互联网交换点概述
互联网交换点(IXP)是2层网络,例如 VPLS 或 EVPN 等基于 MPLS 2 层的服务,可促进 Internet 服务提供商(Isp)之间的互连,使用边界网关协议(BGP)协议来交换路由信息.
在其核心中,IXP 实际上是一个或多个物理位置,其中包含互连交换机,可在不同的连接网络(通常称为 IXP 环境中的成员)之间移动流量。网络称为IXP lan或对等 lan。请参阅Figure 1。
成员通过各种收费方案分担维护物理基础架构和关联服务的成本,但在几乎所有情况下,成员成本都是固定的每月费用,具体取决于成员使用的端口速度和端口数量。
IXP 上两个成员之间的流量交换可通过 BGP 路由配置(对等会话)来推动。成员选择通过对等关系–通告路由到自己的地址,或通过路由到达连接到的其他网络的地址(例如客户)。
然后对等关系的另一方可以应用路由过滤,其中选择接受这些路由并相应路由信息流,或者忽略这些路由并使用其他路由到达这些地址。
第一天将更详细地介绍要播发的路由(或从成员处接受或筛选的广告):部署 BGP 路由安全(请参阅:https://www.juniper.net/us/en/training/jnbooks/day-one/deploying-bgp-routing-security/).
互联网交换点的经济性
您可能会说,IXP 的目标是减少 ISP 将通过其上游传输提供商提供的信息流的部分,因此,在其他方面,可能会降低流量的平均每比特交付成本。此外,可用路径的增加数量提高了路由效率和容错能力。此外,有时更重要的是,目标可能会降低延迟、提供更短的网络路径以及增加或提供冗余。
IXPs 展示了 economists网络 Externality 影响的特征(https://en.wikipedia.org/wiki/Network_effect),或者产品或服务的价值与产品或服务的用户数量成正比。互联网交换是这种影响的特例;交换点的价值并非纯粹是参与者的数量,而是一种稍微复杂的计算,其中包括路由的数量和唯一性以及信息流的 peered 量。由于 IXP 到 ISP 的价值与 ISP 可在 IXP 上的对等关系中交换的流量成比例,因此对等互连的 IXP 值遵循网络 externality 图形,如中Figure 2所示。
Figure 2.说明了 IXP (Vcap)的价值如何作为参与者数量的一种功能。随着越来越多的参与者连接到该交换点,更多的参与者可以相互对等方。从参与者的角度来,交换点的价值随每个潜在对等方而增加。
对等关系
虽然双边对等(正好两个成员之间协商和建立)会话以前是交换路由的最常见方法,但与密集互连相关的开销可能会导致大型 IXPs 成员的重大运营扩展问题。
Multilateral 互连是使用“外部 brokering”系统互连成员的一种方法,通常称为路由服务器,通常由 IXP 管理。每个 multilateral 互连参与者(称为路由服务器客户端)向使用外部边界网关协议(EBGP)的路由服务器通告路由。反过来,路由服务器会将此信息透明地转发给与其相连的每个路由服务器客户端。
什么是路由服务器?
