Địa chỉ IP thực sự được gán như thế nào?

Tôi đang gặp khó khăn trong việc hiểu cách thức một cơ quan quản lý gán địa chỉ IP, các công ty sử dụng BGP để quảng cáo các IP đó và cách thức hoạt động của internet. Vậy thì, địa ngục nào DNS đến?

Bất cứ ai có thể đề nghị đọc tốt về cách thức công cụ này thực sự hoạt động? Tôi cho rằng tôi có một số câu hỏi. Đầu tiên là, ARIN (hoặc bất kỳ cơ quan quản lý nào khác) có thực sự quan trọng không? Nếu họ không có mặt, liệu có hỗn loạn? Khi họ chỉ định một khối, họ không LITERALLY chỉ định nó? Bạn phải sử dụng BGP để quảng cáo, đúng không? Tôi đã luôn quen với một môi trường lưu trữ kín (dành riêng / chia sẻ) nơi bạn đã định tuyến IP.

Sau đó, làm thế nào để DNS vào để chơi? Với công ty đăng ký của tôi, tôi có thể đăng ký máy chủ DNS (eNom) - điều đó thực sự có nghĩa là gì? Tôi đã cài đặt Bind và làm cho tất cả các công việc đó hoạt động và tôi chạy các máy chủ DNS của riêng mình, nhưng họ đang đăng ký máy chủ DNS đó với ai? Tôi chỉ không nhận được nó.

Tôi cảm thấy như đây là điều tôi nên biết và tôi thì không, và tôi đang thực sự thất vọng. Nó giống như .. đơn giản .. internet hoạt động như thế nào? Từ việc gán IP, cho các công ty định tuyến chúng và DNS.

Tôi đoán tôi có một ví dụ - Tôi có không gian IP này, giả sử 158.124.0.0/16 (ví dụ). Công ty có 158.124.0.0/17 phải đối mặt với internet. (Trước hết, tại sao các công ty nhận được các khối IP được gán và sau đó không sử dụng chúng? Tại sao họ không sử dụng không gian nội bộ dành riêng 10.x và 192.x?). Vì vậy, đó là nơi tôi đang ở. Tôi sẽ làm gì để thực sự có được các IP này trên Internet và có sẵn? Giả sử tôi có một trung tâm dữ liệu ở Chicago và một ở New York. Tôi không thể tải lên một hình ảnh, nhưng tôi có thể liên kết một hình ảnh ở đây: http://begolli.com/wp-content/gallery/tech/i INTERNetworkings.png

Tôi chỉ đang cố gắng hiểu làm thế nào từ khi khối IP được chỉ định, cho một công ty sử dụng BGP (đạt được AS #?), Và sau đó DNS sẽ hoạt động như thế nào?

Một cái gì đó trông như thế nào từ hình ảnh của tôi? Tôi đã cố gắng đưa ra một kịch bản, không chắc là tôi đã làm tốt hay chưa.

Khối IP cho thuê

IP được IANA gán trong các khối cho Cơ quan đăng ký Internet khu vực (RIR). Xem điều này ( danh sách và bản đồ ) của RIRs. RIR sau đó cho thuê các IP khối nhỏ hơn cho các công ty riêng lẻ (thường là ISP). Có các yêu cầu (bao gồm phí và bằng chứng sử dụng) để có được một phân phối và không duy trì những điều này có nghĩa là mất tiền thuê.

Khi một công ty đã thuê một hoặc nhiều khối từ RIR, họ cần một số cách để nói với phần còn lại của thế giới nơi tìm một IP cụ thể (hoặc đặt: các mạng con). Đây là lúc BGP phát huy tác dụng. BGP sử dụng một khái niệm mạng lớn gọi là Hệ thống tự trị (AS). AS biết làm thế nào để định tuyến trong chính nó. Khi định tuyến đến một mạng khác, nó chỉ biết về AS Gateways và nơi "bước nhảy tiếp theo" tới các địa chỉ bên ngoài đó. Số AS cũng được quản lý bởi IANA .

Trong một AS, thậm chí là một ISP lớn, họ có thể sử dụng một số giao thức định tuyến (RIP, OSPF, BGP, EIGRP và ISIS) để định tuyến lưu lượng truy cập nội bộ. Cũng có thể sử dụng Bảng định tuyến tĩnh, nhưng hoàn toàn không thực tế trong hầu hết các ứng dụng. Các giao thức định tuyến nội bộ là một chủ đề lớn, vì vậy tôi sẽ đơn giản hóa bằng cách nói rằng có những câu hỏi khác về Server Fault có thể thực hiện những chủ đề đó công bằng hơn tôi có thể ở đây.

