"Telefono-konexio bat ezarri genuen gure eta SRIko mutilen artean...", esan zuen Kleinrock...ek elkarrizketa batean:
"L idatzi genuen eta telefonoz galdetu genuen: "Ikusten al duzu L?"
«Bai, L ikusten dugu», erantzun zuen.
"O idatzi genuen, eta galdetu genuen: "Ikusten al duzu O".
"Bai, O ikusten dugu".
"Gero idatzi genuen G, eta sistema huts egin zuen"...Hala ere iraultza bat hasi zen...
Interneten hasiera.
Hola a todos!
Nire izena Alexander da, sareko ingeniaria naiz Linxdatacenter-en. Gaurko artikuluan trafikoa trukatzeko puntuei buruz hitz egingo dugu (Internet Exchange Points, IXP): zer izan zen agertu aurretik, zer zeregin konpontzen dituzten eta nola eraikitzen diren. Artikulu honetan ere EVE-NG plataforma eta BIRD software-bideratzailea erabiliz IXPren funtzionamendu-printzipioa erakutsiko dut, "kanpaiaren azpian" nola funtzionatzen duen ulertzeko.
Historia apur bat
Begiratzen baduzu , orduan ikus dezakezu trafiko-truke-puntuen kopuruaren hazkunde azkarra 1993an hasi zela. Izan ere, garai hartan zeuden telekomunikazio-operadoreen trafiko gehiena AEBetako bizkarrezurreko saretik igarotzen zelako gertatzen da. Beraz, adibidez, trafikoa Frantziako operadore batetik Alemaniako operadore batera joaten zenean, lehenik Frantziatik AEBetara joaten zen, eta gero AEBetatik Alemaniara. Kasu honetan bizkarrezurreko sareak Frantzia eta Alemaniaren arteko igarobide gisa jokatu zuen. Herrialde bateko trafikoa ere askotan ez zen zuzenean pasatzen, operadore amerikarren bizkarrezurreko sareetatik baizik.
Egoera honek garraio-trafikoa ematearen kostuan ez ezik, kanalen eta atzerapenen kalitatean ere eragin zuen. Interneteko erabiltzaile kopuruak gora egin zuen, operadore berriak agertu ziren, trafikoaren bolumena handitu zen eta Internet heldu zen. Mundu osoko operadoreak eragileen arteko elkarrekintza antolatzeko ikuspegi arrazionalagoa behar zela konturatzen hasi ziren. "Zergatik ordaindu behar dut nik, A operadorea, beste herrialde batetik igarotzea trafikoa helarazteko, ondoko kalean dagoen B operadoreari?" Hau da, gutxi gorabehera, telekomunikazio-operadoreek bere buruari garai hartan egin zioten galdera. Horrela, trafikoa trukatzeko puntuak munduko hainbat lekutan agertzen hasi ziren operadoreen kontzentrazio puntuetan:
- 1994 - LINX Londresen,
- 1995 - DE-CIX Frankfurten,
- 1995 - MSK-IX, Moskun, etab.
Internet eta gure egunak
Kontzeptuki, Internet modernoaren arkitektura sistema autonomo asko (AS) eta haien arteko konexio ugariz osatuta dago, bai fisikoak bai logikoak, zeinek AS batetik besterako trafikoaren bidea zehazten dute.
ASak telekomunikazio-operadoreak, Interneteko hornitzaileak, CDNak, datu-zentroak eta enpresa-segmentuko enpresak izan ohi dira. ASek euren artean konexio logikoak (peering) antolatzen dituzte, normalean BGP protokoloa erabiliz.
Sistema autonomoek konexio hauek nola antolatzen dituzten hainbat faktorek zehazten dute:
- geografikoa,
- ekonomikoa,
- politikoa,
- AS jabeen arteko akordioak eta interes komunak,
- eta abar.
Jakina, eskema honek egitura eta hierarkia jakin bat du. Horrela, operadoreak maila 1, 2 eta 3 mailatan banatzen dira, eta tokiko Interneteko hornitzaile baten bezeroak (3 maila) normalean erabiltzaile arruntak badira, orduan, adibidez, maila 1. mailako operadoreak bezeroak beste operadore batzuk dira. Tier-3 operadoreek beren harpidedunen trafikoa batzen dute, tier-2 telekomunikazio-operadoreek, aldi berean, tier-3 operadoreen trafikoa eta tier-1 - Interneteko trafiko guztia.
