1. Introduction (Einführung)
1. Introduction (Einführung)
Dieses Dokument macht "Dissemination of Flow Specification Rules" [RFC5575] obsolet (siehe Anhang B für die Unterschiede). Dieses Dokument macht auch "Clarification of the Flowspec Redirect Extended Community" [RFC7674] obsolet, da es die Kodierung der BGP Flow Specification Redirect Extended Community in Abschnitt 7.4 enthält.
Moderne IP-Router haben die Fähigkeit, Verkehr weiterzuleiten und Pakete basierend auf administrativ definierten Richtlinien zu klassifizieren, zu formen, zu begrenzen, zu filtern oder umzuleiten. Diese Verkehrsrichtlinienmechanismen ermöglichen es dem Betreiber, Übereinstimmungsregeln zu definieren, die auf mehreren Feldern des Paketheaders operieren. Aktionen wie die oben beschriebenen können mit jeder Regel verknüpft werden.
Das n-Tupel, das aus den Übereinstimmungskriterien besteht, definiert eine aggregierte Verkehrsfluss-Spezifikation (Flow Specification). Die Übereinstimmungskriterien können Elemente wie Quell- und Zieladresspräfixe, IP-Protokoll und Transportprotokollportnummern umfassen.
Abschnitt 4 dieses Dokuments definiert ein allgemeines Verfahren zur Kodierung von Flow Specifications für aggregierte Verkehrsströme, damit sie als BGP [RFC4271] NLRI verteilt werden können. Darüber hinaus definiert Abschnitt 7 dieses Dokuments die erforderlichen Traffic Filtering Actions BGP Extended Communities und Mechanismen zur Verwendung von BGP für die Intra- und Inter-Provider-Verteilung von Verkehrsfilterregeln zur Minderung von DoS- und DDoS-Angriffen.
Durch die Erweiterung von Routing-Informationen mit Flow Specifications kann das Routing-System die ACL (Access Control List)- oder Firewall-Fähigkeiten im Weiterleitungspfad des Routers nutzen. Flow Specifications können als spezifischere Routing-Einträge für ein Unicast-Präfix angesehen werden und sollen von den vorhandenen Unicast-Dateninformationen abhängen.
Eine Flow Specification, die von einem externen autonomen System empfangen wird, muss vor der Annahme gegen Unicast-Routing validiert werden (Abschnitt 6). Die Flow Specification, die von einem internen BGP-Peer innerhalb desselben autonomen Systems [RFC4271] empfangen wird, wird als vor der Übertragung innerhalb des internen BGP (iBGP)-Netzes eines autonomen Systems validiert angenommen. Wenn der aggregierte Verkehrsfluss, der durch das Unicast-Zielpräfix definiert ist, an einen gegebenen BGP-Peer weitergeleitet wird, kann das lokale System spezifischere Flow Specifications installieren, die zu einem anderen Weiterleitungsverhalten führen können, wie von diesem System angefordert.
Aus betrieblicher Sicht ermöglicht die Nutzung von BGP als Träger für diese Informationen einem Netzwerkdienstanbieter, sowohl die interne Routenverteilungsinfrastruktur (z.B. Route-Reflektor- oder Konföderationsdesign) als auch bestehende externe Beziehungen (z.B. Inter-Domain-BGP-Sitzungen zu einem Kundennetzwerk) wiederzuverwenden.
Obwohl es sicherlich möglich ist, dieses Problem mit anderen Mechanismen anzugehen, wurde diese Lösung in Bereitstellungen verwendet, weil sie den wesentlichen Vorteil hat, eine inkrementelle Ergänzung zu bereits bereitgestellten Mechanismen zu sein.
Mögliche Anwendungen dieser Erweiterung sind: Automatisierte Inter-Domain-Koordination der Verkehrsfilterung, wie sie zur Minderung von DoS- und DDoS-Angriffen erforderlich ist, oder Verkehrsfilterung im Kontext eines BGP/MPLS VPN-Dienstes. Andere Anwendungen (z.B. zentralisierte Verkehrskontrolle in einem Software-Defined Networking (SDN)- oder Network Function Virtualization (NFV)-Kontext) sind ebenfalls möglich.
In aktuellen Bereitstellungen werden die durch diese Erweiterung verteilten Informationen sowohl manuell als auch automatisch initiiert, letzteres durch Systeme, die in der Lage sind, bösartige Verkehrsströme zu erkennen. Bei Verwendung automatisierter Systeme sollte darauf geachtet werden, die Korrektheit des automatisierten Systems sicherzustellen. Die Einschränkungen der empfangenden Systeme, die diese automatisierten Flow Specifications verarbeiten müssen, müssen ebenfalls berücksichtigt werden (siehe auch Abschnitt 12).
Diese Spezifikation definiert erforderliche Protokollerweiterungen, um die häufigsten Anwendungen der IPv4-Unicast- und VPNv4-Unicast-Filterung anzusprechen. Derselbe Mechanismus kann wiederverwendet werden, und neue Übereinstimmungskriterien können hinzugefügt werden, um ähnliche Filterungsanforderungen für andere BGP-Adressfamilien wie IPv6-Familien [RFC8956] anzusprechen.