标签: bgp

我为 2010 年安排的主要项目之一是试图减轻我目前管理的网络中的一些单点故障 (SPOF)。我们目前有一个包含几十台服务器的数据中心机架。
在机架内部，我们是冗余且有弹性的，每台服务器有 2 个磁盘，并且可以承受一个故障。
我们的数据存储服务器有3个以上的磁盘，可以承受一个故障。我们也可以快速修复/更换损坏的硬件。每台服务器至少有一个复制伙伴，我们可以承受每个集群（即 Web、数据库、存储）中的 1 或 2 个丢失。

互联网连接由 2 100MBit 馈送通过以太网提供给我们的主要传输提供商，连接到高可用性故障转移对中的一对 Cisco ASA5500 防火墙。这不是问题。

在我看来，两个大的 SPOF 如下：

1) 我们的互联网来自一个单一的传输提供商。如果他们的网络出现故障，我们就会断开互联网。由于我们位于运营商中立的数据中心，因此很容易获得第二个 IP 传输。

2) 如果我们数据中心的电源出现问题，那么我们也会消失。

理想情况下，我希望 2 个数据中心中的服务器都使用多个 IP 传输提供商的不同路由，并通过 BGP 发布。

在第二个数据中心，我将配置 2 个 cisco 28xx 系列路由器、2 个 ASA 5500 防火墙、一对 Catalyst 48 端口交换机和十几个戴尔服务器。大致匹配主要位置。

管理层声称这种方法涉及大量费用，而且 BGP 路由过于昂贵。虽然他们似乎很高兴拥有第二个位置，但 BGP 似乎不在考虑之列。

多宿主的最后报价接近 8 万英镑。（也许他们正在询问镀金思科的报价！）

相反，管理层认为这最好使用基于 DNS 的解决方案来解决，其中我们的路由由状态正常运行时间监控服务（如 pingdom）控制，该服务更改我们的 DNS 记录（具有 1 秒 TTL）以指向替代位置在服务器故障的情况下。

大量公司出于某种原因使用 BGP，这种 DNS 解决方案不会削减它，特别是考虑到如此多的 ISP 等实际上无视短 TTL 并用更长的 TTL 替换它们。

问题：

1) 任何人都可以在西欧（阿姆斯特丹等）或美国东部（DC、VA、NY 等）推荐一个好的运营商中立数据中心吗？ …

阅读了此处与 DNS 负载平衡和循环 DNS 相关的所有问题和答案（1 2 3等）后，仍有许多未回答的问题。

大公司，我在这里查看的是 Google、Facebook 和 Twitter，确实提供了多个 A 记录。
1) 如果 DNS 负载平衡/故障转移如此狡猾，为什么大型组织要这样做？

尽管有关于“DNS Pinning”的这篇（PDF）论文，但似乎很少提到“DNS Pinning” 。
2）为什么很少提到DNS Pinning？

3) 有没有具体的例子说明哪些 ISP 等实际上重写了 DNS TTL？

也就是说，我并不完全支持使用 DNS 进行故障转移或任何形式的负载平衡。对于大多数网络，BGP 多样化路由似乎仍然更合适。

DNS 再次抬起丑陋的头。:(

对于小型多宿主网络 (/21)，我正在研究适用于 linux 的可能的 bgp 路由器软件。我发现

• 斑驴，
• XORP和
• 鸟

并且想知道是否

1. 我错过了其他值得推荐的用于 linux 的 bgp 软件
2. 任何人都可以发言支持或反对其中任何一项。

我知道之前讨论过类似的话题，但现在已经三年了，所以情况可能已经改变了。

在过去的十年里，我一直在做兼职的 IT 工作（除其他外）。我已经建立或重建了更多的本地网络安排，我无法计算，最近我一直在研究我的网络知识中仍然存在的一些重大差距。总而言之，虽然我绝对不会称自己为“专家”，但我认为在这一点上，我对网络边界内部的工作方式有了很好的了解，并且对大多数网络基础知识（层OSI 堆栈、TCP/IP、DNS、MAC 寻址和 ARP、更高级别的协议等）

然而，前几天我突然想到：“我如何向某人解释在 Internet 上路由数据包实际上是如何工作的？” 我意识到我很难回答这个问题。

现在，我至少对边界网关协议是什么和做什么有一些了解，或者路由表是什么，或者互联网基础设施对等点是什么。但是我承认我并不真正理解这些东西和其他东西实际上是如何确定路由器实际上将如何处理数据包以将其移动到其目标 IP 地址的。

那么，Internet 上的路由器如何接收数据包来决定下一个将其转发到哪个路由器呢？那么该路由器如何知道它应该将数据包转发到哪个最佳路由器呢？正如我所说，我对与 Internet 路由基础设施相关的元素和概念有一些了解，但我不清楚一切如何组合在一起才能真正允许给定的路由器做出关于向何处发送数据包的良好路由“决定”它在正确地将数据包移向其最终目的地方面发挥了作用。

（注意：我已经查看了任何数量的资源以试图更好地理解这一点。但到目前为止我遇到的大多数事情要么（1）忽略了互联网上路由器的技术主题知道将下一跳的数据包发送到哪里，或者 (2) 陷入技术细节和协议行话的泥潭，以至于很难了解路由器决策点的所有内容是如何组合在一起的。我想这将是获得该问题的实际技术答案的好地方，非网络专家也可能理解。）