对于组织成为成员并在 IXP 上开始对等方面的入口障碍,通常很低。至少需要一个物理或远程(回传)端口连接到 IXP 网络对等 LAN,并从 IX LAN 子网中分配了一个 IP 地址。然后,可以将 BGP 与其他任何对等 LAN 的其他人进行配置。
为此,您必须手动将这些 BGP 对等会话与您希望对等方进行配置。这称为双边互连,表示您与对等方之间有一个会话,只有您和特定对等方交换路由通告。
想象一下具有许多(100 +)成员的大型 IXP。这很快就会变得非常麻烦。特别是在正确的路由通告上按对等方过滤时(例如基于 Internet 路由注册表):https://en.wikipedia.org/wiki/Internet_Routing_Registry)、前缀、AS 路径等,您应该做这件事。不 brainer 使用更简单的解决方案(如果有的话)。
为避免配置和维护每个成员的单个 EBGP 会话的10s 或100s (某些较大的 IXPs 具有超过500个成员或成员),您只需几个会话即可使用路由服务器。路由服务器通常由 IXP 即服务提供给其成员。
ISP’路由器和路由服务器之间的一个 BGP 会话就是向 IXP 的所有其他成员通告并从中接收路由(如所示Figure 4)。显然,您将只能与同时与路由服务器有 BGP 会话的成员交换路由信息。因此,它为在 IXP 存在的成员中的完全网状对等互连提供替代方法。
有些 Isp 将仅依赖于路由服务器会话,而另一些则会将其用作 IXP 结构上的现有 EBGP peerings 的备份。大多数 IXPs 将具有冗余路由服务器,并向成员对等方建议。
与 IXP’的路由服务器的对等互连可提供成员的附加优势,例如要过滤的社区。例如,其原始国家/地区或原始数据中心。
路由服务器提供:
EBGP 路由反射与 IXP 上每个服务提供商的自定义策略支持。
降低配置复杂性(从而仅保留几个 BGP 会话,而不是数百个。
降低每个成员路由器的 CPU 和内存要求;您仍将收到所有前缀,但’不需要所有单独 BGP 对等会话。
减少了由个人对等协议导致的管理开销支出。
附加过滤器选项(IRRdb、RPKI、预定义 BGP 社区),无需自行实施。
能够通过 IXP 从第一天发送和接收信息流(无需等待排列所有单个 peerings)。
可能的备份路径;当您向另一个成员的 BGP 会话变为非活动状态时,您仍有可能通过从路由服务器获知的路由到达成员网络。
路由服务器本身不参与实际的信息流转发,它只提供路由信息(AS 路径、路由、社区、下一跃点等)。从这种角度来看,由于不需要转发硬件,路由服务器可以轻松成为虚拟机(VM)或容器,而不是物理盒。此外,与路由服务器的对等连接并不意味着您必须接受来自其他所有路由服务器参与者的所有路由,或者必须将所有路由通告给其他每个成员。您如何配置?阅读…
BGP 路由信息库(筋)
这本书提及了不同类型的路由信息基(肋条)。本段落将为您做好准备。一般来说,筋持有路由信息,但在 BGP 发言者中有三个对应的肋条:
调整-筋-In:存储从入站 BGP 更新消息中学到的路由信息。它包含可用作 BGP 决策流程的输入的路由。
Loc:在将导入策略应用于调整-肋中存储的路由信息之后,包含路由信息。
调整-筋-出:存储为播发至对等方选择的信息。存储在调整后筋出式中的路由信息将在出站更新消息中使用,并通告至其对等方。
总而言之,调整后筋中包含从对等方收到的未处理的路由信息。Loc 包含由本地 BGP 发言者’决策流程选择的路由,而调整了筋-Out 包含通过更新消息向特定对等方通告的路由。
路由反射器与路由服务器
为清楚起见,为了确保您与本书籍中的页面相同,我们’将定义路由反射器、路由服务器和路由收集程序。路由反射器和路由服务器之间的主要区别在于路由反射器的 IBGP 语义与路由服务器所需的 EBGP 语义相同。路由收集器是一种独特的情况。
Route Reflector
路由反射器通常用于消除 IBGP 扬声器之间的会话的全网格需求。路由反射器必须知道何时向另一个对’等方反射对等的宣告,以便保留 IBGP 语义。路由反射器将其 Loc 中的最佳路径发送至所有客户端(它获知路由的源除外)。除非被告知,路由反射器通常不会修改属性,而是将 next-hop-self旋钮或本地配置策略,但这是 IBGP 的默认行为。
Route Server
路由服务器以透明方式发挥类似角色(不更改属性),但在这种情况下,对于 EBGP 的扬声器,它必须能够禁止将其自己的(可能是私有的) ASN 附加到通告路由。
它还维护了其每个客户端(每个客户端 Loc)特有的筋,其策略可应用于该客户端。客户端从该筋获取更新,而不是从全局 Loc。
Route Collector
