Cerinte de membru, politici, setup switch

Cum te Inscrii la DSIX

O singura pagina care acopera tot ce trebuie sa stie un membru nou: cerintele de admitere, politicile de filtrare si port-security, regulile L2/VLAN, protocoalele interzise, configuratiile specifice per vendor si ce se intampla daca portul tau incalca regulile. Citeste-o odata, lipeste config-ul per vendor, ridica un ticket si fa peering.

Aplica pentru membership Citeste cerintele mai intai
Inainte sa Aplici

Cerinte de Membru

DSIX respecta cerintele standard ale punctelor de schimb internet. Verifica lista de mai jos inainte de a solicita un port de peering.

Cerinte Obligatorii

  • ASN public valid
    Inregistrat la RIPE NCC, ARIN, APNIC, LACNIC sau AFRINIC.
  • Cel putin un prefix rutabil
    Minimum /24 pentru IPv4 sau /48 pentru IPv6, alocat corect de RIR-ul tau sau prin sponsor.
  • Profil PeeringDB actualizat
    Multi membri solicita ca peer-ii sa aiba o intrare valida PeeringDB. Mentine-l actualizat.
  • Obiecte RIPE DB complete
    aut-num, route/route6 si obiectele maintainer trebuie sa existe. Route serverele filtreaza pe baza datelor IRR.
  • Contact abuse valid
    Adresa de email abuse-c functionala inregistrata la RIR, monitorizata si reactiva.
  • Router compatibil BGP
    Router hardware sau software (Cisco, Juniper, MikroTik, Bird, FRRouting, OpenBGPD, etc.) conectat la exchange.
  • Peering cu Route Collectorul
    Toti membrii noi trebuie sa faca peering cu AS65432 (Route Collectorul DSIX) pentru monitorizare administrativa.

Bune Practici Recomandate

  • Politica de peering deschisa
    Accepta peering cu toti membrii DSIX implicit. Politicile selective si mandatory sunt permise dar mai putin eficiente.
  • Publica ROA-uri RPKI
    Creeaza Route Origin Authorizations la RIR. Route serverele prefera anunturile valide RPKI fata de fallback-ul IRR.
  • Mentine un AS-SET / macro
    Publica as-set / as-macro cu toate ASN-urile downstream pe care le anunti. Necesar pentru filtrarea IRR.
  • Conformitate MANRS
    Adopta Actiunile MANRS: filtreaza anunturile, previne IP spoofing, pastreaza info contact corecte, publica date de rutare.
  • Dual-stack (IPv4 + IPv6)
    Ruleaza sesiuni BGP pe ambele protocoale. Serviciile moderne beneficiaza semnificativ de IPv6 nativ.
  • Limite max-prefix
    Configureaza limite max-prefix per peer pentru a te proteja impotriva leak-urilor accidentale. Route serverele DSIX aplica default-uri sensibile per ASN.
  • Peering cu AS112
    Recomandat sa faci peering cu serviciul nostru AS112 pentru reverse DNS anycast al intervalelor RFC 1918 si link-local.

! Reguli Port & Layer 2 (Aplicate)

O singura adresa MAC per port (auto-dezactivat la incalcare)
Fara protocoale link-local: STP, RSTP, MSTP, CDP, LLDP, EDP, FDP, UDLD, keepalive, MOP
Fara broadcast sau multicast storms (rate-limited si monitorizate)
Fara IP redirects, proxy ARP sau directed broadcasts pe interfata de peering
VLAN unic per conexiune DSIX, neimpartit cu alte retele
Fara anunturi ale prefixului peering LAN DSIX (185.0.0.0/24, 2001:7f8:133::/64)

Cerintele sunt aliniate cu bunele practici MANRS, RIPE si Euro-IX. Membrii noi trec printr-un proces de carantina care verifica conformitatea Layer 2 inainte de a fi activati in fabricul de peering productiv.

