Kia ora, ko Alexander Azimov toku ingoa. I Yandex, ka whakawhanake ahau i nga momo punaha aroturuki, me te hoahoanga whatunga waka. Engari i tenei ra ka korero tatou mo te kawa BGP.
I te wiki ki muri, ka taea e Yandex te ROV (Route Origin Validation) i nga hononga me nga hoa hoa katoa, me nga waahi whakawhiti waka. Panuitia i raro nei mo te take i mahia ai tenei me te pehea e pa ai ki te taunekeneke me nga kaiwhakahaere waea.
BGP me te aha te he
Kei te mohio pea koe i hangaia te BGP hei kawa ararere interdomain. Heoi, i runga i te huarahi, kua piki haere te maha o nga keehi: i tenei ra, ko te BGP, he mihi ki te maha o nga taapiri, kua huri hei pahi karere, e hipoki ana i nga mahi mai i te kaiwhakarato VPN ki te SD-WAN huatau inaianei, a kua kitea ano he tono rite. he kawe mo te kaiwhakahaere-rite ki te SDN, ka huri i te BGP vector tawhiti ki tetahi mea e rite ana ki nga hononga kawa noho.
Fig. 1.
He aha te take i whiwhi ai a BGP (me te whiwhi tonu) he maha nga whakamahinga? E rua nga take matua:
- Ko te BGP anake te kawa e mahi ana i waenga i nga punaha motuhake (AS);
- Ka tautoko a BGP i nga huanga i roto i te whakatakotoranga TLV (momo-roa-uara). Ae, ehara i te mea ko te kawa anake i roto i tenei, engari na te mea kaore he mea hei whakakapi i nga hononga i waenga i nga kaiwhakarato waea, ka puta ake he pai ake te taapiri i tetahi atu waahanga mahi ki a ia i te tautoko i tetahi atu kawa ararere.
He aha te he ki a ia? Hei poto, karekau he tikanga hanga i roto i te kawa mo te tirotiro i te tika o nga korero kua tae mai. Arā, ko te BGP he kawa whakawhirinaki tuatahi: ki te hiahia koe ki te korero ki te ao kei a koe inaianei te whatunga o Rostelecom, MTS, Yandex ranei, tena koa!
IRRDB i runga i te tātari - te pai o te kino
Ka puta ake te patai: he aha i mahi tonu ai te Ipurangi i roto i tenei ahuatanga? Ae, e mahi ana i te nuinga o te waa, engari i te wa ano ka pahū ia ia wa, ka kore e taea te uru atu ki nga waahanga motu katoa. Ahakoa kei te piki haere ano te mahi hacker i BGP, ko te nuinga o nga mahi kino ka puta mai i nga pepeha. Ko te tauira o tenei tau i Peraruhia, na te mea nui o te Ipurangi kaore e taea e nga kaiwhakamahi MegaFon mo te hawhe haora. Ko tetahi atu tauira - i pakaru tetahi o nga whatunga CDN nui rawa atu i te ao.
raihi. 2. Te haukoti waka a Cloudflare
Heoi ano, he aha te take i puta ai enei momo rereke kotahi ia ono marama, kaua ia ra? Na te mea ka whakamahi nga kaikawe i nga papaunga raraunga o waho o nga korero ararere ki te manatoko i nga mea ka riro mai i nga hoa tata BGP. He maha nga putunga korero penei, ko etahi e whakahaerea ana e nga kairhita (RIPE, APNIC, ARIN, AFRINIC), etahi he kaitakaro motuhake (ko te mea rongonui ko te RADB), kei reira ano te huinga katoa o nga kairēhita na nga kamupene nui (Level3). , NTT, etc.). He mihi ki enei putunga korero e pupuri ana te ararere-a-roto i te pumau o tana mahi.
Heoi, he nuances. Ka takina nga korero ararere i runga i nga taonga ROUTE-OBJECTS me AS-SET. A, ki te kii te tuatahi he whakamanatanga mo tetahi waahanga o te IRRDB, na mo te akomanga tuarua kaore he whakamanatanga hei karaehe. Arā, ka taea e te tangata te taapiri i tetahi ki o raatau huinga, na reira ka karo i nga whiriwhiringa o nga kaiwhakarato whakarunga. Ano, ko te motuhake o te whakaingoatanga AS-SET i waenga i nga turanga IRR rereke kaore i te taurangi, ka puta he hua ohorere me te ngaro ohorere o te hononga mo te kaiwhakahaere waea, nana nei, mo tana waahanga, kaore i whakarereke i tetahi mea.
Ko tetahi atu wero ko te tauira whakamahi o AS-SET. E rua nga waahanga i konei:
- Ka whiwhi te kaiwhakahaere i tetahi kiritaki hou, ka taapirihia e ia ki tana AS-SET, engari karekau rawa e tangohia;
- Ko nga whiriwhiringa ake ka whirihorahia ki nga hononga me nga kaihoko.
Ko te mutunga, ko te whakatakotoranga hou o nga whiriwhiringa BGP ko nga whiriwhiringa whakaheke haere i nga hononga me nga kaihoko me te whakawhirinaki tuatahi ki nga mea ka puta mai i nga hoa hoa me nga kaiwhakarato whakawhiti IP.
