Wie filtere ich Nicht-Schein-Präfixe, die über BGP von einem Internet Exchange (IXP) empfangen wurden?

14

Was ist eine gute Möglichkeit, um bei einer Verbindung mit einer Internet-Peering-Vermittlungsstelle (IXP) sicherzustellen, dass Ihnen keine Personen Präfixe senden, die sie nicht ankündigen sollten?

In Bezug auf Bogons ist mir das Team Cymru Bogon Reference- Projekt bekannt, aber wenn es darum geht, etwas anderes von Kollegen herauszufiltern, weiß ich nicht, wo ich anfangen soll. Meines Wissens ist das, wofür RPKI und Ähnliches sind?

bgp  peering 
SimonJGreen
quelle
Warum nicht gleich eBGP-Peer mit ihnen und Blackhole-Präfixen in ihrer Routingtabelle?

Antworten:

13

Wie die anderen sagten, wäre RPKI der richtige Weg, aber es ist noch nicht da. An Austauschpunkten legen wir in der Regel für jede Sitzung ein maximales Präfixlimit fest.

Zusätzlich wenden wir folgende Regeln an:

  1. Keine Standardroute

  2. Keine Bogons, genauer diese Liste:

    route-filter 0.0.0.0/8 orlonger reject;
route-filter 127.0.0.0/8 orlonger reject;
route-filter 10.0.0.0/8 orlonger reject;
route-filter 172.16.0.0/12 orlonger reject;
route-filter 192.168.0.0/16 orlonger reject;
route-filter 224.0.0.0/4 orlonger reject;
route-filter 240.0.0.0/4 orlonger reject;
route-filter 169.254.0.0/16 orlonger reject;
route-filter 192.0.2.0/24 orlonger reject;
route-filter 198.51.100.0/24 orlonger reject;
route-filter 203.0.113.0/24 orlonger reject;
route-filter 100.64.0.0/10 orlonger reject;

  3. Keine Präfixe länger als / 24

  4. Keine privaten AS-Nummern im Pfad

  5. Keines unserer eigenen Präfixe

Für IPv6 machen wir dasselbe, nur die Bogons sind unterschiedlich. Ich habe unseren Filter darunter eingefügt. Bitte beachten Sie, dass die Syntax etwas seltsam sein kann, aber dies liegt an der Art und Weise, wie Juniper Präfixe vergleicht. Informationen zur Cisco-Syntax finden Sie hier: IPv6-BGP-Filterempfehlungen (Das Juniper-Beispiel auf der Seite ist fehlerhaft. Bitte verwenden Sie das folgende Beispiel, wenn Sie möchten.)

Begriff ebgp-entspannt {
    von {
        Familie inet6;
        Routenfilter 3ffe :: / 16 orlonger;
        Routenfilter 0000 :: / 8 orlonger;
        route-filter 2001: db8 :: / 32 orlonger;
        Routenfilter 2001 :: / 32 genaue nächste Richtlinie;
        Routenfilter 2001 :: / 32 länger;
        Routenfilter 2002 :: / 16 genaue nächste Richtlinie;
        Routenfilter 2002 :: / 16 länger;
        route-filter fe00 :: / 9 orlonger;
        route-filter ff00 :: / 8 orlonger;
        Routenfilter 2000 :: / 3 Präfixlängenbereich / 49- / 128;
        Routenfilter 0 :: / 0 orlonger;
    }
    dann ablehnen;
}
Sebastian Wiesinger
quelle
11

Im Moment (bis RPKI weiter verbreitet ist) filtern wir im Allgemeinen nur allgemeine Bogons und wenden einen Max-Präfix-Filter an, um Peers auszutauschen. Wir filtern auch bestimmte Lieferavise, von denen wir sicher sind, dass sie in den meisten Peeringsitzungen, wie Level3 oder Cogent, niemals angezeigt werden oder nicht über einen Austausch übertragen werden sollten.

Normalerweise stellen wir fest, dass die meisten häufig auftretenden Routenlecks nicht im 1-2-stelligen Bereich liegen. Das ist ohnehin sehr schwer zu fangen, es sei denn, Sie filtern alle Ihre Kollegen, indem Sie eine Präfix- / ASN-Liste erstellen oder nach Radb usw. filtern ) Max-Präfix-Filter. Sie können diese Sitzung dann nach Bedarf anpassen.

