Birikmek syýasaty
TKM-IX Peering Syýasaty:
Marşrut serweri barada:
Marşrut serweri (RS), bu TKM-IX gatnaşyjylarynyň arasyndaky piringi
ýönekeýleşdirýän we aýratyn dolandyrylýan piring sessiýalarynyň sanyny azaltmaga
mümkinçilik berýän tor hyzmatydyr. RS BGP mahabatlaryny özüne birikdirilen
gatnaşyjylaryň arasynda paýlaýar, şonuň bilen RS bilen baglanşygy gurmak, RS-a
bilen baglaşylan TKM-IX-ň beýleki gatnaşyjylary bilen piring gatnaşyk gurmagy
aňladýar.
Marşrut Serweri hyzmaty tor signalynyň zaderžkasyna (gijä galmagyna)
täsir etmeýär, sebäbi traffik göni agza interfeýsleriniň arasynda iberilýär.
RS umumy piring VLAN-da elýeterli bolýar we IPv4 we IPv6 protokollarynda
işleýär we 16-bit we 32-bit AS sanlaryny goldaýar.
RS-i nädip ulanyp başlamaly?
RS ulanýan gatnaşyjylaryň hemmesi Tehnologiýa talaplaryny ýerine ýetirmeli.
RS ulanyp başlamak üçin, gatnaşyjy Route Server-iň awtonom ulgamy bilen BGP
piring sessiýasyny döretmek üçin aşakdaky ädimleri tamamlamaly:
AS marşrut syýasatynyň beýanyna Route Serweriň AS-y bilen birikmäni goşmaly.
Marşrutlaşdyryş syýasatynyň beýany RIPE, ARIN ýa-da RADB Internet
marşrutlaşdyryş sanawynda (IRR) täzelenmeli.
Arzaňyzy ygtyýarly aragatnaşyk salgysyndan noc@tkm-ix.net adresine iberiň,
şol ýerde gurama ID, AS belgisini we serhet marşrutizatoryň IP adresini (IPv4 we
/ ýa-da IPv6) görkeziň.
Iki RS bilen BGP sessiýalaryny düzüň.
BGP konfigurasiýasynda no bgp enforce-first-as buýrugyny (ýa-da enjamyňyz üçin
şoňa meňzeş) işledip, birinji AS-yň barlagynyň ýerine ýetirişini öçüriň.
TKM-IX gatnaşyjylaryň RS bilen täsirleşmegi barada maglumatlary TKM-IX müşderi
portalyndan alyp bilersiňiz.
RS marşrut syýasaty barada maglumatlary RIPE maglumatlar bazasyndan alyp
bilersiňiz (https://www.ripe.net
ýa-da Whois -h whois.ripe.net [marşrut serweri AS] hökmünde).
RS üçin BGP mahabatlaryny görmek we düzetmek üçin RS Looking Glass-y ulanyň.
RS marşrutlaşdyryş syýasaty
RS BGP4-i ulanyp, RFC4271-de görkezilişi ýaly, birikdirilen gatnaşyjylar bilen
marşrut maglumatlary alyşýar. Düzgüne görä, RS pirlaryndan alnan ähli ugurlaryň
iň gowularyny mahabatlandyrýar. “Next-Hop” atributynda RS-iň mahabatyny ugradan
hostyň IP adresi bolýar. AS_PATH atributy üýtgewsiz geçirilýär. Şeýlelik bilen,
RS pirlaryň arasynda gönüden-göni trafik alyş-çalyşy bolup geçýär.
RS BGP ugurlaryny aşakdaky düzgünlere laýyklykda işleýär:
RS hususy tor marşrutlaryny, default marşrutlary we ýörite maksatly torlary
kabul etmeýär (RFC6890).
RS hususy ýa-da ýörite maksatly AS-laryň marşrutlaryny kabul etmeýär (RFC5398,
RFC6996, RFC7300, RFC7607).
Eger IRR maglumatlar bazasyndaky "route / route6" obýektiniň "origin" atributy
AS_PATH atributynda başlangyç AS belgisine gabat gelmeýän bolsa, RS bu
marşrutlary kabul etmeýär.
Eger AS_PATH atributynda iň soňky goşulan AS belgisi BGP sessiýasyny döreden
gatnaşyjynyň AS belgisine gabat gelmeýän bolsa, RS bu marşrutlary kabul etmeýär.