我们正在从一组地址迁移到另一组地址，均为 /24，并尝试将迁移期间的任何停机时间降至最低。理想情况下，当我们关闭旧电路时，我们会同时运行一段时间。共有 4 个 Internet 连接，每对都运行 BGP。

然后将其中的每一个路由到 Cisco ASA，该 ASA 连接到交换机，该交换机在该子网上连接了多个服务器。

在上图中，左侧部分是今天存在的部分，我希望添加右侧部分。

我已经连接了 ASA 并且它们都在 10.20.20.0/24 子网上，第一个 ASA 接口为 10.20.20.1，第二个 ASA 接口为 10.20.20.254。

这里的问题是所有服务器都将 10.20.20.1 作为默认路由，我真的很想将流量路由回它进来的方式。也就是说，互联网 -> ASA #2 -> 服务器 -> 返回ASA #2。当然，就像今天一样，它将响应发送回 ASA #1，并且没有找到它的翻译。

我会以错误的方式解决这个问题吗？

编辑：我应该提到外 #1 和外 #2 有不同的公共 /24 网络。我们正在从 ISP 提供的块迁移到我们自己的块。

我还没有破解源代码，但我很好奇 traceroute 程序使用哪个 whois 服务来查找给定 IP 的 ASN。

如果 Internet 上的所有路由表同时被删除，路由器是否能够自动重新发现它们？

我和一位同事争论说 RIPE 路由表是必不可少的，但我记得读过如果这些表消失了，BGP 协议将允许路由器通过查询它们的邻居来重新发现节点之间的工作路由，而邻居又将查询他们的邻居，直到检测到工作路线。然后该路由将用于重新填充路由表。一段时间后，所有路线都会恢复（不一定是最优路线）。

那是对的吗？

作为学校项目的一部分，我正在构建一个包含大约 10 个虚拟路由器和 20 台主机（也已虚拟化）的实验室网络。目的是展示广泛的 IPv6 路由、部署和转换机制。但是，有一个问题......我只能使用非常有限的网络资源 - 最大。10 个具有单独打开的端口/协议的 IP。对于这样的双栈网络，我需要至少 /25 的 IPv4 空间来舒适地实现网络，而无需求助于私有 IP 范围和 NAT（至少在骨干区域），并且还能够演示 6to4 和类似机制.

从当地学术 LIR 获得临时 IP 范围分配是可能的，但这是一个相当大的官僚负担（不太可能在 4 月份我的项目到期时完成）。运行 BGP 也不是我的选择，所以我无法带上自己的 PI 空间。

由于网络的性能对我来说不是很重要，我想，我可以使用隧道来“带来”更多的 IP 到网络。我知道有很多 IPv6 隧道代理，所以让 IPv6 进入并不是真正的问题。我正在寻找的是一个类似的概念，仅适用于 IPv4 地址 - 不是单个地址，而是整个子网。

那么，是否存在一个 IPv4 隧道代理，我可以在其中租用一个子网并通过隧道（GRE、IPIP、OpenVPN 等）将其路由给我？

当我遇到 DDoS @10Gbps 时，如果我有 10M 表项的 BGP 路由器，我可以在攻击性网络上执行搜索吗？

我会这样做，首先我会删除第一个 /8 的路由，看看 DDoS 是否会停止。然后通过这种方式在完整的32bit地址空间上搜索DDoS的来源。

我对 BGP 不太熟悉，不确定它传播多长时间以及此类搜索需要多长时间以及会产生什么影响。也不确定我是否真的可以通过我从 RIPE 和 Arin 下载的 IP 号码阻止某些网络停止路由到我。

这尤其适用于处理欺骗攻击，因为可以更有效地跟踪正常攻击。

或者我需要多少带宽并且没有位置来维持欧洲的任何类型的 DDoS？我可以使用基于 Route 53 延迟的 DNS 重新路由流量。我读到的最近披露的罢工大约是 13Gbps，20Gbps 就足够了吗？

我们有一个简单的多宿主设置，其中有两个路由器将我们的 AS 广告给两个 ISP。第二个 ISP (ISP B) 仅在 ISP A 出现故障时用作备份，因此我们在此路由上预先添加了我们的 AS 3 次。

注意：这些是示例 ASN，而不是真实的。

今天早上我花了几个小时在互联网上查看玻璃路由器，但没有一个列出我们的备用路径和预先准备好的路径。我检查了南非互联网交换中心、伦敦互联网交换中心、俄勒冈互联网交换中心和几十个 ISP。它们都有多条通过 ISP A 的路由，通常有 3 或 4 跳。通过 ISP B 的路由至少应该出现在某处并且有 5 或 6 跳。但我在任何地方都找不到。（我检查了观望玻璃路由器上的完整 bgp 表，使用show ip bgp 65000）

我的问题是：

• 路由的大小是否有限制，大多数路由器将简单地丢弃该路由？
• 如果没有路由器知道，当 ISP A 出现故障时，我们的备份路由是否还能工作？

我们的两个路由器通过 iBGP 连接。是否有可能因为 iBGP 会话更喜欢通过 ISPA 的路由而没有宣布通过 ISPB 的路由？这就是non-exist-map和Advertise-map应该做的事情，但它们都没有在任何一个路由器中使用。