Internetanschluss

Einfacher Internetanschluss

Im einfachsten Fall besteht ein Port am BelWü, auf dem ein Internetanschluss bereitgestellt wird. Über ein Transfernetz werden BelWü und die Teilnehmer verbunden. BelWü kann IP-Adressbereiche der Teilnehmer routen und im Internet advertisen. Für Teilnehmer ohne eigene IP-Adressen kann BelWü ggf. Adressen (typischerweise ein /48 IPv6) aus dem Adressbereich des BelWü bereitstellen.

Redundanter Internetanschluss

Für eine redundante Anbindung können zwei BelWü-Internetanschlüsse realisiert werden. Für den zweiten Internetanschluss gleicher Bandbreite entstehen keine Zusatzkosten. Die Anbindungen erfolgen auf zwei Routern des BelWü.

Viele Standorte verfügen nur über einen Router, weshalb die beiden Anschlüsse auf zwei Standorte des BelWü-Netzes aufgeteilt werden sollen. In einigen Metros, z. B. den Universitätsstädten, gibt es zwei oder mehr Standorte, an denen Anschlüsse realisiert werden können.

Dabei bekommt jeder Anschluss ein separates Transfernetz. Auf jedem Transfernetz werden BGP-Sessions eingerichtet, über die die gleichen Präfixe des Teilnehmers geroutet werden können. Über BGP-Parameter (Local Preference und Multi-Exit-Discriminator) kann der Teilnehmer ggf. das Routing beeinflussen.

Transfernetze

Pro Internetanschluss wird ein IP-Transfernetz bereitgestellt, über das der Adressbereich des Teilnehmers geroutet wird. Das Transfernetz verbindet die Router des BelWü und des Teilnehmers, die jeweils eine IP-Adresse daraus zugeteilt bekommen. Für das Transfernetz gilt:

  • ein /31 IPv4
  • ein /127 IPv6
  • die Adressen sind nur eingeschränkt nutzbar bzw. im Internet erreichbar
  • die kleinere Adresse verwendet üblicherweise der Provider

Über das Transfernetz können die IP-Adressbereiche des Teilnehmers statisch geroutet oder Redundanz auf zwei Anschlüssen mit BGP-Sessions über die Transfernetze erreicht werden.

BGP Parameter

Auf den BGP-Sessions werden die folgenden Parameter verwendet:

  • BGP Version 4 (RFC4271)
  • BelWü hat AS-Nummer 553
  • eine Session pro Transfernetz und Address-Family
  • IPv4-Präfixe via IPv4-Session, IPv6-Präfixe via IPv6-Session
  • Ingress-Filter für die Präfixe des Teilnehmers
  • Advertisement einer Default-Route oder Full-Table (z. B. bei Multihoming)
  • Optional: TTL-Security (GTSM, RFC5082)
  • Optional: MD5-Signature (RFC2385)
  • Geplant: TCP-Authentication-Option (TCP-AO, RFC5925)

Für das Debugging von Routingproblemen stellt BelWü das BGP Looking Glass bereit

Multihoming

BelWü kann Anschlüsse für Multihoming bereitstellen. Dabei haben Teilnehmer neben BelWü weitere Transitprovider, z. B. aus Gründen der Redundanz.

BelWü-Teilnehmer, die an mehrere Transitprovider angebunden sind, verwalten ihre IP-Adressbereiche und ihre IRRDB-Dokumentation selbst. Sie können von BelWü eine komplette Routingtabelle ("Full-Table" oder "Default-Free Zone") des Internet aus BelWü-Sicht via BGP advertised bekommen. Über die Pfad-Attribute der BGP-Advertisements können Routingentscheidungen teilweise beeinflusst werden.

BelWü kann ggf. als Sponsoring-LIR bei der Zuteilung von Ressource wie AS-Nummern unterstützen.

Anschlüsse für Multihoming sind nicht an allen PoPs verfügbar.

Routing, Dokumentation, Security

Zu einem Internetanschluss gehört neben der netzwerktechnischen Verbindung auch einige Dienste und Dokumentationsaufgaben:

  • Announcement und Erreichbarkeit der IP-Präfixe im Internet (Transitprovider, Peerings).
  • Die Dokumentation der IP-Adressbereiche in der RIPE-Database.
  • Security-Dienste wie die Weiterleitung von Abuse- und Warnmeldungen und Unterstützung bei DDoS-Angriffen.

Firewall

BelWü bietet keine Firewall-Dienste an. Das Themenfeld Campus-Security kann durch BelWü nicht sinnvoll umgesetzt werden, da in der Regel nur sehr begrenzte Informationen über das Netz und die Nutzung durch die Teilnehmer bekannt sind. Weiterhin betreibt BelWü als ISP für die wissenschaftlichen Einrichtungen keinerlei Netzsegmentierung, diese logischen Trennungen muss jeweils vom Teilnehmer selbst erfolgen.

Traffic auf den Internetanschlüssen wird im Sinne von BCP38 gegen Source-Address-Spoofing gefiltert.

In Einzelfällen kann mit statischen Filterregeln am Anschluss vorübergehend, z. B. bei Angriffen, ausgeholfen werden.