RS marşrutlar üçin RPKI barlagyny (RFC6480) ýerine ýetirýär we
netijäni ýörite BGP community bilen belleýär. RPKI_INVALID statusy bolan
marşrutlar ret edilýär.
BGP community atributlary
RSAS - bu şäheriňizdäki marşrut serweriniň AS belgisini aňladýar.
Route serweri BGP community atributlarynyň iki toparyny goldaýar: standard we
extended. Standard community tablisa laýyklykda ulanylýar. BGP community-ni
işlemegiň prioritet tutulýan ugry: Extended> Standard.
| Hereket | BGP standard community ( RFC1997 ) | BGP extended community ( RFC8092 ) |
|---|---|---|
| AS üçin prefiks mahabatyny blokirlemek [peer-as ] | 0:peer-as | RSAS:0:peer-as |
| AS üçin prefiksi yglan ediň [ peef-as ] | RSAS:peer-as | RSAS:1:peer-as |
| Ähli gatnaşyjylara prefiks bildirişini blokirlemek | 0:RSAS | RSAS:0:0 |
| Gatnaşyjylaryň hemmesine prefiksi yglan etmek | RSAS:RSAS | RSAS:1:0 |
| Blackhole community (gelýän traffigi petikleýär) | 65535:666 | -- |
| Bu prefiksi AS yglan edende bir gezek prepend goşmak [ peer-as ] | 1:peer-as | RSAS:101:peer-as |
| Bu prefiksi AS yglan edende iki gezek prepend goşmak [ peer-as ] | 2:peer-as | RSAS:102:peer-as |
| Bu prefiksi AS yglan edende üç gezek prepend goşmak [ peer-as ] | 3:peer-as | RSAS:103:peer-as |
Tehnologiki Talaplar:
Müşderi IX 100BASE-TX ýa-da 1000BASE-T tor birikdiriş interfeýslerinde tizligi
we dupleks režimini anyk kesgitlemeli.
Müşderiň hyzmaty ulananyşy, IETF STD1 (http://www.rfc-editor.org/rfcxx00.html) kesgitlenen standartlara laýyk gelmelidir.
Müşderiniň awtonom ulgam belgisi bolmaly ( " Awtonom ulgam " ýa-da " AS") ),
sebitdäki internet bellige alyjylarynyň birinde hasaba alnan ( " Sebitleýin
internet bellige alyjy " ýa-da " RIR " ).
Müşderi, AS-yň marşrutlaşdyryş syýasaty maglumatlaryny aşakdaky
Internet marşrut ýazgylarynyň birinde ( " Internet marşrut ýazgylary " ýa-da "
IRR " ) saklamaly we täzelemeli: RIPE, ARIN, RADB, AFRINIC, APNIC ýa-da
LACNIC.
Müşderi IX tora birikýän interfeýslerinde LACP-den başga protokollaryny
öçürmeli: “Proxy ARP”, broadcast forwarding, spanning-tree, IP-redirect, “Link
Layer Discovery Protocols” (LLDP we ş.m.) we beýleki Ethernet freýmlary (CDP,
Layer 2 keepalive we ş.m.).
Müşderi Ýerine ýetirijä IX toruna birikmek üçin ulanylýan ähli logiki
interfeýsleriň MAC salgylaryny üpjün edýär. Müşderi tarapyndan IX toruna
birikmek üçin ulanylýan her bir fiziki interfeýs üçin Potratçy bilen deslapky
şertnama esasynda Müşderiniň enjamlaryny çalyşmak möhletlerinden başga diňe bir
MAC salgysy ulanylmaga rugsat berilýär.
Müşderi ICMPv6 Neighbor Discovery freýmlardan daşary Peering VLAN arkaly
multicast Ethernet freýmleri geçirmeli däldir.
Müşderi diňe aşakdaky görnüşli Ethernet freýmleri IX-yp tory (http://www.iana.org/assignments/ethernet-numbers) arkaly Iberip bilýär: 0x0800 - IPv4, 0x0806 - ARP, 0x86dd - IPv6, 0x8100 -
802.1Q
Müşderi IX-yň toruna birikmek üçin interfeýslerde Ýerine ýetiriji tarapyndan
bölünen IP adresleri we tor maskalaryny ulanmagy öz üstüne alýar.
