Kołowa propagacja BGP

10

Ten jest trudny do opisania, jest hipotetyczny, ponieważ uczę się routingu, a teraz koncentruję się na BGP.

Powiedzmy, że mój ASN jest 65000i ogłaszam 192.0.2.0/24. Mój peer, AS 65001aktualizuje swoją tablicę routingu o ogłoszonych trasach do sieci, ale routery moich dostawców usług internetowych nie są moimi peerami. Jeśli AS 65001(który odbiera moje aktualizacje trasy) jest spojrzał z moim ISP (s), co oznacza mój ISP (S) odbierają tras z 65001, czy oznacza to, że mój ISP (s) będzie teraz w stanie ruchu do 192.0.2.0/24i mam uniknąłeś potrzeby peerowania bezpośrednio z moim ISP?

Jeśli coś okropnie się mylę, popraw mnie (lub powiedz mi, gdzie mogę znaleźć dobrą dokumentację).

routing bgp ipv4 Libbux
źródło
Nie używaj publicznej przestrzeni IP innych osób w swoich przykładach, na przykład po prostu spójrz, dokąd faktycznie idzie 1.0.0.0.
LapTop006
zważywszy, że używanie przestrzeni RFC1918 jest niezgodne z zasadami, to co byś polecił jako hipotetyczny przykład?
John Jensen
1
@JohnJensen Istnieją ponownie zablokowane bloki do dokumentacji i przykładów - tools.ietf.org/html/rfc5737 - 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24
jwbensley
1
@ LapTop006 To samo dotyczy numerów AS, edytowałem post, aby używać prywatnych numerów AS.
jwbensley

Odpowiedzi:

15

Myślisz o tym w niewłaściwy sposób, ale postaram się wyjaśnić.

W przypadku zakupu przepustowości od dostawcy usług internetowych nazywa się to tranzytem (potocznie w branży). Zakładając, że masz trochę przestrzeni PI (na przykład 1.0.0.0/8), płacisz swojemu dostawcy usług internetowych za przeniesienie bitów z sieci do innych sieci. Tak mówią Twój AS 6500 oraz ISP jest 3356. Bity od jakiegokolwiek innego ASN będzie musiała tranzytowego AS3356 aby dostać się do ciebie. Powiedzmy, że istnieje inny ASN (6501), który kupuje tranzyt z innego ASN (7224). AS3356 i AS7224 są równorzędne. Teraz, aby bity mogły dostać się z AS6501 do AS6500, ścieżka wygląda następująco:

AS6501 -> AS7224 -> AS3356 -> AS6500

Teraz, jeśli skonfigurujesz komunikację równorzędną (również potoczny termin branżowy **) z AS6501, eliminuje to potrzebę przesyłania bitów od Ciebie do AS6501 tranzytem i odwrotnie, zmniejszając w ten sposób koszt, koszt operatora AS6501, a także zwykle powoduje zmniejszenie utrata / opóźnienie między sieciami. Wszyscy wygrywają! Teraz ścieżka wygląda następująco:

AS6501 -> AS6500

Twój oryginalny scenariusz nie zadziałałby w prawdziwym świecie, ponieważ założeniem dla AS6501 byłoby poniesienie kosztu za przekazanie twoich bitów do ciebie od usługodawców internetowych. AS6501 nie przyniosłoby korzyści poprzez przeniesienie twoich bitów do twojego dostawcy usług internetowych, więc nie musisz płacić temu usługodawcy. Bardziej prawdopodobne jest, że AS6501 obciąży cię za to, w którym to momencie możesz równie dobrze po prostu zapłacić swoim dostawcom usług internetowych.

** Termin peering jest przeciążony. Może być używany zarówno do opisania sesji BGP (odmiana e lub i), jak i do potocznego / politycznego zmysłu, co oznacza, że ​​ty i inna sieć łączycie się ze sobą i bezpośrednio wymieniacie ruch (za pośrednictwem BGP) dla obopólnych korzyści - pomyślcie odwrotnie tranzytu . Jeśli korzystasz z BGP ze swoim ISP (tranzyt), nadal jesteś technicznie peering ze swoim ISP, ponieważ jest to peering eBGP . Aby uniknąć nieporozumień, lepiej jest używać komunikacji równorzędnej w celu odniesienia się do aktu wymiany ruchu z inną siecią bez żadnych kosztów (pamiętaj, że nie zawsze tak jest) i sesji BGP odwoływać się do faktycznego technicznego terminu wymiany prefiksów za pośrednictwem BGP (iBGP lub eBGP) z innym routerem, niezależnie od tego, czy wiąże się to z kosztem.

