Zum Hauptinhalt springen

5. Traffic Filtering (Verkehrsfilterung)

5. Traffic Filtering (Verkehrsfilterung)

Verkehrsfilterungsrichtlinien wurden traditionell als relativ statisch betrachtet. Die Einschränkungen dieser statischen Mechanismen führten zum Entwurf dieses neuen dynamischen Mechanismus für drei neue Verkehrsfilterungsanwendungen:

  • Prävention von verkehrsbasierten Denial-of-Service (DoS) Angriffen

  • Verkehrsfilterung im Kontext von BGP/MPLS VPN-Diensten

  • Zentralisierte Verkehrskontrolle für SDN/NFV-Netzwerke

Diese Anwendungen erfordern Koordination zwischen Dienstanbietern und/oder Koordination zwischen AS innerhalb eines Dienstanbieters.

Die in Abschnitt 4 definierte Flow Specification NLRI übermittelt Informationen über Verkehrsfilterungsregeln über Verkehr, der verworfen werden sollte oder auf eine durch einen Satz vordefinierter Operationen (definiert in BGP Extended Communities) spezifizierte Weise behandelt werden sollte. Dieser Mechanismus ist hauptsächlich dafür konzipiert, einem vorgelagerten autonomen System zu ermöglichen, eingehende Filterung an seinen Ingress-Routern auf Verkehr durchzuführen, den ein gegebenes nachgelagertes AS verwerfen möchte.

Um dieses Ziel zu erreichen, spezifiziert dieses Dokument zwei anwendungsspezifische NLRI-Identifikatoren, die Verkehrsfilter und einen Satz von Operationskodierungen in BGP Extended Communities bereitstellen. Diese beiden anwendungsspezifischen NLRI-Identifikatoren sind:

  • IPv4 Flow Specification Identifikator (AFI=1, SAFI=133) zusammen mit spezifischen Semantikregeln für IPv4-Routing, und

  • VPNv4 Flow Specification Identifikator (AFI=1, SAFI=134) Wert, der verwendet werden kann, um Verkehrsfilterungsinformationen in einer BGP/MPLS VPN-Umgebung zu verbreiten.

Die Kodierung der NLRI wird in Abschnitt 4 für IPv4 Flow Specification und in Abschnitt 8 für VPNv4 Flow Specification beschrieben. Filteroperationen werden in Abschnitt 7 beschrieben.

Letztes Update am