Justin Seabrook-Rocha
quelle
7

Je nachdem, wie Sie den Peering-Austausch verwenden, stehen Ihnen verschiedene Optionen zur Verfügung:

Zunächst werde ich auf RPKI eingehen und sagen, dass Sie es auf jeden Fall bereitstellen sollten, sowohl für Ihre eigenen Routen als auch für die Validierung anderer. Leider wird es so wenig genutzt, dass Sie zum jetzigen Zeitpunkt nicht damit rechnen können, dass es so viel bewirkt. Die wirkliche Lösung ist hier WHOIS - Merits RaDB ist wohl die beste, da Sie damit Ergebnisse für alle RIRs auf einmal zurückgeben können. Wenn Sie jedoch jedes RIR direkt abfragen möchten, wählen Sie es aus.

Wenn Sie jetzt an der Vermittlungsstelle sind und nur eine Reihe von Präfixen vom Routenserver des IXP erhalten, haben Sie je nach den verfügbaren Tools und den Funktionen Ihres Routers zwei Möglichkeiten:

   1. Filtern nach Herkunft AS

Im Wesentlichen besteht dies darin, den Ursprungs-AS eines Präfixes gegen den in WHOIS zu validieren. Wenn der Ursprungs-AS nicht mit dem in WHOIS übereinstimmt, löschen Sie das Präfix und alle weiteren Details, die möglicherweise ebenfalls angesagt werden. Dies ist in der Regel ein guter Schutz gegen unbeabsichtigte Entführungen. Die überwiegende Mehrheit der Präfixe sollte diese Daten haben.

   2. Filtern nach Transit AS

Dies geht noch einen Schritt weiter und filtert Routen mit einem AS in dem Pfad, der nicht innerhalb von WHOIS autorisiert ist - Sie können dies jedoch nicht für jedes Präfix tun, da nicht jeder Objekte erstellt hat, die angeben, wer seine autorisierten Transit-AS-Anbieter sind.

Auf der anderen Seite wird Ihr Leben viel einfacher, wenn Sie den Peering-Austausch nutzen, um direkt mit anderen zu kommunizieren. Sie können nachsehen, welche Präfixe sie in WHOIS haben, und diese zulassen. Meiner Meinung nach ist es empfehlenswert, Peers zu gestatten, spezifischere Informationen bis zu einer maximalen Länge von / 24 anzukündigen und gleichzeitig einen vernünftigen Maximalpräfixwert (dh proportional zur Anzahl ihrer Subnetze) für Ihr Peering festzulegen, damit diese Informationen anzeigen können. ' Sie werden nicht mit Routen überflutet, sondern können auf einen Präfix-Hijack reagieren.

Wenn Sie nach Tools suchen, schauen Sie sich IRRToolSet und IRR PowerTools an

Olipro
quelle
5

Sie haben im Grunde Ihre eigene Frage beantwortet. Ihre Annahme, dass die Verwendung von RPKI der richtige Weg ist, ist absolut richtig. Insbesondere werden Route Origination-Berechtigungen verwendet, um ein Präfix für ein AS zu validieren. Offensichtlich sind Bogons nicht gültig, da sie niemandem zugewiesen sind, sodass sich das Problem von selbst erledigt. Viele dieser Informationen sind auf der RPKI-Wikipedia-Seite verfügbar . Eine weitere gute Ressource ist die RPKI-Seite von ARIN .

Wenn Sie Konfigurationshilfe benötigen, empfehle ich Ihnen, eine weitere Frage zu erstellen, in der Sie eine spezielle Konfigurationshilfe anfordern.

Es ist auch erwähnenswert, dass RPKI nicht für alles funktioniert, da es nicht von allen verwendet wird. Irgendwann müssen Sie nur noch den Routen vertrauen, die Sie erhalten.

Bigmstone
quelle
0

Fragen Sie Ihre Kollegen, welches AS-Makro sie ankündigen, und erstellen Sie mit IRRToolSet oder rpsltool oder irrpt Filter für sie. Ermutigen Sie sie, korrekte Informationen in einer IRRdb zu veröffentlichen. Vergessen Sie nicht, Ihr eigenes aut-numObjekt in der nächsten benutzerfreundlichen IRRdb zu aktualisieren, um die Nachbarschaft widerzuspiegeln.

RPKI ist nicht der richtige Weg, da es nicht vor Routenlecks schützt.

Niels
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.