当前ISP架构及安全

             

    现今的网络中存在大概 30k 个 as （自治域系统），这里所说的 3k 是不包括那些 private as number 的，所以实际存在的 as 远大于此。

    因为当今并没有一个组织或机构去管理 Internet ，每一个 ISP 都有它自己的 policy ，所以比较混乱。

 

    现今的 ISP 主要有两种互联的方式：

1.       transit

2.       peering

 

transit

一个下层的 ISP 向它的 upstream （上层） ISP 购买链路。此时，下层 ISP 就可以通过上层 ISP 到达上层 ISP 所连接的目标地址网络。

 

Peering

ISP 之间建立 peering 连接，对等连接。此时，两个 ISP 只是交换他们各自的网络以及客户。比如， A 和 B 以 peering 方式对等互联， A 不可以访问与 B 相连的 ISP 连接的网络目的地址。

理论上，以这样的方式连接的 ISP 的结构会非常清晰。但实际上，因为 ISP 对于业务需求的不同，不同级别的 ISP 也会建立 transit 或者 peering 的连接关系。

所以，当前 ISP 的构架是错综复杂的。

 

有一个组织叫做 CAIDA ，它有一个 skitter 模型 ,（附件一）

在这个模型中有很多衡量 ISP 规模的标准 , 其中一个叫做 Degree, 这个标准单一 as ，以 eBGP 关系直连的 asn 数量为标准。附件二为 06 年排出的排名前十位的 asn 。

其实衡量的标准很多，排名也就有不同，就像这里派第一的 UUnet ，他自己拥有 3 个 asn ，（ 701-703 ）这里只是 701 一个 as 。

 

从另一个角度来看， ISP 传统的连接方式有两种：

 

1．  Public

通过共享的二层网络连接。如：交换以太网， ATM ， MPLS 等

2 ． Private

点对点连接，而以后 ISP 连接的发展方向就是点对点连接，这样比较容易管理。

 

关于安全性

 

ISP 的发展经历了盲目相信到普遍不相信的过渡（ implicit trust à pervasive distrust ）。现在的 ISP 每天都要面对大量的 DOS （ denial of service ）攻击， ISP 之间是竞争关系，但从安全的角度，他们又不得不联起手来。这种矛盾也促进了 ISP 的发展。

ISP 需要保护自己，保护自己的客户，保护自己的上层 ISP 。所以每一个 ISP 都会有一个安全运维部门，这个部门需要和其他的 ISP 合作，和厂商合作（比如 cisco ），和一些组织合作（比如 FIRST 事件响应与安全组织）。另外，还要有一些安全功能。

 

比较常见的安全功能有以下 5 种：

 

1.       IP option selective drop

     对于 IP option 数据包的处理，包括 drop 和 ignore ，目前 cisco 只有 12000 系列才支持 ignore 的功能。

2.       Peering policy enforcement using vrf list

加强 ISP 之间政策的管理，防止链路被侵犯，自己的链路跑别人的流量。

3.       peering Interconnect link protection

对于链路的保护，可以用 routing/FIB 解决，也可以用一些 ACL 。

4.       distinguishing traffic at peering interconnects

区分对等互联的 ISP 之间的流量。

5.       GTSM

利用 TTL （ time to live ）对网络，对协议进行保护。

 

还有一些关于 ISP 的内容在一个好友的 blog 中有更详细的叙述，链接如下：

 

[url]http://steven24.blog.51cto.com/346765/71347[/url]      Internet 结构简析

 

[url]http://steven24.blog.51cto.com/346765/71364[/url]       ISP简析

本文出自 “慕枫的部落格~” 博客，谢绝转载！