AS58218 · Bird v2 · RPKI + IRRDB
DSIX Route Server
Simplifica peering-ul, conecteaza-te la doua route servere in loc sa gestionezi sesiuni BGP individuale cu fiecare membru.
Ar trebui sa folosesc Route Server-ul?
Clusterul de route servere DSIX este proiectat pentru:
- ✓ Membri mici si medii care nu au timp sau resurse sa gestioneze relatii individuale de peering
- ✓ Membri mai mari cu politica de peering deschisa, unde nu merita efortul de a gestiona sesiuni cu membrii mai mici
- ✓ Oricine doreste peering instant cu toti membrii DSIX actuali si viitori, automat
Ca regula generala: daca nu aveti un motiv specific sa NU folositi route serverul, ar trebui sa il folositi.
Design Redundant
Doua servere fizice independente (RS1 + RS2). Suport complet IPv4 si IPv6. Daca un server cade, celalalt continua sa asigure conectivitatea BGP fara intreruperi.
Filtrare RPKI + IRRDB
Filtrare inbound a prefixelor folosind validare RPKI ROA cu fallback IRRDB. Doar prefixele inregistrate public sunt anuntate catre peers. RPKI invalid = blocat.
Bird v2 pe Ubuntu 24.04
BIRD Internet Routing Daemon v2, standardul industriei pentru route servere IXP. Testat la puncte de schimb din intreaga lume, ruland pe Ubuntu LTS 24.04.
Adresele Route Server
Comunitati BGP
Controleaza distributia prefixelor catre peers specifici folosind comunitati BGP standard si large.
Comunitati Standard (16-bit)
Large Communities (32-bit)
Nota: Daca routerul tau suporta large BGP communities, foloseste-le in locul comunitatilor standard pe 16 biti, mai ales ca multi membri DSIX folosesc ASN-uri pe 32 de biti. Nu amesteca comunitati standard cu large, alege una sau cealalta.
Intrebari Frecvente
Ce intreaba membrii inainte si dupa ce isi configureaza sesiunea.
De ce folosesc IXP-urile Route Servers in loc de full mesh?
O topologie full-mesh necesita N*(N-1)/2 sesiuni BGP intre N membri. La 20 membri asta e 190 sesiuni; la 100 membri e 4,950. Route server-ele colapseaza mesh-ul in 2*N sesiuni (fiecare membru face peering cu RS1 si RS2). Fiecare membru primeste apoi rute de la toti ceilalti membri prin RS, fara sa negocieze si sa mentina sute de sesiuni bilaterale. Asa scaleaza esentialmente orice IXP modern, si e definit de RFC 7947.
Orice membru DSIX ar trebui sa faca peering cu route server-ele?
Daca nu ai un motiv specific sa nu, da. Route server-ul e gratuit, complet automatizat si iti da vizibilitate instantanee a fiecarui membru DSIX curent si viitor. Membrii cu politica selectiva de peering fac de obicei peering cu RS-ul si filtreaza inbound pe partea lor folosind BGP communities DSIX standard.
Ce filtrare fac route server-ele DSIX?
Validam fiecare prefix inbound fata de RPKI (respinge Invalid, accepta Valid, accepta NotFound) si verificam ASN-ul de origine fata de as-set-ul IRR inregistrat al membrului. Aplicam si filtre bogon, limite max-prefix per membru si politica de peering DSIX (fara default route, fara ASN-uri private, fara IP-uri private). Un prefix care cade la oricare dintre acestea e scos silentios.
De ce doua route server-e in loc de unul?
Redundanta. RS1 si RS2 ruleaza pe hardware independent cu alimentare si racire independente. Un bug software sau esec hardware pe unul nu intrerupe peering-ul pe celalalt. Membrii ar trebui sa configureze sesiune BGP catre ambele: cand RS1 devine inaccesibil, RS2 pastreaza fluxul de path-uri fara o sesiune picata.
Ce software ruleaza pe route server-e?
