1 – Políticas
Política de Uso Aceitável (PUA) – Versão 1.0
Política de Requisito Técnico (PRT) – Versão 1.0
1.1 – Modalidades
O participante pode aderir ao UEPG IX em duas modalidades, a seu critério: vlan bilateral e acordo de tráfego multilateral (ATM/MPLA). A modalidade vlan bilateral conecta dois participantes entre si. Na modalidade ATM troca-se tráfego com todos participantes que estão nessa mesma modalidade. As definições a seguir se aplicam para a modalidade ATM.
2 – Recursos de numeração
O UEPG IX opera com os seguintes recursos de numeração:
ASN: 61600
IPv4: 45.186.143.0/24
IPv6: 2801:80:37a0::/64
3 – Roteamento Seguro
O UEPG IX recomenda que seus membros implementem as 4 ações de roteamento seguro, descritas aqui
4 – AS112
O UEPG IX opera uma instância do serviço do AS112 via anycast. Esse sistema provê respostas DNS reversas para diversos prefixos, listados abaixo:
- 10.0.0.0/8
- 192.168.0.0/16
- 172.16.0.0/12
- 169.254.0.0/16
Como esses endereços são utilizados em redes privadas, diversos sistemas fazem consultas DNS reversas para esses endereços. Tais respostas, fora do ambiente privado, devem ser respondidas como nula, o mais rápido possível, de forma a impedir a a propagação dessas consultas DNS que podem causar sobrecarga nos servidores DNS.
O AS112 está configurado no UEPG IX com os endereços 45.186.143.250 e 2801:80:37a0::a500:112:1 e anuncia os seguintes prefixos no ATM:
- 192.175.48.0/24
- 192.31.196.0/24
- 2001:4:112::/48
- 2620:4f:8000::/48
O AS112 também está configurado nas VLANs de quatentena do UEPG IX, de forma a auxiliar o troubleshooting em novas ativações ou alterações das conexões dos participantes.
Se não desejar receber os prefixos do AS112, basta fazer um filtro em seu roteador para nao receber as rotas marcadas com a community BGP 61600:112
Para maiores informações sobe o projeto, visite: https://www.as112.net/
Para executar testes e verificar qual instância anycast do AS112 está respondendo, basta rodar os seguintes comandos em um terminal Linux:
dig @192.175.48.1 hostname.as112.net txt dig @2620:4f:8000::1 hostname.as112.net txt
5 – Communities BGP
5.1 – Comunidades de filtragem
O tratamento de communities do UEPG IX segue o padrão definido na tabela abaixo.
As comunidades informadas abaixo são processadas pelos route-servers e não propagadas. Todas as demais comunidades são propagadas para os peers de forma transparente.
Para extended communities, considerar: ro == so == soo
| Ordem de precedência | Standard | Extended | Large | Ação |
|---|---|---|---|---|
| 1 | 61600:0:peer-as | Não anunciar para peer-as | ||
| 2 | 61600:1:peer-as | Anunciar para peer-as | ||
| 3 | 61600:0:0 | Não anunciar para nenhum peer | ||
| 4 | 65000:peer-as | ro:65000:peer-as rt:65000:peer-as | Não anunciar para peer-as | |
| 5 | 65001:peer-as | ro:65001:peer-as rt:65001:peer-as | Anunciar para peer-as | |
| 6 | 0:61600 | ro:0:61600 rt:0:61600 | Não anunciar para nenhum peer | |
| N/A | 64601:peer-as | ro:64601:peer-as rt:64601:peer-as | 61600:64601:peer-as 61600:101:peer-as | Prepend 1 vez para peer-as |
| N/A | 64602:peer-as | ro:64602:peer-as rt:64602:peer-as | 61600:64602:peer-as 61600:102:peer-as | Prepend 2 vezes para peer-as |
| N/A | 64603:peer-as | ro:64603:peer-as rt:64603:peer-as | 61600:64603:peer-as 61600:103:peer-as | Prepend 3 vezes para peer-as |
5.2 – Comunidades Informativas
Os route servers adicionam as comunidades listadas abaixo para identificar qual o ASN que fez o anúncio dos prefixos e marcação de rotas provenientes do UEPG IX.
| Standard | Extended | |
|---|---|---|
| Identificação do ASN (16 bits) | 61600:peer-as | |
| Identificação do ASN (32 bits) | ro:61600:peer-as rt:61600:peer-as |
|
| Identificação do UEPG IX | 61600:65042 | ro:61600:65042 rt:61600:65042 |
6 – Número máximo de prefixos
Cada participante tem definido um numero maximo de prefixos que pode anunciar aos route servers em IPv4 e IPv6. Se esse numero for ultrapassado, a sessão BGP é derrubada de forma automática pelos route-servers.
