Propagazione circolare BGP

10

Questo è difficile da descrivere, è ipotetico perché sto imparando il routing e in questo momento sono concentrato su BGP.

Diciamo che il mio ASN è 65000e lo annuncio 192.0.2.0/24. Il mio peer, AS 65001aggiorna la sua tabella di routing con i suoi percorsi verso la rete che sto annunciando, ma i miei router ISP non sono i miei colleghi. Se AS 65001(che sta ricevendo gli aggiornamenti del mio percorso) viene eseguito il peering con i miei ISP, il che significa che i miei ISP ricevono rotte da 65001, significa che i miei ISP saranno ora in grado di instradare il traffico 192.0.2.0/24e evitato la necessità di scrutare direttamente con il mio ISP?

Se sbaglio orribilmente su qualcosa, per favore correggimi (o dimmi dove posso trovare una buona documentazione).

routing  bgp  ipv4 
Libbux
fonte
Non utilizzare lo spazio IP pubblico di altre persone nei tuoi esempi, ad esempio basta guardare dove 1.0.0.0 va effettivamente al giorno d'oggi.
LapTop006
considerato che è contro le regole usare lo spazio RFC1918, cosa consiglieresti di usare come esempio ipotetico?
John Jensen,
1
@JohnJensen Ci sono blocchi salvati per documentazione ed esempi - tools.ietf.org/html/rfc5737 - 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24
jwbensley
1
@ LapTop006 Lo stesso vale per i numeri AS, ho modificato il post per utilizzare numeri AS privati.
jwbensley,

Risposte:

15

Ci stai pensando in un modo sbagliato, ma proverò a spiegare.

Quando si acquista la larghezza di banda da un ISP, questo si chiama transito (colloquialmente nel settore). Supponendo di avere un po 'di spazio PI (1.0.0.0/8, ad esempio), stai pagando il tuo ISP per trasferire i bit dalla tua rete ad altre reti. Quindi supponiamo che il tuo AS sia 6500 e che il tuo ISP sia 3356. I bit di qualsiasi altro ASN dovranno anche transitare su AS3356 per arrivare a te. Diciamo che c'è un altro ASN (6501) che acquista il transito da un altro ASN (7224). AS3356 e AS7224 sono pari. Ora, affinché i bit passino da AS6501 a AS6500, il percorso procede in questo modo:

AS6501 -> AS7224 -> AS3356 -> AS6500

Ora, se imposti il peering (anche un termine industriale colloquiale **) con AS6501, questo elimina la necessità di ottenere bit da te a AS6501 tramite transito e viceversa, riducendo così i tuoi costi, i costi dell'operatore di AS6501 e di solito riduce anche perdita / latenza tra le tue reti. Tutti vincono! Ora il percorso è simile al seguente:

AS6501 -> AS6500

Il tuo scenario originale non funzionerebbe nel mondo reale, perché l'ipotesi per AS6501 sarebbe quella di sostenere un costo per farti passare i bit dagli ISP. AS6501 non trarrebbe alcun vantaggio trasferendo i tuoi bit sul tuo ISP, quindi non devi pagare il tuo ISP. La cosa più probabile è che AS6501 ti farebbe pagare per fare questo, a quel punto, potresti anche solo pagare i tuoi ISP.

** Il termine peering è sovraccarico. Può essere usato sia per descrivere una sessione BGP (varietà e o i), sia per il senso colloquiale / politico, il che significa che tu e un'altra rete vi connettete tra loro e scambiate direttamente traffico (tramite BGP) per reciproco vantaggio - pensate di fronte di transito . Se stai eseguendo BGP con il tuo ISP (transito), stai ancora tecnicamente eseguendo il peering con il tuo ISP, perché è un peering eBGP . Per evitare confusione, è meglio utilizzare il peering per fare riferimento all'atto di scambio di traffico con un'altra rete a costo zero (si noti che questo non è sempre il caso) e la sessione BGP per fare riferimento al termine tecnico effettivo per lo scambio di prefissi tramite BGP (iBGP o eBGP) con un altro router, indipendentemente dal costo.