我们中部的陌生人是路由收集器,因为它不会转发任何数据包,也不会向任何人通告任何前缀。其用途是收集路由信息,因为其名称越来越多地展现。这样一来,路由收集器及其附属工具就像是一种可提供的玻璃(在大多数情况下),它是‘网络’中’‘的一个点所知道的路由信息的公共视图。在 IXP 环境中,路由收集器提供的信息将为以下内容提供有用信息:
IXP 成员检查 BGP 过滤器的功能
评估加入 IXP 的价值的潜在成员
用于故障排除目的的操作社区。
今后,我们将在这本书中涵盖路由服务器。
路由服务器属性透明度
作为路由服务器主要执行 brokering 服务,修改属性可能会导致路由服务器客户端改变其 BGP 决策过程,以获取收到的前缀可访问性信息,从而更改预期的交换路由策略人数. (有关更多详细信息,请参阅 Juniper 技术库: https://www.juniper.net/documentation/en_US/Junos/topics/reference/general/routing-protocols-address-representation.html。)
与普通 EBGP 路由处理规则相反,路由服务器默认情况下不会更新已知的 BGP 属性(除非显式配置)(https://ftp.apnic.net/apnic/training/eLearningHandouts/2017/20171025/eROU04_BGP_Attributes.pdf
Next_Hop 属性
AS_Path 属性
Multi_Exit_Descriminator
社区
路由服务器部署中的路径隐藏缓解
在传统的双边互连模型中,对第三方 exchange 参与者的单客户端策略控制是通过以下方式完成的:不参与与该参与者的双边互连,或者通过在 BGP 上实施出站筛选。向该参与者授课。但是,在 multilateral 互连环境中,只有路由服务器可以按路由服务器客户端的方向执行出站过滤。路由服务器客户端依靠路由服务器对其执行出站过滤。
假设遵循默认 BGP 决策流程,当同一个前缀从多个路由服务器客户端通告到一个路由服务器时,路由服务器将选择一个路径以传播到所有连接的客户端。但是,如果路由服务器已配置为从到达特定路由服务器客户端的过程中过滤计算出的最佳路径,则该客户端将不会收到该前缀的路径,尽管路由服务器收到的备选路径可能已被策略符合此客户端的要求。这种现象称为路径隐藏。
在四个不同 BGP Figure 5自治系统(AS)交换路由中,使用四个客户路由器中所示的示例,由 C [1-4] 描绘。AS64496 中的 C1 不会直接在 IXP 的 AS64498 中使用 C2 in AS644967 或 C3 交换前缀信息,但仅在 AS64499 中与 C4 互连。AS64496、AS64497、AS64498 和 AS64499 之间的线路表示互连关系,无论是通过直接(双边) EBGP 会话还是使用路由服务器(multilateral)。
让’我们来说,前缀从 AS64497 和 AS64499 通告到路由服务器,而通过 AS64497 的路由是根据路由服务器上 BGP 决策过程的首选方法。所有这些都是正常的,前缀是可到达的。当 AS64497’s 策略阻止路由服务器将路径发送至 AS64496 时,即使路由服务器还收到了通过 AS64499 的有效备选路径,AS64496 也永远不会收到此前缀的路径。发生这种情况是因为 BGP 决策过程在路由服务器上对所有客户端执行一次
虽然有多个选项可用于缓解路由服务器环境中的路径隐藏(https://tools.ietf.org/html/rfc7947#section-2.3.2),但 Junos OS 会采用多个路由服务器- Figure 6客户端肋条(请参阅和https://tools.ietf.org/html/rfc7947#section-2.3.2.1)。Juniper 路由服务器 BGP 实施使用每客户端的 Loc 肋器执行每个客户端到前缀的每一组路径的最佳路径计算,并在调整筋和按客户端的 Loc 筋之间实施路径过滤。有关详细信息,请在本书稍后部分提供。
路由服务器部署的架构
本节提供有关如何在 IXP 环境中设置和操作路由服务器的概念性想法。
每路由服务器客户端策略使用 BGP 社区
策略控制通常通过使用 BGP 社区来处理。发送至路由服务器的前缀根据特定标准 BGP 社区(https://tools.ietf.org/html/rfc1997)、扩展社区(https://tools.ietf.org/html/rfc4360)或大型社区(https://tools.ietf.org/html/rfc8092)属性标记,具体取决于 IXP 和所有 IXP 成员之间同意的预定义值。目前,由于某些工作已完成定义标准,但在 IXPs 网络中没有相互商定的标准,例如:https://tools.ietf.org/html/draft-adkp-grow-ixpcommunities-00.