John Jensen
źródło
Dzięki, bardzo jasne. Tylko jedno pytanie: czy bity nie muszą przejść AS6501 -> AS6500, czy nie musiałyby fizycznie przemierzać AS3356(i AS7224)? Czy coś mi umyka?
Libbux
Nie, jeśli korzystasz z AS6501 (AS6500). Chodzi o to, że unikasz ruchów fizycznych, konfigurując peering. Zazwyczaj wykonuje się to za pomocą PNI („prywatne połączenie sieciowe”) - oddzielne fizyczne łącze od routera do routera peera, w przeciwnym razie ty i peer połączysz się z siecią peeringu IXP i skonfigurujesz sesje eBGP w ten sposób.
John Jensen
Wydaje mi się, że źle używam słowa „peer”. Być może moje rozumienie BGP jest ograniczone, ale moje użycie „peer” po prostu oznaczało to AS6501i AS6500wymieniłem tabele routingu.
Libbux
Zobacz moją edycję powyżej, w której bardziej szczegółowo rozumiem, co oznacza peering :-)
John Jensen
Najwyraźniej muszę się wiele nauczyć na temat pojęcia peering sam. Myślę, że po prostu zajrzę do mojego dostawcy usług internetowych i uprości to.
Libbux
5

Jeśli AS 6501 jest chętny jako tranzytowy AS, wówczas będzie w stanie skierować się do Twojego / 8 ', jednak może to również zależeć od tego, czy uzyskałeś / 8 od wspomnianego dostawcy Internetu, czy nie.

Jeśli chodzi o dobrą literaturę, to zawsze bardzo polecam „Routing TCP / IP Vol2” autorstwa Jeffa Doyle'a i „Internet Routing Architectures” Sama Halabiego.

MattE
źródło
Dzięki. Ale jeśli 6501przekierują mojego /8, czy nie będą po prostu kierować do mojego dostawcy usług internetowych, który (ponieważ nie są ze mną wkurzeni) nie wiedziałby, gdzie wysłać mój ruch (zakładając, że wcześniej 6501wysłał swoją tabelę do mojego dostawcy usług internetowych)? Gdybym uzyskał /8od mojego dostawcy usług internetowych, to oczywiście skierowaliby go do mnie (i również ogłosili). Chodzi o to, aby ominąć proces peerowania z twoim dostawcą usług internetowych (być może cię nienawidzą lub coś, kto wie).
Libbux
Tak, poprawiłeś, ale założyłem, że będziesz bezpośrednio peer (eBGP) z AS6501.
MattE
4

Chciałbym tylko dodać, że wszyscy dobrzy aktorzy odfiltrowują przeklęte bzdury z tego, co ogłaszają i akceptują od innych. AS6500 ogłosi tylko trasy do przedrostków są właścicielami (lub ich klientów, którzy sami mogą być as.) AS6501 pozwoliłby tylko trasy z pochodzenia 6500 (tj ^6500$) i VV, i najprawdopodobniej filtrem na samych prefiksów , a także . Wiele szkód mogą być wykonywane przez złych aktorów korzystających z ISP, które nie sprawdzania poprawności, co ich klienci ich wysyłania.

Wszystko to bardzo szybko się komplikuje. Istnieją różne rejestry routingu (IRR), które pomagają zautomatyzować proces.

[Uwaga: Byłem wcześniej „facetem od bgp”. A ja otrzymywałem kogoś, kto zawłaszczał naszą przestrzeń adresową - było to w latach 90-tych, więc mogła to być prawdziwa literówka z ich strony. Dziś dzieje się to celowo.]

Ricky Beam
źródło
Nigdy wcześniej nie słyszałem sieci nazywanych „aktorami”! :-) Co oznacza „vv”?
John Jensen
@JohnJensen, en.wikipedia.org/wiki/VV - wybierz najbardziej logiczny jak ja. ;-)
generalnetworkerror
I oto zastanawiałem się, czy to akronim filtrujący ścieżkę AS, o którym nigdy nie słyszałem. : - \
John Jensen
Zawsze istnieje możliwość „ogłaszania internetu” i zepsucia wszystkiego. Dlatego próbuję dowiedzieć się, jakie zabezpieczenia są dostępne w BGP. Czy rówieśnicy po prostu ślepo akceptują aktualizacje [tabeli routingu]?
Libbux
1
@ RickyBeam, więc zasadniczo nie ufaj nikomu i tylko peer z renomowanymi partnerami, takimi jak Level3, nLayer itp.?
Libbux,