First, 几条声明:
- 谢绝转载
- 爱挑刺的请不要将此文当做科普文。这是娱乐节目+直播带货:服务器滞销,救救孩子。
- 官方DEBUG、REPORT、预约话题、提问、催更群 TELEGRAM: @goV2EX,群内对死号容忍度较低,请设置头像并开放别人查看权限,避免被群里的专业删人某女装大佬当做死号清退。不要低估女装大佬的道行,群成员7000多给踢到300多。
~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~
这一期的主要话题呢,是BGP,只是BGP本身,顺带讲一些其他生产环境在广域网使用的路由协议。
~
这是一篇枯燥的纯文字东西,而且写的没前没后想到啥说啥,这不是我的强项,敬请理解
~
先期需要自行了解的概念:AS,ASN(AS number,AS号) ,路由协议,CIDR格式IP地址,BGP协议,BGP广播
~
首先,别问我路由协议是什么。如果你能忍受全球的所有网络都 ip route-static 这么配置静态路由 而且你记得住全球的路由表 那我敬你是个汉子,这些东西请跟V2EX官方战略合作伙伴google.com和baidu.com了解
~
要是按我的风格给你讲解呢,路由协议就是俩路由器之间直接联系,在通过in/out的filter,过滤掉人工限制过滤的东西,互相告知对方我这里都能到达哪里的东西。
~
什么?你家的小米路由器?其实你家的家用“路由器”,不太正确的说,本质是个防火墙,而不是一个路由器……当然,他们有的还是支持路由协议的。。。
~
当然,按惯例,这不是枯燥的BGP是什么,这些内容,请自行使用搜索引擎。
~
实际上,现在在国内,BGP光环很普遍,一说BGP就是个高大上的东西,高贵得一塌糊涂。
~
其实,基于TCP/IP协议的网络,本质是完全自治的系统。基础协议层面是没有任何管理的。每个人自己组一个局域网,然后互相做一个路由,就通了。其实广域网也是如此。但是这样就带来了一个问题,张三有一个网,张三说我喜欢吉祥号,我的网IP地址是8.0.0.0/8,李四有个网,他说我也喜欢吉祥号,听说张三家是8.0.0.0/8,那我是88.0.0.0/8,这时候罗老师说了我也打算开个网,8.8.8.8必须是我的,虽然我家网络规模小,我家网是8.8.8.0/24,如果这些网互联起来,不就乱套了!当然,罗老师随后就安排罪名把张三给办了的后话我们不提。
~
于是,IP地址分配机构诞生了。这是一种先有的用户共同遵守的行业标准性质的组织,而做大了以后,后来的也都加入,而这个机制下只要互相能协商,是可以多个IP地址分配机构独立运作的。比如APNIC说我分配1.0.0.0/8,只要其他分配机构不同时分配这个地址给自己的成员广播,这样不同机构分配的IP地址就能互联。
~
这种分配机制,是没有协议保障的,都是基于约定的,国际互联网依然是自治的,就像AS翻译成中文就是自治域。
~
所以,就像3年前我无聊编纂的《开展国内互联网和国际互联网分开运行的方案》所写,是完全可行的,只要中国三大两小运营商自己协调好IP地址的分配机制,是可以不需要任何支持的组建一个“国内互联网”的,技术无难度,而且不违反协议。
~
而现行国际互联网的机制下,依托BGP本身,也没法抑制你乱广播不属于你的IP,只能基于你的体量,基于信任。当然,后来大家研究出来了IRR什么的一系列机制,通过软件层去查询进行过滤,避免瞎搞什么的,这都是后话,都并没有本质patch BGP协议的完全自治性。
~
现在我们还不到去谈BGP价格什么的时候,这要涉及对等互联,非对等互联,网络规模什么的,暂时只从技术和国内国际现网情况去说BGP。
~