在这种情况下,我们将使用标准社区来解释。扩展或大型社区的使用可能具有优势。
根据社区的价值,BGP 路由可能会传播到其他所有客户端、客户子集或无客户端。此机制允许路由服务器客户端指示路由服务器实施按客户端导出路由策略。例如,IXP 成员可通过路由服务器对其路由进行标记, Table 1并将其显示在控制策略中。
Table 1: 用于控制每客户端策略的标准 BGP 社区示例
策略说明 | BGP 社区 |
|---|---|
阻止向某个对等方发送路由 | 0:<peer-as> |
通知某个对等方的路由 | < rs as >: < 对等方-as > |
阻止向所有对等方发送路由 | 0:<rs-as> |
向所有对等方发布路由 | < rs as >: < rs-as > |
冗余
IXP 路由服务器实施的目的是提供可靠的可访问性经纪服务,因此 IXP 运营商通常会部署多个路由服务器Figure 7(请参阅)。
最好还要在路由服务器之间通告路由,以确保即使对于特定路由服务器上的特定 IXP 成员路由器,而不是其他的会话 BGP 时,也可访问。虽然此活动可能很少见,但在提供基于’路由服务器的服务时,值得认真考虑这种情况。
但是,此样式的冗余路由服务器部署可能会导致更复杂的路由服务器之间的会话管理,以及与 Junos OS 路径缓解技术相关联的实例导入/导出策略。在Figure 7中,右边以每个非转发路由实例(NFRI) BGP 会话和策略的形式展示了这种额外的复杂性。因此,必须认真评估。大多数 IXPs 操作一组两个独立的路由服务器,因为这似乎会导致冗余和复杂性之间的最佳平衡。
路由服务器安全注意事项
以下基本 EBGP 最佳实践是为了您的安全考虑。
Generalized TTL Security Mechanism (RFC3682)
GTSM 旨在防止路由器’的控制平面受到基于 CPU 利用率的攻击。GTSM 基于在与 IX LAN 上 EBGP 对等方相同的情况下,在相邻路由器之间建立的绝大多数协议 peerings。由于 TTL 欺骗被视为几乎不可能,因此基于预期 TTL 值的机制可以根据来自网络外部的伪造协议数据包,提供简单、可靠的基础架构攻击防御。
Session Authentication (RFC2385)
典型的 IXP 对等 LAN 由多个交换机构成,形成一个大型第2层结构。这种架构的不利之处在于,通过哄骗 MAC ‘和’ /或’IP 地址劫持另一个成员 BGP 会话相当容易。’IXP 在接入端口上部署过滤器的良好实践,例如,用于限制成员仅使用特定 MAC 地址。
Securing BGP Sessions (MD5/TCP-AO)
保护 BGP 会话本身被视为额外的安全层,确保您与您认为与您的对等与您的对等用户的连接。
MD5 是 TCP 扩展,可增强 BGP 的安全性。它定义了一个新 TCP 选项,用于在 TCP 段中执行 MD5 (https://tools.ietf.org/html/rfc1321)摘要。此摘要的作用类似于该分段的签名,将仅已知连接端点(对等)的信息集成在一起。由于 BGP 将 TCP 用作其传输,因此使用 MD5 可显著降低 BGP 上特定安全攻击的危险。
但是,在1996中,在 MD5 设计中发现一个缺陷,而在2004中显示,MD5 不会造成碰撞。MD5 不被视为合适,因为它已弃用且不安全(https://en.wikipedia.org/wiki/MD5#Security),但仍然广泛使用。现在提供了更好的替代方案,例如 TCP 身份验证选项(RFC5925;https://tools.ietf.org/html/rfc5925)。遗憾的是,这尚未由许多网络供应商实施,直到现在。
Maximum Prefix Limits
设置对等方接受的前缀数的限制是可采取的最简单措施之一,以保护路由服务器不会由于 IX 成员的路由或策略错误而有意或无意超载。此限制的目的是作为最终的故障安全。如果导入策略失败,则关闭 EBGP 会话将发出警报,指出发生了一些“错误。”
有关定义“最大”前缀数的考虑因素,有几个学校的想法。是在导入策略和/或 BGP 之前收到的前缀的最大数量 best-path,或者是应用导入策略后接受的前缀的最大数量,并且 BGP best-path是否计算?
