User Tools

Site Tools


hamnet:backbone

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
hamnet:backbone [2020/04/18 10:31] – [Politique de routage inter-AS] f4hofhamnet:backbone [2020/04/18 10:52] (current) – [Architecture économe en adresse 44.x.x.x] f4hof
Line 18: Line 18:
  
 Pour éviter le gaspillage des adresses IP en 44.x.x.x au maximum et les réserver aux utilisateurs, nous utilisons au maximum les règles suivantes: Pour éviter le gaspillage des adresses IP en 44.x.x.x au maximum et les réserver aux utilisateurs, nous utilisons au maximum les règles suivantes:
-  * Les liaisons entre routeurs intra-AS sont réalisées au maximum avec des IPs privées (scope RFC1918, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/24) ou avec des IPs du scope RFC 7793 (100.64.0.0/10).+  * Les liaisons entre routeurs intra-AS sont réalisées au maximum avec des IPs privées (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/24) ou avec des IPs du scope RFC 7793 (100.64.0.0/10).
   * Lorsque l'on doit impérativement utiliser des IPs 44.x.x.x pour une liaison point-à-point, on utilisera, là où c'est possible, des subnets en /31 (RFC 3021).   * Lorsque l'on doit impérativement utiliser des IPs 44.x.x.x pour une liaison point-à-point, on utilisera, là où c'est possible, des subnets en /31 (RFC 3021).
   * Si l'on souhaite attribuer une adresse en 44.x.x.x à un organe réseau qui n'en n'aurait pas besoin (routeur intra-AS par exemple), on attachera une adresse en /32 sur une loopback.   * Si l'on souhaite attribuer une adresse en 44.x.x.x à un organe réseau qui n'en n'aurait pas besoin (routeur intra-AS par exemple), on attachera une adresse en /32 sur une loopback.
  
-==== Politique de routage inter-AS ====+===== Politique de routage =====
  
-  * Le protocole utilisé pour le routage inter-AS est BGP version 4. +Détaillée dans [[hamnet:backbone:policy|Politique de routage Hamnet]]
-  * Le réseau Hamnet européen est une Default-Free Zone (zone de routage sans route par défaut). +
-  * Les pairs ne doivent pas annoncer/relayer des routes qui se situent hors du scope 44.0.0.0/8.  +
- +
-=== Filtrage des routes sortantes === +
-On veillera à filtrer les annonces des routes de notre AS pour éviter la publication de routes spécifiques inutiles. Par exemple, si vous devez annoncer un /27, il est vivement recommandé de mettre en place un filtre pour éviter vos routes spécifiques en /28 et supérieur, sauf si le besoin est justifié et techniquement incontournable. +
- +
-Si vous faites le choix de mettre en place une passerelle vers le réseau AMPRnet dans votre AS, vous devez impérativement filtrer les annonces des routes des réseaux accessibles via AMPRnet pour ne pas les annoncer à vos AS voisins. L'architecture d'AMPRnet ne vous permettra, de toute façon, pas de servir de transitaire pour le trafic d'Hamnet Europe. +
- +
-=== Filtrage des routes entrantes === +
-Il est vivement recommandé de mettre en place la politique de filtrage suivante (sauf si besoin justifié, documenté et incontournable): +
-  * Refuser les annonces des préfixes délégués aux membres de l'AS +
-  * Autoriser les annonces incluses dans 44.0.0.0/8 et dont le masque est supérieur ou égal à 9 +
-  * Refuser toute autre route +
- +
-=== BCP38 et filtrage en bordure d'AS === +
-  * Vous devez détruire le trafic entrant, sur vos interfaces de bordure, dont les adresses (source ou destination) ne sont pas incluses dans le scope 44.0.0.0/8. +
-  * Vous devez détruire le trafic sortant, sur vos interfaces de bordure, dont les adresses (source ou destination) ne sont pas incluses dans le scope 44.0.0.0/8. +
-  * Si vous faites le choix, avec le gestionnaire d'un autre AS, d'utiliser des adresses non Hamnet sur une interface en bordure d'AS, l'exception aux règles précédentes ne doit permettre que le trafic en provenance et à desination du (ou des) routeur(s) de bordure directement connecté(s) sur cette interface. +
-  * Afin de lutter contre l'usurpation d'adresses IP, et de limiter les attaques par réflexion, il est vivement recommandé à l'administrateur d'un AS de détruire tout paquet provenant d'un autre AS et dont l'adresse IP **source** fait partie des subnets qui lui ont été affectés (sauf si le besoin justifié, documenté et incontournable). +
-  * Lorsque vous gérez un AS stub (vous n'êtes pas un transitaire pour d'autres AS), il est vivement recommandé de filtrer sur vos interfaces de bordure d'AS le trafic dont l'adresse IP source n'est pas incluse dans les subnets qui vous sont affectés. +
- +
- +
-==== Politique de routage intra-AS ==== +
-Le protocole utilisé pour le routage intra-AS est choisi à la discrétion du responsable technique de l'AS. +
-Le responsable technique s'assure que ses interfaces de bordure sont configurées pour ne pas propager son protocole de routage intra-AS. +
- +
-==== Fourniture de transit ==== +
- +
-S'il le souhaite, un AS peut choisir de devenir transitaire pour un autre AS (par exemple pour transporter le trafic d'un AS physiquement isolé).+
  
hamnet/backbone.1587205876.txt.gz · Last modified: 2020/04/18 10:31 by f4hof