Documentação

UEPG Internet Exchange

1 – Políticas

Política de Uso Aceitável (PUA) – Versão 1.0
Política de Requisito Técnico (PRT) – Versão 1.0

2 – Recursos de numeração

O UEPG IX opera com os seguintes recursos de numeração:

ASN: 61600
IPv4: 45.186.143.0/24
IPv6: 2801:80:37a0::/64

3 – Roteamento Seguro

O UEPG IX recomenda que seus membros implementem as 4 ações de roteamento seguro, descritas aqui

4 – AS112

O UEPG IX opera uma instância do serviço do AS112 via anycast. Esse sistema provê respostas DNS reversas para diversos prefixos, listados abaixo:

  • 10.0.0.0/8
  • 192.168.0.0/16
  • 172.16.0.0/12
  • 169.254.0.0/16

Como esses endereços são utilizados em redes privadas, diversos sistemas fazem consultas DNS reversas para esses endereços. Tais respostas, fora do ambiente privado, devem ser respondidas como nula, o mais rápido possível, de forma a impedir a a propagação dessas consultas DNS que podem causar sobrecarga nos servidores DNS.

O AS112 está configurado no UEPG IX com os endereços 45.186.143.250 e 2801:80:37a0::a500:112:1 e anuncia os seguintes prefixos no ATM:

  • 192.175.48.0/24
  • 192.31.196.0/24
  • 2001:4:112::/48
  • 2620:4f:8000::/48

O AS112 também está configurado nas VLANs de quatentena do UEPG IX, de forma a auxiliar o troubleshooting em novas ativações ou alterações das conexões dos participantes.

Se não desejar receber os prefixos do AS112, basta fazer um filtro em seu roteador para nao receber as rotas marcadas com a community BGP 61600:112

Para maiores informações sobe o projeto, visite: https://www.as112.net/

Para executar testes e verificar qual instância anycast do AS112 está respondendo, basta rodar os seguintes comandos em um terminal Linux:

dig @192.175.48.1 hostname.as112.net txt
dig @2620:4f:8000::1 hostname.as112.net txt

5 – Communities BGP

5.1 – Comunidades de filtragem

O tratamento de communities do UEPG IX segue o padrão definido na tabela abaixo.
As comunidades informadas abaixo são processadas pelos route-servers e não propagadas. Todas as demais comunidades são propagadas para os peers de forma transparente.
Para extended communities, considerar: ro == so == soo

Ordem de precedênciaStandardExtendedLargeAção
161600:0:peer-asNão anunciar para peer-as
261600:1:peer-asAnunciar para peer-as
361600:0:0Não anunciar para nenhum peer
465000:peer-asro:65000:peer-as
rt:65000:peer-as
Não anunciar para peer-as
565001:peer-asro:65001:peer-as
rt:65001:peer-as
Anunciar para peer-as
60:61600ro:0:61600
rt:0:61600
Não anunciar para nenhum peer
N/A64601:peer-asro:64601:peer-as
rt:64601:peer-as
61600:64601:peer-as
61600:101:peer-as
Prepend 1 vez para peer-as
N/A64602:peer-asro:64602:peer-as
rt:64602:peer-as
61600:64602:peer-as
61600:102:peer-as
Prepend 2 vezes para peer-as
N/A64603:peer-asro:64603:peer-as
rt:64603:peer-as
61600:64603:peer-as
61600:103:peer-as
Prepend 3 vezes para peer-as

5.2 – Comunidades Informativas

Os route servers adicionam as comunidades listadas abaixo para identificar qual o ASN que fez o anúncio dos prefixos e marcação de rotas provenientes do UEPG IX.

 StandardExtended
Identificação do ASN (16 bits)61600:peer-as
Identificação do ASN (32 bits)ro:61600:peer-as
rt:61600:peer-as
Identificação do UEPG IX61600:65042ro:61600:65042
rt:61600:65042

6 – Número máximo de prefixos

Cada participante tem definido um numero maximo de prefixos que pode anunciar aos route servers em IPv4 e IPv6. Se esse numero for ultrapassado, a sessão BGP é derrubada de forma automática pelos route-servers.
Caso seja necessário aumentar o número máximo de prefixos, o participante deverá abrir chamado via suporte.

7 – Validações efetuadas pelos route-servers do UEPG IX

7.1 – Tamanho dos prefixos são permitidos conforme abaixo:

IPv4: mascaras entre /8 e /24 inclusive
IPv6: mascaras entre /3 e /48 inclusive

7.2 – Filtro de Bogons (prefixos)

Os seguintes prefixos abaixo serão descartados, se anunciados:

IPv4

0.0.0.0/8 'this' network [RFC1122]
10.0.0.0/8 Pprivate space [RFC1918]
100.64.0.0/10 CGN Shared [RFC6598]
127.0.0.0/8 Localhost [RFC1122]
169.254.0.0/16 Link local [RFC3927]
172.16.0.0/12 Private space [RFC1918]
192.0.0.0/24 IETF Protocol Assignments
192.0.2.0/24 TEST-NET-1 [RFC5737]
192.88.99.0/24 6to4 Relay Anycast [RFC3068]
192.168.0.0/16 Private space [RFC1918]
198.18.0.0/15 Benchmarking [RFC2544]
198.51.100.0/24 TEST-NET-2 [RFC5737]
203.0.113.0/24 TEST-NET-3 [RFC5737]
224.0.0.0/4 Multicast
240.0.0.0/4 Reserved for future use
255.255.255.255/32 Limited Broadcast [RFC0919]