Eskematikoki honela irudikatu daiteke:
Irudi honek erakusten du trafikoa behetik gora batzen dela, hau da. azken erabiltzaileetatik 1 mailako operadoreetara. Gutxi gorabehera elkarren baliokideak diren ASen arteko trafiko-truke horizontala ere badago.
Eskema honen osagai eta aldi berean desabantaila bat da azken erabiltzailearengandik hurbilago dauden sistema autonomoen arteko konexioen nolabaiteko nahasketa bat, eremu geografiko baten barruan. Kontuan izan beheko irudia:
Demagun hiri handi batean 5 telekomunikazio-operadore daudela, eta horien artean, arrazoi bategatik edo besteagatik, goian erakusten den moduan antolatuta dago.
Petya erabiltzaileak, Go ISPra konektatuta, ASM hornitzailearekin konektatutako zerbitzari batera sartu nahi badu, haien arteko trafikoa 5 sistema autonomoetatik pasatzera behartuko da. Horrek atzerapena areagotzen du zeren trafikoa igaroko den sareko gailuen kopurua handitzen da, baita Go eta ASM arteko sistema autonomoetako garraio-trafikoaren bolumena ere.
Nola murriztu trafikoa behartuta dagoen garraiobide AS kopurua? Hori bai - trafikoa trukatzeko puntua.
Gaur egun, IXP berrien agerpena 90-2000ko hamarkadaren hasierako behar berberek bultzatzen dute, eskala txikiagoan soilik, telekomunikazio-operadore, erabiltzaile eta trafiko-kopuru gero eta handiagoari, CDN sareek sortzen duten eduki-kopuru gero eta handiagoari erantzunez. eta datu-zentroak.
Zer da truke puntu bat?
Trafiko-truke-puntua sare-azpiegitura berezi bat duen tokia da, non elkarrekiko trafiko-trukean interesa duten parte-hartzaileek elkarren arteko peering-a antolatzen duten. Trafiko-truke-puntuetako partaide nagusiak: telekomunikazio-operadoreak, Interneteko hornitzaileak, eduki-hornitzaileak eta datu-zentroak. Trafiko truke-puntuetan, parte-hartzaileak elkarren artean zuzenean konektatzen dira. Honek arazo hauek konpontzeko aukera ematen du:
- latentzia murriztu,
- garraio-trafiko kopurua murriztea,
- optimizatu AS arteko bideratzea.
Kontuan izanda IXPak munduko hiri handi askotan daudela, horrek guztiak eragin onuragarria du Internet osoan.
Petya-rekin goiko egoera IXP erabiliz konpontzen bada, honelakoa izango da:
Nola funtzionatzen du trafikoa trukatzeko puntu batek?
Orokorrean, IXP AS bereizi bat da, IPv4/IPv6 helbide publikoen bloke propioa duena.
IXP sarea gehienetan L2 domeinu jarraitu batez osatuta dago. Batzuetan, IXP bezero guztiak hartzen dituen VLAN bat besterik ez da. Geografikoki banatutako IXP handiagoak direnean, MPLS, VXLAN eta abar bezalako teknologiak erabil daitezke L2 domeinu bat antolatzeko.
IXP elementuak
- SKS. Hemen ez dago arrarorik: bastidoreak, gurutze-konexio optikoak, adabaki panelak.
- Etengailuak – IXPren oinarria. Switch ataka IXP sarean sartzeko puntua da. Etengailuek segurtasun-funtzioen zati bat ere betetzen dute: IXP sarean egon behar ez den zabor-trafikoa iragazten dute. Oro har, etengailuak eskakizun funtzionaletan oinarrituta hautatzen dira: fidagarritasuna, onartzen diren portuen abiadura, segurtasun ezaugarriak, sFlow laguntza, etab.
