BGP Community, Blackhole / RTBH ve Upstream Anons Kontrolü Kullanım Kılavuzu


1. Amaç

Bu doküman, BGP müşterilerinin Teknotel AS25145 üzerinden aşağıdaki işlemleri kontrollü şekilde yapabilmesi için hazırlanmıştır:

  • BGP Blackhole / RTBH
  • Upstream bazlı anons kesme
  • Upstream bazlı prepend
  • Local-preference yönlendirme tercihleri
  • IPv4 ve IPv6 için operasyonel kullanım kuralları
  • NOC tarafından yapılacak doğrulama ve kontrol adımları

2. Kullanım Seviyesi ve Yetki Ayrımı

Bilgi / İşlem Müşteri Kullanabilir mi? NOC Kullanabilir mi? Not
25145:666 blackhole community Evet Evet Kontrollü kullanılmalıdır.
Generic prepend 25145:1001/1002/1003 Evet Evet Trafik mühendisliği için kullanılabilir.
Upstream bazlı no-export/prepend Evet Evet İlgili BGP oturumunda policy aktif olmalıdır.
Local-preference community’leri Koşullu Evet Yalnızca Teknotel AS içindeki route selection davranışını etkiler.
Internal export marking community’leri Hayır Evet Müşteri tarafından doğrudan kullanılmamalıdır.
Router/policy/show komutları Hayır Evet NOC operasyon doğrulaması içindir.
DE-CIX route-server özel policy detayları Hayır Evet NOC onayı olmadan müşteri tarafından kullanılmamalıdır.

3. BGP Blackhole / RTBH Nedir?

BGP Blackhole veya RTBH, DDoS ya da zararlı trafik altında kalan IP adresine gelen trafiğin Teknotel veya upstream operatör ağı üzerinde düşürülmesini sağlayan yönlendirme yöntemidir.

Blackhole edilen IP veya prefix erişilemez hale gelir. Bu nedenle yalnızca saldırı altındaki hedef için, kontrollü ve geçici olarak kullanılmalıdır.


4. Genel Kurallar

Kural Açıklama
Teknotel ASN AS25145
Community formatı 25145:xxxx
Müşteri router gereksinimi send-community aktif olmalıdır
IPv4 blackhole önerisi /32
IPv6 blackhole önerisi /128
Normal IPv4 minimum anons Genellikle /24
Normal IPv6 minimum anons Prefix-policy kapsamında değerlendirilir
Yanlış kullanım riski Servis kesintisi, trafik kaybı, upstream yedekliliğinin azalması

5. Müşteri Tarafından Kullanılabilecek Ana Community’ler

Aşağıdaki community’ler müşteri tarafından kullanılabilir.

Community Müşteri Kullanımı Açıklama
25145:444 Evet Prefix’in Teknotel üzerinden yurtdışı anonsu kesilir / national-only davranışı için kullanılır.
25145:555 Evet International/transit anons davranışı için kullanılır.
25145:666 Evet Blackhole / RTBH. İlgili hedefe erişim kesilir.
25145:1001 Evet Transit/upstream anonslarına 1 prepend eklenir.
25145:1002 Evet Transit/upstream anonslarına 2 prepend eklenir.
25145:1003 Evet Transit/upstream anonslarına 3 prepend eklenir.

NOC notu: Bu community’lerin çalışması için ilgili müşteri BGP oturumunda community kabulü ve export policy entegrasyonu aktif olmalıdır.


6. Blackhole / RTBH Kullanımı

6.1 IPv4 Blackhole

IPv4 blackhole için önerilen kullanım, saldırı alan IP adresinin /32 olarak anons edilmesi ve 25145:666 community’sinin eklenmesidir.

Prefix Community Sonuç
203.0.113.10/32 25145:666 Yalnızca hedef IP blackhole edilir.

/24 blackhole bazı senaryolarda çalışabilir; ancak tüm subnetin erişimini kesebileceği için NOC onayı olmadan kullanılmamalıdır.

Müşteri notu: Saldırı altındaki tek IP için /32 kullanın.
NOC notu: /24 blackhole taleplerinde müşteri onayı, saldırı kapsamı ve servis etkisi doğrulanmalıdır.

6.2 IPv6 Blackhole

IPv6 blackhole için önerilen kullanım, saldırı alan IPv6 adresinin /128 olarak anons edilmesi ve 25145:666 community’sinin eklenmesidir.

Prefix Community Sonuç
2a02:xxxx:xxxx::dead/128 25145:666 Yalnızca hedef IPv6 adresi blackhole edilir.

Müşteri notu: IPv6 tarafında /48, /56 veya /64 gibi geniş prefix’leri blackhole etmeyin.
NOC notu: IPv6 RTBH doğrulamasında prefix uzunluğu /128 olmalıdır. Geniş prefix blackhole talepleri servis kesintisi riski nedeniyle ayrıca onaylanmalıdır.


7. Upstream Bazlı Anons Kesme ve Prepend Community’leri

Aşağıdaki community’ler müşteri tarafından kullanılabilir. Ancak ilgili BGP oturumunda policy aktif değilse NOC tarafından etkinleştirme ve doğrulama yapılmalıdır.

Upstream / Peering ASN Anons Kesme 1 Prepend 2 Prepend 3 Prepend Kullanım Notu
Türk Telekom AS9121 25145:2000 25145:2001 25145:2002 25145:2003 Müşteri kullanabilir; NOC doğrular.
Superonline AS34984 25145:3000 25145:3001 25145:3002 25145:3003 Müşteri kullanabilir; NOC doğrular.
TiSparkle AS6762 25145:4000 25145:4001 25145:4002 25145:4003 Müşteri kullanabilir; NOC doğrular.
Hurricane Electric AS6939 25145:5000 25145:5001 25145:5002 25145:5003 Müşteri kullanabilir; NOC doğrular.
RETN AS9002 25145:6000 25145:6001 25145:6002 25145:6003 Müşteri kullanabilir; NOC doğrular.
DE-CIX Istanbul / Peering AS20715 25145:8000 25145:8001 25145:8002 25145:8003 NOC onayı gerektirir.
Voxility AS3223 25145:9000 25145:9001 25145:9002 25145:9003 DDoS koruma etkisi olabilir; NOC onayı önerilir.