Caso seja necessário aumentar o número máximo de prefixos, o participante deverá abrir chamado via suporte.
7 – Validações efetuadas pelos route-servers do UEPG IX
A ordem de validação segue os itens descritos nesta página
7.1 – Tamanho dos prefixos são permitidos conforme abaixo:
IPv4: mascaras entre /8 e /24 inclusive
IPv6: mascaras entre /3 e /48 inclusive
7.2 – Filtro de Bogons (prefixos)
Os seguintes prefixos abaixo serão descartados, se anunciados:
IPv4
| 0.0.0.0/8 | 'this' network [RFC1122] |
| 10.0.0.0/8 | Pprivate space [RFC1918] |
| 100.64.0.0/10 | CGN Shared [RFC6598] |
| 127.0.0.0/8 | Localhost [RFC1122] |
| 169.254.0.0/16 | Link local [RFC3927] |
| 172.16.0.0/12 | Private space [RFC1918] |
| 192.0.0.0/24 | IETF Protocol Assignments |
| 192.0.2.0/24 | TEST-NET-1 [RFC5737] |
| 192.88.99.0/24 | 6to4 Relay Anycast [RFC3068] |
| 192.168.0.0/16 | Private space [RFC1918] |
| 198.18.0.0/15 | Benchmarking [RFC2544] |
| 198.51.100.0/24 | TEST-NET-2 [RFC5737] |
| 203.0.113.0/24 | TEST-NET-3 [RFC5737] |
| 224.0.0.0/4 | Multicast |
| 240.0.0.0/4 | Reserved for future use |
| 255.255.255.255/32 | Limited Broadcast [RFC0919] |
IPv6
| 2001:10::/28 | ORCHID [RFC4843] |
| 2001:20::/28 | ORCHIDv2 [RFC7343] |
| 2001:db8::/32 | Document range [RFC3849] |
| ::/0 | Default |
| ::/96 | IPv4-compatible IPv6 address - deprecated by RFC4291 |
| ::/128 | Unspecified address |
| ::1/128 | Local host loopback address |
| ::ffff:0.0.0.0/96 | IPv4-mapped addresses |
| ::224.0.0.0/100 | Compatible address (IPv4 format) |
| ::127.0.0.0/104 | Compatible address (IPv4 format) |
| ::0.0.0.0/104 | Compatible address (IPv4 format) |
| ::255.0.0.0/104 | Compatible address (IPv4 format) |
| 0000::/8 | Pool used for unspecified, loopback and embedded IPv4 addresses |
| 0200::/7 | OSI NSAP-mapped prefix set (RFC4548) - deprecated by RFC4048 |
| 3ffe::/16 | Former 6bone, now decommissioned |
| 2002:e000::/20 | Invalid 6to4 packets (IPv4 multicast) |
| 2002:7f00::/24 | Invalid 6to4 packets (IPv4 loopback) |
| 2002:0000::/24 | Invalid 6to4 packets (IPv4 default) |
| 2002:ff00::/24 | Invalid 6to4 packets |
| 2002:0a00::/24 | Invalid 6to4 packets (IPv4 private 10.0.0.0/8 network) |
| 2002:ac10::/28 | Invalid 6to4 packets (IPv4 private 172.16.0.0/12 network) |
| 2002:c0a8::/32 | Invalid 6to4 packets (IPv4 private 192.168.0.0/16 network) |
7.3 – Prefixos utilizados pelo UEPG IX e IX.br
Os prefixos abaixo serão descartados, se anunciados:
| 45.186.143.0/24 | IX UEPG v4 |
| 200.219.130.0/23 | IX.br v4 |
| 200.219.138.0/23 | IX.br v4 |
| 200.219.140.0/23 | IX.br v4 |
| 200.219.143.0/24 | IX.br v4 |
| 200.219.144.0/22 | IX.br v4 |
| 200.192.108.0/22 | IX.br v4 |
| 187.16.192.0/19 | IX.br v4 |
| 45.6.52.0/22 | IX.br v4 |
| 2801:80:37a0::/64 | IX UEPG v6 |
| 2001:12f8::/48 | IX.br v6 |
7.4 – Filtro de Bogons (ASN)
