Bir Internet Exchange'den (IXP) BGP aracılığıyla alınan bogon dışı önekleri nasıl filtreleyebilirim?


14

İnternet akran alışverişine (IXP) bağlandığında, insanların size bildirmemeleri gereken önekleri göndermediğinden emin olmanın iyi bir yolu nedir?

Bogons konusunda Team Cymru Bogon Reference projesinin farkındayım ama akranlardan başka bir şeyi filtrelemeye gelince nereden başlayacağımı bilmiyorum. Anladığım kadarıyla RPKI ve benzerleri bunun için mi?


neden sadece eBGP onlarla ve yönlendirme tablolarındaki kara delik önekleriyle değil?

Yanıtlar:


13

Diğerlerinin de belirttiği gibi, RPKI gidilecek yol olurdu, ama henüz orada değil. Değişim noktalarında genellikle her oturumda bir maksimum önek sınırı koyarız.

Ayrıca aşağıdaki kuralları kullanırız:

  1. Varsayılan rota yok

  2. Bogons yok, tam olarak bu liste:

    route-filter 0.0.0.0/8 orlonger reject;
    route-filter 127.0.0.0/8 orlonger reject;
    route-filter 10.0.0.0/8 orlonger reject;
    route-filter 172.16.0.0/12 orlonger reject;
    route-filter 192.168.0.0/16 orlonger reject;
    route-filter 224.0.0.0/4 orlonger reject;
    route-filter 240.0.0.0/4 orlonger reject;
    route-filter 169.254.0.0/16 orlonger reject;
    route-filter 192.0.2.0/24 orlonger reject;
    route-filter 198.51.100.0/24 orlonger reject;
    route-filter 203.0.113.0/24 orlonger reject;
    route-filter 100.64.0.0/10 orlonger reject;
    
  3. / 24'ten uzun önek yok

  4. Yolda özel AS numarası yok

  5. Kendi öneklerimizden hiçbiri

IPv6 için aynısını yapıyoruz, sadece bogolar farklı. Filtremizi bunun altına yapıştırdım. Sözdiziminin biraz garip olabileceğini, ancak bunun Juniper'ın eşleşen önek yolundan kaynaklandığını lütfen unutmayın. Cisco sözdizimi için buraya gidebilirsiniz: IPv6 BGP filtresi önerileri (Sayfadaki Juniper örneği hatalıdır, lütfen isterseniz aşağıdakini kullanın.)

terim ebgp-relaxed {
    from {
        aile inet6;
        rota filtresi 3 kahve :: / 16 veya daha uzun;
        rota filtresi 0000 :: / 8 veya daha uzun;
        yol filtresi 2001: db8 :: / 32 veya daha uzun;
        rota filtresi 2001 :: / 32 bir sonraki politika;
        rota filtresi 2001 :: / 32 daha uzun;
        rota filtresi 2002 :: / 16 bir sonraki politika;
        rota filtresi 2002 :: / 16 daha uzun;
        rota filtresi fe00 :: / 9 veya daha uzun;
        yol filtresi ff00 :: / 8 veya daha uzun;
        rota filtresi 2000 :: / 3 önek-uzunluk-aralığı / 49- / 128;
        yol filtresi 0 :: / 0 veya daha uzun;
    }
    sonra reddet;
}

11

Şu anda (RPKI daha yaygın olana kadar), genellikle sadece ortak bogoları filtreliyoruz ve eşleri değiştirmek için bir maksimum önek filtresi uyguluyoruz. Ayrıca belirli ASN'leri de filtreliyoruz, Level3 veya Cogent gibi çoğu eşleme oturumunda asla görünmeyeceğinden emin olduğumuz veya bir exchange üzerinden aktarılmaması gerektiğinden emin oluyoruz.

Genellikle sık rastlanan güzergah kaçaklarının çoğunun 1-2 haneli aralıkta olmadığını görürüz. Bir önek / ASN listesi oluşturarak veya radb ile filtreleyerek tüm akranlarınızı filtrelemediğiniz sürece zaten yakalamak çok zor. Çoğu sızıntı, oldukça düşük (100-500) tarafından kolayca yakalanan 10k-100k + 'a yakın olur. ) maksimum önek filtresi. Daha sonra bu oturum başına gerektiği gibi ayarlayabilirsiniz.