DNS

Con người không nhớ số tốt, vì vậy chúng tôi đã phát minh ra tên máy chủ. Bỏ qua lịch sử, chúng tôi sử dụng Hệ thống đặt tên miền (DNS) để theo dõi tên máy chủ nào trỏ đến địa chỉ IP nào. Có một sổ đăng ký trung tâm cho những thứ này, cũng được quản lý bởi IANA và họ xác định Tên miền cấp cao nhất (TLD) (ví dụ: ".com" hoặc ".net") đi trong Vùng gốc, được phục vụ bởi Máy chủ gốc. IANA ủy quyền quản trị "vùng gốc", quản trị viên này chỉ chấp nhận cập nhật từ các Nhà đăng ký đủ điều kiện.

Bạn có thể sử dụng Nhà đăng ký để "mua" một tên miền, là tên miền phụ của TLD. Việc đăng ký này về cơ bản tạo ra tên miền phụ đó và gán cho bạn quyền kiểm soát đối với các bản ghi Máy chủ tên (NS) và Keo (A). Bạn trỏ chúng đến một máy chủ DNS lưu trữ tên miền của bạn . Khi khách hàng muốn phân giải IP của bạn từ một tên miền, khách hàng sẽ liên lạc với máy chủ DNS của họ để tìm kiếm đệ quy, bắt đầu với máy chủ gốc, tìm máy chủ DNS của bạn và cuối cùng nhận được thông tin liên quan.

Mọi người đồng ý

Đối với "cơ quan chủ quản": mọi người chỉ đồng ý sử dụng chúng. Không có (hoặc rất ít) luật yêu cầu bất kỳ ai phải hợp tác cả. Internet hoạt động vì mọi người chọn hợp tác . Các cơ quan quản lý cung cấp một phương tiện hợp tác dễ dàng. Tất cả các RFC khác nhau, "Tiêu chuẩn", và như vậy - không ai bị buộc phải sử dụng chúng. Nhưng chúng tôi hiểu rằng xã hội được xây dựng dựa trên sự hợp tác và chính lợi ích của chúng tôi là làm điều đó.

Hiệu quả được tạo ra bởi sự hợp tác là cùng một lý do BGP phổ biến, về cơ bản mọi người đều đồng ý sử dụng nó. Vào thời ArpaNet, họ bắt đầu với các bảng lộ trình được cấu hình bằng tay; sau đó dần dần phát triển thành một hệ thống toàn diện hơn khi Internet phát triển phức tạp, nhưng mọi người chỉ "đồng ý" sử dụng bất kỳ tiêu chuẩn mới nào. Tương tự độ phân giải tên được nêu với các tệp máy chủ mà mạng sẽ phân phối và cuối cùng phát triển thành hệ thống DNS mà chúng ta biết ngày nay. ("Đồng ý" trong ngoặc kép vì nhiều lần một thiểu số đặt ra yêu cầu cho một tiêu chuẩn mới và không ai khác có một sự thay thế tốt hơn, vì vậy nó đã được chấp nhận).

Lòng tin

Mức độ hợp tác này đòi hỏi phải tin tưởng IANA, rất nhiều. Như bạn đã thấy họ quản lý hầu hết các lõi của các hệ thống khác nhau. IANA hiện là một tập đoàn phi lợi nhuận do Chính phủ Hoa Kỳ tài trợ (tương tự Bưu điện Hoa Kỳ), nó không phải là một phần của chính phủ, mặc dù chỉ bị loại bỏ. Trong những năm qua, đã có lo ngại rằng Bộ Ngoại giao Hoa Kỳ có thể kiểm soát IANA như một "vũ khí" chống lại các chính phủ hoặc thường dân thế giới khác (đặc biệt thông qua các luật như SOPA và PIPA, không được thông qua, nhưng có thể là cơ sở cho các luật trong tương lai) .

Hiện tại IANA đã tự mình lấy nó để gây quỹ (mặc dù là một công ty phi lợi nhuận ) thông qua việc tạo ra các TLD mới. TLD "xxx" được một số người coi là một chiến dịch gây quỹ theo kiểu tống tiền, vì một tỷ lệ lớn những người đăng ký đã "bảo vệ" tên của họ. IANA cũng đã nhận các ứng dụng cho các TLD thuộc sở hữu tư nhân (ở mức 180.000 đô la mỗi cái; họ đã đình chỉ quy trình đăng ký sau khi bị ngập trong các ứng dụng, gần một nửa là từ Amazon. Nhiều ứng dụng này dẫn đến gTLD mới .

