Propagação circular de BGP

10

É difícil descrever, é hipotético porque estou aprendendo sobre roteamento e agora estou focado no BGP.

Digamos que meu ASN seja 65000, e eu anuncio 192.0.2.0/24. Meu par, AS 65001atualiza sua tabela de roteamento com suas rotas para a rede que estou anunciando, mas meus roteadores de ISP (s) não são meus pares. Se o AS 65001(que está recebendo minhas atualizações de rota) for consultado com meus ISP (s), o que significa que meus ISP (s) recebem rotas (s) 65001, isso significa que meus ISP (s) agora poderão rotear tráfego 192.0.2.0/24e eu tenho evitou a necessidade de espiar diretamente com meu ISP?

Se eu estiver terrivelmente errado em alguma coisa, corrija-me (ou diga-me onde posso encontrar uma boa documentação).

routing  bgp  ipv4 
Libbux
fonte
Por favor, não use o espaço IP público de outras pessoas nos seus exemplos, por exemplo, veja onde a 1.0.0.0 realmente vai hoje em dia.
LapTop006
considerando que é contra as regras usar o espaço RFC1918, o que você recomendaria que ele usasse como exemplo hipotético?
John Jensen
11
@JohnJensen Há blocos Reseved para documentação e exemplos - tools.ietf.org/html/rfc5737 - 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24
jwbensley
11
@ LapTop006 O mesmo vale para números AS, editei a publicação para usar números AS privados.
jwbensley

Respostas:

15

Você está meio que pensando nisso da maneira errada, mas vou tentar explicar.

Quando você compra largura de banda de um ISP, isso é chamado de trânsito (coloquialmente no setor). Supondo que você tenha algum espaço PI (1.0.0.0/8, por exemplo), você está pagando ao seu ISP para obter os bits da sua rede para outras redes. Digamos que seu AS seja 6500 e seu ISP seja 3356. Os bits de qualquer outro ASN também precisarão transportar o AS3356 para chegar até você. Digamos que haja outro ASN (6501) que compre trânsito de um ASN diferente (7224). AS3356 e AS7224 são pares. Agora, para que os bits passem do AS6501 ao AS6500, o caminho é o seguinte:

AS6501 -> AS7224 -> AS3356 -> AS6500

Agora, se você configurar o peering (também um termo coloquial da indústria **) com o AS6501, isso elimina a necessidade de transferir bits para o AS6501 via trânsito e vice-versa, reduzindo assim seu custo, o custo do operador do AS6501 e também geralmente resulta em redução perda / latência entre suas redes. Todo mundo ganha! Agora o caminho fica assim:

AS6501 -> AS6500

Seu cenário original não funcionaria no mundo real, porque a suposição para o AS6501 seria incorrer em um custo para transmitir os bits para você a partir do ISP (s). O AS6501 não seria beneficiado ao transportar seus bits ao ISP, para que você não precise pagar ao ISP. O mais provável é que o AS6501 cobra que você faça isso; nesse momento, você também pode pagar seu ISP (s) de qualquer maneira.

** O termo peering está sobrecarregado. Pode ser usado para descrever uma sessão BGP (variedade e ou i), bem como o senso coloquial / político, o que significa que você e outra rede se conectam e trocam diretamente o tráfego (via BGP) para benefício mútuo - pense o contrário de trânsito . Se você estiver executando o BGP com seu ISP (trânsito), ainda estará tecnicamente emparelhando com seu ISP, porque é um par de eBGP . Para ajudar a evitar confusões, é melhor usar o peering para se referir ao ato de trocar tráfego com outra rede sem nenhum custo (observe que isso nem sempre é o caso) e sessão BGP para se referir ao termo técnico real para a troca de prefixos via BGP (iBGP ou eBGP) com outro roteador, esteja um custo envolvido ou não.

