Halo, jina langu ni Alexander Azimov. Katika Yandex, ninaendeleza mifumo mbalimbali ya ufuatiliaji, pamoja na usanifu wa mtandao wa usafiri. Lakini leo tutazungumzia itifaki ya BGP.
Wiki moja iliyopita, Yandex iliwasha ROV (Uthibitishaji wa Asili ya Njia) kwenye miingiliano na washirika wote wa rika, pamoja na pointi za kubadilishana trafiki. Soma hapa chini kuhusu kwa nini hii ilifanyika na jinsi itaathiri mwingiliano na waendeshaji wa mawasiliano ya simu.
BGP na nini kibaya nayo
Labda unajua kuwa BGP iliundwa kama itifaki ya uelekezaji wa kikoa. Walakini, njiani, idadi ya kesi za utumiaji imeweza kukua: leo, BGP, shukrani kwa viendelezi vingi, imegeuka kuwa basi ya ujumbe, inayoshughulikia majukumu kutoka kwa waendeshaji VPN hadi SD-WAN ya sasa ya mtindo, na hata imepata matumizi kama usafiri wa kidhibiti kinachofanana na SDN, kugeuza vekta ya umbali BGP kuwa kitu sawa na itifaki iliyokaa ya viungo.
Mtini. 1.
Kwa nini BGP imepokea (na inaendelea kupokea) matumizi mengi? Kuna sababu kuu mbili:
- BGP ndiyo itifaki pekee inayofanya kazi kati ya mifumo inayojiendesha (AS);
- BGP inasaidia sifa katika umbizo la TLV (aina-urefu-thamani). Ndio, itifaki sio peke yake katika hili, lakini kwa kuwa hakuna kitu cha kuibadilisha kwenye makutano kati ya waendeshaji wa mawasiliano ya simu, daima inageuka kuwa faida zaidi kuunganisha kipengele kingine cha kazi kuliko kuunga mkono itifaki ya ziada ya uelekezaji.
Ana shida gani? Kwa kifupi, itifaki haina mifumo iliyojengwa ndani ya kuangalia usahihi wa habari iliyopokelewa. Hiyo ni, BGP ni itifaki ya uaminifu wa priori: ikiwa unataka kuwaambia ulimwengu kuwa sasa unamiliki mtandao wa Rostelecom, MTS au Yandex, tafadhali!
Kichujio cha msingi cha IRRDB - bora zaidi ya mbaya zaidi
Swali linatokea: kwa nini mtandao bado unafanya kazi katika hali hiyo? Ndiyo, inafanya kazi mara nyingi, lakini wakati huo huo hupuka mara kwa mara, na kufanya sehemu zote za kitaifa hazipatikani. Ingawa shughuli za wadukuzi katika BGP pia zinaongezeka, hitilafu nyingi bado husababishwa na hitilafu. Mfano wa mwaka huu ni huko Belarusi, ambayo ilifanya sehemu kubwa ya Mtandao kutoweza kufikiwa na watumiaji wa MegaFon kwa nusu saa. Mfano mwingine - ilivunja moja ya mitandao mikubwa zaidi ya CDN ulimwenguni.
Mchele. 2. Uzuiaji wa trafiki wa Cloudflare
Lakini bado, kwa nini makosa kama haya hufanyika mara moja kila baada ya miezi sita, na sio kila siku? Kwa sababu watoa huduma hutumia hifadhidata za nje za maelezo ya kuelekeza ili kuthibitisha kile wanachopokea kutoka kwa majirani wa BGP. Kuna hifadhidata nyingi za aina hiyo, zingine zinasimamiwa na wasajili (RIPE, APNIC, ARIN, AFRINIC), zingine ni wachezaji huru (maarufu zaidi ni RADB), na pia kuna seti nzima ya wasajili wanaomilikiwa na kampuni kubwa (Level3). , NTT, n.k.). Ni kutokana na hifadhidata hizi kwamba uelekezaji baina ya kikoa hudumisha uthabiti wa utendakazi wake.
Walakini, kuna nuances. Maelezo ya uelekezaji huangaliwa kulingana na ROUTE-OBJECTS na vitu vya AS-SET. Na ikiwa ya kwanza inaashiria idhini ya sehemu ya IRRDB, basi kwa darasa la pili hakuna idhini kama darasa. Hiyo ni, mtu yeyote anaweza kuongeza mtu yeyote kwenye seti zao na kwa hivyo kupita vichungi vya watoa huduma wa juu. Zaidi ya hayo, upekee wa jina la AS-SET kati ya besi tofauti za IRR hazihakikishiwa, ambayo inaweza kusababisha madhara ya kushangaza na kupoteza ghafla kwa uunganisho kwa operator wa telecom, ambaye, kwa upande wake, hakubadilisha chochote.
Changamoto ya ziada ni muundo wa utumiaji wa AS-SET. Kuna pointi mbili hapa:
- Opereta anapopata mteja mpya, anaiongeza kwa AS-SET yake, lakini karibu kamwe haiondoi;
- Vichungi vyenyewe vimesanidiwa tu kwenye miingiliano na wateja.
Kwa hivyo, umbizo la kisasa la vichujio vya BGP linajumuisha vichujio vinavyoshusha hadhi hatua kwa hatua kwenye violesura vya wateja na imani kuu katika kile kinachotoka kwa washirika rika na watoa huduma za usafiri wa IP.
