Route Server

Назначение

Cлужба Route Server (RS) - сетевой сервис, позволяющий упростить пиринговое взаимодействие между участниками MSK-IX и сократить количество индивидуальных администрируемых пиринговых сессий. RS передает BGP-анонсы между подключенными к нему участниками. Таким образом, пиринг с RS позволяет установить пиринговое взаимодействие со всеми остальными участниками MSK-IX, использующими RS.

Использование службы Route Server не влияет на сетевые задержки, так как трафик между интерфейсами участников передается напрямую.

Служба RS действует на общем (пиринговом) VLAN, поддерживает использование 16- и 32-битных номеров AS и позволяет вести обмен трафиком по протоколам IPv4 и IPv6.

Информация для настройки пиринговых сессий с RS

Город Route Server AS Анонсируемый объект IP-адреса BGP-спикеров* Расписание реконфигурации**
(время местное)
Москва 8631 AS-MSKROUTESERVER 195.208.208.100/21
2001:7F8:20:101::208:100/64
15:30-16:30 (время местное)
ежедневно понедельник-пятница
195.208.215.100/21
2001:7F8:20:101::215:100/64
11:30-12:30 (время местное)
ежедневно понедельник-пятница
Санкт-Петербург 43690 AS-SPBROUTESERVER 194.226.100.100/23
2001:7f8:20:201::100:100/64
17:00-18:00 (время местное)
ежедневно понедельник-пятница
194.226.102.100/23
2001:7f8:20:202::102:100/64
13:00-14:00 (время местное)
ежедневно понедельник-пятница
Ростов-на-Дону 48216 AS-RNDROUTESERVER 193.232.140.100/24
2001:7f8:20:501::140:100/64
17:00-18:00 (время местное)
ежедневно понедельник-пятница
Ставрополь 57056 AS-STWROUTESERVER 194.85.177.100/24
2001:7f8:20:901::177:100/64
17:00-18:00 (время местное)
ежедневно понедельник-пятница
Самара 47882 AS-SMRROUTESERVER 193.232.135.100/24
2001:7f8:20:601::135:100/64
17:00-18:00 (время местное)
ежедневно понедельник-пятница
193.232.135.200/24
2001:7f8:20:601::135:200/64
12:30-13:30 (время местное)
ежедневно понедельник-пятница
Казань 50706 AS-KZNROUTESERVER 194.190.119.100/24
2001:7f8:20:801::119:100/64
17:00-18:00 (время местное)
ежедневно понедельник-пятница
Екатеринбург 43213 AS-EKTROUTESERVER 194.85.107.100/24
2001:7f8:20:301::107:100/64
17:00-18:00 (время местное)
ежедневно понедельник-пятница
194.85.107.200/24
2001:7f8:20:301::107:200/64
12:30-13:30 (время местное)
ежедневно понедельник-пятница
Новосибирск 42403 AS-NSKROUTESERVER 193.232.87.100/24
2001:7f8:20:401::87:100/64
17:00-18:00 (время местное)
ежедневно понедельник-пятница
193.232.87.200/24
2001:7f8:20:401::87:200/64
12:30-13:30 (время местное)
ежедневно понедельник-пятница
Владивосток 48531 AS-VLVROUTESERVER 193.232.136.100/24
2001:7f8:20:701::136:100/64
17:00-18:00 (время местное)
ежедневно понедельник-пятница

Примечания:

* В городах, для которых приведены адреса двух BGP-спикеров, аппаратная база RS состоит из двух дублирующих серверов, установленных на разнесенных технологических площадках.

** Процедура реконфигурации включает в себя запрос обновлений политик маршрутизации в базах IRR (RIPE и др.), построение/обновление фильтров и их применение в конфигурации RS. Процедура занимает до одного часа.

Как начать пользоваться RS?

При использовании RS участники должны соблюдать требования Технологических условий.

Чтобы начать пользоваться RS в городе подключения к MSK-IX, настройте взаимодействие с соответствующей служебной автономной системой Route Server AS (см. таблицу выше) по протоколу BGP.

Для этого выполните следующие шаги:

  1. Внесите описание политики взаимодействия вашей сети с Route Server AS в базу данных Internet Routing Registry (IRR), поддерживаемую MSK-IX (RIPE, ARIN, RADB).
  2. Направьте с любого из авторизованных по договору контактных адресов на адрес noc@ix.ru заявку, содержащую город подключения к MSK-IX, идентификатор организации, номер AS участника и IP-адрес маршрутизатора (IPv4 и/или IPv6).
  3. Настройте BGP-сессии со своей стороны со всеми BGP-спикерами службы RS в соответствующем городе.
  4. В конфигурации BGP со своей стороны отключите проверку first-as командой no bgp enforce-first-as.

