DE-CIX GLOBEPEER TEKNİK HİZMET TANIMLAMASI
DE-CIX GLOBEPEER TEKNİK HİZMET TANIMLAMASI
I. GENEL HÜKÜMLER
1. Genel Bakış, uygulama kapsamı
İşbu doküman DE-CIX GlobePEER ürünü için Teknik Hizmet Tanımlamasını (THT) içermektedir. İşbu THT, DE-CIX sözleşmesel yapısının bir parçasıdır.
İşbu THT sadece DE-CIX GlobePEER ürününe uygulanacaktır. Bununla birlikte GlobePEER ürünü diğer DE-CIX ürünleri ve hizmetleri için bir ön gereklilik olabilir. İşbu doküman sadece teknik özellikleri ve dokümantasyonu içermektedir. Lütfen hizmet seviyeleri için GlobePEER Özel Hizmet Seviyesi Sözleşmesi (Özel HSS)’ye danışınız.
2. Değişiklik
İşbu doküman DE-CIX Sözleşmesi hükümlerine uygun olarak her zaman yeniden düzenlenebilir ve değiştirilebilir.
3. Ürün önkoşulları
GlobePEER Ürünü kendisinin olağan operasyonu için aşağıdaki DE-CIX ürünlerini gerekli kılmaktadır:
• DE-CIX Erişim (Ana HSS ve DE-CIX Teknik Erişim Tanımlaması (TET)’ebakınız) herhangi bir veri merkezinde yer alan ve ilgili GlobePEER bölgesine yerel veya uzaktan1 bağlanılmasına imkan veren.
4. Uygulanabilir standartlar
Üyeler’in DE-CIX ağını kullanımı; STD0001 de ve ilişkili İnternet STD dokümanında ortaya koyulan ilgili standartlar ile daima uyumlu olacaktır.
1 DE-CIX’in bazı Santral konumları birbirine bağlanmıştır. Bu konumlarda müşteriler uzak konumda olan GlobePEER bölgesine erişimi ek hizmet olarak alabilirler, örneğin DE-CIX New York bölgesinin müşterileri, DE-CIX GlobePEER Frankfurt bölgesine erişim talep edebilirler.
II. VERİ BAĞLANTISI-KATMAN YAPILANDIRMASI (ISO/OSI KATMAN 2)
1. Bant genişliği (Bandwidth)
GlobePEER için kararlaştırılan bant genişliği, üzerinde GlobePEER ürününün kullanıldığı erişim bant genişliğinden veya kümelenmiş erişim destesinden farklı ise GlobePEER ürününün bant genişliği açıkça yapılandırılmalıdır.
2. Çerçeve türleri (Frame types)
Aşağıdaki genel prensipler uygulanacaktır:
Çerçeve türü (ethertürleri) | Prensip | Uygulama |
0x0800 – IPv4 0x0806 – ARP 0x86dd – IPv6 | İzin verilir | - |
Diğer bütün türler | Yok sayılır | Sıkı – izin verilen türler haricindeki diğer bütün çerçeveler yok sayılır. |
3. MAC adres yapılandırması (MAC address configuration)
GlobePEER hizmetine iletilen çerçevelerin hepsi aynı ortam erişim kontrolü (MAC) adres kaynağına sahip olacaktır.
4. Yayın/Çoklu gönderim Trafiği (Broadcast/Multicast Traffic)
Yayın/çoklu gönderim trafiğine aşağıdaki prensipler uygulanacaktır.