Ni nini kuchukua nafasi ya vichungi vya kiambishi awali kulingana na AS-SET? Jambo la kuvutia zaidi ni kwamba kwa muda mfupi - hakuna chochote. Lakini mifumo ya ziada inajitokeza ambayo inakamilisha kazi ya vichungi vya msingi wa IRRDB, na kwanza kabisa, hii ni, bila shaka, RPKI.
RPKI
Kwa njia iliyorahisishwa, usanifu wa RPKI unaweza kuzingatiwa kama hifadhidata iliyosambazwa ambayo rekodi zake zinaweza kuthibitishwa kwa njia fiche. Kwa upande wa ROA (Uidhinishaji wa Kitu cha Njia), mtu aliyetia sahihi ndiye mmiliki wa nafasi ya anwani, na rekodi yenyewe ni mara tatu (kiambishi awali, asn, max_length). Kwa hakika, ingizo hili linatuma yafuatayo: mmiliki wa nafasi ya anwani ya $prefix ameidhinisha nambari ya AS $asn kutangaza viambishi awali vyenye urefu usiozidi $max_length. Na ruta, kwa kutumia cache ya RPKI, wanaweza kuangalia jozi kwa kufuata kiambishi awali - mzungumzaji wa kwanza njiani.
Kielelezo 3. Usanifu wa RPKI
Vitu vya ROA vimesawazishwa kwa muda mrefu, lakini hadi hivi majuzi vilibaki tu kwenye karatasi kwenye jarida la IETF. Kwa maoni yangu, sababu ya hii inaonekana ya kutisha - uuzaji mbaya. Baada ya uwekaji viwango kukamilika, motisha ilikuwa kwamba ROA ililinda dhidi ya utekaji nyara wa BGP - jambo ambalo halikuwa kweli. Wavamizi wanaweza kukwepa kwa urahisi vichujio vinavyotegemea ROA kwa kuingiza nambari sahihi ya AC mwanzoni mwa njia. Na mara tu utambuzi huu ulipokuja, hatua inayofuata ya kimantiki ilikuwa kuachana na matumizi ya ROA. Na kwa kweli, kwa nini tunahitaji teknolojia ikiwa haifanyi kazi?
Kwa nini ni wakati wa kubadili mawazo yako? Kwa sababu huu sio ukweli wote. ROA hailindi dhidi ya shughuli za wadukuzi katika BGP, lakini inalinda dhidi ya utekaji nyara wa trafiki kwa bahati mbaya, kwa mfano kutoka kwa uvujaji tuli katika BGP, ambayo inazidi kuwa ya kawaida. Pia, tofauti na vichungi vya msingi wa IRR, ROV inaweza kutumika sio tu kwenye miingiliano na wateja, lakini pia kwenye miingiliano na wenzao na watoa huduma wa juu. Hiyo ni, pamoja na kuanzishwa kwa RPKI, uaminifu wa priori unapotea hatua kwa hatua kutoka kwa BGP.
Sasa ukaguzi wa njia unaotegemea ROA unatekelezwa hatua kwa hatua na wahusika wakuu: IX kubwa zaidi ya Ulaya tayari inatupa njia zisizo sahihi; kati ya waendeshaji wa Tier-1, inafaa kuangazia AT&T, ambayo imewezesha vichujio kwenye miingiliano na washirika wake rika. Watoa huduma wakubwa wa maudhui pia wanakaribia mradi. Na kadhaa ya waendeshaji wa ukubwa wa kati tayari wameitekeleza kimya kimya, bila kumwambia mtu yeyote kuihusu. Kwa nini waendeshaji hawa wote wanatekeleza RPKI? Jibu ni rahisi: kulinda trafiki yako inayotoka kutokana na makosa ya watu wengine. Ndiyo maana Yandex ni moja ya kwanza katika Shirikisho la Urusi kuingiza ROV kwenye makali ya mtandao wake.
Je, nini kitafuata?
Sasa tumewezesha kuangalia maelezo ya uelekezaji kwenye miingiliano yenye pointi za kubadilishana trafiki na utazamaji wa kibinafsi. Katika siku za usoni, uthibitishaji pia utawezeshwa na watoa huduma wa trafiki wa juu.
Je, hii inaleta tofauti gani kwako? Ikiwa unataka kuongeza usalama wa uelekezaji wa trafiki kati ya mtandao wako na Yandex, tunapendekeza:
- Saini nafasi yako ya anwani - ni rahisi, inachukua dakika 5-10 kwa wastani. Hii italinda muunganisho wetu katika tukio ambalo mtu anaiba nafasi yako ya anwani bila kukusudia (na hii itafanyika hivi karibuni au baadaye);
- Sakinisha moja ya kache za RPKI za chanzo wazi (, ) na uwezesha ukaguzi wa njia kwenye mpaka wa mtandao - hii itachukua muda zaidi, lakini tena, haitasababisha matatizo yoyote ya kiufundi.
Yandex pia inasaidia maendeleo ya mfumo wa kuchuja kulingana na kitu kipya cha RPKI - (Uidhinishaji wa Mtoaji wa Mfumo wa Uhuru). Vichujio kulingana na vitu vya ASPA na ROA haviwezi tu kuchukua nafasi ya AS-SET "zilizovuja", lakini pia kufunga masuala ya mashambulizi ya MiTM kwa kutumia BGP.
Nitazungumza kwa undani kuhusu ASPA katika mwezi mmoja kwenye mkutano wa Next Hop. Wenzake kutoka Netflix, Facebook, Dropbox, Juniper, Mellanox na Yandex pia watazungumza huko. Ikiwa una nia ya stack ya mtandao na maendeleo yake katika siku zijazo, njoo .
Chanzo: mapenzi.com