Os prefixos dos seguintes ASNs serão descartados, se anunciados:
| ASN | RFC |
|---|---|
| 0 | RFC 7607 |
| 23456 | RFC 6793 AS_TRANS |
| 64496 a 64511 | RFC 5398 and documentation/example ASNs |
| 64512 a 65534 | RFC 6996 Private ASNs |
| 65535 | RFC 7300 Last 16 bit ASN |
| 65536 a 65551 | RFC 5398 and documentation/example ASNs |
| 65552 a 131071 | IANA reserved ASNs |
| 4200000000 a 4294967294 | RFC 6996 Private ASNs |
| 4294967295 | RFC 7300 Last 32 bit ASN |
7.5 – Filtro de ASNs Tier-1
Os prefixos dos seguintes ASNs serão descartados, se anunciados:
| ASN | Nome |
|---|---|
| 174 | Cogent |
| 209 | Centurylink |
| 286 | KPN |
| 701 | Verizon |
| 702 | Verizon |
| 703 | Verizon |
| 1239 | Sprint |
| 1299 | Telia |
| 2828 | XO |
| 2914 | NTT |
| 3257 | GTT Communications |
| 3320 | Deutsche Telekom |
| 3356 | Level 3 |
| 3491 | PCCW Global |
| 3549 | Level 3 |
| 3561 | Centurylink |
| 4134 | China Telecom |
| 4323 | TWTC |
| 4436 | GTT |
| 5511 | Orange |
| 6453 | Tata Communications |
| 6461 | Zayo |
| 6762 | Telecom Italia Sparkle |
| 6830 | UPC |
| 6939 | HE |
| 7018 | AT&T |
| 12956 | TIWS |
7.6 – Validação de origem
Todos os prefixos do UEPG IX precisam obrigatoriamente:
- Possuir registro RPKI válido (recomendado), ou
- Constar em alguma base IRR
O UEPG IX oferece suporte aos seus membros nas ações para roteamento seguro, descritas aqui.
Para maiores informações sobre como assinar e publicar seus prefixos via RPKI, clique aqui para visualizar o tutorial elaborado pelo NIC.br
O UEPG IX possui uma base IRR própria para manter os dados dos seus membros e efetuar a validação de origem de forma mais ágil. Clique aqui para saber mais.
Recomendamos ainda, a criação de um objeto as-set na base IRR contendo o seu ASN e todos os ASNs para os quais provê trânsito. Assim, a atualização dos prefixos de um novo cliente de trânsito será feita de forma automatizada, sem necessidade de abrir chamado para o UEPG IX.
Caso o participante necessite de auxílio para a validação de seus prefixos via RPKI ou para verificar os dados do seu ASN via IRR, o UEPG IX pode ajudar nesse processo. Basta abrir um chamado de suporte para tal.
Caso algum prefixo não esteja devidamente atualizado, o participante deverá abrir chamado via suporte para verificação.
O Looking Glass do UEPG IX é muito útil para verificar as validações feitas pelos route-servers e para auxiliar na resolução de problemas no caso de rotas bloqueadas/filtradas pelo IX.
7.7 – Demais validações
O as-path deve conter ao menos 1 ASN e no mámixo 64 ASNs.
O ASN do peer deve ser o primeiro ASN do as-path anunciado.
Todo prefixo que o next-hop não for o mesmo IP do peer que o anunciou será descartado. Isso evita o sequestro (hijack) de prefixos.
8 – Blackhole
O UEPG IX implementa blackhole em sua matriz de comutação. Para saber mais, clique aqui