Protokol | Prensip | Uygulama |
Yayın ARP (proxy ARP hariç), çoklu gönderim IPv6 Komşu Keşfi (Neighbor Discovery- ND) | 1,000kbps hız ile sınırlı olmak üzere izin verilir | - |
Diğer bütün türler, başka bir deyişle bunlarla sınırlı olmamak üzere: - IRDP - ICMP yönlendirmeler - IEEE802 Kapsayan Ağaç (Spanning Tree) - Satıcıya ait tanımlama protokolleri (örneğin CDP) - Yayın/çoklu gönderim dahili yönlendirme protokolü (örneğin OSPF, IS-IS, IGRP, EIGRP) - BOOTP/DHCP - PIM-SM - PIM-DM - DVMRP | Yok sayılır | Özellikle izin verilmedikçe yok sayılır |
III. IP KATMAN KONFİGÜRASYONU (ISO/OSI KATMAN 3)
1. Ara yüz Konfigürasyonu (Interface Configuration)
DE-CIX portlarına bağlanan ara yüzler sadece DE-CIX tarafından kendilerine tahsis edilen IP adreslerini ve ağ maskelerini (önek uzunluğu) kullanacaktır. Tahsis, yazılı olarak (örneğin, e- posta) konfigürasyon sürecinde sağlanacaktır. Özellikle:
Parametre | Prensip | Notlar |
Arayüzleriniz için alt ağ maskeleri dahil, IP adresleri (IPv4, IPv6) | IPv4 gerekli | En azından IPv4 adresi yapılandırılmalıdır. |
Yol hizmetlerinin IP adresleri | Kredi talepleri için gerekli | GlobePEER hizmeti açısından kredi talep edebilmek için en azından bir BGP oturumunun bir yol sunucusuna yapılandırılır. Reklam yolları (advertising routes) gerekli değildir. |
2. İlave konfigürasyon parametreleri
Parametre | Prensip | Notlar |
IPv6 adresleri (hat-yerel & küresel kapsam) | Otomatik Konfigürasyon yok | Bütün IPv6 adresleri doğrudan yapılandırılmalıdır. |
IPv6 adresi (konum-yerel) | İzin verilmez | IPv6 site-yerel adresleri kullanılmamalıdır. |
Standart maksimum iletim birimi (MTU) | Değiştirilemez | Açıkça yazılı olarak kararlaştırmadıkça Standart maksimum iletim birimi (MTU) 1,500 Bytes olarak doğrudan ayarlanmalıdır. |
3. Yönlendirme Yapılandırması (Routing configuration)
Müşteri sisteminin yönlendirme yapılandırma aşağıdaki prensipleri/ayarları içerecektir:
Parametre | Prensip | Notlar |
BGP Sürümü | Sadece sürüm 4 | - |
AS numaraları | Sadece umumi | Tüm DE-CIX ağ bağlantısı üzerinde özel kullanım için ayrılmış aralıklardan AS numaraları izin verilmez. |
Çoklu ASN | İzin verilir | Üyeler, kendilerinin DE-CIX denkliği için sunulmuş her bir ASN’in aynı NOC’u ve denklik iletişim ayrıntılarını paylaşması kaydıyla birden fazla ASN kullanabilir. |
Yol reklamı (route advertising) | Maximum birleştirme | Tanıtılan (advertised) tüm yönlendirmeler (routes) edilen bütün güzergahlar mümkün olabildiğince birleştirilecektir.. |
Yol reklamı (route advertising)– hedef IP | Sadece yönlendirici reklamı (router advertising) | DE-CIX tarafından ve üyelerin yer aldığı önceden yazılı olarak sözleşme yapılmadığı sürece DE-CIX ağı üzerinden tanıtılan (advertised) edilen bütün yönlendirmeler (routes) yönlendirici reklamına (router advertising) yöneltilmelidir. |
Yol reklamı (route advertising)–Kayıt | Aleni kayıt gereklidir. | DE-CIX üzerinden eşdüzey oturumunda tanıtılacak bütün yönlendirmelerin RIPE veri tabanına veya umumi yönlendirme kaydına kaydedilmesi gerekir. |
IP-adresi alan reklamı (IP space advertising) | Sadece onay ile | DE-CIX denklik LAN’a tahsis edilen IP alan adresi DE-CIX’in açık izni olmaksızın diğer ağlara tanıtılmayacaktır. |
DE-CIX Tanıtılan Yönlendirmeler (advertised routes) | Kabul edilir | Her biri yapılandırma prensiplerine uygun olarak filtrelendiğinden, Tarafımızdan ilan edilen tüm yönlendirmeleri, güvenli bir şekilde kabul edebilirsiniz. |
4. Xxxxxx yönlendirme
Alıcı üye tarafından da onay verildiği takdirde, Trafik sadece bir DE-CIX üyesine yönlendirilecektir:
• DE-CIX ağı üzerinden yönlendirme tanıtılması (advertising route) yoluyla (doğrudan veya yönlendirme sunucusu aracılığıyla)
• veya açıkça yazılı şekilde
5. Yönlendirme sunucusu özelliği (route server feature)
DE-CIX yönlendirme sunucusu sistemi BGPyi çalıştıran iki sunucudan oluşmaktadır. Olağan operasyon için sadece biri gereklidir.