Politici si Securitate

DSIX aplica politici stricte de rutare si securitate Layer 2 pentru a proteja infrastructura exchange-ului.

Politica de Filtrare

  1. 1 Respinge prefixe mici, mai lungi de /24 (IPv4) si /48 (IPv6)
  2. 2 Respinge toate prefixele martian si bogon cunoscute
  3. 3 Verifica ca lungimea AS path este intre 1 si 64 ASN-uri
  4. 4 Verifica ca peer AS corespunde cu primul AS din AS path
  5. 5 Respinge prefixele unde next-hop IP nu corespunde cu IP-ul peer-ului (previne hijacking)
  6. 6 Respinge prefixele cu ASN-uri de retele de tranzit in path
  7. 7 Verifica ca origin AS este in AS-SET-ul IRRDB inregistrat al clientului
  8. 8 RPKI Valid → Accepta prefixul
  9. 9 RPKI Invalid → Respinge prefixul
  10. 10 RPKI Unknown → Fallback la filtrarea standard IRRDB pe prefixe

Comunitatile well-known RFC1997 (NO_EXPORT) sunt transmise fara interpretare.

Securitate Porturi

Control Storm Trafic Broadcast

Limite stricte pe traficul broadcast per port. Desi broadcast-ul Layer 2 de nivel scazut (ARP) este normal, traficul broadcast excesiv indica configurari gresite, hardware defect sau probleme firmware. Cadrele broadcast se propaga pe intregul LAN de peering si pot afecta toti membrii. Cadrele care depasesc pragul sunt eliminate automat.

Control Storm Trafic Multicast

Traficul multicast este limitat per port. Cantitati mici (IPv6 neighbor discovery) sunt asteptate, dar multicast excesiv pe porturi non-multicast indica probleme de configurare. Cadrele care depasesc rata permisa sunt eliminate.

O Singura Adresa MAC per Port

Tot traficul pe un port DSIX trebuie sa provina de la o singura adresa MAC inregistrata in ACL-urile statice Layer 2. Cadrele de la MAC-uri neinregistrate sunt eliminate. Mentenanta planificata care modifica adresa MAC trebuie comunicata operatiunilor DSIX in prealabil.

MAC-uri multiple indica de obicei: routere configurate gresit care trimit trafic link-local, bucle Layer 2 intre porturile DSIX, cadre pierdute din retele externe sau hardware defect.

Monitorizare Continua: DSIX monitorizeaza toate LAN-urile de peering in timp real. Traficul neautorizat sau excesiv declaseaza urmarire imediata cu membrul sursa.

Ghid Conectare Switch-uri

Ghid oficial DSIX pentru conectarea echipamentelor Layer 2. Configurarea necorespunzatoare poate cauza inchiderea automata a porturilor sau conectivitate degradata pentru toti membrii.

Politica Generala

Membrii pot conecta portul DSIX la un switch Layer 2 si pot directiona traficul de peering catre un router din alta locatie din reteaua lor. Totusi, switch-ul trebuie sa asigure ca doar traficul de la subinterfata autorizata a routerului ajunge la portul DSIX.

Atentie: Daca se detecteaza mai mult de o adresa MAC pe un port, protectia automata DSIX va dezactiva imediat portul pentru o perioada de racire. Reteaua dumneavoastra va fi temporar deconectata.

