BGP és una cosa que he d'entendre com a usuari normal?

No directament, però explica la notícia. Quan llegiu sobre "una filtració de BGP" o "una interrupció important d'un anunci d'AWS", esteu llegint sobre el protocol d'encaminament que va decidir que els vostres paquets no podien arribar a un servei. Entendre BGP converteix aquests titulars de vagues a clars.

Per què Internet té tants sistemes autònoms?

Cada operador de xarxa significatiu vol el seu. Universitats, ISP, proveïdors de núvol, grans empreses, xarxes de lliurament de contingut: qualsevol persona amb connexions múltiples a Internet sol obtenir un ASN per gestionar la seva pròpia política d'encaminament. El recompte actual és d'uns 75.000 a tot el món.

Pot una xarxa petita anunciar qualsevol prefix que vulgui?

Tècnicament sí, BGP no té cap aplicació. A la pràctica, els proveïdors aigües amunt solen filtrar els anuncis dels seus clients contra les assignacions documentades, i RPKI s'utilitza cada cop més per validar les originacions. Els anuncis no autoritzats encara passen de tant en tant, que és com succeeixen els segrestos de BGP.

Com afecta BGP el rendiment de la VPN?

Quan us connecteu a l'IP anycast d'una VPN comercial, BGP tria el servidor més proper per a vosaltres. Això pot canviar en qualsevol moment si un enllaç de peering baixa o hi ha disponible un camí nou, per això una VPN que es va sentir ràpida ahir pot ser més lenta avui sense culpa vostra.

És difícil aprendre BGP?

El concepte bàsic és senzill: "qui pot arribar a què, propagar als veïns". La part difícil és la política: com interactuen els atributs de la ruta amb les preferències locals, els MED, les comunitats, la manipulació de la ruta AS. La majoria dels enginyers de xarxa que reclamen experiència en BGP vol dir que han depurat prou d'aquestes interaccions per saber què és probable.

Explicació de BGP: el protocol que manté Internet unit

Internet no és una xarxa: són desenes de milers de xarxes independents unides per un únic protocol d'encaminament des de l'any 1989. BGP decideix com els paquets troben el camí des de qualsevol d'aquestes xarxes a qualsevol altra. Quan es trenca BGP, es trenca Internet; països sencers s'han desconnectat a causa d'una ruta mal escrita. Entendre-ho explica per què.

El cos complet de l'article es proporciona en anglès a continuació.

BGP (Border Gateway Protocol) és el protocol d'encaminament utilitzat entre grans xarxes independents a Internet. Hi ha unes 75.000 xarxes d'aquest tipus, anomenades systems autònoms, i BGP és com es diuen entre ells quins intervals d'adreces IP poden arribar i per quin camí. Cada paquet que travessa els límits de l'ISP va ser encaminat per una decisió BGP en algun lloc.

La idea bàsica

Ecada sistema autònom (AS) anuncia "Puc arribar a aquests prefixos IP" als seus veïns. Els veïns propaguen l'anunci, anteposant el seu propi número AS. Un AS receptor veu alguna cosa com "el prefix 8.8.8.0/24 és accessible mitjançant AS 15169 (Google) mitjançant AS 3356 (Lumen) mitjançant AS 1234 (el vostre ISP)." Cada AS avalua aquests camins mitjançant una política configurable (camí AS més curt, relació de peering més barata, latència més baixa, el que decideixi l'operador de xarxa) i instal·la la ruta guanyadora a la seva taula de reenviament.

BGP s'executa sobre TCP al port 179. Dos encaminadors BGP estableixen una sessió i intercanvien actualitzacions de manera incremental cada vegada que les rutes canvien. No hi ha emissions ni inundacions; tot és unicast.

eBGP vs iBGP

TDos sabors de cohabit BGP:

eBGP (BGP extern) s'executa entre dos sistemes autònoms diferents. És com un operador de nivell 1 aprèn les rutes d'un ISP client o com Google empareja Comcast en un intercanvi d'Internet.
iBGP (BGP intern) executa inside un sol AS per propagar les rutes externes apreses per un encaminador a la mateixa xarxa. Sense iBGP, un AS multi-encaminador no podria conèixer la seva pròpia visió col·lectiva d'Internet.

Policy, no el camí més curt

A diferència dels protocols interiors (OSPF, IS-IS) que troben el camí matemàticament més curt, BGP optimitza per a la política de XPLiness bus de l'operador de xarxa. Un ISP típic prefereix:

Routes a través dels seus propis clients (ho paguen pel trànsit) per sobre dels companys (sense diners) sobre els proveïdors amunt (els paga). peers.

