BGP Community, Blackhole / RTBH ve Upstream Anons Kontrolü Kullanım Kılavuzu
1. Amaç
Bu doküman, BGP müşterilerinin Teknotel AS25145 üzerinden aşağıdaki işlemleri kontrollü şekilde yapabilmesi için hazırlanmıştır:
- BGP Blackhole / RTBH
- Upstream bazlı anons kesme
- Upstream bazlı prepend
- Local-preference yönlendirme tercihleri
- IPv4 ve IPv6 için operasyonel kullanım kuralları
- NOC tarafından yapılacak doğrulama ve kontrol adımları
2. Kullanım Seviyesi ve Yetki Ayrımı
| Bilgi / İşlem | Müşteri Kullanabilir mi? | NOC Kullanabilir mi? | Not |
|---|---|---|---|
25145:666 blackhole community |
Evet | Evet | Kontrollü kullanılmalıdır. |
Generic prepend 25145:1001/1002/1003 |
Evet | Evet | Trafik mühendisliği için kullanılabilir. |
| Upstream bazlı no-export/prepend | Evet | Evet | İlgili BGP oturumunda policy aktif olmalıdır. |
| Local-preference community’leri | Koşullu | Evet | Yalnızca Teknotel AS içindeki route selection davranışını etkiler. |
| Internal export marking community’leri | Hayır | Evet | Müşteri tarafından doğrudan kullanılmamalıdır. |
| Router/policy/show komutları | Hayır | Evet | NOC operasyon doğrulaması içindir. |
| DE-CIX route-server özel policy detayları | Hayır | Evet | NOC onayı olmadan müşteri tarafından kullanılmamalıdır. |
3. BGP Blackhole / RTBH Nedir?
BGP Blackhole veya RTBH, DDoS ya da zararlı trafik altında kalan IP adresine gelen trafiğin Teknotel veya upstream operatör ağı üzerinde düşürülmesini sağlayan yönlendirme yöntemidir.
Blackhole edilen IP veya prefix erişilemez hale gelir. Bu nedenle yalnızca saldırı altındaki hedef için, kontrollü ve geçici olarak kullanılmalıdır.
4. Genel Kurallar
| Kural | Açıklama |
|---|---|
| Teknotel ASN | AS25145 |
| Community formatı | 25145:xxxx |
| Müşteri router gereksinimi | send-community aktif olmalıdır |
| IPv4 blackhole önerisi | /32 |
| IPv6 blackhole önerisi | /128 |
| Normal IPv4 minimum anons | Genellikle /24 |
| Normal IPv6 minimum anons | Prefix-policy kapsamında değerlendirilir |
| Yanlış kullanım riski | Servis kesintisi, trafik kaybı, upstream yedekliliğinin azalması |
5. Müşteri Tarafından Kullanılabilecek Ana Community’ler
Aşağıdaki community’ler müşteri tarafından kullanılabilir.
| Community | Müşteri Kullanımı | Açıklama |
|---|---|---|
25145:444 |
Evet | Prefix’in Teknotel üzerinden yurtdışı anonsu kesilir / national-only davranışı için kullanılır. |
25145:555 |
Evet | International/transit anons davranışı için kullanılır. |
25145:666 |
Evet | Blackhole / RTBH. İlgili hedefe erişim kesilir. |
25145:1001 |
Evet | Transit/upstream anonslarına 1 prepend eklenir. |
25145:1002 |
Evet | Transit/upstream anonslarına 2 prepend eklenir. |
25145:1003 |
Evet | Transit/upstream anonslarına 3 prepend eklenir. |
NOC notu: Bu community’lerin çalışması için ilgili müşteri BGP oturumunda community kabulü ve export policy entegrasyonu aktif olmalıdır.
6. Blackhole / RTBH Kullanımı
6.1 IPv4 Blackhole
IPv4 blackhole için önerilen kullanım, saldırı alan IP adresinin /32 olarak anons edilmesi ve 25145:666 community’sinin eklenmesidir.
| Prefix | Community | Sonuç |
|---|---|---|
203.0.113.10/32 |
25145:666 |
Yalnızca hedef IP blackhole edilir. |
/24 blackhole bazı senaryolarda çalışabilir; ancak tüm subnetin erişimini kesebileceği için NOC onayı olmadan kullanılmamalıdır.