Информация об использовании RS участниками MSK-IX, доступна в Клиентском кабинете MSK-IX.

Информация о политике маршрутизации Route Server AS содержится в базе RIPE (сайт https://www.ripe.net или утилита whois -h whois.ripe.net as[Номер AS]).

Для отладки маршрутизации и контроля BGP-анонсов, принимаемых RS, пользуйтесь службой Looking Glass.

Политика маршрутизации RS

Обмен роутинговой информацией между RS и каждым участником осуществляется по протоколу BGP4, описанном в RFC4271. Пиры RS получают от RS лучший выбранный маршрут из принятых от всех пиров. При передаче BGP-анонса от RS атрибут Next-Hop содержит IP-адрес того маршрутизатора, от которого данный анонс были получен RS; атрибут AS_PATH передается без изменений. Таким образом, обмен трафиком участников происходит напрямую, минуя RS.

RS обрабатывает BGP-анонсы по следующим принципам:

  1. Не принимаются анонсы приватных сетей, приватных AS и маршрута по умолчанию (default route).
  2. Не принимаются анонсы сетей, для которых значение origin объекта route/route6 в базе данных IRR не совпадает с номером начальной AS в атрибуте AS_PATH анонса.
  3. Не принимаются анонсы сетей, для которых номер последней добавленной AS в атрибуте AS_PATH анонса не совпадает с номером AS участника, с которым установлена BGP-сессия.
  4. Анонс принимается, если для него описан route/route6 объект в IRR DB, входящий в as-set или aut-num, которые указаны в export или mp-export политике взаимодействия AS участника с AS роут-сервера. Размер префикса route/route6 объекта и BGP-анонса должны совпадать.
  5. Анонс принимается, если для него не описан route/route6 объект в IRR DB, но при этом описан route/route6 агрегата данного префикса, удовлетворяющий требованиям пункта 4. Анонсы, удовлетворяющие критериям пункта 5, дополнительно маркируются специальным BGP-community (RSAS:65500).

Атрибуты BGP community

Здесь и далее RSAS означает номер Route Server AS в соответствующем городе.

Route Server поддерживает две группы атрибутов BGP community: базовые и дополнительные. Атрибуты базовой группы действуют в порядке, приведенном в таблице.

Базовые
0:peer-as Блокировка анонса префикса участнику с номером AS [peer-as]
RSAS:peer-as Анонс префикса участнику с номером AS [peer-as]
0:RSAS Блокировка анонса префикса всем участникам
RSAS:RSAS Анонс префикса всем участникам
65535:666 Blackhole community (блокировка входящего трафика)
1:peer-as Однократный prepend анонса данного префикса в сторону участника с номером AS [peer-as]
2:peer-as Двукратный prepend анонса данного префикса в сторону участника с номером AS [peer-as]
3:peer-as Трехкратный prepend анонса данного префикса в сторону участника с номером AS [peer-as]

Дополнительные
RSAS:65500 В IRR DB описан агрегат данного префикса5
RSAS:65281 Анонс префикса участникам с атрибутом no-export
RSAS:0 Установка local-preference 0
RSAS:50 Установка local-preference 50
RSAS:100 Установка local-preference 100

Примечания:
  1. В случае отсутствия атрибута BGP community или при его несоответствии указанному списку, префикс принимается и передается всем участникам.
  2. В Looking Glass в детальной информации по префиксам отображаются только базовые BGP community. Для дополнительных BGP community отображается результат их применения.
  3. При передаче анонсов через RS атрибуты управляющих community MSK-IX вырезаются, остальные BGP community передаются прозрачно.
  4. Все анонсы имеют по умолчанию local-preference 100.
  5. BGP community RSAS:65500 применяется для маркировки префиксов, для которых в IRR описан агрегат (более широкая сеть), и при этом сами префиксы не описаны в IRR.
    • IPv4: Данное BGP community применяется для префиксов до /24 включительно. Префиксы от /25 до /32 этим BGP community не маркируются и принимаются только если для них описан route объект в явном виде.
    • IPv6: Данное BGP community применяется для префиксов до /48 включительно. Префиксы от /49 до /128 этим BGP community не маркируются и принимаются только если для них описан route6 объект в явном виде.
  6. Префиксы с атрибутом BGP no-export (RSAS:65281) прозрачно передаются участникам с сохранением атрибута.

Особенности работы с community в случае 32-битных номеров AS

Для построения политики взаимодействия с участниками MSK-IX, использующими 32-битные номера автономных систем, воспользуйтесь приведенной ниже таблицей соответствия номера AS участника и номера community, который необходимо использовать в качестве peer-as (см. описание базовых BGP community).

