Über N-IX
   Anschluss
   Teilnehmer
   Mehrwertdienste
       Peering
       Private VLANs
       Routereflector
       Gremienarbeit
       Beratung + Training
       DNS-Server
       Time-Server
       File-Server
       News-Server
   Tools
 

Betrieb:
Rackspace provided by
Powered by

 

Am N-IX werden zwei Route Reflektoren betrieben:

  • rr1.n-ix.net
  • rr2.n-ix.net

Jeder N-IX Peer kann an einem oder beiden Route Reflektoren peeren, um mit anderen zu den RR konnektierten AS Routen auszutauschen.

Anders als bei anderen Exchanges filtern die Route Reflektoren allerdings keine Prefixe, sondern setzen lediglich Communities um Empfehlungen abzugeben. Das Filtern ist dem empfangenden AS vorbehalten.

Der Route Reflektor versteht bzw sendet folgende Communities, die Richtung ist dabei aus Sicht des Reflektors zu sehen, d.h. "inbound" bedeutet, dass der Peer zum Reflektor sendet, "outbound" sendet der Reflektor zum Peer. Sind beide Richtungen angegeben, so tauscht der Route Reflektor die Communities entsprechend aus.

Aus technischen Gruenden ist es aktuell leider nicht moeglich, alle fuer eine Session unrelevanten Communities zu loeschen, daher werden bei einkommenden Routen erstmal nur die Communities geloescht, die der Routeserver selber setzen soll (21083:10xxx). (Sobald die Funktionalitaet verfuegbar ist, wird der Routeserver ausgehende alle Communities loeschen, die nicht 21083:*, source-as:* oder dest-as:* entsprechen.)

Der Routeserver agiert im transparenten Modus, das heisst das AS des RouteServer (21083) wird nicht in den AS-Pfad eingehaengt, wenn es der sendende Peer nicht explizit wuenscht (21083:10{1-3}).

Die für den Exchange verfügbaren Communities sind wie folgt:

inbound community explanation outbound community filter recommendation
       
tagging by routereflector      
- invalid prefix 21083:10103 reject
- peer as is 21083 21083:10201 accept
- path doesnt contain peeras as first element 21083:10202 reject
- invalid prefix(2) 21083:10203 reject
- Net (Prefix) does match RPSL Data 21083:10300 accept
- Net doesnt match RPSL 21083:10301 reject
- ROA: No information about validity 21083:10400 accept
- ROA: signed and valid 21083:10401 accept
- ROA: signed, but invalid 21083:10402 reject
       
basic set peeras is Peer-AS, unless substituted.    
0, peeras do not announce to peeras - /
21083, peeras announce to peeras - /
0, 21083 do not announce to any peer - /
21083, 21083 announce to all peers - /
       
special set peeras is Peer-AS, unless substituted. 0 means ALL    
peeras:10x prepend 0-9; (0 is default=transparent mode) 21083:10(1-9) /
peeras:660 announce prefix with no-export no-export /
peeras:666 Blackhole community 21083:666 discard
       
  "real" ASN peeras-substitue reason  
  197540 65043 NetCup has 32bit ASN  
  21083 65235 21083 has special meaning already.  

Anbei noch ein Juniper-kompatibler Konfig-Excerpt wie man die Communities filtern könnte:

[edit policy-options]
policy-statement nix_rr_example {
    term 10 {
        from community [ NIX_invalid NIX_NotMatchesRPSL NIX_ROAsignedAndInvalid NIX_notFirstAS ];
        then reject;
    }
    term 20 {
        from community NIX_blackhole;
        then {
            next-hop discard;
            accept;
        }
    }
    term 30 {
        from community [ NIX_ROAnoInformation NIX_ROAsignedAndValid NIX_matchesRPSL NIX_peer21083 ];
        then accept;
    }
}
community NIX_NotMatchesRPSL members 21083:10301;
community NIX_ROAnoInformation members 21083:10400;
community NIX_ROAsignedAndInvalid members 21083:104002;
community NIX_ROAsignedAndValid members 21083:104001;
community NIX_announceToAllPeers members 21083:21083;
community NIX_announceToNoPeer members 0:21083;
community NIX_blackhole members 21083:666;
community NIX_invalid members 21083:10103;
community NIX_matchesRPSL members 21083:10300;
community NIX_notFirstAS members 21083:10202;
community NIX_peer21083 members 21083:10201;

[edit policy-options]