5.1 Minimum yapılandırma (minimum configuration)
Yönlendirme sunucusu özelliğinin işlevinin DE-CIX ölçümlemesi için ve böylece müşterinin herhangi birkrediye hak kazanması için en az bir yönlendirme sunucusunun bir bağlantısının aşağıdaki parametrelerde ayarlanması gerekir:
Parametre | Prensip | Notlar |
bağlantı kipi | Faal | DE-CIX Side pasif olarak yapılandırılmıştır. |
bgp enforce-first-as | İzin verilmez | Varsayılan etkin, manuel olarak devre dışı bırakılması gerekir |
AS-Set | Gerekli | DE-CIX’in filtre kurallarını kurmak için müşteri AS-Setine ihtiyacı vardır. |
martians/bogons | Yok sayılır |
5.2 BGP bildiriminin doğrulanması
Müşteri tarafından DE-CIX yol sunucusuna sağlanan BGP bildirimi güvenlik sebepleri sebebiyle doğrulanır. Veritabanları yol doğrulanması için kullanılabilir. (örneğin RADB)
5.3 İsteğe bağlı: topluluklar (communities)
Minimum tek yönlendirme sunucusunun (route) yapılandırmasına ek olarak, Müşteri topluluklara katılarak, DE-CIX yönlendirme sunucuları üzerinden giden yönlendirme (routing) bilgisini doğrudan kontrol etmeyi seçebilir. Kolektifler DE-CIX yönlendirme sunucuları tarafından aşağıdaki filtre kuralları dizini ile işlenmektedir:
# | işlem | topluluk | Yerel tercihler |
1 | belirli eşdüzeye yönlendirme blok duyurusu | 0:<peer-as> | 50 |
2 | belirli eşdüzeylere yönlendirme duyurusu | <route-server-as>:<peer-as> | |
3 | Bütün eşdüzeylere yönlendirme blok duyurusu (sadece oturum izleme) | 0:<route-server-as>, no advertise, no-export | 0 |
4 | Bütün eşdüzeylere yönlendirme blok duyurusu | <route-server-as>:<route-server- as> (hiçbir şey ayarlanmaz ise varsayılan) | 100 |
Uygun toplulukların sayısı ve listesi GlobePEER bölgeleri ve yerleri arasında çeşitlilik gösterebilir. Müşterilerin talepleri üzerine kendilerine sunulacak olan mevcut toplulukların lokasyon-bazlı dokümantasyonunu dikkate alması önemle rica edilir.
6. Blackholing
Blackholing veri akışının trafiğin yok sayıldığı başka bir sonraki sıçrama noktasına (next hop) yönlendirilmesi anlamına gelmektedir. Sonuç olarak trafik orijinal varış yerine ulaşamaz ve bunun sonucunda anasistem içinde yer alan “blackholed” önek (prefix) müşteriden DE-CIX’e bağlantıyı tıkayan dağınık hizmet engelleme (DDoS) saldırılarından korunur. Dolayısıyla blackholing DDoS saldırısı vb. saldırıların etkilerini hafifletici etkili bir yöntemdir.
DE-CIX müşteriler tarafından kurulacak ve kullanılacak Blackholing’e izin vermek için teknik altyapıyı sağlar. Ancak, belirli bir müşterinin “Blackholed” önekleri (prefixes) kabul edip etmeyeceği, DE-CIX’in kontrolü dışındadır.
6.1 Temel prensip
6.1.1 Standart koşullarda
Müşteriler kendi öneklerini kendi Erişim Ağına (AS)’NA ait olan Sonraki Sıçrama Noktasına (Next Hop) IP adresi ile tanıtır.
• IPv4: /8 <= ve <= /24
• IPv6: /19 <= ve <= /48
6.1.2 DDoS halinde
Müşteriler kendi öneklerini DE-CIX tarafından temin edilen özgün bir Blackhole sonraki sıçrama noktasına IP (BN) adresi ile tanıtır:
• IPv4: /8 <= ila= /32 (ancak ve ancak BN ayarlanırsa)
• IPv6: /19 <= ila = /128 (ancak ve ancak BN ayarlanırsa) Standart bildirim kontrolleri uygulanmaya devam edecektir.
6.2 İkinci Katman (L2) Süzgeçleme
• Blackhole sonraki sıçrama noktasına (BN) özgün bir MAC adresine haizdir. (BN IP adresi için Erişim Kayıt Noktası (ARP) tarafından belirlenen) örneğin de:ad:be:ef:66:95
• Blackhole IP Sonraki Sıçrama Noktasına için ARP çözümlemesi hâlihazırda ana sistem şamandırası (buoy) tarafından hizmete sunulur.
• Bütün kenar düğümler (Edge node) özgün MAC adresi için durağan bir girişe sahiptir.
•
• Saldırı trafiği müşteriden hizmete durağan MAC adresi ile yönlendirilir, trafiğe ağ girişi verilmesi reddedilir. Bu sayede saldırı trafiği, GlobePEER hizmetine giriş yaptığı düğümü terk etmez ve yerel olarak yok sayılır.
6.3 Sonuç
Sonuç olarak, saldırıya uğramış ve “blackholed” IP önek gelen anahtar üzerinden önceden yok sayılır ve dolayısıyla mağdurun kaynakları (örneğin müşteriden DE-CIX’e bağlantı) korunur.