Участник Номер AS Community Город
ООО «АЙНЬЮС» 196678 64715 Москва
ЗАО «НэтУан Рус» 196695 64712 Москва
ООО «ДЖИЭНСИ-АЛЬФА» 196709 64742 Москва
ООО «Сети Веба» 196750 64771 Москва
Общество Ограниченной Ответственностью Волхов-Онлайн 196879 64737 Москва
Azertelecom LLC 196925 64765 Москва
АО «Р-Фарм» 197062 64711 Москва
ООО «Дальняя связь» 197140 64704 Москва
ООО «ТелеМакс» 197204 64761 Москва
ТОО «TNS-Plus» 197556 64718 Москва
ООО «ЭГС-Телеком» 197708 64733 Москва
ООО «СКАЙНЕТ» 197826 64709 Москва
ООО «СПБ ТВ Телеком» 197888 64722 Москва
ООО Бегет 198610 64751 Москва
ООО «Сити Коннект» 199361 64731 Москва
G-Core Labs S.A. 199524 64769 Москва
ООО «Сетевые технологии» 199572 64741 Москва
ООО «Телеком-Биржа» 199599 64734 Москва
ООО «РелКом» 199624 64758 Москва
ООО «ДАТАПРО» 200161 64767 Москва
ООО «Майкроимпульс» 200172 64725 Москва
ООО «ВЕБО» 200430 64753 Москва
ООО «Хостинг вашего успеха» 200487 64756 Москва
АО «МаксимаТелеком» 202173 64743 Москва
ООО «Облачные Технологии Яндекс» 202611 64768 Москва
ООО «РокетТелеком» 203674 64759 Москва
TIRASTEL GmbH 204071 64764 Москва
ООО «УСПЕХ» 196739 64717 Санкт-Петербург
ООО «Сети Веба» 196750 64763 Санкт-Петербург
Общество Ограниченной Ответственностью Волхов-Онлайн 196879 64735 Санкт-Петербург
ООО «СПБ ТВ Телеком» 197888 64739 Санкт-Петербург
ООО Бегет 198610 64750 Санкт-Петербург
ООО «Хостинг вашего успеха» 200487 64755 Санкт-Петербург
ООО «РокетТелеком» 203674 64760 Санкт-Петербург
АО «АВАНТЕЛ» 197235 64707 Самара
ЗАО «ТаксНет-Сервис» 197169 64714 Казань
ООО «СПБ ТВ Телеком» 197888 64762 Екатеринбург
ООО «ВЕБО» 200430 64766 Екатеринбург
ООО «Открытые технологии» 198181 64719 Новосибирск
ООО «ВЕБО» 200430 64754 Новосибирск
Индивидуальный предриниматель Филичева Наталья Сергеевна 196949 64752 Владивосток

Защита от DDoS-атак методом Blackholing

MSK-IX предоставляет своим участникам механизм защиты от DDoS-атак методом Blackholing. Данный механизм позволяет участнику на время атаки полностью отфильтровать входящий трафик на атакуемый префикс своей сети в рамках BGP-сессий, установленных с RS.

Фильтрация трафика производится путем замены Next-hop в полученных от участника BGP-анонсах на адрес фильтрующего интерфейса (Blackhole) сетей MSK-IX. Замена Next-hop производится RS автоматически, при получении от участника анонса с установленным Blackhole community 65535:666. При снятии атрибута Blackhole community маршруты трафика на данный префикс автоматически восстанавливаются.

Примечания:
  1. Атрибут 65535:666 для Blackhole Community используется в соответствии с RFC 7999.
  2. RS принимает сети с атрибутом 65535:666 размером от /25 до /32 включительно. Во избежание ошибок рекомендуется использовать /32.
  3. Участникам, пользующимся RS, рекомендуется настроить прием от RS анонсов сетей с атрибутом 65535:666 размером от /25 до /32 включительно.
  4. В соответствии с политикой региональных интернет-регистратур RIR (RIPE, RADB, и т.д.) Blackhole community может быть установлено только на уже анонсируемые Участником сети. RS принимает от Участника анонсы сетей с атрибутом 65535:666 только если данные сети также анонсируются Участником без атрибута 65535:666.

Параметры фильтрующего интерфейса Blackhole

IPv4-адрес Москва 195.208.208.6
Санкт-Петербург 194.226.100.6
194.226.102.6
Ростов-на-Дону 193.232.140.6
Ставрополь 194.85.177.6
Самара 193.232.135.6
Казань 194.190.119.6
Екатеринбург 194.85.107.6
Новосибирск 193.232.87.6
Владивосток 193.232.136.6
MAC-адрес 0066.0066.0066
BGP community 65535:666