Что такое private as номер
BGP: remove-private-as
Рассмотрим еще одну небольшую полезную фичу.
Рассмотрим сразу топологию:
Настройки приводить не буду, все как обычно, в самом базовом виде.
Нас интересует маршрут 10.10.10.10/32 на AS2:
AS2(config-router)#do sh ip bgp | inc 10.10.10.10
*> 10.10.10.10/32 1.1.2.1 0 1 65001 i
AS2(config-router)#
нам интересует AS-PATH там мы видим 1 65001, но дело в том, что 65001 это приватная AS и в интернет она попадать не должна, поэтому нам нужно ее обрезать.
Напомню, что приватные AS это 64512 — 65535, необходимы для использования внутренних нужд, например провайдера для предоставление своему клиенту каких либо сервисов. Если не нужна реальная AS (а она стоит денег и не малых, ведь для AS нужен еще блок адресов), то приватную AS провайдер может выделить бесплатно и не нужны адреса не привязанные.
Так вот, теперь чтоб AS1 удалял эту приватную AS из AS-PATH нужно на соседе сказать:
AS1(config-router)#neighbor 1.1.2.2 remove-private-as
где 1.1.2.2 это IP адрес соседа AS2.
AS2(config-router)#do clear ip bgp * in
AS2(config-router)#do sh ip bgp | inc 10.10.10.10
*> 10.10.10.10/32 1.1.2.1 0 1 i
AS2(config-router)#
Видим, что теперь AS 65001 не присутствует в AS-PATH, что и требовалось.
Удаление частных номеров автономных систем в протоколе BGP
Параметры загрузки
Содержание
Введение
В этом документе описано удаление частных номеров автономных систем в протоколе BGP.
Предварительные условия
Требования
Для этого документа нет особых требований.
Используемые компоненты
Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.
Условные обозначения
Подробные сведения об условных обозначениях см. в документе Условное обозначение технических терминов Cisco.
Удаление номеров
Частные номера автономных систем (AS) в диапазоне от 64512 до 65535 используются для экономии глобальных уникальных номеров автономных систем. Номера AS, уникальные в глобальном масштабе (1 – 64511), назначаются органом InterNIC 
. Эти частные номера AS не могут перераспределяться в глобальную таблицу протокола BGP, поскольку они не являются уникальными (алгоритм расчета оптимального пути BGP ожидает уникальные номера AS; дополнительную информацию о выборе путей BGP см. в разделе Алгоритм выбора лучшего пути BGP). По этой причине в Cisco IOS® Software release 10.3 (и выше) была добавлена новая функция, которая позволяет удалять частные номера AS из списка AS_PATH перед тем, как маршруты распространятся к узлу BGP.
В общем случае абонентские сети и их политики маршрутизации представляют собой расширение сетей соответствующих поставщиков услуг Интернета. Для управления крупной абонентской сетью и ее политиками маршрутизации поставщик услуг может назначить номер автономной системы, используя один из нескольких методов.
Первый способ – назначение постоянного номера автономной системы в диапазоне от 1 до 64511. Это делается в том случае, когда абонентская сеть соединяется с двумя различным поставщиками услуг Интернета, например при многоканальном подключении. В этой ситуации требуется, чтобы абонентская сеть имела номер AS, позволяющий уникальным образом распространять ее маршруты BGP в глобальную полносвязную структуру BGP через двух поставщиков услуг.
Второй способ – назначение частного номера автономной системы в диапазоне от 64512 до 65535. Это делается в том случае, когда абонентская сеть подключается к одному поставщику услуг Интернета (в одно- или многоканальной конфигурации) и требуется экономить используемые номера автономных систем. Не рекомендуется применять частный номер автономной системы, если вы планируете в будущем подключиться к нескольким поставщикам услуг Интернета.
При назначении частного номера автономной системы абонентской сети в списке AS_PATH обновлений протокола BGP, отправляемых из пользовательской сети в адрес поставщика услуг Интернета, будет содержаться частный номер автономной системы. Когда поставщик услуг Интернета распространяет информацию о своей сети в глобальную таблицу BGP, он не должен распространять в Интернет сообщение AS_PATH с номером частной автономной системы. Чтобы помочь поставщику услуг Интернета удалить частный номер автономной системы из своего списка AS_PATH, используйте команду Cisco IOS remove-private-as.
Для удаления частного номера AS используйте команду конфигурации маршрутизатора neighbor x.x.x.x remove-private-as.
Команда neighbor x.x.x.x remove-private-as действует на уровне отдельных соседних узлов и указывает протоколу BGP отбрасывать частные номера AS. Эту команду можно настроить для внешних соседних узлов BGP. Когда исходящее обновление содержит последовательность частных номеров AS, эта последовательность отбрасывается.
