ROUTE SERVER IIX-JB

Saat ini, tim IIX-JB APJII Jawa Barat atau JABRIX sedang melakukan proses transisi fungsional Route Server (RS). Berikut detailnya

Yang harus disiapkan anggota IIX

IIX telah menerapkan pemfilteran prefix masuk (Allow / Permit Prefix) pada route server menggunakan RPKI dan IRRDB (route-object dan as-set) dari berbagai sumber data IRR untuk memungkinkan anggota yang terhubung hanya mengumumkan prefix yang telah mereka daftarkan secara publik. Jika prefix Anda memiliki ROA RPKI yang valid, maka prefix akan diizinkan. Jika hasil pemeriksaan ROA RPKI tidak diketahui (unknown) (Anda belum membuat ROA), kami kembali merujuk ke IRRDB.

Apa-apa saja yang harus disiapkan atau diupdate oleh setiap anggota sebagai berikut:

ROA (Route Origin Authorization) adalah objek tersertifikasi yang berisi list prefix yang boleh diadvertise oleh suatu AS Number. ROA adalah komponen utama dalam RPKI, anda bisa membuat ROA pada portal MyIDNIC atau RIR/NIR tempat prefix tersebut dialokasikan.

Route-object digunakan untuk validasi route origin AS, anda bisa tambahkan route-object pada portal MyIDNIC atau RADB.

AS-SET / Peering Macro digunakan untuk allow/permit ASN member dari Anggota (transit), jadi anda bisa allow ASN yang transit secara mandiri dan NOC APJII tidak menerima permintaan allow/permit prefix, anda bisa tambahkan as-set pada portal MyIDNIC atau RADB (pilih salah satu). Update AS-SET pada peeringdb. Urutan IRR yang IIX pilih yaitu IDNIC, RADB, APNIC,RIPE,NTTCOMM, LEVEL3.

catatan : ASN Anda harus di tambahkan pada member juga pada isian AS-SET. perhatikan contoh dibawah

as-set: AS1234:AS-CONTOHNET
descr: CONTOHNET AS-SET
tech-c: AN3033-AP
admin-c: AN3033-AP
mnt-by: MAINT-ID-CONTOHNET
members: AS1234
members: AS6789
members: AS9876

Peeringdb = IIX menggunakan peeringdb sebegai data referensi anggota IIX yang akan terkoneksi dengan route server. Anggota diharusnya membuat akun di peeringdb secara gratis dan mengisi semua data secara benar dan as-set objek didefinisikan pada peeringdb kolom IRR as-set/route-set jika anda sudah membuat AS-SET objek.

Announcement control via BGP communities

No.ActionStandardExtendedLarge
1Tagging Prefix Import IIX-Jakarta65000:1040  
2Tagging Prefix Export Prefix Member to IIX – Jakarta65000:2040  
3Do not announce to any client0:7597rt:0:75977597:0:0
4Announce to peer, even if tagged with the previous community7597:peer_asrt:7597:peer_as7597:1:peer_as
5Do not announce to peer0:peer_asrt:0:peer_as7597:0:peer_as
6Prepend the announcing ASN once to peer65001:peer_asrt:65001:peer_as7597:65001:peer_as
7Prepend the announcing ASN twice to peer65002:peer_asrt:65002:peer_as7597:65002:peer_as
8Prepend the announcing ASN thrince to peer65003:peer_asrt:65003:peer_as7597:65003:peer_as
9Prepend the announcing ASN once to any65501:7597rt:65501:75977597:101:0
10Prepend the announcing ASN twice to any65502:7597rt:65502:75977597:102:0
11Prepend the announcing ASN thrince to any65503:7597rt:65503:75977597:103:0
12Add NO_EXPORT to peer65281:peer_asrt:65281:peer_as7597:65281:peer_as
13Add NO_ADVERTISE to peer65282:peer_asrt:65282:peer_as7597:65282:peer_as
     
    

Route Server

Saat ini, node IIX-JB sudah tersedia dua (2) route server (RS). Kami merekomendasikan Anda untuk terhubung ke kedua RS agar jika salah satu RS bermasalah, link Anda ke IIX-JB dapat dibackup dengan RS yang lain (redundan).

