通信人家园

标题: Anycast谁来宣告路由?  [查看完整版帖子] [打印本页]
时间:  2024-8-27 17:31
作者: ghpass     标题: Anycast谁来宣告路由?

本帖最后由 ghpass 于 2024-8-27 17:33 编辑

互联网上Anycast宣告路由是服务器,还是服务器接入的路由器来宣告?
安全如何保证的?
比如:114.114.114.114  ,我自己搭建一台dns,服务器安装理由软件,宣告我这有114.114.114.0/24地址段,那我也能收到114.114.114.114为目的地址的dns请求。好像这不被允许。
请高手指导。
时间:  2024-8-27 18:42
作者: 020广东人

anycast也是BGP技术来的,肯定要运营商的路由器来宣告的。
时间:  2024-8-28 08:50
作者: ghpass

本帖最后由 ghpass 于 2024-8-28 09:08 编辑
020广东人 发表于 2024-8-27 18:42
anycast也是BGP技术来的,肯定要运营商的路由器来宣告的。

那么,某节点业务服务器故障,如何通知运营商路由器去除路由宣告呢?
若运营商不给客户开放路由宣告权限,某点业务服务中断,anycast路由不知道,还会有业务请求路由到问题节点。

时间:  2024-8-28 12:38
作者: 020广东人

ghpass 发表于 2024-08-28 08:50:08 那么,某节点业务服务器故障,如何通知运营商路由器去除路由宣告呢?若运营商不给客户开放路由宣告权限,某...

anycast是就近访问的,其中一个节点有问题没啥影响,然后一般这种公司都有自己的AS,可以接通运营商,公司的路由器向外宣告BGP路由,运营商接受路由然后在全网传播。
时间:  2024-8-29 12:30
作者: laozhu

楼上专业
时间:  2024-8-30 03:09
作者: wojiuai

互联网上Anycast宣告路由是服务器,还是服务器接入的路由器来宣告?

- 路由宣告永远都是由路由器进行宣告,路由器可以是硬件路由器或者软件路由器,所以外在形式有可能是硬件路由器或者是服务器;绝大部分情况都是通过硬件路由器宣告

安全如何保证的?

- 从路由层面来说,在路由器建立动态路由邻居的时候,可以通过认证或者路由策略限制宣告或者接收的路由;只考虑DNS,DNS也有很多的安全手段,不一一细说,可以网上查一下

比如:114.114.114.114  ,我自己搭建一台dns,服务器安装理由软件,宣告我这有114.114.114.0/24地址段,那我也能收到114.114.114.114为目的地址的dns请求。好像这不被允许。

- 如果你的这台DNS服务器是搭建在自己内网,同时你的电脑访问的DNS服务指向该服务器,则你就等于在内网搭建了一个私网DNS,只不过是恰巧用的IP是114;
但是你的这个114.114.114.114是没办法发布到互联网的,因为要想发布公网IP是需要购买的,114这种IP也不可能让你买得到,因为已经是一个著名IP,说白了就是别人已经占用了,不可能再让你用;实际上这个问题和什么anycast没有任何关系,关键是你没办法把内网的114这个IP发布到公网上,只能自己内部玩;
除了这个问题以外,实际上公共DNS服务器的架构和普通数据中心发布的应用路由也不一样,会通过镜像、分布式等技术对访问114.114.114.114的请求进行分布式处理,很复杂,可以网上查一下
时间:  2024-8-30 11:42
作者: sycl0012

通告BGP协议你宣告你的地址出去,运营商也要根据业务情况选择是否接受你的BGP路由并发布出去,114故障了他就不给运营商发布这条路由,运营商BGP也就相应撤销这个节点的路由发布
时间:  2024-8-30 18:36
作者: ghpass

wojiuai 发表于 2024-8-30 03:09
互联网上Anycast宣告路由是服务器,还是服务器接入的路由器来宣告?

- 路由宣告永远都是由路由器进行宣告 ...

服务器在IDC机房,服务器上部署frr之类的路由软件,若买了anycast服务,那么服务器可宣告路由。我不知道路由机房内的接入交换机、出口交换机知道往哪传?还是我指定大网的路由器做邻居?
时间:  2024-8-31 00:51
作者: wojiuai

ghpass 发表于 2024-8-30 18:36
服务器在IDC机房,服务器上部署frr之类的路由软件,若买了anycast服务,那么服务器可宣告路由。我不知道路 ...

服务器在IDC机房,服务器上部署frr之类的路由软件,若买了anycast服务,那么服务器可宣告路由。我不知道路由机房内的接入交换机、出口交换机知道往哪传?还是我指定大网的路由器做邻居?

- 不确定你是哪种情况
(1)公众用户一般租用IDC机房的虚机资源,则公网IP由云资源分配,无需细究路由怎么出去,确保互联网可以访问到即可;
- - 这种场景下你无需关注路由怎么出去,overlay和underlay不一样

(2)自建IDC机房或租用IDC机房硬件设备,且自建网络,且给你了一个公网IP,一般这种情况要求你的集群出口和运营商的接入路由器互连,你的默认路由指向运营商给你的这台接入路由器即可
-- 这种场景下你只要关注你的默认路由指向运营商的接入路由器即可

(3)如果在(2)的基础上,你还购买了ASN,再叠加了比如angcast等,一般是用你的集群出口和运营商接入路由器建BGP邻居;
-- 这种场景下一般都是比较大型、甚至是跨国的场景,如果你对这个基础原理还有疑问的话,我强烈建议你还是先找一下技术支撑,我理解如果要anycast并构建DNS,显然不应该产生这样的基础疑问



通信人家园 (https://www.txrjy.com/) Powered by C114