VLAN si Izolarea Traficului

Fiecare conexiune DSIX trebuie sa functioneze pe un VLAN unic. VLAN-urile nu trebuie partajate intre:

  • Porturi DSIX multiple apartinand aceluiasi membru
  • Porturi DSIX si orice alte retele non-DSIX

Trafic Link-Local & Discovery Interzis

Membrii trebuie sa dezactiveze toate protocoalele link-local si discovery pe interfetele conectate la DSIX:

STP / RSTP / MSTP CDP LLDP EDP / FDP UDLD Keepalive MOP

Aplicarea Politicii Adreselor MAC

Daca se observa adrese MAC multiple pe un port DSIX:

  • Portul este dezactivat automat pentru minimum 5 minute
  • Pierderi semnificative de pachete sau instabilitate pana la rezolvare

Configurari Recomandate per Vendor

! Cisco IOS/IOS-XE - DSIX-facing switch interface
interface GigabitEthernetx/x
  spanning-tree bpdufilter enable
  no keepalive
  no cdp enable
  udld port disable
  no lldp transmit
  no lldp receive

! For older hardware without bpdufilter:
! spanning-tree bpduguard enable

Bune Practici

  • Alocati un VLAN dedicat per conexiune DSIX
  • Dezactivati toate protocoalele de control, discovery si mentenanta Layer 2
  • Folositi LACP sau redundanta de legatura corecta, evitati crearea de bucle Layer 2
  • Monitorizati regulat statisticile porturilor si tabelele de adrese MAC
  • Mentineti management out-of-band pentru recuperare mai rapida
Carantina Conexiuni Noi: Toate porturile DSIX noi trec printr-un proces de carantina care verifica: fara protocoale discovery (CDP, LLDP), keepalive/MOP dezactivat, fara BPDU-uri spanning tree, etichetare 802.1q corecta. Portul dumneavoastra va fi activat dupa ce trece toate verificarile.

Intrebari Frecvente

Ce intreaba membrii inainte si dupa ce isi configureaza sesiunea.

