BGP路由基础
**BGP(边界网关协议)**是全球约7.5万个自治系统就"流量应去往何处"达成一致的方式。互联网没有中央地图;相反,每个网络通告它能投递的IP prefix,这些通告会向全球扩散。
通告与路径
当 AS64500 通告 203.0.113.0/24 时,它的邻居便得知"要到达那个网段,请经由AS64500"。每个再次通告它的网络都会前置自己的ASN,构建出如 AS64999 AS64998 AS64500 的AS路径。路由器优先选择最精确的prefix,其次是最短/最优选的路径。
关键概念
| 术语 | 含义 |
|---|---|
| prefix | 被通告的一段IP(如一个 /24) |
| 起源AS | 最先通告该prefix的AS |
| AS路径 | 一条路由经过的AS链 |
| 对等 / 中转 | 网络是平等交换路由,还是一方付费给另一方 |
为什么会发生劫持
BGP信任它被告知的内容。如果某网络通告了它并不拥有的prefix——无论出于失误还是恶意——且其通告更精确或路径更短,流量就可能被引偏。著名的故障正是源于此。缓解措施是RPKI路由起源验证,它让网络可以拒绝来自未授权起源的通告——参见 RPKI与ROA详解。
可用本站 ASN查询 查找任意IP的起源AS和prefix,再用 RPKI/ROA验证 进行验证。背景:什么是ASN。
备注: BGP针对可达性和策略进行优化,而非安全或地理最短路径。正是这种务实使互联网得以扩展,也正是起源验证如此重要的原因。