BIRD pe Ubuntu 24.04 LTS. BIRD e standardul de facto pe IXP-urile europene (AMS-IX, DE-CIX, LINX, FranceIX toate ruleaza). BIRD are mentenanta activa upstream, semantica curata de fisier config si suporta tot ce are nevoie un operator IX modern: RPKI ROV, large communities, sesiuni role-based multiprotocol, filtre generalizate.
Adaugati next-hop-self sau se pastreaza next hop-ul peer-ului?
Pastram next hop-ul original. Route server-ele sunt transparente pe DSIX, asa ca next-hop-ul pe care-l primesti pentru prefixul X indica direct spre membrul care l-a anuntat, nu spre RS. Traficul tau de forwarding merge deci peer-to-peer prin fabrica L2, nu prin route server.
Care e AS path-ul pe rutele primite prin RS?
Pentru ca DSIX foloseste comportamentul RS standard transparent, ASN-ul RS (58218) e scos din AS_PATH. Primesti fiecare prefix cu AS-ul originator al membrului ca primul hop, exact ca si cum ai avea o sesiune directa cu el. Asta e ce mandateaza RFC 7947.
Pot folosi BGP communities pentru a controla ce anunta RS-ul catre alti membri?
Da, exact pentru asta e schema de communities de pe aceasta pagina. Eticheteaza un prefix cu
0:AS pentru a impiedica anuntarea catre un AS specific, 0:58218 pentru a face blackhole pe un anumit grup de membri, 58218:AS pentru a anunta doar catre un AS specific, si asa mai departe. Large communities sunt suportate cu aceeasi semantica.Ce address families suporta route server-ele?
IPv4 complet si IPv6 complet, fiecare pe o sesiune BGP separata. Urmareste conventia industriei si pastreaza IPv4 si IPv6 ca doua sesiuni distincte (una per AFI). Mixed-AFI pe aceeasi conexiune TCP nu e recomandat.
Looking glass-urile sunt publice sau doar pentru membri?
Publice. Oricine poate interoga looking glass-urile noastre sa inspecteze tabela DSIX fara login. Sunt un instrument util pentru membrii prospect sa-si valideze propriile anunturi inainte de a se alatura, si pentru depanarea problemelor BGP. Intern folosim acelasi LG in timpul raspunsului la incidente.
Ce produce Config Generator-ul?
Furnizezi ASN-ul tau, adresa IPv4, optional adresa IPv6 si prefixul anuntat, si alegi platforma router-ului. Generatorul printeaza un snippet BGP complet: definitii de sesiuni pentru RS1+RS2 pe IPv4 si IPv6, filtre prefix care indica spre as-set-ul tau IRR, hook-uri validator RPKI acolo unde platforma suporta, si comentarii pentru politica de communities. Sunt suportate azi BIRD 2, FRR, MikroTik RouterOS 7 si Cisco IOS.
Pot personaliza config-ul inainte de folosire?
Absolut. Generatorul e un punct de plecare, nu un config final de productie. Il pastram deliberat minimal si bine comentat ca sa-l poti adapta la conventiile tale de naming, timere, endpoint RPKI validator si strategia de filtrare.
Route server-ele accepta BGP communities ca BLACKHOLE?
Da. Respectam community-ul well-known RFC 7999
65535:666 si aplicam propagare RTBH pentru prefix pe fabrica DSIX. Community-urile specifice DSIX pentru blackholing-ul unui prefix doar fata de un singur membru sunt documentate in tabelul de communities.De ce ar cadea un prefix RPKI-Valid?
Cea mai comuna cauza: prefixul e anuntat de un ASN de origine diferit de cel autorizat in ROA. Acceptam Valid si NotFound, respingem Invalid. Un prefix care are ROA, dar AS-ul care anunta nu se potriveste, este Invalid. Repara ROA sau anunta de la AS-ul corect.
Cat de des dati update la software-ul RS?
Update-urile de pachete Ubuntu se aplica saptamanal in fereastra standard de mentenanta DSIX (marti 02:00-06:00 EET). Upgrade-urile majore BIRD sunt anuntate cu cel putin 14 zile inainte prin lista de membri DSIX si noc@dreamserver.ro. Modificari minore de config (noi communities, ajustari filtre) se aplica cu notice mai scurt.
