Dia duit, is é mo ainm Alexander Azimov. Ag Yandex, forbraíonn mé córais monatóireachta éagsúla, chomh maith le hailtireacht líonra iompair. Ach inniu beimid ag caint faoi phrótacal BGP.
Seachtain ó shin, chuir Yandex ar chumas ROV (Bailíochtú Bunús Bealaigh) ag na comhéadain leis na comhpháirtithe piaraí go léir, chomh maith le pointí malairte tráchta. Léigh thíos faoin bhfáth a ndearnadh é seo agus conas a rachaidh sé i bhfeidhm ar idirghníomhaíocht le hoibreoirí teileachumarsáide.
BGP agus cad atá cearr leis
Is dócha go bhfuil a fhios agat gur dearadh BGP mar phrótacal ródaithe idirfhearann. Mar sin féin, ar an mbealach seo, d'éirigh le méadú ar líon na gcásanna úsáide: inniu, tá BGP, a bhuíochas le síntí iomadúla, tar éis iompú isteach i mbus teachtaireachta, ag clúdach tascanna ón oibreoir VPN go dtí an SD-WAN atá faiseanta anois, agus d'aimsigh sé fiú iarratas mar iompar le haghaidh rialaitheoir cosúil le SDN, ag iompú veicteoir faid BGP isteach i rud éigin cosúil leis an bprótacal naisc shuigh.
Fig. 1.
Cén fáth a bhfuil an oiread sin úsáidí faighte ag BGP (agus fós á fháil)? Tá dhá phríomhchúis ann:
- Is é BGP an t-aon phrótacal a oibríonn idir córais uathrialacha (AS);
- Tacaíonn BGP le tréithe i bhformáid TLV (cineál fad-luach). Sea, ní hé an prótacal ina aonar é seo, ach ós rud é nach bhfuil aon rud le hathsholáthar ag na hacomhail idir oibreoirí teileachumarsáide, bíonn sé níos brabúsaí i gcónaí eilimint fheidhmiúil eile a cheangal leis ná tacú le prótacal ródaithe breise.
Cad atá cearr leis? I mbeagán focal, níl meicníochtaí ionsuite sa phrótacal chun cruinneas na faisnéise a fhaightear a sheiceáil. Is é sin, is prótacal iontaobhais priori é BGP: más mian leat a rá leis an domhan go bhfuil líonra Rostelecom, MTS nó Yandex agat anois, le do thoil!
IRRDB bunaithe scagaire - an chuid is fearr de na measa
Éiríonn an cheist: cén fáth a bhfuil an Idirlíon fós ag obair i gcás den sórt sin? Sea, oibríonn sé an chuid is mó den am, ach ag an am céanna pléascann sé go tréimhsiúil, rud a fhágann go bhfuil codanna náisiúnta ar fad dorochtana. Cé go bhfuil méadú ag teacht ar ghníomhaíocht hacker i BGP freisin, is fabhtanna is cúis le formhór na n-aimhrialtachtaí fós. Is sampla na bliana seo sa Bhealarúis, rud a rinne cuid shuntasach den Idirlíon dorochtana d'úsáideoirí MegaFon ar feadh leathuaire. Sampla eile - bhris ceann de na líonraí CDN is mó ar domhan.
Rís. 2. Thascradh tráchta Cloudflare
Ach fós, cén fáth a dtarlaíonn aimhrialtachtaí den sórt sin uair amháin gach sé mhí, agus ní gach lá? Toisc go n-úsáideann iompróirí bunachair shonraí sheachtracha faisnéise ródaithe chun an méid a fhaigheann siad ó chomharsana BGP a fhíorú. Tá go leor bunachair shonraí den sórt sin ann, tá cuid acu á mbainistiú ag cláraitheoirí (RIPE, APNIC, ARIN, AFRINIC), tá cuid acu ina n-imreoirí neamhspleácha (RADB an ceann is cáiliúla), agus tá sraith iomlán cláraitheoirí ann freisin ar úinéireacht ag cuideachtaí móra (Leibhéal3). , NTT, etc.). Is mar gheall ar na bunachair shonraí seo a chothaíonn ródú idir-fhearainn cobhsaíocht choibhneasta a oibríochta.
Mar sin féin, tá nuances. Seiceáiltear faisnéis ródaithe bunaithe ar oibiachtaí BEALACH agus AS-SET. Agus má thugann an chéad údarú le tuiscint do chuid den IRRDB, ansin don dara rang níl aon údarú mar aicme. Is é sin, is féidir le duine ar bith duine ar bith a chur lena gcuid tacair agus ar an mbealach sin scagairí na soláthraithe réamhtheachtacha a sheachbhóthar. Ina theannta sin, ní ráthaítear uathúlacht an ainmniú AS-SET idir boinn éagsúla IRR, rud a d’fhéadfadh éifeachtaí iontasacha a bheith mar thoradh air le caillteanas tobann nascachta don oibreoir teileachumarsáide, nár athraigh rud ar bith, as a chuid féin.
Dúshlán breise is ea patrún úsáide AS-SET. Tá dhá phointe anseo:
- Nuair a fhaigheann oibreoir cliant nua, cuireann sé lena AS-SET é, ach ní bhaineann sé as;
- Níl na scagairí féin cumraithe ach amháin ag na comhéadain le cliaint.
Mar thoradh air sin, is éard atá i bhformáid nua-aimseartha na scagairí BGP ná scagairí a dhíghrádú de réir a chéile ag na comhéadain le cliaint agus iontaobhas priori i cad a thagann ó chomhpháirtithe peering agus soláthraithe idirthurais IP.
