De ce exista
Scurgerile de reverse DNS pentru IP private, iar AS112 le opreste la exchange
Dispozitivele end-user, hipervizoarele, containerele si middleboxes-urile trag constant interogari reverse DNS pentru intervale private: 10.0.0.1, 192.168.1.254, 169.254.x.y. Fara un sink local, fiecare interogare urca ierarhia DNS pana la serverele root, care le vad ca trafic inutil.
AS112 este raspunsul standardizat de IETF. Un responder anycast distribuit intoarce un NXDOMAIN autoritativ pentru acele zone, imediat si local. La DSIX operam un nod conform, astfel incat resolver-ul fiecarui peer primeste raspunsul in microsecunde peste fabrica de peering, nu in sute de milisecunde de la root-ul global.
Deploy-ul la un IX este modelul operational recomandat de RFC 7534; nodul DSIX implementeaza si redirectionarea DNAME pentru zonele goale din RFC 7535.
Prefixe acoperite
10.0.0.0/8Clasa A privata • RFC 1918172.16.0.0/12Clasa B privata • RFC 1918192.168.0.0/16Clasa C privata • RFC 1918169.254.0.0/16Link-local • RFC 3927Fa peering cu noi
Adrese de Peering AS112
Configureaza o sesiune BGP catre aceste adrese, sau foloseste route serverele DSIX care propaga prefixele AS112 automat.
Bune practici: fa peering bilateral pentru performanta directa si pastreaza sesiunea cu route server ca fallback. Mentine un filtru de import permisiv care accepta doar cele patru prefixe anycast ale AS 112, nimic altceva. Pentru intrebari sau ferestre de mentenanta contacteaza noc@dreamserver.ro.
Intrebari Frecvente
Ce intreaba membrii inainte si dupa ce isi configureaza sesiunea.
Ce este AS112?
AS112 este un serviciu anycast standardizat global pentru interogari DNS inverse (reverse DNS) pe intervalele IP private (RFC 1918) si link-local. Returneaza raspunsuri autoritative NXDOMAIN pentru 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 si 169.254.0.0/16, impiedicand acele interogari sa ajunga in DNS-ul public unde creeaza trafic parazit pe root name servers.
De ce am nevoie de AS112 in reteaua mea?
Chiar si retelele bine configurate scurg interogari reverse DNS pentru IP-uri private. Fara o chiuveta locala AS112, acele interogari urca pana la root si TLD servers, creeaza trafic inutil, lovesc rate-limit-uri si uneori blocheaza aplicatii care asteapta raspunsul resolver-ului. Peering cu AS112 la DSIX face raspunsul instant si local.
Este serviciul AS112 gratuit?
Da, complet gratuit. AS112 este inclus fara cost in membership-ul DSIX. Tot ce trebuie este o sesiune BGP cu nodul AS112 pentru a incepe sa primesti serviciul.
Ce RFC-uri implementeaza AS112 la DSIX?
Nodul nostru AS112 este complet conform cu RFC 7534 (operatiuni nameserver AS112) si RFC 7535 (redirectare DNAME pentru zonele goale), cele doua standarde IETF curente pentru serviciu. Implementeaza si conventia pre-RFC a AS 112 pentru compatibilitate istorica.
Ce hardware si software ruleaza nodul AS112?
Nodul DSIX AS112 ruleaza BIND 9 pe Ubuntu 24.04 LTS, gazduit pe infrastructura noastra din Bucuresti. E dual-stack (IPv4 si IPv6) si face peering pe fabrica DSIX LAN1.
Cum stabilesc o sesiune BGP cu AS112?
Configureaza router-ul sa faca peering cu 185.0.0.252 pentru IPv4 si 2001:7f8:133::112 pentru IPv6, ambele in AS 112. Nodul face peering bilateral cu membrii si e prezent si pe route server-ele DSIX, asa ca multi membri il prind automat prin politica route server.
AS112 anunta prefixele mele sau forwardeaza trafic?
Niciodata. AS112 anunta doar cele patru prefixe anycast pentru propriile zone. Nu accepta anunturi de prefix de la peers si nu forwardeaza niciodata trafic in plan de date. E doar un nod-responder.
Cum verific ca AS112 functioneaza corect?
Ruleaza o interogare dig pentru un IP privat, ex:
dig -x 10.0.0.1 @router-ul-tau. Daca AS112 functioneaza, primesti un raspuns SOA/NXDOMAIN de la prisoner.iana.org, blackhole-1 sau blackhole-2, cu latenta sub-milisecunda cand e interogat prin DSIX. Un resolver obisnuit fara AS112 ar lua 100-500ms sa intoarca acelasi NXDOMAIN.Pot sa rulez propriul nod AS112 si sa anunt aceleasi prefixe?
Da. AS112 e facut explicit pentru anycast de catre multi operatori global. Rularea propriului nod nu intra in conflict cu nodul DSIX, il completeaza. Verifica RFC 7534 pentru ghidul operational.
Ce se intampla daca AS112 pica?
Interogarile cad pe root name servers si in final returneaza NXDOMAIN prin ierarhia normala DNS, doar mai incet. Intreruperile AS112 degradeaza reverse DNS pe intervalele private, nu le opresc complet. DSIX monitorizeaza nodul 24/7 si aplica ferestrele standard de mentenanta.
AS112 afecteaza politica mea de firewall?
Doar la nivel BGP: accepti cele patru prefixe reverse-DNS de la AS 112 (sau via route server DSIX). Nu sunt necesare modificari speciale in firewall-ul de date pentru ca traficul e DNS standard pe UDP/TCP port 53.
Pe cine contactez daca am probleme cu AS112?
Scrie la noc@dreamserver.ro pentru probleme operationale sau deschide un ticket in Zona de Client. Pentru discutii tehnice AS112 in general, lista IETF DNSOP e forum-ul global.