Cine poate deveni membru DSIX?
Orice organizatie care opereaza un ASN inregistrat, are propriul spatiu IPv4 si/sau IPv6 si ruleaza un router BGP-capable accesibil la centrul nostru de colocare din Bucuresti. Asta include ISP-uri, furnizori de hosting, retele de continut, operatori AS corporativi si retele de cercetare. Indivizi fara ASN nu sunt eligibili.
Trebuie sa fiu prezent fizic la datacenter-ul DSIX?
Poti fie sa colocezi un router in facilitatea noastra din Bucuresti, fie sa faci cross-connect de la un datacenter vecin. Remote peering (peste un L2VPN al unui furnizor de tranzit) e suportat daca acel furnizor are prezenta pe fabrica DSIX si poate extinde un VLAN la noi.
Este membership-ul DSIX gratuit?
Taxele de port si membership depind de viteza portului (1G sau 10G) si de daca detii cross-connect-ul. Un port 1G pentru un membru mic e de obicei gratuit; un port 10G pe fibra optica dedicata incurca o taxa lunara. Route server-ele, AS112, route collector-ul si looking glass-urile sunt toate incluse fara cost suplimentar pentru fiecare membru.
Cat dureaza onboarding-ul de la contract semnat la prima sesiune BGP?
Cazurile tipice se inchid in 3 pana la 5 zile lucratoare: 1-2 zile pentru contract + provisionare port, 1 zi ca echipa ta sa aplice config-ul switch-ului si sa anunte primul prefix, apoi 1-2 zile ca echipa DSIX sa valideze anunturile tale si sa te promoveze din carantina.
Ce este faza de carantina?
Fiecare port nou petrece o fereastra scurta supravegheata pe un VLAN de carantina in care NOC-ul nostru urmareste anunturile BGP, valideaza ca prefixele tale se potrivesc cu as-set-ul IRR, verifica broadcast/multicast rogue sau protocoale L2 interzise si confirma comportament ARP/ND curat. Odata ce totul arata corect, portul se muta pe LAN-ul de productie si sesiunile RS+RC se ridica.
Am nevoie de inregistrare PeeringDB inainte sa ma inscriu?
Puternic recomandat. Filtrele RS inbound se initializeaza din inregistrarea ta PeeringDB (pentru limitele max-prefix si pentru confirmarea as-set-ului IRR). Te poti inscrie inainte de actualizarea PeeringDB, dar sesiunea va ramane filtrata pana cand PeeringDB + IRR sunt consistente cu ce anunti.
Ce prefixe vor accepta route server-ele de la mine?
Tot ce inregistreaza as-set-ul tau IRR, conditionat de RPKI sa fie Valid sau NotFound (Invalid e scos), conditionat de limite max-prefix din PeeringDB si conditionat de respingerea bogon-urilor si a ASN-urilor private. Daca vrei sa anunti un prefix nou, inregistreaza-l sub as-set-ul tau IRR si publica un ROA; RS-ul il va prinde la urmatorul ciclu refresh (de obicei in cateva minute).
Pot anunta o default route sau agregat catre DSIX?
Nu. Politica de peering DSIX interzice explicit default (0.0.0.0/0 sau ::/0) si agregatele customer-facing. Membrii trebuie sa anunte propriile prefixe de origine sau prefixe de clienti downstream cu AS_PATH si documentatie IRR corespunzatoare.
Ce protocoale L2 sunt interzise pe portul meu?
Spanning Tree (STP/RSTP/MSTP), CDP/LLDP/FDP advertisements outbound, VRRP/HSRP/CARP keepalives, DHCP server, router advertisements IPv6, DTP, VTP. Acestea fie scurg fabrica noastra pe reteaua ta, fie confunda alti membri. Vezi sectiunea Conectare Switch-uri pe aceasta pagina pentru lista completa si exemple de deny.
Ce se intampla daca portul meu trimite trafic interzis?
Port security declanseaza alarme care sunt revizuite de NOC in o zi lucratoare. Primul incident: notice email sa-l repari. Incident repetat sau cu impact mare: portul e mutat inapoi in carantina pana la corectie. Cazuri severe (ex. DHCP rogue care afecteaza mai multi membri) rezulta in shutdown imediat cu post-mortem obligatoriu inainte de reintegrare.
Trebuie sa anunt adrese MAC sau sa le pin?
Fiecare port de membru are o politica MAC care limiteaza adresele MAC invatate la ce ai declarat pe formularul de membership. Tipic 1 MAC (router-ul tau) per port. Daca rulezi un setup anycast sau redundant in spatele portului, declari mai multe MAC-uri in avans; MAC-uri neasteptate sunt semnalate de sistemul port-security.
Pot sa aduc propria fibra?
Da, atata timp cat se termina in cage-ul DSIX sau intr-un rack vecin permis cu aprobarea noastra. Suportam conectori LC/SC si fibre single-mode/multi-mode in functie de optic.
Ce vendori de routere sunt suportati?
Toti. Publicam config-uri de exemplu pentru Cisco IOS, Juniper Junos, Arista EOS, MikroTik RouterOS v6 si v7, BIRD, FRR si VyOS pe aceasta pagina. Daca platforma ta vorbeste BGP standard si suporta semantica RFC 7947 route-server, functioneaza.
Care e SLA-ul DSIX pe disponibilitate port?
Porturile tintesc 99.9% disponibilitate anuala excluzand ferestrele de mentenanta programate (marti 02:00-06:00 EET). Esecurile sunt tratate 24/7 de NOC-ul DSIX. Vezi pagina SLA pentru credite si timpi raspuns incident.
Cum ies din DSIX?
Trimite notificare scrisa la noc@dreamserver.ro cu data planificata de deconectare. Notice-ul standard e 30 zile; inchidem sesiunile BGP, dezactivam config-urile RC/RS, purjam prefixele tale din filter sets si deconectam fizic portul. Fara taxe de iesire.

Avem Incredere & Suntem Membri

Suntem membri ai principalelor organizatii de infrastructura internet.

RIPE NCC MANRS PeeringDB RoTLD DSIX SBIX 4IXP LOCIX Euro-IX RIPE NCC MANRS PeeringDB RoTLD DSIX SBIX 4IXP LOCIX Euro-IX