
7.1 IRRDB Filtering
Alle gelernten Routen des Route Servers deren RPKI ROA Status unknown ist werden anhand der IRRDB (z.B. RIPE) anhand des AS-Sets des Peers gefiltert. Nur Routen mit einem in der IRRDB hinterlegten route oder route6 Objekt werden vom Route Server akzeptiert.
Die Filter für in die in der IRRDB hinterlegten Routen werden alle 6 Stunden vom Route Server aktualisiert.