BGP并不是什么高大上的路由协议,也不是你BGP接入就高大上。其实这玩意只是应用的层面比较专业,普遍接触不到,而国内的畸形心理,总把很多小众的东西就当高端当逼格。。。大家都开小轿车,没有几个人开推土机。但是推土机的原理和干的活比较好理解也熟悉,所以并不当什么高大上的东西。我公司有一台卡特彼勒的高端机械,很贵,全国不超过100台,没有国产,然后我随便发个朋友圈,国内都造不了的高级机械神马的,一下子逼格就起来了,其实这玩意压根不是国内生产不了,是天朝15亿人的体量也没有100台的用户,造了卖谁去?亏死啊!BGP也是如此,接触的人少,而且这玩意比较麻烦,各种full mesh要求什么的,加上国内提这些的都是非对等互联价格会高等因素,强行造出来的逼格。
~
接下来,扩展一些你可能借助搜索引擎都难以获得的信息。国内的运营商广域网现状,国内的IP/AS情况。
~
国内的三大两小运营商,当然,都是独立AS,而且是多个AS、多个子AS为自治域以外采用BGP对接。在运营商内部,实际主要采用的是一种不太常见的路由协议,IS-IS路由协议。到达末端以后,有些在三层为了多路径需求转换成下级动态路由协议,比如ospf,有些依托传送网的冗余IS-IS直接就到末端设备,静态路由接入。IS-IS的资料较少,甚至Mikrotik RouterOS都不支持,实验网都不太好搭的。
~
国内的BGP现状就比较简单了。国内有NAP(国家互联网接入点),私下两家直连,对等互联中心(IX)几种,具体的情况,在后续讲过体量问题、建设问题之后,还会有一个BGP应用现状和费用问题的专题展开说。
~
哦,忘了一点,国内比较先搞比较大规模BGP数据中心的,是郑州的景安网络,在这之前独立AS的接入方法仅限一些大型外企的自己有分支机构的国内机构,然后带起了全国开始慢慢搞BGP的风,直到云时代,国内阿里云的横空出示,直接抛弃了廉价运营商网络,在一些不可告人的目的下,全线BGP把这玩意做成了国内标准,在一线二线城市才独立AS的接入才开始逐渐普及。这里面的展开说,还是要BGP的第二部分和第三部分。
~
因为BGP协议的自治性加上脱离协议的IRR等外部机制约束而非协议本身约束,当你体量不大的时候,即使你给很多钱,除非你按目录价给钱(贵的突破天际,估计没出事之前的王思聪都玩不起),都不太愿意跟你签BGP协议,主要是怕你瞎搞。即使有FILTER,BGP的机制也有很多搞坏现网的情况,国内的信用体系十分不完善。就算你真正要搞BGP,也不跟你BGP签,而走运营商替你广播IP的形式(代播),从多家运营商代播实现跟BGP一样的特性。阿里云做大以后,腾讯云也做大,一些其他云企业也被迫跟着标准走BGP的,才在大城市催生了比较多的BGP协议对联,在一些小地方仍然是以前的现状。
~
如果你能签订BGP协议接入INTERNET,无论在国内还是国际,瞎搞的典型就是两种东西,一个是DDOS,一个是伪造anycast劫持。所以说,只要篡改信任,假如TG GOV想要搞你们访问非法网站的,并不需要什么特别技术,只要他跟三大运营商做一个对等互联,然后跟三大说好信任这个接口,然后把一些非法网站的IP在这里面广播,你的一切记录就都过去了……这只是一种典型瞎搞应用方法
~
在这里,特别喷一下,互联网是完全自治的,没有根。有根的是域名系统。什么互联网根服务器,就是瞎J8缩写的典型。国际互联网域名根服务器简称根服务器造成严重误导,就好像【中国人叫张三的都是智障】简称【中国人都是智障】一样可笑。而且即使要进行自主防止境外反动势力干扰,也并不需要搭建根域名服务器抢占什么地位,直接劫持那几个写死的根服务器IP比啥都省事……
~
好了 好像字有点多了,先这些。关于BGP后续在不远的将来还会有两期专门扩展内容,以及在运营商IDC的普遍组网方式带一嘴。另外就是MPLS VPN时候也会带一点。如果回头我发现有遗漏什么本想说的东西,到那时候加进去。
~
尾巴部分,带一点可以轻易测试得出的小知识,这在广域网应用架构设计规划中很有用。一级运营商(三家)大部分依赖NAP互联互通(国家级互通点,全国若干个),跨网访问的原则是,在自己的网络内走的尽可能远。比如一个大庆联通的用户跟东莞电信的用户进行通信,大庆联通发出的包走联通骨干到广州联通,通过广州NAP跳到广州电信,然后到达东莞电信,而东莞电信发回的包,走电信骨干到沈阳电信,通过沈阳NAP,跳到沈阳联通然后走联通网络到达大庆联通。