Tất cả các quảng cáo trên internet công cộng, DFZ (Vùng miễn phí mặc định), được thực hiện thông qua BGP (Giao thức cổng biên giới), cách thức định tuyến nội bộ của ISP thay đổi rất nhiều. Hầu hết sẽ sử dụng BGP bên trong cũng như giữa các bộ định tuyến của riêng họ (BGP thường được sử dụng cùng với IGP như OSPF) và với khách hàng, nếu bạn không có số AS của riêng mình, bạn có thể sử dụng AS riêng để ngang hàng ISP của bạn và khi họ thông báo không gian địa chỉ của bạn cho DFZ, họ chỉ cần xóa AS riêng tư khỏi đường dẫn. Đối với các liên kết không dự phòng nhỏ hơn, bạn có thể sử dụng định tuyến tĩnh trên PE. "Nhiệm vụ" thực tế chỉ nằm trong cơ sở dữ liệu của công ty đăng ký của bạn, cơ sở dữ liệu whois, RIPE / ARIN, v.v. chạy cơ sở dữ liệu của riêng họ cho mục đích này.

Hãy thử chạy lệnh whois 158.124.0.0/16trên hộp Linux.

Tương tự với DNS, máy chủ DNS ngược được chỉ định trong bản ghi whois.

Đây là một câu hỏi rất cũ, nhưng tôi đã có nhiều câu hỏi tương tự để tìm ra cách Internet hoạt động . Giống như các câu trả lời khác, các cuốn sách mạng cung cấp một cái nhìn tổng quan về BGP và DNS nhưng vẫn khiến tôi bối rối. Ví dụ: a.root-servers.net thông qua m.root-servers.net được cung cấp dưới dạng máy chủ gốc, nhưng làm thế nào để dịch vụ DNS biết nơi tìm các máy chủ đó nếu họ không thể sử dụng DNS.

Những điều cơ bản về IP, mạng con, DNS, v.v ... được giả định là đã biết bằng câu trả lời này. Tôi đang giải quyết các "khoảng trống" Tôi, và có lẽ là người hỏi, về cách thức hoạt động của Internet. Tôi không phải là một chuyên gia, nhưng đây là sự hiểu biết của tôi về những khoảng trống.

Các địa chỉ IP

Điều đầu tiên cần lưu ý là khi Internet bắt đầu là ARPANET, mọi người đều biết mọi người và các bảng định tuyến cho địa chỉ IP đã được mã hóa. Tôi giả sử quá trình gán cho IP đã được thực hiện qua điện thoại. Khi Internet trở nên quá lớn, BGP đã được nhiều mạng (AS) sử dụng để quảng cáo rằng họ có IP công cộng hoặc có thể truy cập IP công cộng thông qua AS của họ sang AS khác. Người ta tin rằng AS sẽ không quảng cáo IP mà họ không có.

Ngày nay, không có nhiều sự tin tưởng. Thay vào đó, ISP có thể tải xuống và xác thực phân bổ IP cho từng AS từ IANA và chính quyền khu vực. Các bản tải xuống này hiện được xác thực thông qua mật mã khóa công khai. Vì vậy, khi IANA "gán địa chỉ IP", họ đang thay đổi hồ sơ của họ (hoặc thực sự chính quyền khu vực thay đổi hồ sơ của họ). Tất cả các AS khác có thể tải xuống và xác thực hồ sơ của họ.

Những hồ sơ này rất quan trọng vì ISP không thể biết được các ISP khác có địa chỉ IP. Các ISP có thể so sánh quảng cáo BGP với các bản ghi IP được xác thực. Nếu bất kỳ quảng cáo BGP nào hiển thị AS cuối cùng là AS khác với những gì trong hồ sơ được chứng thực của IANA và RIR, thì quảng cáo BGP không thay đổi định tuyến của riêng họ.

Thông thường hơn, một ISP hoặc AS lừa đảo có thể quảng cáo rằng họ có lộ trình thông qua AS mà họ không có. AS1 có IP đã đăng ký và AS5 hiện đang sử dụng AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 quảng cáo đến AS5 một tuyến AS5 -> AS2 -> AS1 -> IP. Ngoại trừ AS2 không thực sự có kết nối với AS1. Nó chỉ có thể làm mất các gói, có thể làm nản lòng các khách hàng lưu trữ của AS1. Hoặc AS2 có thể là một mạng công ty nhỏ với sự sắp xếp đa dạng với AS5 và AS1. Bộ định tuyến của họ bị định cấu hình sai và quảng cáo một con đường thông qua một mạng công ty nhỏ. Gần như tất cả các ISP đều vứt bỏ những quảng cáo như vậy của khách hàng BGP của họ và chỉ vượt qua việc chấm dứt quảng cáo BGP.

