Propagation BGP circulaire

10

Celui-ci est difficile à décrire, il est hypothétique car j'apprends le routage et en ce moment je me concentre sur BGP.

Disons que mon ASN est 65000, et j'annonce 192.0.2.0/24. Mon homologue, AS 65001met à jour sa table de routage avec ses routes vers le réseau que j'annonce, mais mes routeurs FAI ne sont pas mes homologues. Si AS 65001(qui reçoit mes mises à jour d'itinéraire) est jumelé avec mes FAI 65001, ce qui signifie que mes FAI reçoivent des itinéraires de , cela signifie-t-il que mes FAI pourront désormais acheminer le trafic vers 192.0.2.0/24, et j'ai évité d'avoir à regarder directement avec mon FAI?

Si je me trompe horriblement sur quelque chose, veuillez me corriger (ou me dire où je peux trouver une bonne documentation).

routing bgp ipv4 Libbux
la source
Veuillez ne pas utiliser l'espace IP public d'autres personnes dans vos exemples, par exemple, regardez simplement où va 1.0.0.0 de nos jours.
LapTop006
considérant qu'il est contraire aux règles d'utiliser l'espace RFC1918, que recommanderiez-vous qu'il utilise comme exemple hypothétique?
John Jensen
1
@JohnJensen Il existe des blocs réservés pour la documentation et les exemples - tools.ietf.org/html/rfc5737 - 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24
jwbensley
1
@ LapTop006 Il en va de même pour les numéros AS, j'ai édité le message pour utiliser des numéros AS privés.
jwbensley

Réponses:

15

Vous pensez en quelque sorte à la mauvaise façon, mais je vais essayer de l'expliquer.

Lorsque vous achetez de la bande passante auprès d'un FAI, cela s'appelle le transit (familièrement dans l'industrie). En supposant que vous disposez d'un espace PI (1.0.0.0/8, par exemple), vous payez votre FAI pour transférer vos bits de votre réseau vers d'autres réseaux. Disons que votre AS est 6500 et votre ISP est 3356. Les bits de tout autre ASN devront également transiter par AS3356 pour vous rejoindre. Disons qu'il existe un autre ASN (6501) qui achète le transit d'un autre ASN (7224). AS3356 et AS7224 sont des pairs. Maintenant, pour que les bits passent de AS6501 à AS6500, le chemin va comme ceci:

AS6501 -> AS7224 -> AS3356 -> AS6500

Maintenant, si vous configurez l' homologation (également un terme courant de l'industrie **) avec AS6501, cela élimine la nécessité de vous envoyer des bits vers AS6501 via le transit et vice versa, réduisant ainsi votre coût, le coût de l'opérateur d'AS6501, et entraîne généralement une réduction perte / latence entre vos réseaux. Tout le monde gagne! Maintenant, le chemin ressemble à ceci:

AS6501 -> AS6500

Votre scénario d'origine ne fonctionnerait pas dans le monde réel, car l'hypothèse de l'AS6501 serait qu'elle entraînerait un coût pour vous faire parvenir vos bits par le (s) FAI. L'AS6501 n'obtiendrait aucun avantage en transportant vos bits à travers votre FAI afin que vous n'ayez pas à payer votre FAI. Ce qui est plus probable, c'est que l'AS6501 vous facturera pour cela, à ce moment-là, vous pourriez tout aussi bien payer vos FAI.

** Le terme peering est surchargé. Il peut être à la fois utilisé pour décrire une session BGP (variété e ou i), ainsi que le sens familier / politique, ce qui signifie que vous et un autre réseau vous connectez les uns aux autres et échangez directement le trafic (via BGP) pour un bénéfice mutuel - pensez à l' opposé de transit . Si vous exécutez BGP avec votre FAI (transit), vous êtes toujours techniquement en train de regarder avec votre FAI, car il s'agit d'un peering eBGP . Pour éviter toute confusion, il est préférable d'utiliser le peering pour faire référence à l'acte d'échanger du trafic avec un autre réseau sans frais (notez que ce n'est pas toujours le cas) et la session BGP pour faire référence au terme technique réel pour échanger des préfixes via BGP (iBGP ou eBGP) avec un autre routeur, qu'un coût soit impliqué ou non.

