Техника

Условия подключения и настройки портов
Участник IX должен выполнять следующие условия:
- явно указать тип подключаемого порта: 1000BaseT, 1000BaseFX, 10000BaseF или 40GBase-LR4;
- иметь номер автономной системы – AS;
- отражать информацию о политике маршрутизации своей AS и записи о префиксах (route-object) в RIPE NCC;
- при приеме анонсов от rs анонсировать rs свои сети в соответствии с отраженной в ripe routing policy для исключения появления несимметричного трафика;
- отключить ARP proxy, Spanning tree, IP redirects, протоколы канального уровня (LLDP и др.) и протоколы производителей оборудования, инициирующие рассылку посторонних Ethernet-фреймов (CDP, Layer 2 keepalive, и др.), исключая протокол LACP в случае подключения по технологии EtherChannel;
- сообщить используемые им mac-адреса;
- использовать только выданные PITER-IX ip-адреса;
- не анонсировать ip-адреса PITER-IX другим операторам;
- не анонсировать в PITER-IX сети клиентов без согласия владельца.
Route Server

Описание использования route-server

Для реализации политики связности в Piter-IX в каждой географической точке присутствия размещены два сервера обмена анонсами (route-server), c которыми участники настраивают взаимодействие по протоколу BGP. Для более детальной настройки используется личный кабинет участника, где каждый может либо напрямую указать всех, с кем хочет обмениваться анонсами, либо сформировать черный или белый список, с учетом которого строится конфигурация обоих route-server для каждой локации.

Параметры для настройки bgp-сессий с route-servers

Город AS Анонсируемый объект R/S inet R/S inet6
Санкт-Петербург 50817 AS-PITER-IX-SPB 185.1.152.255
185.1.153.0
2001:7f8:e6::c681:1
2001:7f8:e6::c681:2
Москва 49869 AS-PITER-IX-MSK 185.1.160.255
185.1.161.0
2001:7f8:eb::c2cd:1
2001:7f8:eb::c2cd:2
Франкфурт-на-Майне 48193 AS-PITER-IX-FRA 31.44.186.255
31.44.187.0

Ростов-на-Дону 59539 AS-PITER-IX-RND 193.27.38.100
193.27.38.254

Таллин 57936 AS-PITER-IX-TLL 37.9.49.100
37.9.49.254

Рига 49634 AS-PITER-IX-RIGA 193.27.39.100
193.27.39.254

Хельсинки 39607 AS-PITER-IX-HEL 193.27.37.100
193.27.37.254

Киев 61376 AS-PITER-IX-KIEV 146.185.252.100
146.185.252.254
2001:7f8:109::efc0:1
2001:7f8:109::efc0:2

Использование BFD

Для быстрой смены активных маршрутов в случае падения интерфейса или bgp-сессии используется протокол BFD; Активирован по-умолчанию для всех участников. Параметры: интервалы 750 ms, множитель 5. В случае вопросов по BFD свяжитесь пожалуйста с noc@piter-ix.ru.

Защита от DDoS-атак методом Blackholing

В качестве первичного механизма защиты от DDos-атак в Piter-IX используется механизм blackhole-community - перенаправление трафика на атакуемые адреса с интерфейса участника на систему фильтрации или "в /dev/null". Анонсируйте на роут-серверы любой /32 входящий в подсети из вашего as-set, с коммьюнити 65535:666 - так вы перекроете поступление трафика от участников на этот /32. Чтобы это срабатывало в случае исходящих атак с вашей стороны разрешите на своих бордерах приём связки /32+65535:666 от наших R/S.

BGP-communities

При анонсе своих маршрутов в сторону роут-серверов вы можете дополнительно пометить их нашими bgp-community. Последняя вещь представляет собой 32-битное число, записываемое обычно как пара 16-битных, разделенных знаком ":", например "1:6939". Таких кодов может быть сразу несколько. Комбинируя их, вы управляете трафиком прибывающим в вашу сторону от участников. К примеру, вы решили запретить анонс в сторону некоторого участника с автономной системой номер 64519 и применили для этого "0:64519". Роут-сервер при экспорте вашего маршрута в asn 64519 "увидит", что есть блокирующее коммьюнити и отбросит его. В результате, AS 64519 не будет знать о ваших сетях и трафик от этого участника к вам не поступит.
Хорошо: но как быть с ASN в 32-битном диапазоне? Ведь в код коммьюнити, в правую часть куда кодируется целевая ASN влезает лишь 16 бит? Ответ на этот вопрос - так называемый AsnID (AID) - маппинг 16/32 бит. Вы найдете актуальный перечень AID в RIPE/AS50817 (whois as50817). Там же представлены прочие управляющие и информационные коммьюнити - группы, локации, препенды, локалпрефы и т.д.