此外,对于最大值应达到的建议有多种,例如,您从 IX 成员路由器 d 所’期望的前缀数的10%?问题在于,当设置这些硬限制时,很容易忘记它们的位置,因此在遇到前缀突然跳过时,无意导致您的会话重置。
因此,最大值应足够高,以防止意外传入,但也足够低,以免盲目接受并可能意外接受整个路由表。一些建议可能是:
将预期和乘以10的路由数量相乘。
使用对数刻度得出合适的限制。
利用外部应用程序或控制器监控、学习和修改每个会话最大的数。在Using a cRPD-based Route Server一章中,将更详细地了解此解决方案。
Table 2: 最大前缀值示例
预期路由数 | 简单(x10)最大值 | 日志(n)最大值 |
|---|---|---|
10 | 100 | 100 |
1,000 | 10,000 | 3,000 |
50,000 | 500,000 | 234,500 |
目前,应用出站最’大前缀过滤器不是一种广泛使用的技术,但由于“”“fat 手指,它可能有助于防止您泄漏全表。”
与入站过滤一样,最大前缀被视为“最终故障安全” ,以防‘另一方’犯了错误,因此您可以认为这是防止您对其他人造成伤害。
IETF 当前正在处理一个名“为 BGP 最大前缀限制”的草稿,以便标准化前/后/出站最大前缀限制:https://datatracker.ietf.org/doc/draft-sa-grow-maxprefix/.
最大前缀限制(包括其他参数)是您通常需要实现自动化的一项,因为它可以快速、频繁地变化。例如,当一个成员购买另一个成员或将新客户连接到其网络时,您有大量要更新的过滤器。作为’默认自由区域(DFZ)中的网络运行的这种良好实践(请参阅:https://en.wikipedia.org/wiki/Default-free_zone)要保留最新的 PeeringDB (https://www.peeringdb.com/)配置文件。许多网络已经使用 PeeringDB 信息来自动构建其过滤器。您可以在以下网址找到使用 Python 实现对等流程各个部分的入门示例:https://github.com/coloclue/kees和 at https://github.com/coloclue/kees/blob/master/peering_filters。
Default EBGP Route Propagation Behavior Without Policies (RFC8212)
默认情况下,许多 BGP 扬声器(路由器)通告并接受其邻接方之间的任何和所有路由公告。此日期恢复到 Internet 早期,在发送路由信息时,允许所有网络相互联系。随着互联网变得更加密集互连,行为不足的可能性 BGP 发言者给全球路由表和互联网带来巨大的风险。
RFC8212 (https://tools.ietf.org/html/rfc8212 )通过对任何 EBGP 会话(如客户或对等)的 BGP 导入和导出策略要求显式配置来解决这种情况。遵循此规范的 BGP 演讲者不要在 EBGP 会话上使用或发送路由,除非特别配置为这样做。换句话说,有一个策略可显式通告相邻节点的路由信息。
每个路由服务器客户端前缀验证
许多 IXPs 验证所有路由服务器上的入口上的前缀。验证基于互联网路由注册表(IRR)或路由对象授权(ROA)对象存在。基于路由对象的有效来源 ASNs 和有效前缀的列表以路由过滤器列表或前缀-列表和 as 路径列表的形式构建。由于缺少 ROAs,有效路由的更具体公告经常被拒绝。将搜索 IXP members PeeringDB 记录中的一个有效 AS 集。如果未找到有效的 AS 集,通常只使用成员的 ASN。
Table 3下面显示了基于入口验证的结果基于社区的标准标记入口的示例。
Table 3: 入口标准标记基于社区的示例
策略说明 | BGP 社区 |
|---|---|
前缀存在于已公布为’/as 集的 as 中 | <rs-as>:650010 |
前缀不存在于 AS’s 已公布 AS/AS SET 中 | <rs-as>:650010 |
前缀在 AS 设置中具有有效的来源 | <rs-as>:650012 |
前缀在 AS 集中没有有效的来源 | <rs-as>:650013 |
前缀验证通常会发生,IXP 成员可以检查设置为其前缀的社区,并通过路由服务器或查找玻璃的路由收集器查看验证检查的结果。传出时,验证失败的已过滤前缀将被拒绝。一些 IXPs 提供的成员希望收到一组未过滤的前缀以选择退出。由于明显原因,不建议这样做;’没有理由在路由表中保留无效的路由信息。
使用 RPKI 对 BGP 进行的原始验证
在全局路由表中看到的路由通告的一个很大一部分无效,或者找不到有效的路由来源授权(ROAs)(https://www.ripe.net/manage-ips-and-asns/resource-management/certifi-身份证明/资源认证-roa 管理 #---路由---authorisations-),可在此 NIST ROAs 监视器中看到:https://rpki-monitor.antd.nist.gov/. 虽然在6月2019日早些时候编写这本书,但0.74% 的路由无效,并且未找到全局路由表 ROAs 的86.32%。显然,这些数字需要尽可能快地停机!