Müşderi IX-yň tor IP adreslerini öz AS-yndan başga ýere mahabatlandyryp (anons
edip) bilmez.
Müşderi piring VLAN-da sessiýalary döretmek üçin BGP4 ulanmalydyr.
Müşderi IX tor birikmesiniň her logiki interfeýsinde BGP4 arkaly aragatnaşygy
üçin diňe bir AS belgisini ulanmalydyr.
Müşderi IX torunyň üsti bilen traffigi diňe IX torundan Müşderä
mahabatlandyrylan torlara ugrukdyrmagy we trafigiň IX torundan Müşderi
tarapyndan IX torda mahabatlandyrylan torlara geçirilmegini üpjün etmegi öz
üstüne alýar.
Müşderi IX tor birikmesiniň logiki interfeýslerinde 1500 baýtlyk IPv4 / IPv6
MTU-ny ulanmalydyr.
Müşderi tarapyndan RS-e mahabatlandyrylan öz AS torlary üçin internet marşrut
reýestrinde route we / ýa-da route6 obýektini saklamaly we täzeläp durmaly.
Müşderi Ýerine ýetirijiniň web sahypasyndaky maglumatlara laýyklykda IX-ň her
Route serweri bilen BGP sessiýalaryny guramagy öz üstüne alýar.
Müşderi Internet Routing Registry sanawynyň tor maglumatlaryny marşrutlaşdyryş
syýasatyna laýyklykda laýyklykda RS-e öz torlaryny mahabatlandyrmalydyr.
Hususan-da, mahabatlandyrylan torlaryň AS_PATH atributlarynda iň soňky AS
belgisi degişli marşrutyň " origin " häsiýetnamasyna we / ýa-da Internet
marşrutlar sanawynda route6 obýektine laýyk gelmelidir.
Müşderiniň RS-e hususy torlary, hususy awtonom ulgamlary, default route ýa-da
Full view mahabatlandyrmaga hukugy ýok.
TKM-IX Peering Düzgünleri:
“Unicast Peering LAN”-da rugsat berilen trafigiň görnüşleri
Üns beriň: TKM-IX-yň Tory dolandyryş merkezi (NOC) aşakdaky düzgünleri bozýan
islendik porty öçürip biler.
TKM-IX infrastrukturasynyň netijeli
işlemegi üçin, biz rugsat berlen traffigiň görnüşlerine käbir çäklendirmeleri
girizýäris. Aşakda bu çäklendirmelere syn berilýär.
1. Ethernet freýming
TKM-IX infrastrukturasy Ethernet II standartyny ulanýar. LLC / SNAP (802.2)
inkapsulasiýa rugsat berilmeýär.
TKM-IX portlaryna iberilen freýmler aşakdaky Ethernet görnüşlerinden biri
bolmaly:
- 0x0800: IPv4
- 0x0806: ARP
- 0x86dd: IPv6
- 0x8100: IEEE 802.1Q
2. MAC salgysy syýasaty
TKM-IX-iň aýry bir portyndaky aýry bir VLAN-da iberilen ähli freýmler şol bir MAC salgysyndan gelip çykmalydyr.
3. Proxy-ARP ulanmagy gadagan etmek
IX-a birikdirilen marşrutizator interfeýsinde Proxy ARP ulanylmaly däldir.
4. Diňe “Unicast” traffigi
TKM-IX portlaryna iberilen freýmlerde, aşakdaky ýagdaýlardan başga ýagdaýlarda multicast ýa-da broadcast maksatly MAC salgysy bolmaly däldir:
- broadcast ARP paketler
- ICMPv6 Neighbor Discovery, Neighbor Solicitation we MLD multicast paketleriniň geçirilmegi (Router Solicitation ýa-da Advertisement paketlerinden başga).
5. Lokal trafigiň bolmazlygy
Link-local protokolyň traffigi TKM-IX portlaryna ugradylmaly däldir. Bu aşakda görkezilenleri öz içine alyp, ýöne munuň bilen çäklenmeýär:
- ICMP redirect
- IEEE 802 Spanning-tree
- Wendorlaryň ýörite protokollary:
- discover protocols: CDP, EDP, LLDP we ş.m.
