Configuración en RIPE para el alta en DE-CIX Madrid – versión para novatos

Sep 7, 2017Nixval

Recientemente hemos estado dando soporte a varios clientes de DE-CIX Madrid en su configuración de BGP y de RIPE en la conexión a los servidores de rutas. Esta entrada es un resumen de algunas de las consideraciones a tener en cuenta a la hora de dar de alta este servicio, y será de interés para el pequeño ISP que se esté iniciando en el peering, y que no tenga muy claro el funcionamiento de los servidores de rutas de los puntos de intercambio de internet con filtrado automatizado. Vamos, que si no es así esta entrada no es para tí y si tienes RIPE perfectamente configurado y mantenido – como debería ser – pues la mayor parte de esta información será perfectamente conocida.

Para el alta en DE-CIX Madrid es necesario proporcionar la siguiente información:

  • El AS del cliente
  • El AS-SET para IPv4 – Este objeto de RIPE (u otro RIR) es el que utilizan los route-servers de DE-CIX para el filtrado de los prefijos que anuncian los participantes en el punto de intercambio.
  • El AS-SET para IPv6 -Lo mismo que el anterior para IPv6.
  • Los FQDNs para IPv4 e IPv6 – Los Fully Qualified Domain Names para la resolución de las IPsv4 e IPv6 que nos asignará DE-CIX.
  • El RIR: RIPE, APNIC, etc…
  • MAC – DE-CIX filtra por dirección MAC y es necesario informarles de la MAC utilizada en el puerto de conexión. Cualquier cambio en la MAC hay que notificarlo, ya que el servicio dejará de funcionar.

Si – a pesar de ser LIR – no tenemos muy claro el funcionamiento de la base de datos orientada a objetos de RIPE, el mejor sitio para empezar es su formación on-line: https://academy.ripe.net/. Lo mejor en estos casos es siempre leerse bien las instrucciones y tener un poco de lo que parece que hemos perdido últimamente: la paciencia, que nos va a hacer falta.

Para el objeto AS-SET hay que seguir, evidentemente, las directrices de RIPE o del RIR que corresponda. El objeto AS-SET contiene un listado de ASs que en nuestro caso se van a utilizar para autorizar o no los prefijos recibidos por los route servers.

Este sería un ejemplo de un AS-SET para el AS1234 que tiene 3 clientes en tránsito, el ASXXXXX, el ASYYYYYY y el ASZZZZZ. Tan sencillo como incluir como members a todos los ASs que van a anunciar prefijos a través de nuestro AS. Incluimos nuestro propio AS, ya que lo normal es que anunciemos prefijos nosotros también. Un ejemplo de este objeto:

 

as-set:          AS-MIRED1234-TRANSIT

descr:           Este es mi AS-SET para servicios de tránsito

members:         AS1234

remarks:         —– Este es nuestro AS ——-

members:         ASXXXXXX

remarks:         —– Este es el AS de nuestro cliente de tránsito IP X ——-

members:         ASYYYYYY

remarks:         —– Este es el AS de nuestro cliente de tránsito IP Y ——-

members:         ASZZZZZZ

(………)

tech-c:          [Objeto RIPE obligatorio]

admin-c:         [Objeto RIPE obligatorio]

mnt-by:         [Objeto maintainer de RIPE]

created:         2016-03-11T09:35:59Z

last-modified:   2017-09-05T07:18:14Z

source:          RIPE

 

En cuanto a la configuración del objeto AS en sí – nuestro objeto aut-num – los route-servers de DE-CIX no verifican realmente las entradas import y export de dicho objeto. Pero eso no quiere decir que no tengamos que tenerlas correctamente configuradas.

Por último, todos los prefijos que se van a anunciar tienen que tener sus correspondientes objetos inetnum y objetos route creados siguiendo las directrices de RIPE. Nada de esto último es específico de DE-CIX, simplemente se trata de cumplir con lo que nos exige RIPE.

Una vez estamos conectados y tenemos la configuración BGP correcta – en lo que no vamos a entrar aquí –  es necesario tener en cuenta también que:

  • Los filtros de DE-CIX Madrid se actualizan cada 4 horas
  • Los prefijos deben estar registrados en RIPE como mínimo 24 horas antes de su anuncio inicial en el punto de intercambio.

Los filtros que utilizan los route servers de DE-CIX para permitir el intercambio de prefijos son los siguientes:

  • El prefijo IP se verifica para que no esté incluido en los prefijos MARTIAN, prefijos reservados y de direccionamiento privado que nunca deben estar presentes en internet. (RFC 1918, RFC 5735, and RFC 6598).
  • Se verifica que el prefijo IP esté registrado en un RIR (RIPE) por un AS que sea parte del AS-SET proporcionado por el cliente. Es decir, tiene que existir un inetnum en RIPE con ese prefijo que pertenezca a uno de los ASs indicados como member del AS-SET.
  • Se comprueba el AS de origen resolviendo el AS-SET proporcionado. Es decir, el prefijo recibido por la sesión BGP tiene que tener su origen en uno de los ASs indicados como member en el AS-SET proporcionado.
  • El AS-path del prefijo se comprueba también con los ASNs reservados y privados definidos en las RFC7607, RFC6793, RFC5398, RFC6996, RFC7300, RFC5398, RFC6996, RFC7300).

 

Una herramienta muy interesante – probablemente imprescindible – para verificar si nuestra configuración en el RIR (RIPE, etc…) es correcta y consistente con lo que estamos anunciando en nuestras sesiones BGP es IRR Explorer (la verificación que utiliza el equipo técnico de DE-CIX):  http://irrexplorer.nlnog.net/ , introduciendo en la casilla nuestro número de AS.

Esta herramienta comprueba si la configuración en RIPE coincide o no con lo que estamos anunciando en nuestra sesión BGP. Si no nos muestra ningún error, nuestra configuración es correcta. Los errores que nos aparezcan en rojo indicarán que los route-servers no aceptarán dichos prefijos por ser su configuración errónea.

Los errores típicos pueden ser:

  • No existe el objeto route Prefix in DFZ, but no route-object with correct origin anywhere
  • Origen incorrecto en RIPE: Prefix is in DFZ, but registered with wrong origin in RIPE!
  • Objetos route innecesarios : Not seen in BGP, but (legacy?) route-objects exist, consider clean-up

 

Si la comprobación da un resultado de Perfect entonces la configuración es correcta y podemos dar el proceso por finalizado.

Por último, en el looking glass de DE-CIX Madrid: https://lg.mad.de-cix.net/ podemos verificar si los route-servers están recibiendo correctamente nuestros prefijos. En la pestaña «neighbor info» si introducimos la IP que nos ha asignado DE-CIX podremos ver la relación de prefijos que está recibiendo cada uno de los route-servers.

 

Esperamos que estas indicaciones sean de utilidad.