Действуют следующие условия.
Это решение можно использовать только с внешними сторонами BGP (eBGP).
Если обновление в сообщении AS_PATH содержит только частные номера автономных систем, то протокол BGP удаляет эти номера
Если сообщение AS_PATH содержит как частные, так и публичные номера автономных систем, то протокол BGP не удаляет частные номера автономных систем. Эта ситуация считается ошибкой конфигурации.
Если AS_PATH содержит номер автономной системы соседнего узла eBGP, то протокол BGP не удаляет частные номера автономных систем.
Если сообщение AS_PATH содержит конфедерации, то протокол BGP удаляет только частные номера автономных систем, следующие за разделом конфедерации AS_PATH.
Что такое AS, кому и зачем она нужна
Автономная система — равноправная часть интернета и её основа, из совокупности автономных систем состоит интернет в целом. Полное определение Autonomous System (AS) даёт RFC 1930. Номер AS может быть 16 или 32-битным (был введён в 2007 году в связи с исчерпанием номеров) и обычно записывается «AS12345» в случае 16-битного.
Нужна автономная система вместе с блоком собственных IP-адресов начинающему провайдеру или любой организации, имеющей крупную ИТ-инфраструктуру, которая желает обеспечить отказоустойчивость доступа к своим ресурсам из сети, а также самостоятельно определять политику маршрутизации. Когда есть собственная автономная система можно без перенастроек конечного оборудования пользователей изменять каналы связи, не зависеть от IP-адресов провайдера, менять приоритет одного канала над другими и многое другое.
Как определить номер AS
Для определения номера автономной системы можно воспользоваться бесплатным онлайн-инструментом https://www.tendence.ru/tools/whois. Для определения номера AS сайта введите имя сайта, для определения номера AS IP-адреса — сам IP. При пустом вводе будет отображена информация по вашему текущему IP вместе с номером автономной системы, к которой он принадлежит.
Введите доменное имя или IP-адрес:
Регистрация
Для получения собственной системы AS и блока IP-адресов необходимо обратиться в организацию, имеющую статус локальной интернет-регистратуры, LIR — Local Internet Registry. Эта организация уполномочена региональными регистратурами к обработке заявок на получение AS и блоков IP. Всего региональных регистратур 5:
Всего на начало 2012 года уполномоченных для регистрации в РФ локальных регистратур насчитывалось 1187, из них:
Размер регистратуры определяется количеством блоков IP, ею управляемыми. Теоретически любая из этих организаций может зарегистрировать для клиента автономную систему и IP-номера. Однако далеко не все делают это для любого желающего на коммерческой основе. Многие регистратуры были созданы компаниями для собственных нужд, когда это было экономически оправдано для владения и управления большим количеством блоков IP-адресов. Коммерческие услуги по регистрации для третьих лиц такие LIR не предлагают.
Для регистрации локальной регистратуре LIR необходимо предоставить следующую информацию:
Длительность регистрации, как правило, занимает 1-2 месяца и включает в себя следующие услуги:
После выделения региональной регистратурой этих ресурсов локальная регистратура сообщает их реквизиты заказчику. Теперь всё готово, выделенными объектами можно начинать пользоваться.
Настройка и поддержка
BGP (Border Gateway Protocol)
Наконец автономная система зарегистрирована, но пока другие участники интернета о ней ничего не знают. Для того, чтобы сообщить о себе другим автономным системам необходимо сконфигурировать роутер, который будет предоставлять (анонсировать) информацию об AS и блоке IP по протоколу BGP (Border Gateway Protocol). BGP представляет собой протокол маршрутизации, при помощи которого BGP-маршрутизатор держит в своей памяти карту маршрутов до всех остальных маршрутизаторов в сети и сообщает другим узлам интернета через какие маршруты достижимы управляемые им самим блоки IP-адресов.
BGP-роутером может быть Linux-сервер в пакетом Zebra или Quagga, однако для большей надёжности и производительности рекомендуется использование аппаратных решений на базе Cisco или Juniper. Рассмотрим настройку BGP-роутера в Cisco IOS (требуется соответствующая версия IOS с поддержкой BGP – не ниже Service Provider Services).
