Yang harus disiapkan anggota IIX
IIX telah menerapkan pemfilteran prefix masuk (Allow / Permit Prefix) pada route server menggunakan RPKI dan IRRDB (route-object dan as-set) dari berbagai sumber data IRR untuk memungkinkan anggota yang terhubung hanya mengumumkan prefix yang telah mereka daftarkan secara publik. Jika prefix Anda memiliki ROA RPKI yang valid, maka prefix akan diizinkan. Jika hasil pemeriksaan ROA RPKI tidak diketahui (unknown) (Anda belum membuat ROA), kami kembali merujuk ke IRRDB.
Apa-apa saja yang harus disiapkan atau diupdate oleh setiap anggota sebagai berikut:
–ROA (Route Origin Authorization) adalah objek tersertifikasi yang berisi list prefix yang boleh diadvertise oleh suatu AS Number. ROA adalah komponen utama dalam RPKI, anda bisa membuat ROA pada portal MyIDNIC atau RIR/NIR tempat prefix tersebut dialokasikan.
–Route-object digunakan untuk validasi route origin AS, anda bisa tambahkan route-object pada portal MyIDNIC atau RADB.
–AS-SET / Peering Macro digunakan untuk allow/permit ASN member dari Anggota (transit), jadi anda bisa allow ASN yang transit secara mandiri dan NOC APJII tidak menerima permintaan allow/permit prefix, anda bisa tambahkan as-set pada portal MyIDNIC atau RADB (pilih salah satu). Update AS-SET pada peeringdb. Urutan IRR yang IIX pilih yaitu IDNIC, RADB, APNIC,RIPE,NTTCOMM, LEVEL3.
catatan : ASN Anda harus di tambahkan pada member juga pada isian AS-SET. perhatikan contoh dibawah
as-set: AS1234:AS-CONTOHNET
descr: CONTOHNET AS-SET
tech-c: AN3033-AP
admin-c: AN3033-AP
mnt-by: MAINT-ID-CONTOHNET
members: AS1234
members: AS6789
members: AS9876
–Peeringdb = IIX menggunakan peeringdb sebegai data referensi anggota IIX yang akan terkoneksi dengan route server. Anggota diharusnya membuat akun di peeringdb secara gratis dan mengisi semua data secara benar dan as-set objek didefinisikan pada peeringdb kolom IRR as-set/route-set jika anda sudah membuat AS-SET objek.
Update Konfigurasi dan Prefix Filter
IRRDB prefix filter akan diupdate ke database ixp manager setiap 6 jam secara otomatis, atau bisa request update ke NOC IIX-APJII untuk update secara manual.
Route Server #1 akan melakukan update data konfigurasi dan prefix filter dari ixp manager setiap 1 jam.
| Task | Interval |
|---|---|
| irrdb:update-prefix-db | 7 */6 * * * |
| irrdb:update-asn-db | 37 */6 * * * |
| rs-api-reconfigure-all | 0 * * * * |
| Task | Interval |
|---|---|
| ixp-manager:update-in-peeringdb | 0 0 * * * |
Cara terhubung dengan Route Server (RS)
IP address peering IIX-Jakarta menggunakan /21 untuk IPv4 dan /64 untuk IPv6
| Public Peering IIX Jakarta | Route Server #1 (Operational) | Route Server #2 (Operational) |
|---|---|---|
| ASN | 7597 | 7597 |
| IPv4 Address | 123.108.8.111 | 123.108.9.111 |
| IPv6 Address | 2001:7fa:2:5:7597::111 | 2001:7fa:2:5:7597:2:0:111 |
| IIX RS Platform | Bird2 | Bird2 |
Required Capability Configuration Table
| Vendor | Required configuration | Vendor | Required configuration |
|---|---|---|---|
| Cisco(IOS) | router bgp **** no bgp enforce-first-as | Huawei | bgp **** undo check-first-as |
| Cisco(IOS-XR) | router bgp **** bgp enforce-first-as disable | Brocade(IronWare) | router bgp **** bgp enforce-first-as disable |
PENTING : Anggota diharuskan gunakan route-maps atau routing-filter untuk mengontrol prefix keluar agar hanya mengizinkan prefix yang ingin umumkan (announce).
Community based prefix filtering
| Description | Community | Large Community |
|---|---|---|
| Prevent announcement of a prefix to a peer | 0:peer-as | 7597:0:peer-as |
| Announce a route to a certain peer | 7597:peer-as | 7597:1:peer-as |
| Prevent announcement of a prefix to all peers | 0:7597 | 7597:0:0 |
| Prepend to peer AS once | 7597:101:peer-as | |
| Prepend to peer AS twice | 7597:102:peer-as | |
| Prepend to peer AS three times | 7597:103:peer-as |
Jika router Anda mendukung large community, Anda harus menggunakan community diatas 16-bit (standard) karena sejumlah besar anggota IIX sekarang memiliki ASN 32-bit. Anda tidak boleh menggabungkan standar community 16-bit dan large community bersamaan – silakan pilih salah satu.
Looking Glass
Anda dapat gunakan looking-glass untuk semua routes server IIX pada url: https://squad.iix.net.id/lg
Jika route server memfilter prefix, itu akan ditampilkan di looking-glass dengan simbol peringatan di route list State/PfxRcd . Anda dapat mengklik Detail untuk melihat mengapa prefix difilter.
| Known Issues | Actions |
|---|---|
| Automatic shutdown: Route limit exceeded | Prefix yang di announce ke IIX melebihi batas maksimal, default max-prefixes=100. Cek kembali route-map atau routing filter pada router anggota. |
| BGP Error: Required capability missing | disable enforce-first-as lihat pada tabel “Required Capability Configuration Table” Mikrotik : cek pada address family |
| RPKI INVALID | ROV mendeteksi route yang tidak sah oleh protocol RPKI, periksa ROA dan validasi menggunakan Routinator (idnic.net) |
| IRRDB ORGIN AS FILTERED | ASN tidak terdaftar dalam member AS-SET (silahkan update AS-SET) atau AS-SET key tidak valid / tidak didefinisikan pada IXP Manager IIX (hub NOC untuk cek) |
| IRRDB PREFIX EMPTY | AS-SET key tidak valid pada IXP Manager IIX (hub NOC untuk cek) |
Filtering Policy
IIX’s Route Server filtering policy ditentukan dalam source code IXP Manager github. Ini adalah ringkasan dari apa yang dilakukannya.
- Drop small prefixes – longer than /24 for ipv4 and longer than /48 for ipv6.
- Drop all well-known martians and bogons.
- Ensure that there is at least 1 ASN and less than 64 ASNs in the AS path.
- Ensure that the peer AS is the same as the first AS in the AS path.
- Drop any prefix where the next-hop IP address is not the same as the peer IP address. This prevents prefix hijacking.
- Drop any prefix with a transit network ASN in the AS path.
- Ensure that origin AS is in set of ASNs from the client’s IRRDB AS-SET.
- If the prefix is evaluated as RPKI valid, accept.
- If the prefix is evaluated as RPKI invalid, drop.
- If the prefix is evaluated as RPKI unknown, revert to standard IRRDB prefix filtering.