Això significa que les rutes BGP poden ser intencionadament subòptimes en latència o recompte de salts si la política ho diu. Aquest és el disseny: BGP és el protocol on el model de negoci compleix el cable.

Les famoses interrupcions

BGP configuracions incorrectes han provocat algunes de les interrupcions d'Internet més grans de la història. Pakistan Telecom va fer caure YouTube a nivell mundial el 2008 anunciant una ruta més específica. China Telecom va absorbir breument el 15% de tot el trànsit d'Internet el 2010 en anunciar desenes de milers de prefixos que no posseïa. La interrupció massiva de Facebook del 2021 va venir d'una retirada de BGP que va treure els seus servidors DNS autoritzats fora d'Internet, després de la qual cosa ni tan sols van poder entrar als seus propis edificis per solucionar-ho.

El tema comú: BGP és un protocol basat en la confiança. Fins fa poc, no hi havia cap verificació criptogràfica de qui podia anunciar quins prefixos. Qui ho va anunciar més fort, Internet ho va creure.

RPKI: la solució lenta

La infraestructura de claus públiques de recursos (RPKI) permet als titulars d'adreces declarar criptogràficament "només aquests AS estan autoritzats a anunciar els meus prefixos". Els encaminadors que validen RPKI abandonen anuncis no autoritzats. El desplegament de RPKI s'ha accelerat durant el 2024-2026 i ara cobreix més del 50% dels prefixos encaminats; la majoria dels principals operadors i CDN de nivell 1 validen. No és una solució completa: RPKI diu qui està autoritzat per originate un prefix, no qui té permís per transit, però ha eliminat molts segrests simples. L'adreça IP es resol a qualsevol de les desenes de servidors físics que estigui més proper. Cloudflare, el 8.8.8.8 de Google i el 9.9.9.9 de Quad9 utilitzen BGP anycast. Quan us connecteu a una d'aquestes adreces, l'encaminament BGP tria la instància més propera sense cap redirecció geogràfica basada en DNS.

Per què és difícil substituir

BGP té debilitats ben conegudes: convergència lenta (minuts per propagar els canvis de ruta), basada en la confiança per defecte, escala linealment amb el nombre de prefixos (actualment al voltant d'1 milió d'IPv4 + 200.000 IPv6). Diversos projectes de recerca han proposat substitucions al llarg dels anys; cap s'ha desplegat. El motiu és la dependència del camí: tots els encaminadors d'Internet parlan BGP, tots els operadors han desenvolupat pràctiques operatives al seu voltant i ningú vol ser el primer a canviar a una altra cosa. El protocol de 1989 és, en un futur previsible, el protocol d'Internet.

Preguntes freqüents

BGP és una cosa que he d'entendre com a usuari normal?: No directament, però explica la notícia. Quan llegiu sobre "una filtració de BGP" o "una interrupció important d'un anunci d'AWS", esteu llegint sobre el protocol d'encaminament que va decidir que els vostres paquets no podien arribar a un servei. Entendre BGP converteix aquests titulars de vagues a clars.
Per què Internet té tants sistemes autònoms?: Cada operador de xarxa significatiu vol el seu. Universitats, ISP, proveïdors de núvol, grans empreses, xarxes de lliurament de contingut: qualsevol persona amb connexions múltiples a Internet sol obtenir un ASN per gestionar la seva pròpia política d'encaminament. El recompte actual és d'uns 75.000 a tot el món.
Pot una xarxa petita anunciar qualsevol prefix que vulgui?: Tècnicament sí, BGP no té cap aplicació. A la pràctica, els proveïdors aigües amunt solen filtrar els anuncis dels seus clients contra les assignacions documentades, i RPKI s'utilitza cada cop més per validar les originacions. Els anuncis no autoritzats encara passen de tant en tant, que és com succeeixen els segrestos de BGP.
Com afecta BGP el rendiment de la VPN?: Quan us connecteu a l'IP anycast d'una VPN comercial, BGP tria el servidor més proper per a vosaltres. Això pot canviar en qualsevol moment si un enllaç de peering baixa o hi ha disponible un camí nou, per això una VPN que es va sentir ràpida ahir pot ser més lenta avui sense culpa vostra.
És difícil aprendre BGP?: El concepte bàsic és senzill: "qui pot arribar a què, propagar als veïns". La part difícil és la política: com interactuen els atributs de la ruta amb les preferències locals, els MED, les comunitats, la manipulació de la ruta AS. La majoria dels enginyers de xarxa que reclamen experiència en BGP vol dir que han depurat prou d'aquestes interaccions per saber què és probable.