1. Introduction
1. Introduction
Ce document rend obsolète "Dissemination of Flow Specification Rules" [RFC5575] (voir l'Annexe B pour les différences). Ce document rend également obsolète "Clarification of the Flowspec Redirect Extended Community" [RFC7674], car il incorpore le codage de la BGP Flow Specification Redirect Extended Community dans la Section 7.4.
Les routeurs IP modernes ont la capacité de transférer le trafic et de classer, façonner, limiter le débit, filtrer ou rediriger les paquets en fonction de politiques définies administrativement. Ces mécanismes de politique de trafic permettent à l'opérateur de définir des règles de correspondance qui opèrent sur plusieurs champs de l'en-tête de paquet. Des actions, telles que celles décrites ci-dessus, peuvent être associées à chaque règle.
Le n-uplet consistant en les critères de correspondance définit une spécification de flux de trafic agrégé (Flow Specification). Les critères de correspondance peuvent inclure des éléments tels que les préfixes d'adresse source et destination, le protocole IP et les numéros de port du protocole de transport.
La Section 4 de ce document définit une procédure générale pour encoder les Flow Specifications pour les flux de trafic agrégés afin qu'elles puissent être distribuées en tant que BGP [RFC4271] NLRI. De plus, la Section 7 de ce document définit les Traffic Filtering Actions BGP Extended Communities requises et les mécanismes pour utiliser BGP pour la distribution intra- et inter-fournisseur de règles de filtrage de trafic afin d'atténuer les attaques DoS et DDoS.
En étendant les informations de routage avec des Flow Specifications, le système de routage peut tirer parti des capacités ACL (Access Control List) ou pare-feu dans le chemin de transfert du routeur. Les Flow Specifications peuvent être considérées comme des entrées de routage plus spécifiques vers un préfixe unicast et sont censées dépendre des informations de données unicast existantes.
Une Flow Specification reçue d'un système autonome externe devra être validée par rapport au routage unicast avant d'être acceptée (Section 6). La Flow Specification reçue d'un pair BGP interne au sein du même système autonome [RFC4271] est supposée avoir été validée avant la transmission dans le maillage BGP interne (iBGP) d'un système autonome. Si le flux de trafic agrégé défini par le préfixe de destination unicast est transféré vers un pair BGP donné, alors le système local peut installer des Flow Specifications plus spécifiques qui peuvent entraîner un comportement de transfert différent, comme demandé par ce système.
D'un point de vue opérationnel, l'utilisation de BGP comme support pour ces informations permet à un fournisseur de services réseau de réutiliser à la fois l'infrastructure de distribution de routes interne (par exemple, conception de réflecteur de routes ou de confédération) et les relations externes existantes (par exemple, sessions BGP inter-domaines vers un réseau client).
Bien qu'il soit certainement possible d'aborder ce problème en utilisant d'autres mécanismes, cette solution a été utilisée dans les déploiements en raison de l'avantage substantiel d'être un ajout incrémental aux mécanismes déjà déployés.
Les applications possibles de cette extension sont: La coordination inter-domaines automatisée du filtrage du trafic, telle que celle requise pour atténuer les attaques DoS et DDoS, ou le filtrage du trafic dans le contexte d'un service BGP/MPLS VPN. D'autres applications (par exemple, contrôle centralisé du trafic dans un contexte Software-Defined Networking (SDN) ou Network Function Virtualization (NFV)) sont également possibles.
Dans les déploiements actuels, les informations distribuées par cette extension sont initiées à la fois manuellement et automatiquement, cette dernière par des systèmes capables de détecter des flux de trafic malveillants. Lorsque des systèmes automatisés sont utilisés, il faut veiller à assurer la correction du système automatisé. Les limitations des systèmes récepteurs qui doivent traiter ces Flow Specifications automatisées doivent également être prises en considération (voir également Section 12).
Cette spécification définit les extensions de protocole requises pour répondre aux applications les plus courantes de filtrage unicast IPv4 et VPNv4. Le même mécanisme peut être réutilisé et de nouveaux critères de correspondance peuvent être ajoutés pour répondre à des besoins de filtrage similaires pour d'autres familles d'adresses BGP, telles que les familles IPv6 [RFC8956].