Se gli IP pubblici sono bloccati su un singolo AS, come funziona BGP anycast?

11

Sono consapevole che i blocchi IP pubblici sono assegnati da IANA , che assegna i blocchi secondari ai RIR , che assegna i blocchi secondari agli ISP, che assegna i blocchi secondari ai singoli AS come indicato in questa domanda: come vengono effettivamente assegnati gli indirizzi IP?

Questo (e risorse come questa pagina ) sembrano implicare una mappatura di 1 IP pubblico su 1 AS.

Tuttavia, anycast sembra funzionare pubblicizzando lo stesso indirizzo IP pubblico da più posizioni, fornendo percorsi diversi a tale IP. Per esempio:

Se si suppone che ips pubblici si risolvano in un singolo AS, come funziona anycast?

  • È un trucco con cui fai finta di fare BGP multi-homing / multi-pathing e prendi semplicemente il traffico mentre passa attraverso un AS (come sembra implicito qui: /server//a/728609/148476 )?
  • È solo un'eccezione alla "regola" di 1 IP per AS?
  • O forse mi manca qualcosa ...
networking  bgp  anycast  network-security 
turtlemonvh
fonte
2
Non esiste una regola rigida per "1 AS per indirizzo": basta guardare 192.88.99.0/24 utilizzato da 6to4. (Anche se certamente diventa problematico ...)
user1686,
2
Hai un riferimento per l'affermazione che gli IP sono assegnati agli AS? Sono passati alcuni anni, ma ho visto solo mai blocchi di indirizzi IP assegnati alle organizzazioni. (Le mappature a cui fai riferimento probabilmente ti dicono solo quali AS stanno pubblicizzando un blocco particolare che sta osservando ciò che sta realmente accadendo, non assegnando.)
David Schwartz,
Il modo in cui gli indirizzi sono assegnati a un'entità non ha nulla a che fare con il modo in cui i percorsi verso gli indirizzi sono pubblicizzati su Internet. Potrebbe essere possibile che ogni ISP comprendente Internet possa pubblicizzare che ha un percorso verso un prefisso particolare, e potrebbe essere che ognuno di essi abbia imparato un percorso verso un prefisso da un altro ISP. Il routing è solo un router che dice a un altro che sa come inoltrare il traffico verso una rete e ogni router Internet potrebbe legittimamente credere di conoscerne uno. I router che ricevono più route verso una rete sceglieranno una di quelle route da utilizzare.
Ron Maupin,
@DavidSchwartz no nessun riferimento per l'assegnazione IP a AS. Dopo aver letto alcune di queste risposte e alcuni altri articoli, non penso che sia affatto giusto, sembrava solo implicito in molte risorse (forse dal momento che è il caso più comune).
turtlemonvh,
@RonMaupin Comprendo la separazione tra routing e assegnazione dei blocchi ip. Tuttavia, gli annunci di route BGP contengono una sezione AS_PATH utilizzata per le decisioni di routing (vedere: tools.ietf.org/html/rfc4271#section-4.3 ). La mia domanda riguarda davvero il comportamento quando questi annunci di route vengono fatti da molti AS e ogni AS dice che è l'unico AS nel percorso, ovvero che hanno un percorso diretto verso l'indirizzo IP senza alcun routing esterno aggiuntivo.
turtlemonvh,

Risposte:

5

Non è necessario che gli indirizzi IP o le rotte Internet per un prefisso provengano da un singolo AS. Gli ASN sono assegnati alle organizzazioni e gli indirizzi sono assegnati anche alle organizzazioni. I registrar come ARIN non collegano la mia allocazione dell'indirizzo alla mia allocazione ASN. Anche in nuovi sistemi come Resource Public Key Infrastructure , consente comunque a più AS di originare una route verso una rete. La pagina del Team Cymru dice questo nelle FAQ:

In alcuni casi, un prefisso di rete verrà annunciato da più reti diverse ma disparate o da sistemi autonomi. Il motivo più probabile di ciò è qualcosa noto come "multihoming". Questo è perfettamente normale. A seconda della visione della topologia di Internet e dei criteri della rete di origine, una di quelle reti di origine sarà il percorso preferito per l'invio e la ricezione di traffico con il netblock in questione.

Ecco un (lungo) elenco di reti che sono attualmente pubblicizzate da più AS.