He aha te whakakapi i nga whiriwhiringa prefix i runga i te AS-SET? Ko te mea tino pai ko te wa poto - kaore he mea. Engari kei te puta ake etahi atu tikanga hei whakakii i nga mahi a nga whiriwhiringa a-IRRDB, ko te tuatahi, ko te RPKI tenei.
RPKI
Ma te ngawari, ka taea te whakaaro ko te hoahoanga RPKI he putunga korero kua tohatohahia ana rekoata ka taea te manatoko ma te tohu. Mo te ROA (Route Object Authorization), ko te kaihaina te rangatira o te mokowā wāhitau, ā, ko te rekoata ake he takitoru (prefix, asn, max_length). Ko te mea nui, ko tenei urunga e kii ana i enei e whai ake nei: kua whakamanahia e te rangatira o te mokowā wāhitau $prefix te nama AS $asn ki te panui i nga prefix me te roa kia kaua e nui ake i te $max_length. A ko nga pouara, ma te whakamahi i te keteroki RPKI, ka taea te tirotiro i te takirua mo te tautukunga prefix - kaikorero tuatahi i te huarahi.
Whakaahua 3. RPKI hoahoanga
Ko nga taonga ROA kua roa kua whakatauritehia, engari no na tata tonu nei ka noho tonu ki runga pepa i te hautaka IETF. Ki taku whakaaro, he ahua whakamataku te take o tenei - hokohoko kino. I muri i te otinga o te whakaraeraetanga, ko te mea whakatenatena ko te whakamarumaru a ROA ki te kahakina BGP - ehara i te mea pono. Ka taea e nga kaiwhaiwhai te karo i nga whiriwhiringa a-ROA ma te whakauru i te nama AC tika i te timatanga o te huarahi. A, no te taenga mai o tenei mohiotanga, ko te mahi arorau e whai ake nei ko te whakarere i te whakamahi ROA. Na, he aha tatou e hiahia ai ki te hangarau ki te kore e mahi?
He aha te wa ki te huri i to whakaaro? No te mea ehara tenei i te pono katoa. Kaore a ROA e tiaki i nga mahi hacker i BGP, engari he whakamarumaru mai i nga kaipahua waka ohorere, hei tauira mai i nga turuturu pateko i roto i te BGP, e kaha haere ana. Ano, kaore i rite ki nga whiriwhiringa a-IRR, ka taea te whakamahi ROV ehara i te mea anake i nga hononga me nga kaihoko, engari i nga hononga ki nga hoa me nga kaiwhakarato o runga. Arā, me te whakaurunga o te RPKI, kei te ngaro haere te tarahiti priori i te BGP.
Inaianei, ko te tirotiro i nga huarahi i runga i te ROA kei te whakatinanahia e nga kaitoro matua: ko te IX nui rawa atu o te Pakeha kei te whakakore i nga huarahi he; i waenga i nga kaiwhakahaere Tier-1, he mea tika ki te whakanui i te AT&T, i taea ai nga whiriwhiringa ki nga hononga me ona hoa hoa. Ko nga kaiwhakarato ihirangi nui rawa atu kei te whakatata atu ki te kaupapa. A he maha nga kaiwhakatere whakawhiti reo-nui kua whakatinana marie, kaore i korero ki tetahi. He aha enei kaiwhakahaere katoa e whakatinana ana i te RPKI? He ngawari te whakautu: ki te tiaki i to haerenga mai i nga hapa o etahi atu. Koinei te take ko Yandex tetahi o nga tuatahi i roto i te Russian Federation ki te whakauru ROV ki te taha o tana whatunga.
Ka aha a muri ake nei?
Inaianei kua taea e matou te tirotiro i nga korero ararere i nga hononga me nga waahi whakawhiti waka me nga tirohanga motuhake. I nga wa e heke mai nei, ka taea ano te manatoko me nga kaiwhakarato waka whakarunga.
He aha te rereketanga o tenei ki a koe? Mena kei te pirangi koe ki te whakanui ake i te haumarutanga o nga huarahi waka i waenga i to whatunga me Yandex, ka tūtohu matou:
- Waitohuhia to waahi noho - he ngawari, he 5-10 meneti te roa. Ma tenei ka whakamarumaru i to maatau hononga mena ka tahae te tangata i to waahi waahi noho (a ka tata ka tupu tenei);
- Tāutahia tētahi o ngā keteroki RPKI puna tuwhera (, ) ka taea te tirotiro ara i te taitapa whatunga - ka roa ake te waa, engari ano, karekau he raruraru hangarau.
Kei te tautoko ano a Yandex i te whanaketanga o te punaha tātari i runga i te ahanoa RPKI hou - (Whakaaetanga Kaiwhakarato Pūnaha Motuhake). Ko nga whiriwhiringa i runga i nga taonga ASPA me te ROA kaore e taea te whakakapi i nga AS-SET "leaky", engari ka kati ano nga take o nga whakaeke MiTM ma te whakamahi i te BGP.
Ka korero au mo te ASPA i roto i te marama i te hui Next Hop. Ka korero ano nga hoa mahi mai i Netflix, Facebook, Dropbox, Juniper, Mellanox me Yandex. Mena kei te pirangi koe ki te puranga whatunga me ona whanaketanga a meake nei, haere mai .
Source: will.com