1. Introduction (Introduzione)
1. Introduction (Introduzione)
Questo documento rende obsoleto "Dissemination of Flow Specification Rules" [RFC5575] (vedere Appendice B per le differenze). Questo documento rende anche obsoleto "Clarification of the Flowspec Redirect Extended Community" [RFC7674], poiché incorpora la codifica della BGP Flow Specification Redirect Extended Community nella Sezione 7.4.
I router IP moderni hanno la capacità di inoltrare il traffico e di classificare, modellare, limitare la velocità, filtrare o reindirizzare i pacchetti in base a politiche definite amministrativamente. Questi meccanismi di politica del traffico consentono all'operatore di definire regole di corrispondenza che operano su più campi dell'intestazione del pacchetto. Azioni, come quelle descritte sopra, possono essere associate a ciascuna regola.
La n-tupla composta dai criteri di corrispondenza definisce una specifica di flusso di traffico aggregato (Flow Specification). I criteri di corrispondenza possono includere elementi come prefissi di indirizzo di origine e destinazione, protocollo IP e numeri di porta del protocollo di trasporto.
La Sezione 4 di questo documento definisce una procedura generale per codificare Flow Specifications per flussi di traffico aggregati in modo che possano essere distribuite come BGP [RFC4271] NLRI. Inoltre, la Sezione 7 di questo documento definisce le Traffic Filtering Actions BGP Extended Communities richieste e i meccanismi per utilizzare BGP per la distribuzione intra e inter-provider di regole di filtraggio del traffico al fine di mitigare gli attacchi DoS e DDoS.
Espandendo le informazioni di routing con Flow Specifications, il sistema di routing può sfruttare le capacità ACL (Access Control List) o firewall nel percorso di inoltro del router. Le Flow Specifications possono essere viste come voci di routing più specifiche verso un prefisso unicast e ci si aspetta che dipendano dalle informazioni di dati unicast esistenti.
Una Flow Specification ricevuta da un sistema autonomo esterno dovrà essere convalidata rispetto al routing unicast prima di essere accettata (Sezione 6). La Flow Specification ricevuta da un peer BGP interno all'interno dello stesso sistema autonomo [RFC4271] si presume sia stata convalidata prima della trasmissione all'interno della mesh BGP interna (iBGP) di un sistema autonomo. Se il flusso di traffico aggregato definito dal prefisso di destinazione unicast viene inoltrato a un dato peer BGP, allora il sistema locale può installare Flow Specifications più specifiche che possono risultare in un comportamento di inoltro diverso, come richiesto da questo sistema.
Da una prospettiva operativa, l'utilizzo di BGP come portatore per queste informazioni consente a un fornitore di servizi di rete di riutilizzare sia l'infrastruttura di distribuzione delle route interne (ad es., progettazione di route reflector o confederazione) sia le relazioni esterne esistenti (ad es., sessioni BGP inter-dominio verso una rete cliente).
Sebbene sia certamente possibile affrontare questo problema utilizzando altri meccanismi, questa soluzione è stata utilizzata nelle distribuzioni a causa del vantaggio sostanziale di essere un'aggiunta incrementale ai meccanismi già distribuiti.
Le possibili applicazioni di questa estensione sono: Coordinamento automatizzato inter-dominio del filtraggio del traffico, come quello richiesto per mitigare gli attacchi DoS e DDoS, o filtraggio del traffico nel contesto di un servizio BGP/MPLS VPN. Altre applicazioni (ad es., controllo centralizzato del traffico in un contesto Software-Defined Networking (SDN) o Network Function Virtualization (NFV)) sono anche possibili.
Nelle distribuzioni attuali, le informazioni distribuite da questa estensione sono originate sia manualmente che automaticamente, quest'ultima da sistemi in grado di rilevare flussi di traffico dannosi. Quando vengono utilizzati sistemi automatizzati, si dovrebbe prestare attenzione per garantire la correttezza del sistema automatizzato. Devono essere prese in considerazione anche le limitazioni dei sistemi riceventi che devono elaborare queste Flow Specifications automatizzate (vedere anche Sezione 12).
Questa specifica definisce le estensioni di protocollo richieste per affrontare le applicazioni più comuni di filtraggio unicast IPv4 e VPNv4. Lo stesso meccanismo può essere riutilizzato e nuovi criteri di corrispondenza possono essere aggiunti per affrontare esigenze di filtraggio simili per altre famiglie di indirizzi BGP, come le famiglie IPv6 [RFC8956].