Come arrivare dove sta andando: I percorsi sono selezionati usando un algoritmo di selezione del percorso BGP che sceglie un percorso in base alle informazioni che ogni router attraversa il traffico conosce. Ogni router su Internet ha una propria visione della tabella di routing, quindi il traffico in una parte di Internet può finire in un posto diverso e AS rispetto al traffico in un'altra parte di Internet. Non è nemmeno necessario che tutti i pacchetti in un flusso vadano nello stesso posto, il che può ovviamente rendere le cose interessanti in caso di streaming o multihoming.

dk1
fonte
Grazie dk1. L'idea che il mapping da IP pubblico a AS sia 1: N e non 1: 1 era il punto chiave per me. Questo articolo è stato utile anche: serverfault.com/questions/137257/… , così come altri articoli relativi al peering AS, come: umbrella.cisco.com/blog/blog/2013/01/10/… . L'articolo di OpenDNS mostra anche che il loro AS è distribuito a livello globale.
turtlemonvh,
11

Un AS non deve necessariamente essere vincolato a una singola posizione fisica.

Quando si esegue il broadcasting, si eseguono router in molti percorsi fisici, ognuno con peer con ISP diversi come lo stesso AS, pubblicizzando un percorso verso gli indirizzi IP anycasted.

Dal punto di vista di BGP, non è terribilmente dissimile da quello che faresti per la ridondanza con più ISP di un AS in un sito; nella situazione "un sito, più ISP", un router invia "Sono AS X e ho un intervallo IP Y!" a più ISP; in ogni caso, stai solo istruendo i router geograficamente diversi di pubblicizzare tutti i loro quasi identici "Sono AS X e ho un intervallo IP Y!" messaggio ai propri ISP, richiedendo il tuo AS e il tuo intervallo anycast e permettendo a BGP di selezionare l'ISP migliore a cui inviare il traffico.

Gli ISP non sanno nulla di diverso; Internet non ha senso che i vari percorsi disponibili non stiano solo conducendo allo stesso sito altamente ridondante.

Shane Madden
fonte
O in altre parole, Internet non sa che non sta parlando con lo stesso server attraverso la tua rete segreta in fibra sotterranea multimiliardaria.
user253751,
@immibis Questo è un buon modo per vederlo, ma uno nitpick: in quel caso (reinstradamento a un server centrale tramite la propria rete interna) tecnicamente non rientreremmo più nella definizione di anycast, poiché la richiesta non lo farebbe effettivamente essere gestito in siti geograficamente disparati. Nel caso che sto descrivendo, avresti server quasi identici in ogni sito, invece della rete di backend segreta per portarti al server giusto.
Shane Madden
Non è un gioco da ragazzi, questo è il punto. È perfettamente valido avere una rete privata tra siti separati. E i protocolli di routing Internet non sono in grado di distinguere tra avere una rete privata e far finta di averne una e usare anycast.
user253751,
È sicuramente valido avere una rete privata tra i siti, stavo solo dicendo che non avresti voluto distribuire alcuncast in quel modo (stesso server), dal momento che sarebbe autolesionistico. Ma sono d'accordo con il tuo punto: dal punto di vista di Internet, sarebbero uguali.
Shane Madden
Questa è un'ottima risposta Puoi aggiungere alcuni link a documenti standard o altre risorse esterne per dimostrare che ciò che hai detto è vero? (ovvero che anycast e multi-homing sono sostanzialmente la stessa cosa)
turtlemonvh,
2

Questo (e risorse come questa pagina) sembrano implicare una mappatura di 1 IP pubblico su 1 AS.

Sì. Questo è vero.

Tuttavia, anycast sembra funzionare pubblicizzando lo stesso indirizzo IP pubblico da più posizioni,

Semplicemente "semplicemente facendolo". Un AS è l'entità che definisce il proprio routing a livello internazionale. Può connettere lo stesso indirizzo IP a più posizioni - purché il routing non cambi nel mezzo di una connessione, va bene.

Basta essere ignoranti per un momento (perché qui l'ignoranza funziona).

Se richiedi IP x negli Stati Uniti, vai in un datacenter negli Stati Uniti secondo le regole AS BGP. Se lo fai in Australia, finirai in un datacenter in Australia. Finito. Non c'è nulla che dica che un IP non può essere riutilizzato Fintanto che il percorso è stabile.

Questo non è un trucco BGP quanto un normale uso di BGP.

TomTom
fonte
1
BGP non utilizza le divisioni geopolitiche per decidere dove inviare un pacchetto e non è vero che gli indirizzi appartengano a un AS.
dk1
Citi "fintanto che il routing non cambia nel mezzo di una connessione, va bene". Ho pensato che tali cambiamenti di routing fossero un problema noto nelle configurazioni di anycast e questo è parte del motivo per cui anycast è usu. riservato per protocolli senza connessione come udp? Vedi: blog.cloudflare.com/…
turtlemonvh,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.