8. DE-CIX / Peering Özel Notu

DE-CIX Istanbul, transit upstream değil, route-server / peering yapısıdır. Bu nedenle DE-CIX community’leri transit community’leri gibi değerlendirilmemelidir.

Bilgi Kullanım
DE-CIX no-export/prepend community’leri NOC onayı gerektirir
DE-CIX route-server advertise community’leri NOC operasyonu içindir
DE-CIX internal export marking Müşteri tarafından kullanılmamalıdır
DE-CIX policy doğrulaması NOC tarafından yapılır

Müşteri notu: DE-CIX yönünde özel anons kesme veya prepend isteniyorsa NOC’a talep açılmalıdır.
NOC notu: DE-CIX tarafında route-server advertise community davranışı korunmalı; transit-style policy doğrudan uygulanmamalıdır.


9. Local Preference Community’leri

Local-preference community’leri, yalnızca Teknotel AS25145 içindeki inbound route selection davranışını etkiler. Upstream operatörlerin kendi routing kararlarını değiştirmez.

Local Preference Anlam
170 Primary / birincil yol
150 Preferred / tercih edilen yol
90 Backup / yedek yol

9.1 Türk Telekom – AS9121

Community Local Preference Kullanım
25145:2090 170 NOC/müşteri kontrollü
25145:2091 150 NOC/müşteri kontrollü
25145:2092 90 NOC/müşteri kontrollü

9.2 Superonline – AS34984

Community Local Preference Kullanım
25145:3090 170 NOC/müşteri kontrollü
25145:3091 150 NOC/müşteri kontrollü
25145:3092 90 NOC/müşteri kontrollü

9.3 TiSparkle – AS6762

Community Local Preference Kullanım
25145:4090 170 NOC/müşteri kontrollü
25145:4091 150 NOC/müşteri kontrollü
25145:4092 90 NOC/müşteri kontrollü

9.4 Hurricane Electric – AS6939

Community Local Preference Kullanım
25145:5090 170 NOC/müşteri kontrollü
25145:5091 150 NOC/müşteri kontrollü
25145:5092 90 NOC/müşteri kontrollü

9.5 RETN – AS9002

Community Local Preference Kullanım
25145:6090 170 NOC/müşteri kontrollü
25145:6091 150 NOC/müşteri kontrollü
25145:6092 90 NOC/müşteri kontrollü

Müşteri notu: Local-preference community’leri yalnızca Teknotel ağı içerisindeki yol seçimini etkiler.
NOC notu: Local-preference community’lerinin çalışması için ilgili import policy müşteri BGP oturumunda aktif olmalıdır.


10. Müşteri Router Örnekleri

10.1 Juniper Junos IPv4 Blackhole

set policy-options community TEKNOTEL-BLACKHOLE members 25145:666
set policy-options policy-statement EXPORT-TO-TEKNOTEL term BLACKHOLE from route-filter 203.0.113.10/32 exact
set policy-options policy-statement EXPORT-TO-TEKNOTEL term BLACKHOLE then community add TEKNOTEL-BLACKHOLE
set policy-options policy-statement EXPORT-TO-TEKNOTEL term BLACKHOLE then accept
set protocols bgp group TEKNOTEL export EXPORT-TO-TEKNOTEL

10.2 Juniper Junos IPv6 Blackhole

set policy-options community TEKNOTEL-BLACKHOLE members 25145:666
set policy-options policy-statement EXPORT-TO-TEKNOTEL-V6 term BLACKHOLE-V6 from route-filter 2a02:xxxx:xxxx::dead/128 exact
set policy-options policy-statement EXPORT-TO-TEKNOTEL-V6 term BLACKHOLE-V6 then community add TEKNOTEL-BLACKHOLE
set policy-options policy-statement EXPORT-TO-TEKNOTEL-V6 term BLACKHOLE-V6 then accept
set protocols bgp group TEKNOTEL-V6 export EXPORT-TO-TEKNOTEL-V6

10.3 Cisco IOS / IOS-XE IPv4 Blackhole

ip prefix-list BLACKHOLE-IP seq 10 permit 203.0.113.10/32

route-map EXPORT-TO-TEKNOTEL permit 10
 match ip address prefix-list BLACKHOLE-IP
 set community 25145:666 additive

router bgp <CUSTOMER_ASN>
 neighbor <TEKNOTEL_PEER_IP> send-community
 neighbor <TEKNOTEL_PEER_IP> route-map EXPORT-TO-TEKNOTEL out

10.4 MikroTik RouterOS Örneği

/routing filter rule
add chain=bgp-out rule="if (dst == 203.0.113.10/32) { append bgp-communities 25145:666; accept; }"

NOC notu: Müşteri örnekleri vendor/version bazında farklılık gösterebilir. Uygulama öncesi müşterinin BGP oturumu, prefix-policy ve send-community durumu kontrol edilmelidir.

 

Bu doküman şu amaçla kullanılabilir:

Müşteri kullanım kılavuzu: Müşterinin hangi community’yi göndereceğini açıklar.

Müşteriye açık community’ler ile NOC/internal community’ler karıştırılmamalıdır. Internal export marking community’leri müşteriye uygulama community’si olarak verilmemelidir.