最常见的路由错误是由于策略错误或前缀(fat 手指) misorigination 意外的路由泄漏,这意味着有人无意间公布了不是其所有者的 IP 前缀,或者在 RIR 数据库中没有有效路由对象时通告更具体的路由。后者会导致 BGP 路由器更好地“”声明某个路由,并使其在正确的路由上使用。这可能并不是因为它不会导致 IP 空间 rightful 所有者的网络。作为此问题的(部分)回答,来源验证(使用资源公钥基础架构(RPKI))提供 BGP 来源验证。它尝试回答的问题是:“此特定路由公告是否由地址空间的合法持有人授权?”
RPKI 允许运营商创建有关其路由公告的加密签名声明。这些语句称为路由原始授权(ROAs)。被授权发起(播发)某个 IP 前缀的 ROA 状态。此外,它还可以确定授权公布的前缀的最大长度。基于此信息,在其路由器上部署原始验证的其他网络随后会验证他们收到的通告是否有效或无效,并使用该信息做出路由决策。
除了连接网络,IXP 还负责保持互联网安全和稳定。从这种角度来看,在您的路由服务器上部署原始验证应该是不 brainer 的,尽管您希望部署 RPKI 的方向(入站或出站)需要考虑一些。理想情况下,丢弃恶意广告会在进入您的网络或在这种情况下在您的路由服务器上发生。但是,这会使故障排除变得更难,因为您无法看到将哪些路由通告到路由服务器。
如果您的客户想要使用您的外观来检查路由服务器是否已收到该前缀,例如,他们在调整筋和 Loc 之间的过滤’效果不会得到结果。
因此,在实践中,您可能希望接受广告来输入 Loc,并在输入调整-筋时对其进行过滤,以防止您的路由服务器向您的客户通告无效路由。
全面详细介绍 RPKI 超出了本书的范畴。这本书第 Day 节有详细介绍:在 https://www.juniper.net/us/en/training/jnbooks/day-one/deploying-bgp-routing-security/上部署 BGP https://www.juniper.net/us/en/training/jnbooks/day-one/deploying-bgp-routing-security/路由安全。
下面介绍了如何将 Junos OS 路由器或路由服务器配置为执行来源验证:https://www.juniper.net/documentation/en_US/Junos/topics/topic-map/bgp-origin-as-validation.html.
策略实施注意事项
在跳转到路由服务器的策略实施细节之前,很’有必要查看几个 nascent BGP 实施注意事项。任何从其他对等方接收路由更新的 BGP 发言者都会处理本地使用的信息,然后根据预定义的策略向不同对等方公布所选路由。为了让 BGP 能够执行此功能,它将此信息存储在一种称为BGP 路由信息库的特殊数据库中。
BGP 路由信息库由三部分组成:
调整-筋:BGP 筋-In 存储从不同对等方接收 BGP 路由信息。存储的信息用作 BGP 决策流程的输入。换句话说,这是在应用任何属性修改或路由过滤之前从对等方接收的信息。
当地筋:本地路由信息基库在处理筋入信息之后存储公告策略信息。这些是在应用 BGP 策略和决策流程之后在本地使用的路由。
调整-肋条输出:这一类存储由本地 BGP 路由器选择的路由信息,以便通过 BGP 更新消息向对等方公布。
Scaling, Troubleshooting, and Monitoring Considerations一章提供详细的 CLI 示例,用于监控三个 BGP 筋部分中的每一个。
中Figure 8描述了这种基本路由信息流,从客户端到路由服务器和返回客户端。该图还说明了如何应用特定策略来管理刚刚介绍的各种 IXP 和常规 BGP 策略。
此处介绍的数据库不会与路由表相混淆,因为这些只是 BGP 进程使用的表,也不会由路由器用于数据包转发。只有当地 BGP 发言者指定的条件(取决于供应商实施和路由协议的首选项),才会在路由表中安装在本地筋中存在的路由集。