- Ibilbide zerbitzaria (RS) – edozein trafiko-truke-puntu modernoaren zati integrala eta beharrezkoa. Funtzionamendu-printzipioa iBGP-ko ibilbide islatzailearen edo OSPF-n izendatutako bideratzailearen oso antzekoa da eta arazo berdinak konpontzen ditu. Trafiko-truke-puntu bateko parte-hartzaileen kopurua hazi ahala, parte-hartzaile bakoitzak lagundu behar dituen BGP saioen kopurua handitzen da, hau da. honek iBGP-ko sare osoko topologia klasikoa gogorarazten du. RS-k arazoa honela konpontzen du: BGP saio bat ezartzen du interesa duen IXP parte-hartzaile bakoitzarekin, eta parte-hartzaile hori RS bezero bihurtzen da. Bere bezeroetako baten BGP eguneratzea jasotzen duenean, RS-k eguneraketa hau gainerako bezero guztiei bidaltzen die, jakina, eguneratze hori jaso denari izan ezik. Horrela, RSk IXP kide guztien artean sare osoa ezartzeko beharra ezabatzen du eta dotoreki konpontzen du eskalagarritasun arazoa. Aipatzekoa da bide-zerbitzariak modu gardenean transmititzen dituela AS batetik bestera ibilbideak BGP-k transmititzen dituen atributuetan aldaketarik egin gabe, adibidez, ez duela AS-ko zenbakia AS-bidera gehitzen. RS-n ere ibilbideen oinarrizko iragazketa dago: adibidez, RS-k ez ditu martzianoen sareak eta IXP beraren aurrizkiak onartzen.
Iturburu irekiko software-bideratzaile bat, BIRD (bird internet routing daemon), bide-zerbitzari-soluzio gisa erabiltzen da maiz. Honen gauza ona da doakoa dela, azkar zabaltzen dela Linux banaketa gehienetan, bideratze/iragazte politikak ezartzeko mekanismo malgu bat duela eta ez dela baliabide informatiko zorrotza. Gainera, Cisco, Juniper, etab.en hardware/bideratzaile birtual bat RS gisa hauta daiteke.
- Segurtasuna. IXP sare bat AS askoren kontzentrazioa denez, parte-hartzaile guztiek jarraitu behar duten segurtasun-politika ondo idatzita egon behar da. Orokorrean, IXPtik kanpoko bi BGP parekideen artean BGP albokotasuna ezartzean aplikatzen diren mekanismo berdinak aplikatzen dira hemen, baita segurtasun-eginbide gehigarri batzuk ere.
Adibidez, praktika ona da trafikoa IXP parte-hartzailearen mac helbide zehatz batetik soilik baimentzea, aldez aurretik negoziatzen dena. 0x0800(IPv4), 0x08dd(IPv6), 0x0806(ARP) ez den etertipo eremuekin trafikoa ukatzea; hau BGP peeringean ez dagokion trafikoa iragazteko egiten da. GTSM, RPKI eta abar bezalako mekanismoak ere erabil daitezke.
Beharbada, goikoak edozein IXPren osagai nagusiak dira, eskala edozein dela ere. Jakina, IXP handiek teknologia eta irtenbide osagarriak izan ditzakete.
Gertatzen da IXP-k bere parte-hartzaileei zerbitzu osagarriak ere eskaintzen dizkiela:
- IXP TLD DNS zerbitzarian kokatuta,
- instalatu hardware NTP zerbitzariak, parte-hartzaileek ordua zehatz-mehatz sinkroniza dezaten,
- DDoS erasoen aurka babestea, etab.
Eragiketa printzipioa
Ikus dezagun trafiko-truke-puntu baten funtzionamendu-printzipioa IXP sinple baten adibidea erabiliz, EVE-NG erabiliz modelatutakoa, eta, ondoren, kontuan izan dezagun BIRD software-bideratzaile baten oinarrizko konfigurazioa. Diagrama sinplifikatzeko, erredundantzia eta akatsen tolerantzia bezalako gauza garrantzitsuak baztertuko ditugu.
Sarearen topologia beheko irudian ageri da.
Demagun truke-puntu txiki bat administratzen dugula eta parekatzeko aukera hauek ematen ditugula:
- parekatzea publikoa,
- parekatzea pribatua,
- bide-zerbitzariaren bidez parekatzea.