John Jensen
la source
Merci, très clair. Juste une question: pour que les morceaux partent AS6501 -> AS6500, ne devraient-ils pas traverser physiquementAS3356 (et AS7224)? Est-ce que j'ai râté quelque chose?
Libbux
Pas si vous (AS6500) regardez avec AS6501. Le fait est que vous évitez la traversée physique en configurant le peering. En règle générale, cela se fait avec PNI ("interconnexion de réseau privé") - une liaison physique distincte de votre routeur au routeur de l'homologue, ou vous et l'homologue vous connecterez à la structure d'appairage d'un IXP et configurerez les sessions eBGP entre elles de cette façon.
John Jensen
Il semble que j'utilise mal le mot «pair» alors. Peut-être que ma compréhension de BGP est limitée, mais mon utilisation de "pair" signifiait simplement cela AS6501et AS6500échangeait des tables de routage.
Libbux
Voir mon montage ci-dessus où j'approfondis ce que signifie le peering :-)
John Jensen
De toute évidence, j'ai beaucoup à apprendre sur le terme peering seul. Je pense que je vais juste regarder avec mon FAI et rendre les choses plus simples.
Libbux
5

Si l'AS 6501 est disposé à être un AS de transit, il pourra alors se diriger vers votre / 8 ', mais cela peut également dépendre de l'obtention ou non de votre / 8 auprès dudit FAI.

En termes de bonne littérature, je recommanderais toujours fortement «Routing TCP / IP Vol2» de Jeff Doyle & «Internet Routing Architectures» de Sam Halabi.

Mat
la source
Merci. Mais s'ils étaient 6501acheminés /8, ne seraient-ils pas simplement acheminés vers mon FAI, qui (puisqu'ils ne sont pas pairs avec moi) ne saurait pas où envoyer mon trafic (en supposant que ce soit avant 6501d'envoyer sa table à mon FAI)? Si j'avais obtenu le /8auprès de mon FAI, ils me l'achemineraient évidemment (et l'annonceraient également). Le but de cette situation est de contourner le processus de peering avec votre FAI (peut-être qu'ils vous détestent ou quelque chose, qui sait).
Libbux
Oui, vous avez raison, mais je pensais que vous seriez directement pair (eBGP) avec AS6501.
MattE
4

Je voudrais juste ajouter que tous les bons acteurs filtrent la merde impie de ce qu'ils annoncent et acceptent de leurs pairs. AS6500 annoncerait que des itinéraires à préfixes dont ils sont propriétaires (ou celui de leurs clients, qui eux - mêmes peuvent être un AS.) AS6501 ne permettrait routes avec une origine de 6500 ( par exemple ^6500$) et vice versa, et le plus filtre probable sur les préfixes eux - mêmes et . Une grande partie des dommages peut être fait par les mauvais acteurs en utilisant les FAI qui ne valident pas ce que leurs clients les envoient.

Tout cela devient très compliqué assez rapidement. Il existe différents registres de routage (IRR) pour aider à automatiser le processus.

[Remarque: j'ai déjà été le "gars bgp". Et je suis du côté de la réception de quelqu'un qui s'approprie notre espace d'adressage - c'était dans les années 90, donc ça aurait pu être une vraie faute de leur part. Aujourd'hui, cela se produit exprès.]

Ricky Beam
la source
Jamais entendu parler de réseaux appelés «acteurs» auparavant! :-) Que signifie "vv"?
John Jensen
@JohnJensen, en.wikipedia.org/wiki/VV - choisissez la plus logique comme je l'ai fait. ;-)
generalnetworkerror
Et j'étais là, me demandant si c'était un acronyme de filtrage de chemin AS dont je n'avais jamais entendu parler. : - \
John Jensen
Il y a toujours la possibilité "d'annoncer Internet" et de tout gâcher. C'est pourquoi j'essaie de comprendre quel type de sécurité est en place avec BGP. Les pairs acceptent-ils aveuglément les mises à jour de [table de routage]?
Libbux
1
@RickyBeam donc essentiellement, ne faire confiance à personne et ne faire que des pairs avec des pairs réputés comme Level3, nLayer, etc ...?
Libbux