IPv6 BGP Routing Filters Mikrotik RouterOS
/routing filter add chain=ipv6-ebgp-relaxed action=reject prefix=3ffe::/16 prefix-length=0-128 add chain=ipv6-ebgp-relaxed action=reject prefix=2001:db8::/32 prefix-length=0-128 add chain=ipv6-ebgp-relaxed action=accept prefix=2001::/32 add chain=ipv6-ebgp-relaxed action=reject prefix=2001::/32 prefix-length=0-128 add chain=ipv6-ebgp-relaxed action=accept prefix=2002::/16 add chain=ipv6-ebgp-relaxed action=reject prefix=2002::/16 prefix-length=0-128 add chain=ipv6-ebgp-relaxed action=reject prefix=0000::/8 prefix-length=0-128 add chain=ipv6-ebgp-relaxed action=reject prefix=fe00::/9 prefix-length=0-128 add chain=ipv6-ebgp-relaxed action=reject prefix=ff00::/8 prefix-length=0-128 add chain=ipv6-ebgp-relaxed action=accept prefix=2000::/3 prefix-length=0-48 add chain=ipv6-ebgp-relaxed action=reject prefix=0::/0 prefix-length=0-128
Здесь представлена конфигурация правил фильтрации маршрутов протокола IPv6 на роутере с операционной системой Mikrotik RouterOS. Эти правила используются для обработки внешних маршрутов BGP (Border Gateway Protocol), полученных от соседних автономных систем (AS). Фильтры применяются последовательно сверху вниз, и первое совпадающее правило определяет судьбу маршрута.
Правила фильтра ipv6-ebgp-relaxed:
- Отказ (
action=reject) маршрутов из адресного пространства3ffe::/16. Это пространство зарезервировано IANA для экспериментальных целей и должно быть отклонено.add chain=ipv6-ebgp-relaxed action=reject prefix=3ffe::/16 prefix-length=0-128 - Отказ маршрутов из диапазона
2001:db8::/32, также известного как резервированное адресное пространство документа RFC 3849 («Benchmarking Methodology for Network Interconnect Devices»). Такие маршруты предназначены исключительно для документации и тестирования, поэтому они отвергаются.add chain=ipv6-ebgp-relaxed action=reject prefix=2001:db8::/32 prefix-length=0-128 - Принятие (
action=accept) маршрутов из глобального публичного блока адресации2001::/32.add chain=ipv6-ebgp-relaxed action=accept prefix=2001::/32 - Однако сразу же следом идет отказ всех маршрутов из этого же блока — возможно, эта строка предназначена для предотвращения утечек более специфичных префиксов внутри сети:
add chain=ipv6-ebgp-relaxed action=reject prefix=2001::/32 prefix-length=0-128 - Далее принимаются маршруты из блокадресации 6to4 туннелей (
2002::/16), используемых для перехода между сетями IPv4 и IPv6:add chain=ipv6-ebgp-relaxed action=accept prefix=2002::/16 - Затем такие маршруты снова отвергаются, вероятно, чтобы предотвратить использование устаревших методов трансляции:
add chain=ipv6-ebgp-relaxed action=reject prefix=2002::/16 prefix-length=0-128 - Отклоняются специальные блоки IPv6, такие как:
0000::/8: неопознанная сеть,fe00::/9: локальные переходные каналы,ff00::/8: многоадресные передачи.
Например:
add chain=ipv6-ebgp-relaxed action=reject prefix=0000::/8 prefix-length=0-128 - Принятие маршрутов из блоков глобальной унифицированной IP-адресации (
2000::/3), причем ограниченно длиной префикса до/48включительно:add chain=ipv6-ebgp-relaxed action=accept prefix=2000::/3 prefix-length=0-48 - Наконец, отклоняется абсолютно весь трафик с нулевым маршрутом (
0::/0), что предотвращает любые потенциальные проблемы с широковещательными или неопределенными адресами.add chain=ipv6-ebgp-relaxed action=reject prefix=0::/0 prefix-length=0-128
Таким образом, цель конфигурации — обеспечить безопасность сети, защитив её от возможных угроз путем блокировки специальных адресных пространств и принятия только валидных публичных маршрутов. Этот набор фильтров является распространенной практикой защиты сетей от ошибок конфигурирования и злоупотреблений.