Gure AS zenbakia 555 da, IPv4 helbide bloke baten jabea gara - 50.50.50.0/24, eta hortik IP helbideak ematen ditugu gure sarera konektatu nahi dutenentzat.
50.50.50.254 - Ibilbide-zerbitzariaren interfazean konfiguratutako IP helbidea, IP honekin bezeroek BGP saio bat ezarriko dute RS bidez parekatzean.
Era berean, RS bidez parekatzeko, BGP komunitatean oinarritutako bideratze-politika sinple bat garatu dugu, IXPko parte-hartzaileek nori eta zer ibilbide bidali behar dituzten arautzeko:
BGP komunitatea
Description
LOCAL_AS:PEER_AS
Bidali aurrizkiak PEER_AS-i soilik
LOCAL_AS:IXP_AS
Transferitu aurrizkiak IXP parte-hartzaile guztiei
3 bezerok gure IXPra konektatu eta trafikoa trukatu nahi dute; Demagun hauek Internet hornitzaileak direla. Guztiek bide-zerbitzari baten bidez peering-a antolatu nahi dute. Jarraian, bezeroaren konexio-parametroak dituen diagrama bat dago:
bezero
Bezeroaren AS zenbakia
Bezeroak iragarritako aurrizkiak
IXPra konektatzeko bezeroari emandako IP helbidea
ISP #1
AS 100
1.1.0.0/16
50.50.50.10/24
ISP #2
AS 200
2.2.0.0/16
50.50.50.20/24
ISP #3
AS 300
3.3.0.0/16
50.50.50.30/24
BGP oinarrizko konfigurazioa bezeroaren bideratzailean:
router bgp 100
no bgp enforce-first-as
bgp log-neighbor-changes
neighbor 50.50.50.254 remote-as 555
address-family ipv4
network 1.1.0.0 mask 255.255.0.0
neighbor 50.50.50.254 activate
neighbor 50.50.50.254 send-community both
neighbor 50.50.50.254 soft-reconfiguration inbound
neighbor 50.50.50.254 route-map ixp-out out
exit-address-family
ip prefix-list as100-prefixes seq 5 permit 1.1.0.0/16
route-map bgp-out permit 10
match ip address prefix-list as100-prefixes
set community 555:555
Azpimarratzekoa da ez bgp enforce-first-as ezarpena hemen. Lehenespenez, BGP-k jasotako BGP eguneratze baten as-path-ak eguneratzea jaso den parekidearen as-bgp zenbakia edukitzea eskatzen du. Baina bide-zerbitzariak as-path-en aldaketarik egiten ez duenez, bere zenbakia ez da as-path-ean egongo eta eguneratzea baztertu egingo da. Ezarpen hau bideratzaileak arau hau ez ikusi dezan erabiltzen da.
Era berean, ikusten dugu bezeroak bgp komunitatea 555:555 ezarri duela aurrizki honetara, eta horrek gure gidalerroen arabera esan nahi du bezeroak aurrizki hori beste parte-hartzaile guztiei iragartzea nahi duela.
Beste bezeroen bideratzaileentzat, ezarpenak antzekoak izango dira, haien parametro bakarrak izan ezik.
BIRD konfigurazio adibidea:
define ixp_as = 555;
define ixp_prefixes = [ 50.50.50.0/24+ ];
template bgp RS_CLIENT {
local as ixp_as;
rs client;
}
Jarraian, martzianoen aurrizkiak onartzen ez dituen iragazkia deskribatzen da, baita IXPren beraren aurrizkiak ere:
function catch_martians_and_ixp()
prefix set martians;
prefix set ixp_prefixes;
{
martians = [
0.0.0.0/8+,
10.0.0.0/8+,
100.64.0.0/10+,
127.0.0.0/8+,
169.254.0.0/16+,
172.16.0.0/12+,
192.0.0.0/24+,
192.0.2.0/24+,
192.168.0.0/16+,
198.18.0.0/15+,
198.51.100.0/24+,
203.0.113.0/24+,
224.0.0.0/4+,
240.0.0.0/4+ ];
if net ~ martians || net ~ ixp_prefixes then return false;
return true;
}
Funtzio honek lehen deskribatu dugun bideratze-politika inplementatzen du.
