IPv6 EBGP Temel Filtreleme

  • Default route (::/0) kabul etmeyin :

Genel olarak default route, kabul edilmez. Default route traffic akışında bir çeşit karadelik oluşturur. Bunun yerine uygun olan tüm internet routing tablosunun alınmasıdır. Dest bilinmiyen trafik drop edilmelidir. Fakat full internet routing tablosunun’da backbone’da dolaştırılması mümkün olmıyabilir (MPLS label space, IGP scaling issues). Dolayısı ile aslında  EBGP ile default almasanız bile bir şekilde içeride default kullanırsınız.

Ayrıca birden fazla çıkış noktası olması durumunda, noktalar arasında yedeklilik sağlamak için geçiş önemlidir. Bu durumda içeride statik floatin default route ile ilerlemek, en kontrollü yöntem. Fakat yönetimi zor. Bu durumdada statik route next-hop track sorunları yaratıyor. Çıkış noktalarından biri down olmadığuı sürece ona ait olan route kaybolmaz (EEM, scripting vb track yöntemleri kullanılmadığı sürece!) Dolayısı ile EBGP’si down olsa bile trafik söz konusu çıkış noktasına gelir ve oradan diğer çıkış noktasına gider. Dolayısı ile çıkış noktalarından default route dinamik olarak anons etmek işleri kolaylaştırır, eğer internet routing için bir L3 MPLS VPN kullanılıyor ise bu IGP’yi internet rourting’den ayıracağı için güvenlikde sağlamış olur.

En uygun çözüm ise, default kabul etmemek, full internet tablosu alıp harici bir route-ref kullanarak, internet erişim noktlarına full internet tablosunu kullanmaktır. next-hop self ve L3 MPLS VPN kullanıldığı sürece MPLS etiket kullanımıda minimize edilmiş olur.

Ayrıca, eğer EBGP ethernet üzerinden kuruluyor ise karşı tarafın down olduğu OAM veya BFD kullanmadan algılanmaz. Veya object tracking, EEM gibi toolar kullanmak gerekir. Bunun yerine default kabul edilip, BGP down olduğunda route gitmesi sağlanabilir. İki durum vardır, BGP down olduğunu anlamak (kısa sürede) ve next hopun kullanılmaz olduğunu algılamak, ve default çıkışın backbone’da kullanılmasını sağlamak ve arıza durumunda bunu backbone yansıtmak.

  • Bogon Prefixes yasaklanmalı. Burada iki tip filtreleme yapılabilir. Gevşek veya sıkı. Sıkı yöntemde zararlı IPv6 prefixlerin surekli takip edilip guncellenmesi gerekmektedir. Aşağıda bir örnek gevşek liste verilmiştir.

Prefix that contains Loop back Address ::1/128 le 128
Unspecified Address : ::/128, IETF reserved Address
Formerly IPv4-compatible IPv6 Address: ::/96 le 128,
IPv4-mapped IPv6 Address : ::ffff:0000:0000/96 le 96
Unspecified, loopback and embedded IPv4 addresses : ::/8 le 128
Link-local Address : fe80::/10 le 128
IETF reserved Address(formerly Site-local Address) : fec0::/10 le 128
Unique-local Address : fc00::/7 le 128
Multicast Address : ff00::/8 le 128
Documentation Address : 2001:db8::/32 le 128
6to4 addressing : 2002::/16 le 128

ipv6 prefix-list P_BOGON_FILTER seq 5 permit ::1/128 le 128
ipv6 prefix-list P_BOGON_FILTER seq 10 permit ::/128
ipv6 prefix-list P_BOGON_FILTER seq 15 permit ::ffff:0000:0000/96 le 96
ipv6 prefix-list P_BOGON_FILTER seq 20 permit ::/96 le 128
ipv6 prefix-list P_BOGON_FILTER seq 25 permit fe80::/10 le 128
ipv6 prefix-list P_BOGON_FILTER seq 30 permit fec0::/10 le 128
ipv6 prefix-list P_BOGON_FILTER seq 35 permit fc00::/7 le 128
ipv6 prefix-list P_BOGON_FILTER seq 40 permit ff00::/8 le 128
ipv6 prefix-list P_BOGON_FILTER seq 45 permit 2001:db8::/32 le 128
ipv6 prefix-list P_BOGON_FILTER seq 50 permit 2002::/16 le 128

  • Ayrıca ::/48 uzun prefixleri kabul etmeyin. Genel olarak internette izin verilmemektedir.

ipv6 prefix-list P_SMALL_PREFIXES seq 5 permit ::/0 ge 49

  • Transit olmamak için sadece karşı tarafın AS-PATH kabul edilmeli ve diğer peeringler anons edilmemelidir. Ayrıca diğer peeringlerin as-pathleride kabul edilmemlidir.

Yararlı Linkler :

  1. http://www.space.net/~gert/RIPE/ipv6-filters.html
  2. http://6session.wordpress.com/2009/04/08/ipv6-martian-and-bogon-filters/
  3. RFC 4890

Leave a Reply

Your email address will not be published.