IPv6

2001:10::/28ORCHID [RFC4843]
2001:20::/28ORCHIDv2 [RFC7343]
2001:db8::/32Document range [RFC3849]
::/0 Default
::/96IPv4-compatible IPv6 address - deprecated by RFC4291
::/128Unspecified address
::1/128Local host loopback address
::ffff:0.0.0.0/96IPv4-mapped addresses
::224.0.0.0/100Compatible address (IPv4 format)
::127.0.0.0/104Compatible address (IPv4 format)
::0.0.0.0/104Compatible address (IPv4 format)
::255.0.0.0/104Compatible address (IPv4 format)
0000::/8Pool used for unspecified, loopback and embedded IPv4 addresses
0200::/7OSI NSAP-mapped prefix set (RFC4548) - deprecated by RFC4048
3ffe::/16Former 6bone, now decommissioned
2002:e000::/20Invalid 6to4 packets (IPv4 multicast)
2002:7f00::/24Invalid 6to4 packets (IPv4 loopback)
2002:0000::/24Invalid 6to4 packets (IPv4 default)
2002:ff00::/24Invalid 6to4 packets
2002:0a00::/24Invalid 6to4 packets (IPv4 private 10.0.0.0/8 network)
2002:ac10::/28Invalid 6to4 packets (IPv4 private 172.16.0.0/12 network)
2002:c0a8::/32Invalid 6to4 packets (IPv4 private 192.168.0.0/16 network)

7.3 – Prefixos utilizados pelo UEPG IX e IX.br

Os prefixos abaixo serão descartados, se anunciados:

45.186.143.0/24IX UEPG v4
200.219.130.0/23IX.br v4
200.219.138.0/23IX.br v4
200.219.140.0/23IX.br v4
200.219.143.0/24IX.br v4
200.219.144.0/22IX.br v4
200.192.108.0/22IX.br v4
187.16.192.0/19IX.br v4
45.6.52.0/22IX.br v4
2801:80:37a0::/64IX UEPG v6
2001:12f8::/48IX.br v6

7.4 – Filtro de Bogons (ASN)

Os prefixos dos seguintes ASNs serão descartados, se anunciados:

ASNRFC
0RFC 7607
23456RFC 6793 AS_TRANS
64496 a 64511RFC 5398 and documentation/example ASNs
64512 a 65534RFC 6996 Private ASNs
65535RFC 7300 Last 16 bit ASN
65536 a 65551RFC 5398 and documentation/example ASNs
65552 a 131071IANA reserved ASNs
4200000000 a 4294967294RFC 6996 Private ASNs
4294967295RFC 7300 Last 32 bit ASN

7.5 – Filtro de ASNs Tier-1

Os prefixos dos seguintes ASNs serão descartados, se anunciados:

ASNNome
174Cogent
209Centurylink
286KPN
701Verizon
702Verizon
703Verizon
1239Sprint
1299Telia
2828XO
2914NTT
3257GTT Communications
3320Deutsche Telekom
3356Level 3
3491PCCW Global
3549Level 3
3561Centurylink
4134China Telecom
4323TWTC
4436GTT
5511Orange
6453Tata Communications
6461Zayo
6762Telecom Italia Sparkle
6830UPC
6939HE
7018AT&T
12956TIWS

7.6 – Validação de origem

Todos os prefixos do UEPG IX precisam obrigatoriamente:

  • Possuir registro RPKI válido (recomendado), ou
  • Constar em alguma base IRR

O UEPG IX oferece suporte aos seus membros nas ações para roteamento seguro, descritas aqui.

Para maiores informações sobre como assinar e publicar seus prefixos via RPKI, clique aqui para visualizar o tutorial elaborado pelo NIC.br

No caso de utilizar base IRR, recomendamos o uso da base TC, disponível para cadastro gratuito em https://bgp.net.br.

Recomendamos ainda, a criação de um objeto as-set na base IRR contendo o seu ASN e todos os ASNs para os quais provê trânsito. Assim, a atualização dos prefixos de um novo cliente de trânsito será feita de forma automatizada, sem necessidade de abrir chamado para o UEPG IX.

Caso o participante necessite de auxílio para a validação de seus prefixos via RPKI ou para cadastrar seu ASN via IRR, o UEPG IX pode ajudar nesse processo. Basta abrir um chamado de suporte para tal.

Caso algum prefixo não esteja devidamente atualizado, o participante deverá abrir chamado via suporte para verificação.

O Looking Glass do UEPG IX é muito útil para verificar as validações feitas pelos route-servers e para auxiliar na resolução de problemas no caso de rotas bloqueadas/filtradas pelo IX.

7.7 – Demais validações

O as-path deve conter ao menos 1 ASN e no mámixo 64 ASNs.

O ASN do peer deve ser o primeiro ASN do as-path anunciado.

Todo prefixo que o next-hop não for o mesmo IP do peer que o anunciou será descartado. Isso evita o sequestro (hijack) de prefixos.