function bgp_ixp_policy(int peer_as)
{
if (ixp_as, ixp_as) ~ bgp_community then return true;
if (ixp_as, peer_as) ~ bgp_community then return true;
return false;
}
filter reject_martians_and_ixp
{
if catch_martians_and_ixp() then reject;
if ( net ~ [0.0.0.0/0{25,32} ] ) then {
reject;
}
accept;
}
Peering-a konfiguratzen dugu, iragazki eta politika egokiak aplikatzen ditugu.
protocol as_100 from RS_CLIENT {
neighbor 50.50.50.10 as 100;
ipv4 {
export where bgp_ixp_policy(100);
import filter reject_martians_and_ixp;
}
}
protocol as_200 from RS_CLIENT {
neighbor 50.50.50.20 as 200;
ipv4 {
export where bgp_ixp_policy(200);
import filter reject_martians_and_ixp;
}
}
protocol as_300 from RS_CLIENT {
neighbor 50.50.50.30 as 300;
ipv4 {
export where bgp_ixp_policy(300);
import filter reject_martians_and_ixp;
}
}
Aipatzekoa da ibilbide-zerbitzari batean praktika ona dela parekide ezberdinen ibilbideak RIB ezberdinetan jartzea. BIRDek hau egiteko aukera ematen dizu. Gure adibidean, sinpletasunerako, bezero guztiengandik jasotako eguneratze guztiak RIB komun batera gehitzen dira.
Beraz, ikus dezagun zer lortu dugun.
Ibilbide zerbitzarian hiru bezeroekin BGP saio bat ezarri dela ikusten dugu:
Bezero guztien aurrizkiak jasotzen ditugula ikusten dugu:
As 100 bideratzailean, ikusten dugu bide-zerbitzariarekin BGP saio bakarra badago, 200 eta 300 bezalako aurrizkiak jasotzen ditugula, BGP atributuak aldatu ez diren bitartean, bezeroen arteko peering zuzenean egingo balitz bezala:
Horrela, ikusten dugu bide-zerbitzari baten presentziak asko errazten duela peering-aren antolaketa IXPan.
Espero dut erakustaldi honek IXPek nola funtzionatzen duten eta ibilbide zerbitzariak IXP batean nola funtzionatzen duen hobeto ulertzen lagundu izana.
Linxdatacenter IX
Linxdatacenter-en, gure IXP propioa eraiki dugu 2 etengailu eta 2 bide-zerbitzariko akatsekiko tolerantzia-azpiegitura batean oinarrituta. Gure IXP proba moduan exekutatzen ari da orain, eta guztiei gonbidatzen diegu Linxdatacenter IXra konektatzera eta probetan parte hartzera. Konektatzean, 1 Gbit/s-ko banda zabalera duen ataka bat emango zaizu, gure ibilbide-zerbitzarien bidez parekatzeko aukera, baita IX atariko zure kontu pertsonalerako sarbidea ere, helbidean eskuragarri. .
Idatzi iruzkinetan edo mezu pribatuetan probak atzitzeko.
Irteera
Trafiko-truke-puntuak Interneten hastapenetan sortu ziren, telekomunikazio-operadoreen arteko trafiko-fluxuaren arazoa konpontzeko tresna gisa. Orain, zerbitzu global berrien agerpenarekin eta CDN trafikoaren kopurua handitzearekin batera, truke puntuek sare globalaren funtzionamendua optimizatzen jarraitzen dute. Munduan IXP kopurua handitzeak zerbitzuaren azken erabiltzaileari eta telekomunikazio operadoreei, edukien operadoreei eta abarrei mesede egiten die. IXP-ko parte-hartzaileentzat, kanpoko peering-a antolatzearen kostuak murriztean, goi-mailako operadoreek ordaindu behar duten trafikoa murriztean, bideratzea optimizatzean eta eduki-operadoreekin zuzeneko interfazea izateko gaitasuna adierazten dute.
Esteka interesgarriak
- Ikusi trafiko-truke puntuen kokapenaren mapa:
- Ikusi BGP parekatzeari buruzko estatistika zehatzak, IXPn presentzia barne:
Iturria: www.habr.com