Автономная система (Autonomous System, AS) — это совокупность IP-сетей под единым административным управлением, которые анонсируются в интернет через протокол BGP. Одна компания может использовать одну или несколько AS — например, для разделения инфраструктуры, регионов или сервисов.

Для примера рассмотрим автономную систему AS200000, которая анонсируется маршрутизатором компании Хостинг Украина.

Объект aut-num

Объект aut-num в базе RIPE описывает политику маршрутизации автономной системы: с кем она обменивается маршрутами и какие префиксы импортирует/экспортирует.

Пример:

aut-num:          AS200000
as-name:          Ukraine-AS
org:              ORG-HUL6-RIPE

import:           from AS174 action pref=100; accept ANY
import:           from AS6939 action pref=100; accept ANY

export:           to AS174 announce AS-DELTAX
export:           to AS6939 announce AS-DELTAX

Разберём структуру:

• aut-num — уникальный номер автономной системы
• as-name — описание AS
• org — идентификатор организации в RIPE, которой принадлежит AS
• import — от кого и какие маршруты принимаются
• export — кому и какие маршруты анонсируются

Номер AS присваивается региональным интернет-реестром, например RIPE NCC.

Практический момент

При подключении нового upstream-провайдера или peer необходимо:

1. Добавить строку import
2. Добавить строку export

Обратите внимание: в поле export используется не номер автономной системы, а AS-Set (AS-DELTAX) — это упрощает администрирование.

AS-SET — набор автономных систем

AS-Set — это объект, объединяющий несколько AS в один логический список.

Пример:

as-set:           AS-DELTAX
members:          AS200000
members:          AS47781
members:          AS200525

Зачем это нужно?

Если маршрутизатор анонсирует несколько автономных систем, вместо дублирования import/export для каждой AS можно:

• объединить их в AS-Set
• указывать в политике только один объект

Это снижает вероятность ошибок и упрощает поддержку BGP-политики.

Route Object

Route-object связывает конкретный IP-префикс с автономной системой.

Пример:

route:   195.64.184.0/23
origin:  AS200000
mnt-by:  DELTAXUA-MNT

Этот объект означает:

• сеть 195.64.184.0/23
• анонсируется автономной системой AS200000
• управляется мейнтейнером DELTAXUA-MNT

Route-object используется:

• для IRR-фильтрации
• для построения фильтров у провайдеров
• для автоматической генерации prefix-list

Без корректных route-object ваши анонсы могут не пройти фильтрацию.

Domain Object (Reverse DNS)

Domain-object используется для настройки reverse DNS (PTR).

Через него указываются DNS-серверы, которые обслуживают обратную зону.

Зачем нужен reverse DNS?

Если пользователь выполнит:

dig -x 195.64.184.1

он получит PTR-запись, которую вы настроили.

Почему это критично?

• Почтовые серверы проверяют наличие PTR
• Отсутствие reverse DNS резко повышает вероятность попадания писем в SPAM
• Многие антиспам-системы требуют совпадения PTR ↔ A-записи

Для инфраструктуры хостинга корректный rDNS — обязательное требование.

RPKI — обязательный этап

После создания объектов в базе RIPE необходимо создать запись в RPKI (ROA — Route Origin Authorization).

Без валидной RPKI-записи:

• большинство Tier-1 и крупных провайдеров
• IX-партнёры
• контент-сети

не будут принимать ваш анонс (Invalid state).

Что делает RPKI?

• Криптографически подтверждает, что AS200000 имеет право анонсировать 195.64.184.0/23
• Защищает от route hijacking
• Повышает доверие к вашей сети

Рекомендации для сетевых администраторов

• Поддерживайте согласованность: BGP ↔ IRR ↔ RPKI
• Используйте AS-Set для масштабируемости
• Автоматизируйте генерацию фильтров
• Проверяйте RPKI-статус перед запуском анонса
• Следите за актуальностью import/export при изменении peer-политики