- VLAN / trunk protokollary: VTP, DTP
- Içerki marşrutizasiýa protokollarynyň multicast paketleri (mysal üçin, OSPF, ISIS, IGRP, EIGRP)
- BOOTP / DHCP
- PIM-SM, PIM-DM, DVMRP
- ICMPv6 ND-RA
- UDLD
- L2 Keepalives
Rugsat berilýänleri: ARP we IPv6 ND protokollaryna rugsat berilýär.
6. No Directed Broadcasts
TKM-IX-yň lokal piring toruna gönükdirilen broadcast IP paketler TKM-IX-yň portlaryna ugradylmaly däldir.
7. No Export of TKM-IX Peering LAN
TKM-IX-yň lokal piring-y üçin bellenen IP giňişligi, TKM-IX-iň aç-açan rugsady bolmazdan beýleki ulgamlara (şol sanda internete) mahabat edilmeli (anons edilmeli) däldir.
8. Zyýanly işleriň gadagan edilmegi
TKM-IX-yň infrastrukturasy arkaly beýleki TKM-IX müşderilerine garşy Application
Level protokollar arkaly zyýanly hereketler etmek düýbünden gadagan.
TKM-IX hüjümler ýa-da hyýanatçylykly şikaýatlar gelen müşderiniň portuny ýapmak
hukugyny özünde saklaýar . Gadagan edilen hüjümler şulary öz içine alýar:
- BGP Hijack
- DNS Amplification / Flood
- HTTP-Flood
- NTP Amplification
- UDP-Flood
- ICMP-Flood
- SSDP-den hyýanatçylykly peýdalanmak (Simple Service Discovery Protocol)
TKM-IX-e Birikmek Tertibi
TKM-IX-e birikmek üçin şu ädimleri ýerine ýetirmeli:
1. TKM-IX administrasiýasynyň wekili bilen habarlaşyň we TKM-IX torundaky şäher,
uzel salgysy we port konfigurasiýasy ýaly tehniki baglanyşyk parametrlerini
kesgitlemeli.
2. TKM-IX bilen hyzmat şertnamasyna gol çekmeli.
3. TKM-IX toruna birikmek üçin guramaňyzyň identifikatoryny we aýratyn beriljek
portuň koordinatlaryny almaly.
4. Hasap-faktura boýunça bir gezeklik gurnamak tölegi tölemeli.
5. Enjamyňyz bilen TKM-IX torundaky size berilen portuň arasynda aragatnaşyk
liniýasyny gurnamaly. TKM-IX-iň tehniki wekillerine aragatnaşyk liniýaňyz barada
habar bermeli. TKM-IX-den aragatnaşyk liniýasynyň kabul edilendigi barada
tassyklama hatyny almak üçin TKM-IX administratiw wekiliniň elektron poçtasyna
habarnama ýazmaly.
6. TKM-IX administratiw we tehniki wekillerine birikmäge taýýardygyňyzy habar
bermeli. Elektron hatyňyza aşakdaky maglumatlary goşmaly:
- Routeriňiziň MAC salgysy
- Reverse DNS zonasyndaky PTR ýazgysy üçin marşrutizatoryňyzyň doly kwalifikasiýa domen adyny (FQDN) (diňe umumy piring VLAN-da işlemek üçin zerur)
- Zerur bolan birikme protokoly: IPv4 we/ýa-da IPv6 (adaty tertip boýunça IPv4).
7. TKM-IX toruna birikdirilenden soň portuňyz karantin VLAN-a ýerleşdiriler.
Parametrleri sazlaňyzsoň TKM-IX-iň NOC-yna (noc@tkm-ix.net) taýýarlygy
barada habarnamany ibermeli. Hiç hili ýalňyşlyk tapylmasa, portuňyz şertnamada
görkezilen hyzmat parametrlerine laýyklykda VLAN-a geçiriler. Tehniki şertler
ýerine ýetirilmedik halatynda näsazlyklary düzetmek möhleti uzaldylyp bilner.
8. BGP arkaly marşrut serwerleri we / ýa-da beýleki TKM-IX gatnaşyjylary bilen
özara täsiri gurmaly. RIPE maglumatlar bazasyndaky marşrut syýasatyň beýanyny we
PeeringDB-de maglumatlary täzelemegi ýatdan çykarmaň.