John Jensen
fonte
Grazie, molto chiaro. Solo una domanda: perché i bit vadano AS6501 -> AS6500, non dovrebbero attraversare fisicamenteAS3356 (e AS7224)? Mi sto perdendo qualcosa qui?
Libbux,
Non se stai (AS6500) scrutando con AS6501. Il punto è che stai evitando l'attraversamento fisico impostando il peering. In genere ciò viene fatto con PNI ("interconnessione di rete privata") - un collegamento fisico separato dal router al router del peer, altrimenti tu e il peer vi connetterete al tessuto di peering di un IXP e configurerete le sessioni eBGP tra loro in quel modo.
John Jensen,
Mi sembra che stia usando male la parola "peer" allora. Forse la mia comprensione di BGP è limitata, ma il mio uso di "peer" significava semplicemente quello AS6501e AS6500scambiavo tabelle di routing.
Libbux,
Vedi la mia modifica qui sopra dove vado di più su ciò che il peering significa :-)
John Jensen,
Chiaramente ho molto da imparare sul termine peering da solo. Penso che solo scruto con il mio ISP e rendere le cose più semplici.
Libbux,
5

Se l'AS 6501 è disposto ad essere un AS di transito, allora sarebbe in grado di instradare verso il tuo / 8 ', tuttavia può anche dipendere dal fatto che tu abbia ottenuto il tuo / 8 da detto ISP o meno.

In termini di buona letteratura, consiglio vivamente "Routing TCP / IP Vol2" di Jeff Doyle e "Internet Routing Architectures" di Sam Halabi.

Opaco
fonte
Grazie. Ma se 6501instradato il mio /8, non verrebbero semplicemente instradati al mio ISP, che (dal momento che non hanno scrutato con me) non saprebbero dove inviare il mio traffico (supponendo che questo sia prima che 6501abbia inviato la sua tabella al mio ISP)? Se avessi ottenuto il /8mio dal mio ISP, ovviamente lo avrebbero indirizzato a me (e lo avrebbero annunciato anche). Il punto di questa situazione è aggirare il processo di peering con il tuo ISP (forse ti odiano o qualcosa del genere, chi lo sa).
Libbux,
Sì, hai ragione, ma ho pensato che avresti scrutato direttamente (eBGP) con AS6501.
MattE
4

Vorrei solo aggiungere che qualsiasi bravo attore filtra la schifosa schifezza da ciò che annunciano e accetta dai colleghi. AS6500 avrebbe annunciato solo rotte per prefissi di loro proprietà (o quello dei loro clienti, che a loro volta possono essere un. AS) AS6501 permetterebbe solo percorsi con un'origine di 6500 (vale a dire ^6500$) e vv, e la maggior parte del filtro probabilmente sui prefissi stessi come pure . Una grande quantità di danni può essere fatta da cattivi attori che utilizzano ISP che non convalidano ciò che i loro clienti li stanno inviando.

Tutto questo diventa molto complicato piuttosto rapidamente. Esistono vari registri di routing (IRR) per automatizzare il processo.

[Nota: sono stato il "ragazzo bgp" prima. E sono stato in procinto di ricevere qualcuno che si appropriava del nostro spazio di indirizzi - era negli anni '90, quindi potrebbe essere stato un vero errore di battitura da parte loro. Oggi succede di proposito.]

Ricky Beam
fonte
Mai sentito prima le reti chiamate "attori"! :-) Cosa significa "vv"?
John Jensen,
@JohnJensen, en.wikipedia.org/wiki/VV - scegli quello più logico come ho fatto io. ;-)
generalnetworkerror
Ed eccomi qui, chiedendomi se fosse un acronimo di filtraggio del percorso AS di cui non avevo mai sentito parlare. : - \
John Jensen
C'è sempre la possibilità di "annunciare Internet" e rovinare tutto. Ecco perché sto cercando di capire che tipo di sicurezza esiste con BGP. I peer accettano semplicemente ciecamente gli aggiornamenti [tabella di routing]?
Libbux,
1
In sostanza, @RickyBeam, non fidarti di nessuno e dei tuoi colleghi con pari affidabili come Level3, nLayer, ecc ...?
Libbux,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.