Müşteri notu: Saldırı altındaki tek IP için /32 kullanın.
NOC notu: /24 blackhole taleplerinde müşteri onayı, saldırı kapsamı ve servis etkisi doğrulanmalıdır.
6.2 IPv6 Blackhole
IPv6 blackhole için önerilen kullanım, saldırı alan IPv6 adresinin /128 olarak anons edilmesi ve 25145:666 community’sinin eklenmesidir.
| Prefix | Community | Sonuç |
|---|---|---|
2a02:xxxx:xxxx::dead/128 |
25145:666 |
Yalnızca hedef IPv6 adresi blackhole edilir. |
Müşteri notu: IPv6 tarafında /48, /56 veya /64 gibi geniş prefix’leri blackhole etmeyin.
NOC notu: IPv6 RTBH doğrulamasında prefix uzunluğu /128 olmalıdır. Geniş prefix blackhole talepleri servis kesintisi riski nedeniyle ayrıca onaylanmalıdır.
7. Upstream Bazlı Anons Kesme ve Prepend Community’leri
Aşağıdaki community’ler müşteri tarafından kullanılabilir. Ancak ilgili BGP oturumunda policy aktif değilse NOC tarafından etkinleştirme ve doğrulama yapılmalıdır.
| Upstream / Peering | ASN | Anons Kesme | 1 Prepend | 2 Prepend | 3 Prepend | Kullanım Notu |
|---|---|---|---|---|---|---|
| Türk Telekom | AS9121 | 25145:2000 |
25145:2001 |
25145:2002 |
25145:2003 |
Müşteri kullanabilir; NOC doğrular. |
| Superonline | AS34984 | 25145:3000 |
25145:3001 |
25145:3002 |
25145:3003 |
Müşteri kullanabilir; NOC doğrular. |
| TiSparkle | AS6762 | 25145:4000 |
25145:4001 |
25145:4002 |
25145:4003 |
Müşteri kullanabilir; NOC doğrular. |
| Hurricane Electric | AS6939 | 25145:5000 |
25145:5001 |
25145:5002 |
25145:5003 |
Müşteri kullanabilir; NOC doğrular. |
| RETN | AS9002 | 25145:6000 |
25145:6001 |
25145:6002 |
25145:6003 |
Müşteri kullanabilir; NOC doğrular. |
| DE-CIX Istanbul / Peering | AS20715 | 25145:8000 |
25145:8001 |
25145:8002 |
25145:8003 |
NOC onayı gerektirir. |
| Voxility | AS3223 | 25145:9000 |
25145:9001 |
25145:9002 |
25145:9003 |
DDoS koruma etkisi olabilir; NOC onayı önerilir. |
8. DE-CIX / Peering Özel Notu
DE-CIX Istanbul, transit upstream değil, route-server / peering yapısıdır. Bu nedenle DE-CIX community’leri transit community’leri gibi değerlendirilmemelidir.
| Bilgi | Kullanım |
|---|---|
| DE-CIX no-export/prepend community’leri | NOC onayı gerektirir |
| DE-CIX route-server advertise community’leri | NOC operasyonu içindir |
| DE-CIX internal export marking | Müşteri tarafından kullanılmamalıdır |
| DE-CIX policy doğrulaması | NOC tarafından yapılır |
Müşteri notu: DE-CIX yönünde özel anons kesme veya prepend isteniyorsa NOC’a talep açılmalıdır.
NOC notu: DE-CIX tarafında route-server advertise community davranışı korunmalı; transit-style policy doğrudan uygulanmamalıdır.