Cad atá i gceist le scagairí réimír a athsholáthar bunaithe ar AS-SET? Is é an rud is suimiúla ná sa ghearrthéarma - rud ar bith. Ach tá meicníochtaí breise ag teacht chun cinn a chomhlánaíonn obair scagairí bunaithe ar IRRDB, agus ar an gcéad dul síos, is é seo, ar ndóigh, RPKI.
RPKI
Ar bhealach simplithe, is féidir smaoineamh ar ailtireacht RPKI mar bhunachar sonraí dáilte ar féidir a thaifid a fhíorú go cripteagrafach. I gcás ROA (Údarú Réada Bealaigh), is é an sínitheoir úinéir an spáis seoltaí, agus is triarach é an taifead féin (réimír, asn, max_length). Go bunúsach, postálann an iontráil seo an méid seo a leanas: tá an uimhir AS $asn údaraithe ag úinéir an spáis seoltaí $prefix chun réimíreanna nach mó ná $max_length a fhad a fhógairt. Agus is féidir le ródairí, ag baint úsáide as an taisce RPKI, an péire a sheiceáil le haghaidh comhlíonta réimír - an chéad chainteoir ar an mbealach.
Fíor 3. ailtireacht RPKI
Tá rudaí ROA caighdeánaithe le fada an lá, ach go dtí le déanaí níor fhan siad ach ar pháipéar san irisleabhar IETF. Is é mo thuairim go bhfuil an chúis atá leis seo scanrúil - droch-mhargaíocht. Tar éis don chaighdeánú a bheith críochnaithe, ba é an dreasacht ná go gcosnódh ROA in aghaidh fuadach BGP - rud nach raibh fíor. Is féidir le hionsaitheoirí scagairí ROA-bhunaithe a sheachbhóthar go héasca tríd an uimhir AC ceart a chur isteach ag tús an chosáin. Agus a luaithe a tháinig an réadú seo, ba é an chéad chéim loighciúil eile ná úsáid ROA a thréigean. Agus i ndáiríre, cén fáth a bhfuil teicneolaíocht de dhíth orainn mura n-oibríonn sé?
Cén fáth a bhfuil sé in am d’intinn a athrú? Toisc nach é seo an fhírinne iomlán. Ní chosnaíonn ROA i gcoinne gníomhaíocht hacker i BGP, ach a chosnaíonn in aghaidh fuadach tráchta de thaisme, mar shampla ó sceitheadh statach i BGP, atá ag éirí níos coitianta. Chomh maith leis sin, murab ionann agus scagairí IRR-bhunaithe, is féidir ROV a úsáid, ní hamháin ag na comhéadain le cliaint, ach freisin ag na comhéadain le piaraí agus soláthraithe réamhtheachtacha. Is é sin, in éineacht le tabhairt isteach RPKI, tá iontaobhas priori ag imeacht de réir a chéile ó BGP.
Anois, tá seiceáil bealaí bunaithe ar ROA á gcur i bhfeidhm de réir a chéile ag príomhghníomhaithe: tá bealaí míchearta á gcur ar fáil cheana féin ag an IX Eorpach is mó i measc oibreoirí Sraith-1, is fiú aird a tharraingt ar AT&T, rud a chuir ar chumas na gcomhéadan lena gcomhpháirtithe piaraí. Tá na soláthraithe ábhair is mó ag druidim leis an tionscadal freisin. Agus tá mórán oibreoirí meánmhéide idirthurais tar éis é a chur i bhfeidhm go ciúin cheana féin, gan é a insint do dhuine ar bith faoi. Cén fáth a bhfuil RPKI á chur i bhfeidhm ag na hoibreoirí seo go léir? Tá an freagra simplí: do thrácht amach a chosaint ó bhotúin daoine eile. Sin é an fáth go bhfuil Yandex ar cheann de na chéad cheann de Chónaidhm na Rúise chun ROV a chur san áireamh ar imeall a líonra.
Cad a tharlóidh ina dhiaidh sin?
Tá sé ar ár gcumas anois faisnéis ródaithe a sheiceáil ag na comhéadain le pointí malartaithe tráchta agus piaraí príobháideacha. Go luath amach anseo, cumasófar fíorú freisin le soláthraithe tráchta in aghaidh an tsrutha.
Cén difríocht a dhéanann sé seo duitse? Más mian leat slándáil ródaithe tráchta a mhéadú idir do líonra agus Yandex, molaimid:
- Sínigh spás do sheoladh - tá sé simplí, tógann sé 5-10 nóiméad ar an meán. Cosnóidh sé seo ár nascacht má ghoideann duine éigin do spás seolta i ngan fhios dóibh (agus is cinnte go dtarlóidh sé seo luath nó mall);
- Suiteáil ceann de na taisce RPKI foinse oscailte (, ) agus seiceáil bealaigh a chumasú ag teorainn an líonra - tógfaidh sé seo níos mó ama, ach arís, ní bheidh sé ina chúis le haon deacrachtaí teicniúla.
Tacaíonn Yandex freisin le córas scagtha a fhorbairt bunaithe ar an réad RPKI nua - (Údarú Soláthraí Córais Uathrialach). Ní hamháin gur féidir le scagairí atá bunaithe ar rudaí ASPA agus ROA AS-SETanna “sceite” a athsholáthar, ach freisin saincheisteanna ionsaithe MiTM a dhúnadh ag baint úsáide as BGP.
Labhróidh mé go mion faoi ASPA i gceann míosa ag comhdháil Next Hop. Labhróidh comhghleacaithe ó Netflix, Facebook, Dropbox, Juniper, Mellanox agus Yandex ann freisin. Má tá suim agat sa chairn líonra agus a fhorbairt sa todhchaí, teacht .
Foinse: will.com