Con lo scopo di semplificare la gestione degli accordi di peering e di facilitare l’ingresso ai nuovi afferenti, MIX a partire dal 2010 ha messo a disposizione un servizio di route-server sulle LAN di peering.
Questo meccanismo consente, con un’unica sessione BGP, di configurare e gestire numerose sessioni BGP con gli altri partecipanti.
Questo approccio non esclude il tradizionale accordo bilaterale di peering e, anzi, ne rappresenta la naturale integrazione.
Caratteristiche tecniche
A ogni afferente connesso alla piattaforma di route-server è associata una lista di prefissi ritenuti validi per gli annunci BGP. Questa lista viene creata interrogando i principali database IRRDB, utilizzando il numero di Autonomous System (AS) dell’afferente o, se necessario, un as-set specifico comunicato dall’afferente.
Requisiti per la validità dei prefissi
È fondamentale che ogni afferente mantenga aggiornate le proprie informazioni nei database IRRDB. In particolare, per ciascun prefisso che sarà annunciato su MIX, deve esistere un oggetto route (o route6) che abbia come origin il numero di AS dell’afferente. Solo i prefissi che rispettano questa condizione saranno inclusi nella lista dei prefissi validi.
Gestione della sessione BGP
Dopo l’instaurazione della sessione BGP, il traffico IP sarà scambiato direttamente tra le coppie di neighbor della LAN di peering.
- L’indirizzo IP del route-server non sarà utilizzato come next-hop.
- Il numero di AS del route-server non comparirà nell’as-path.
Per garantire questa configurazione, è necessario abilitare il comando no bgp enforce-first-as.
Gli Autonomous System a 32-bit sono gestiti nativamente.
Indirizzamento
Sulla LAN di peering primaria
- RS1 v4: 217.29.66.254
- RS1 v6: 2001:7F8:B:100:1D1:A5D1:6004:254
- RS2 v4: 217.29.66.253
- RS2 v6: 2001:7F8:B:100:1D1:A5D1:6004:253
- ASN: 61968
Sulla LAN di peering di MIX-IT Palermo
- RS v4: 185.1.186.253
- RS v6: 2001:7f8:101:7::253
- ASN: 61968
Sulla LAN di peering di MIX-IT Bologna
- RS v4: 185.1.231.253
- RS v6: 2001:7f8:101:13::253
- ASN: 61968
Sanity check
Tutti i prefissi annunciati sui route-server sono sottoposti ad una serie di verifiche preliminari:
- La lunghezze dei prefissi ammesse sono nel range /8 – /24 per IPv4 e /12 – /48 per IPv6
- Il primo AS dell’as-path deve essere quello dell’AS che fa peering
- Qualunque prefisso che sia notoriamente bogon o martian verrà scartato
- Qualunque prefisso che abbia nel proprio as-path uno o più ASN privati o non validi verrà scartato
- Qualunque prefisso che abbia nel proprio as-path uno o più ASN “transit-free” verrà scartato
Community BGP
I router-server gestiscono in maniera trasparente le community well-known, e permettono un filtraggio di ciò che viene annunciato in BGP inviando community secondo il seguente schema:
| Funzione | Standard | Extended | Large |
|---|---|---|---|
| Non annunciare ad alcun peer_as | 0:61968 | rt:0:61968 | 61968:0:0 |
| Annunciare ad un peer_as, anche se è stata impostata la community precedente | 61968:peer_as | rt:61968:peer_as | 61968:1:peer_as |
| Non annunciare ad uno specifico peer_as | 0:peer_as | rt:0:peer_as | 61968:0:peer_as |
| Fare prepending dell’ASN una volta verso uno specifico peer_as | 65511:peer_as | rt:65511:peer_as | 61968:101:peer_as |
| Fare prepending dell’ASN due volte verso uno specifico peer_as | 65512:peer_as | rt:65512:peer_as | 61968:102:peer_as |
| Fare prepending dell’ASN tre volte verso uno specifico peer_as | 65513:peer_as | rt:65513:peer_as | 61968:103:peer_as |
| Fare prepending dell’ASN una volta verso tutti i peer_as | 65501:61968 | r:65501:61968 | 61968:101:0 |
| Fare prepending dell’ASN due volte verso tutti i peer_as | 65502:61968 | rt:65502:61968 | 61968:102:0 |
| Fare prepending dell’ASN tre volte verso tutti i peer_as | 65503:61968 | rt:65503:61968 | 61968:103:0 |
| Aggiungere NO_EXPORT verso un peer_as | 65281:peer_as | rt:65281:peer_as | 61968:65281:peer_as |
| Aggiungere NO_ADVERTISE verso un peer_as | 65282:peer_as | rt:65282:peer_as | 61968:65282:peer_as |
Se non viene inviata alcuna community, il comportamento di default è annunciare le proprie reti a tutti.
Supporto RPKI
Sui route-server è abilitata la validazione dell’origine tramite RPKI. I prefissi marcati come INVALID vengono scartati.
Graceful shutdown
I route-server onorano la community GRACEFUL_SHUTDOWN (65535:0): per i prefissi marcati con tale community il valore della LOCAL_PREF verrà abbassato a 0.
Attributo “never via route-servers”
Se l’as-path di un prefisso riporta uno o più ASN identificati con l’attributo “never via route-servers” di PeeringDB, tale prefisso verrà scartato.
Numero massimo di prefissi
Per coloro che hanno configurato un numero massimo di prefissi accettati sulle sessioni di peering con i route-server, è bene fare riferimento alle soglie riportate sulla seguente pagina PeeringDB: https://peeringdb.com/net/13105
Caratteristiche generali
Le sessioni di peering sui route-server si configurano come normali sessioni BGP e permettono, da subito, di scambiare traffico con gli altri soggetti collegati alla medesima piattaforma. Ai route-server è demandato il solo computo delle informazioni di routing, mentre lo scambio effettivo di traffico IP avviene naturalmente tramite gli switch di peering.