7

Eş değişimini nasıl kullandığınıza bağlı olarak, birkaç farklı seçeneğiniz vardır:

Öncelikle RPKI'yı ele alacağım ve kesinlikle devam etmeniz ve konuşmanız gereken bir şey olsa da, hem kendi yollarınız hem de başkalarını doğrulamak için, ne yazık ki o kadar düşük kullanımda olduğunu, bu noktada bu kadar çok şey yapmasını bekleyemeyeceğinizi söyleyeceğim. Buradaki gerçek çözüm WHOIS - Merit'in RaDB'si tartışmasız en iyisidir çünkü tüm RIR'lar için sonuçları bir kerede döndürmenize izin verecektir. Ancak, her bir RIR'ı doğrudan sorgulamayı tercih ederseniz, bunun için gidin.

Şimdi, değişimde bulunuyorsanız ve kullanabileceğiniz araçlara ve yönlendiricinizin yeteneklerine bağlı olarak IXP'nin rota sunucusundan bir yığın önek alıyorsanız, iki olasılığınız vardır:

   1. Menşeine göre filtre AS

Esasen, bu, bir önekin köken AS'sının WHOIS'tekine karşı doğrulanmasını içerir - eğer köken AS, WHOIS'tekiyle eşleşmiyorsa, öneki ve duyurulabilecek daha spesifik özellikleri bırakırsınız. Bu genellikle kasıtsız kaçırmalara karşı iyi bir korumadır. Öneklerin büyük çoğunluğu bu verilere sahip olmalıdır.

   2. Transit AS Filtre

Bu bir adım daha ileri gider ve WHOIS içinde izin verilmeyen yoldaki herhangi bir AS ile rotaları filtreler - ancak bunu her önek için yapamazsınız, çünkü herkes yetkili transit AS sağlayıcılarının kim olduğunu belirten nesneler oluşturmayacaktır.


Öte yandan, başkalarıyla doğrudan eşleşmek için eş değişimini kullanıyorsanız, hayatınız çok daha basitleşir; WHOIS'te sahip oldukları önekleri arayabilir ve bunlara izin verebilirsiniz. Bana göre iyi bir uygulama, eşlerinizin maksimum / 24 uzunluğa kadar daha fazla özellik bildirmesine izin verirken, aynı zamanda eşlemenizde mantıklı bir maksimum önek değeri (yani sahip oldukları alt ağların sayısıyla orantılı) belirleyebilmelerini sağlamaktır. yolları ile t sel size ama olabilir bir önek kaçırmak cevap verirler.

Araçlar arıyorsanız, IRRToolSet ve IRR PowerTools'a göz atın


5

Temel olarak kendi sorunuzu cevapladınız. RPKI kullanmanın doğru yol olduğu varsayımınız kesinlikle doğrudur. Daha özel olarak, bir AS'ye bir önek doğrulamak için Rota Orijinasyonu Yetkileri kullanılır. Açıkçası, bogolar geçerli olmayacak çünkü kimseye atanmamışlar, bu yüzden problem kendi kendine halledecek. Bu bilgilerin çoğu RPKI Wikipedia sayfasında bulunmaktadır . Başka bir iyi kaynak ARIN'in RPKI sayfasıdır .

Yapılandırma yardımına ihtiyacınız varsa, belirli yapılandırma yardımı isteyen başka bir soru oluşturmanızı öneririm.

RPKI'nın her şey için işe yaramayacağını da belirtmek gerekir, çünkü herkes bunu kullanmaz. Bir noktada, aldığınız rotalara güvenmeniz yeterlidir.


0

Arkadaşlarınıza hangi AS makrosunu ilan edeceklerini sorun ve IRRToolSet veya rpsltool veya irrpt kullanarak kendileri için filtreler oluşturun. Onları bir IRRdb'de doğru bilgileri yayınlamaya teşvik edin. aut-numBitişikliği yansıtmak için en yakın dost IRRdb'de kendi nesnenizi güncellemeyi unutmayın .

RPKI, rota sızıntılarına karşı koruma sağlamadığından ileriye dönük bir yol değildir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.