Detail Informasi Route Server IIX-JB

Route Server 1Route Server 2
ASN                     : 7597
IP                         : 103.19.77.2/24
IPv6                     : 2001:df7:3400::2/64
Platform             : Bird
Transparent AS : Ya
ASN                     : 7597
IP                         : 103.19.77.7/24
IPv6                     : 2001:df7:3400::7/64
Platform             : Bird
Transparent AS : Ya

 

Contoh konfigurasi

Berikut ini beberapa contoh konfigurasi beberapa platform untuk terhubung ke RS IIX-JB.

Cisco IOS

no bgp enforce-first-as
!
neighbor IIX-peer maximum-prefix 50000
neighbor v6IIX-peer maximum-prefix 10000
!
neighbor 103.19.77.2 remote-as 7597
neighbor 103.19.77.2 peer-group IIX-peer
neighbor 103.19.77.2 description iix_rs2
!
neighbor 2001:df7:3400::2 remote-as 7597
neighbor 2001:df7:3400::2 peer-group v6IIX-peer
neighbor 2001:df7:3400::2 description iix_rs2

IOS-XR


neighbor 103.19.77.2
  remote-as 7597
  use neighbor-group IIX
  description iix_rs2
  enforce-first-as disable
  address-family ipv4 unicast
    maximum-prefix 50000 restart 30
!
neighbor 2001:df7:3400::2
  remote-as 7597
  use neighbor-group IIXv6
  description iix_rs2
  enforce-first-as disable
  address-family ipv6 unicast
    maximum-prefix 10000 restart 30

Juniper

"configuration protocols bgp"

group iix-rserver2 {
    type external;
    neighbor 103.19.77.2 {
        description "ipv4 IIX-rserver2";
        family inet {
            unicast {
                prefix-limit {
                    maximum 50000;
                }
            }
        }
        peer-as 7597;
    }
}


group v6iix-rserver2 {
    type external;
    neighbor 2001:df7:3400::2 {
        description "ipv6 IIX-rserver2";
        family inet {
            unicast {
                prefix-limit {
                    maximum 10000;
                }
            }
        }
        peer-as 7597;
    }
}

Mikrotik

/routing bgp peer
add in-filter="in-iix-jb " max-prefix-limit=50000 max-prefix-restart-time=30s \
    name="rs-iix-jb-1-v4 " out-filter="out-iix-jb " remote-address=103.19.77.2 \
    remote-as=7597 remove-private-as=yes

add address-families=ipv6 in-filter="in-iix-jb -v6" max-prefix-limit=10000 \
    max-prefix-restart-time=30s name=rs-iix-jb-1-v6 out-filter="out-iix-jb -v6" \
    remote-address=2001:df7:3400::2 remote-as=7597 remove-private-as=yes



Contoh penggunaan Community

Cisco

R2(config)# ip bgp-community new-format
R2(config)# access-list 1 permit 0.0.0.0 mask 255.255.255.0
R2(config)# route-map out-no-export permit 10
R2(config-route-map)# match ip address 1
R2(config-route-map)# set community 0:23456
R2(config-route-map)# exit
R2(config)# route-map out-no-export permit 20
R2(config-route-map)# exit
R2(config)# router bgp 24521
R2(config-router)# neighbor 103.19.77.2 send-community
R2(config-router)# neighbor 103.19.77.2 route-map out-no-export out

Juniper

set policy-options community no-advertise members 0:23456
set policy-statement ke-iix-jb term prefix from 0.0.0.0/24 exact
set policy-statement ke-iix-jb term prefix then community add no-advertise
set policy-statement ke-iix-jb term prefix then accept
set policy-statement ke-iix-jb term liyone then reject

Mikrotik

/routing filter
add action=accept chain="out-iix-jb" prefix=x.x.x.x/24 set-bgp-communities=65000:2040
add action=discard chain="out-iix-jb" prefix=x.x.x.x/0 prefix-length=0-32

Untuk Prefix Sesuaikan dengan Network masing-masing

Hal-hal yang perlu dihindari

  1. Tidak menerapkan rule filter pada bgp yang akan diaktifkan
  2. Kesalahan penulisan commuity tagging
  3. Apabila telah selesai konfigurasi bisa dicheck pada looking glass yang tersedia.