Nhiều khả năng, bạn có trường hợp Pakistan cố gắng tắt Youtube ở Pakistan thông qua việc đánh cắp IP như vậy và tắt Youtube bên ngoài Pakistan vì AS bên ngoài Pakistan cho rằng quảng cáo BGP của họ là chính xác.

Cuối cùng, không có một sự bảo vệ hoàn hảo nào trước việc đánh cắp IP như vậy. Ở hầu hết các quốc gia như Hoa Kỳ, việc lạm dụng BGP như vậy có thể bị trừng phạt vì vi phạm hợp đồng và các ISP khác sẽ ngừng các kết nối tiên phong với AS đó nếu họ phải. Một ISP cũng có thể bỏ qua toàn bộ thiết bị IANA và RIR và chuyển hướng địa chỉ IP đến máy chủ của riêng họ. Tuy nhiên, điều đó sẽ không hoạt động đối với bất kỳ trang web https nào, giả sử ISP không có khóa riêng cho bất kỳ CA nào. Có rất ít để đạt được từ nó về kinh tế. Nó chỉ xảy ra với các chính phủ độc tài, chẳng hạn như Ai Cập gần đây đã tắt tất cả các quảng cáo BGP cho ISP của họ từ bên ngoài quốc gia.

Máy chủ DNS

DNS có phần đơn giản hơn một khi các bảng IP chính xác. Các máy chủ gốc là tất cả các địa chỉ IP cứng trong mã máy chủ DNS. a.root-servers.net là 198.41.0.4 và địa chỉ IP là anycast trong một AS. Trong trường hợp của a.root-servers.net, AS là Verisign và có năm trang web khác nhau. Ở Mỹ, hai trang web là New York và LA. Anycasting giống như nếu bạn có địa chỉ của 123 Main Street và bạn nói "Không quan trọng bạn đang ở thị trấn nào, hãy đến 123 Main Street và bạn sẽ tìm thấy một trong những doanh nghiệp của tôi." Cả 123 Main Street ở NY và LA sẽ đưa ra cùng một câu trả lời cho tất cả các tên miền cấp cao nhất. AS, trong trường hợp này là Verisign, chỉ ra bên trong máy chủ nào có ít bước nhảy nhất thông qua OSPF, BGP nội bộ và các giao thức định tuyến khác. Vì vậy, một bộ định tuyến ở Denver có thể đi đến LA trong khi một bộ định tuyến ở Chicago đi đến New York.

Một trong những máy chủ gốc cung cấp địa chỉ IP nào cho tên miền cấp cao nhất. Sau đó, tên miền đó cung cấp tên miền cho yoursite.com. Các nhà đăng ký thực sự có hợp đồng với bất cứ ai điều hành tên miền cấp cao nhất. Vì vậy, nếu tên miền cấp cao nhất hiện tại không có bản ghi cho yoursite.com, thì nó có quyền truy cập để thêm bản ghi với máy chủ của họ. Sau đó, với quyền truy cập mà nhà đăng ký đã đưa bạn đến bản ghi DNS của yoursite.com, bạn thay đổi các bản ghi trong máy chủ DNS của họ để chuyển đến địa chỉ IP của bạn.

Bởi vì tất cả DNS phụ thuộc vào nhiều địa chỉ IP đi đến đúng nơi, bạn có cùng một vấn đề như trước đây với việc xác thực đăng ký IP và sau đó là các bài tập BGP. Đó là phần quan trọng cho một trang web http. Https có thêm sự bảo vệ của chứng chỉ. Vì vậy, một ISP không thể định tuyến lại các yêu cầu cho các máy chủ gốc của riêng họ và các máy chủ tên miền cấp cao nhất để cung cấp IP của riêng họ, ví dụ như, citibank.com. Nếu họ đã làm như vậy, địa chỉ IP được cung cấp cho người dùng sẽ là một địa chỉ IP khác, nhưng máy chủ của họ sẽ không có khóa riêng của Citibank.

và không, tôi không đùa (tôi đã bắt đầu với cuốn sách này 15 năm trước, nhưng nó vẫn rất phù hợp): http://www.amazon.com/INET-Dummies-John-R-Levine/dp/0764506749

Sau đó, quay lại đây với các câu hỏi BGP =)