9. Local Preference Community’leri
Local-preference community’leri, yalnızca Teknotel AS25145 içindeki inbound route selection davranışını etkiler. Upstream operatörlerin kendi routing kararlarını değiştirmez.
| Local Preference | Anlam |
|---|---|
| 170 | Primary / birincil yol |
| 150 | Preferred / tercih edilen yol |
| 90 | Backup / yedek yol |
9.1 Türk Telekom – AS9121
| Community | Local Preference | Kullanım |
|---|---|---|
25145:2090 |
170 | NOC/müşteri kontrollü |
25145:2091 |
150 | NOC/müşteri kontrollü |
25145:2092 |
90 | NOC/müşteri kontrollü |
9.2 Superonline – AS34984
| Community | Local Preference | Kullanım |
|---|---|---|
25145:3090 |
170 | NOC/müşteri kontrollü |
25145:3091 |
150 | NOC/müşteri kontrollü |
25145:3092 |
90 | NOC/müşteri kontrollü |
9.3 TiSparkle – AS6762
| Community | Local Preference | Kullanım |
|---|---|---|
25145:4090 |
170 | NOC/müşteri kontrollü |
25145:4091 |
150 | NOC/müşteri kontrollü |
25145:4092 |
90 | NOC/müşteri kontrollü |
9.4 Hurricane Electric – AS6939
| Community | Local Preference | Kullanım |
|---|---|---|
25145:5090 |
170 | NOC/müşteri kontrollü |
25145:5091 |
150 | NOC/müşteri kontrollü |
25145:5092 |
90 | NOC/müşteri kontrollü |
9.5 RETN – AS9002
| Community | Local Preference | Kullanım |
|---|---|---|
25145:6090 |
170 | NOC/müşteri kontrollü |
25145:6091 |
150 | NOC/müşteri kontrollü |
25145:6092 |
90 | NOC/müşteri kontrollü |
Müşteri notu: Local-preference community’leri yalnızca Teknotel ağı içerisindeki yol seçimini etkiler.
NOC notu: Local-preference community’lerinin çalışması için ilgili import policy müşteri BGP oturumunda aktif olmalıdır.
10. Müşteri Router Örnekleri
10.1 Juniper Junos IPv4 Blackhole
set policy-options community TEKNOTEL-BLACKHOLE members 25145:666
set policy-options policy-statement EXPORT-TO-TEKNOTEL term BLACKHOLE from route-filter 203.0.113.10/32 exact
set policy-options policy-statement EXPORT-TO-TEKNOTEL term BLACKHOLE then community add TEKNOTEL-BLACKHOLE
set policy-options policy-statement EXPORT-TO-TEKNOTEL term BLACKHOLE then accept
set protocols bgp group TEKNOTEL export EXPORT-TO-TEKNOTEL
10.2 Juniper Junos IPv6 Blackhole
set policy-options community TEKNOTEL-BLACKHOLE members 25145:666
set policy-options policy-statement EXPORT-TO-TEKNOTEL-V6 term BLACKHOLE-V6 from route-filter 2a02:xxxx:xxxx::dead/128 exact
set policy-options policy-statement EXPORT-TO-TEKNOTEL-V6 term BLACKHOLE-V6 then community add TEKNOTEL-BLACKHOLE
set policy-options policy-statement EXPORT-TO-TEKNOTEL-V6 term BLACKHOLE-V6 then accept
set protocols bgp group TEKNOTEL-V6 export EXPORT-TO-TEKNOTEL-V6
10.3 Cisco IOS / IOS-XE IPv4 Blackhole
ip prefix-list BLACKHOLE-IP seq 10 permit 203.0.113.10/32
route-map EXPORT-TO-TEKNOTEL permit 10
match ip address prefix-list BLACKHOLE-IP
set community 25145:666 additive
router bgp <CUSTOMER_ASN>
neighbor <TEKNOTEL_PEER_IP> send-community
neighbor <TEKNOTEL_PEER_IP> route-map EXPORT-TO-TEKNOTEL out
10.4 MikroTik RouterOS Örneği
/routing filter rule
add chain=bgp-out rule="if (dst == 203.0.113.10/32) { append bgp-communities 25145:666; accept; }"
NOC notu: Müşteri örnekleri vendor/version bazında farklılık gösterebilir. Uygulama öncesi müşterinin BGP oturumu, prefix-policy ve send-community durumu kontrol edilmelidir.
Bu doküman şu amaçla kullanılabilir:
Müşteri kullanım kılavuzu: Müşterinin hangi community’yi göndereceğini açıklar.
Müşteriye açık community’ler ile NOC/internal community’ler karıştırılmamalıdır. Internal export marking community’leri müşteriye uygulama community’si olarak verilmemelidir.