John Jensen
fonte
Obrigado, muito claro. Apenas uma pergunta: para os bits passarem AS6501 -> AS6500, eles não precisariam atravessar fisicamenteAS3356 (e AS7224)? Estou faltando alguma coisa aqui?
Libbux 31/05
Não se você estiver (AS6500) olhando em parceria com o AS6501. O ponto é que você está evitando a travessia física configurando o peering. Normalmente, isso é feito com os PNI ("interconexão de rede privada") - um link físico separado do roteador para o roteador de mesmo nível, ou você e o par se conectam à malha de um IXP e configuram sessões de eBGP entre si dessa maneira.
John Jensen
Parece que estou usando mal a palavra "par" então. Talvez meu entendimento do BGP seja limitado, mas meu uso de "par" simplesmente significou isso AS6501e AS6500troquei tabelas de roteamento.
Libbux
Veja minha edição anterior onde eu vou mais para o que olhando meio :-)
John Jensen
Claramente, tenho muito a aprender sobre o termo peering sozinho. Eu acho que vou apenas olhar com meu ISP e simplificar as coisas.
Libbux 31/05
5

Se o AS 6501 estiver disposto a ser um AS de trânsito, eles poderão rotear para o seu / 8 ', no entanto, também poderá depender se você obteve seu / 8 do referido ISP ou não.

Em termos de boa literatura, sempre seria altamente recomendável 'Routing TCP / IP Vol2' de Jeff Doyle e 'Internet Routing Architectures' de Sam Halabi.

MattE
fonte
Obrigado. Mas se 6501roteado meu /8, eles não estariam apenas encaminhando para o meu ISP, que (uma vez que não são espiados comigo) não saberia para onde enviar meu tráfego (supondo que isso seja antes de 6501ter enviado sua tabela ao meu ISP)? Se eu tivesse obtido o /8meu provedor de serviços de Internet, eles obviamente o encaminhavam para mim (e anunciavam também). O objetivo dessa situação é contornar o processo de espionagem com seu ISP (talvez eles odeiem você ou algo assim, quem sabe).
Libbux 31/05
Sim, você está correto, mas eu presumi que você faria um ponto diretamente (eBGP) com o AS6501.
31513 MattE
4

Gostaria apenas de acrescentar que quaisquer Bons Atores filtram a porcaria profana do que anunciam e aceitam dos colegas. AS6500 iria anunciar somente rotas para prefixos que eles próprios (ou de seus clientes, que podem ser eles próprios um AS.) AS6501 só permitem rotas com uma origem de 6500 (ou seja ^6500$) e vv, e mais filtro provavelmente nos próprios prefixos bem . Uma grande quantidade de dano pode ser feito por maus atores usando ISPs que não validam o que seus clientes estão enviando.

Tudo isso se torna muito complicado rapidamente. Existem vários registros de roteamento (TIR) ​​para ajudar a automatizar o processo.

[Nota: eu já fui o "cara do bgp" antes. E eu recebi alguém que se apropriou do nosso espaço de endereços - foi nos anos 90, então poderia ter sido um erro de digitação real da parte deles. Hoje, isso acontece de propósito.]

Ricky Beam
fonte
Nunca ouvi redes mencionadas como "atores" antes! :-) O que significa "vv"?
John Jensen
@ JohnJensen, en.wikipedia.org/wiki/VV - escolha o mais lógico que eu fiz. ;-)
generalnetworkerror
E aqui estava eu, imaginando se havia algum acrônimo de filtro de caminho AS do qual eu nunca tinha ouvido falar. : - \
John Jensen
Sempre há a possibilidade de "anunciar a internet" e estragar tudo. É por isso que estou tentando descobrir que tipo de segurança existe no BGP. Os colegas aceitam cegamente as atualizações da [tabela de roteamento]?
Libbux
11
@ RickyBeam tão essencialmente, não confia em ninguém e apenas em pares com pares respeitáveis ​​como Level3, nLayer, etc ...?
Libbux
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.