Автономна система (Autonomous System, AS) — це сукупність IP-мереж під єдиним адміністративним управлінням, які анонсуються в Інтернеті через протокол BGP. Одна компанія може використовувати одну або кілька AS — наприклад, для поділу інфраструктури, регіонів або сервісів.

Для прикладу розглянемо автономну систему AS200000, яка анонсується маршрутизатором компанії Хостинг Україна.

Об'єкт aut-num

Об'єкт aut-num у базі RIPE описує політику маршрутизації автономної системи: з ким вона обмінюється маршрутами і які префікси імпортує/експортує.

Приклад:

aut-num:          AS200000
as-name:          Ukraine-AS
org:              ORG-HUL6-RIPE

import:           from AS174 action pref=100; accept ANY
import:           from AS6939 action pref=100; accept ANY

export:           to AS174 announce AS-DELTAX
export:           to AS6939 announce AS-DELTAX

Розберемо структуру:

• aut-num — унікальний номер автономної системи
• as-name — опис AS
• org — ідентифікатор організації в RIPE, якій належить AS
• import — від кого і які маршрути приймаються
• export — кому і які маршрути анонсуються

Номер AS присвоюється регіональним інтернет-реєстром, наприклад RIPE NCC.

Практичний момент

При підключенні нового upstream-провайдера або peer необхідно:

1. Додати рядок import
2. Додати рядок export

Зверніть увагу: в полі export використовується не номер автономної системи, а AS-Set (AS-DELTAX) — це спрощує адміністрування.

AS-SET — набір автономних систем

AS-Set — це об'єкт, що об'єднує кілька AS в один логічний список.

Приклад:

as-set:           AS-DELTAX
members:          AS200000
members:          AS47781
members:          AS200525

Навіщо це потрібно?

Якщо маршрутизатор анонсує кілька автономних систем, замість дублювання import/export для кожної AS можна:

• об'єднати їх в AS-Set
• вказувати в політиці тільки один об'єкт

Це знижує ймовірність помилок і спрощує підтримку BGP-політики.

Route Object

Route-object пов'язує конкретний IP-префікс з автономною системою.

Приклад:

route:   195.64.184.0/23
origin:  AS200000
mnt-by:  DELTAXUA-MNT

Цей об'єкт означає:

• мережа 195.64.184.0/23
• анонсується автономною системою AS200000
• керується мейнтейнером DELTAXUA-MNT

Route-object використовується:

• для IRR-фільтрації
• для побудови фільтрів у провайдерів
• для автоматичної генерації prefix-list

Без коректних route-object ваші анонси можуть не пройти фільтрацію.

Domain Object (Reverse DNS)

Domain-object використовується для налаштування reverse DNS (PTR).

Через нього вказуються DNS-сервери, які обслуговують зворотну зону.

Навіщо потрібен reverse DNS?

Якщо користувач виконає:

dig -x 195.64.184.1

він отримає PTR-запис, який ви налаштували.

Чому це критично?

• Поштові сервери перевіряють наявність PTR
• Відсутність reverse DNS різко підвищує ймовірність потрапляння листів у SPAM
• Багато антиспам-систем вимагають збігу PTR ↔ A-записи

Для інфраструктури хостингу коректний rDNS — обов'язкова вимога.

RPKI — обов'язковий етап

Після створення об'єктів у базі RIPE необхідно створити запис у RPKI (ROA — Route Origin Authorization).

Без валідного RPKI-запису:

• більшість Tier-1 і великих провайдерів
• IX-партнери
• контент-мережі

не прийматимуть ваш анонс (Invalid state).

Що робить RPKI?

• Криптографічно підтверджує, що AS200000 має право анонсувати 195.64.184.0/23
• Захищає від route hijacking
• Підвищує довіру до вашої мережі

Рекомендації для мережевих адміністраторів

• Підтримуйте узгодженість: BGP ↔ IRR ↔ RPKI
• Використовуйте AS-Set для масштабованості
• Автоматизуйте генерацію фільтрів
• Перевіряйте RPKI-статус перед запуском анонсу
• Слідкуйте за актуальністю import/export при зміні peer-політики