В простейшем случае настройка занимает всего несколько строк:
router bgp
network mask
neighbor
neighbor
Позаботьтесь о достаточном количестве оперативной памяти у BGP-роутера (не менее 1 Гб). При старте BGP-роутера объём используемой оперативной памяти может увеличиваться в несколько раз по сравнению с рабочим режимом. По состоянию на начало 2012 года полная карта сетей, а также маршрутов интернета (full view) занимает в ОЗУ маршрутизатора Cisco в рабочем виде более 100 Мб. Со временем карта имеет тенденцию постоянно увеличиваться вместе с ростом интернета, появлением новых автономных систем и сетей. Так, указанные 100 Мб содержат более 2 миллионов префиксов (подсетей, блоков IP-номеров) плюс 22 миллионов путей между ними.
rDNS (reverse DNS, обратный DNS)
Не забудьте также настроить обратную зону DNS для своего блока IP-адресов. Без настроенной зоны обратного (reverse DNS, rDNS) преобразования (IP-адрес → имя хоста) не будет нормально работать почтовый сервер. Почтовые серверы получатели проверяют rDNS IP-адреса сервера-отправителя письма с заявленным в заголовке сообщения и в случае их несовпадения, а уж тем более отсутствия rDNS записи вообще, отвергают сообщения от такого отправителя как спам. Также возможна длительная блокировка попыток соединений с такого некорректно настроенного почтового сервера.
Таким образом правильная настройка обратной зоны DNS крайне важна особенно для сервера корпоративной почты. Для этого достаточно сконфигурировать на своих DNS-серверах поддержку зоны вида 3.2.1.in-addr.arpa, а в RIPE зарегистрировать объект типа «domain», в полях nserver которого следует указать имена своих DNS-серверов. Обратите внимание, имя реверсной зоне даётся обратном порядке — для сети 1.2.3.0 имя rDNS-зоны будет 3.2.1.in-addr.arpa Проверить правильность настройки обратной зоны можно выполнив следующие запросы в командной строке (одинаково для Windows и Linux):
nslookup (запуск утилиты DNS-запросов)
set type=ptr (установка типа DNS-запроса PoinTeR, «указатель»)
1.2.3.4 (запрос имени для конкретного IP-адреса)
в ответ DNS-сервер выдаст присвоенное IP-адресу 1.2.3.4 имя, например,
4.3.2.1.in-addr.arpa name = corpmail.domain.ru
Такой ответ означает, что всё настроено верно.
Как получить собственную ASN и блок IPv4-адресов
Новые блоки IPv4-адресов в европейском регионе более не выделяются с ноября 2019 года. У регионального регистратора можно получить лишь блоки IPv6-адресов, использование которых пока широко не распространено. Получить свой номер AS и диапазон IP версии 4 организация может взяв в их аренду. Для запроса коммерческого предложения заполните форму ниже.
BGP Private and Public AS Range
Just like IP addresses, ASNs (Autonomous System Numbers) have to be unique on the Internet. The main reason for this is that BGP uses the AS number for its loop prevention mechanism. When BGP learns about a route that has its own AS number in its path then it will be discarded.
Above we have three routers, R1 and R3 are using the same AS number. Once R1 sends an update, R2 will accept it but R3 will not since the AS number is the same.
To prevent the above from happening, IANA is in control of the AS numbers (similar to public IP addresses). If you want an AS number for the Internet then you’ll have to request one. They started with 16-bit AS numbers (also called 2-octet AS numbers) that were assigned like this:
The 1-64.495 public AS range is pretty small so there are similar issues to the IPv4 public IP addresses, there aren’t enough numbers. Right now (May 2015) there are only 199 AS numbers left that could be assigned. You can see the current status of available AS numbers here.
To get more AS numbers, an extension has been created that supports 32-bit AS numbers (also called 4-octet AS numbers). This means we have about 4.294.967.296 AS numbers that we can use.
When you request an AS number you’ll have to justify why you need a public AS number. For some organizations, using a private AS number should also be a solution.
Private AS numbers can be used when you are connected to a single AS that uses a public AS number. Here’s an example:
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Как по IP узнать Autonomous system в командной строке Linux и как узнать все IP Автономной системы
Что такое Автономная Система — Autonomous System (AS)
Чтобы понимать, для чего нужно понятие «Автономные Системы», нужно иметь представление о маршрутизации данных в Интернете.
Структуру сети Интернет-провайдера или крупной организации можно упрощённо представить как совокупность локальных сетей, которые для обмена данными с Глобальной сетью (Интернет), подключены к маршрутизатору, соединённому с маршрутизаторами других Интернет-провайдеров и организаций. Кстати, группа маршрутизаторов одной компании фактически и является Автономной Системой.
Допустим, это понятно, но зачем им нужно было всем присваивать номера?
Если пакет предназначен для узла находящегося в Глобальной сети, то когда он доходит до маршрутизатора, то поскольку маршрутизатор может быть соединён сразу с несколькими другими маршрутизаторами других Автономных Систем, то возникает вопрос — куда именно отправить этот пакет? Допустим, от маршрутизатора A нужно передать пакет маршрутизатору B:
Как узнать, какому именно узлу отправить пакет? Как второй узел выберет следующий для отправки? Как поступить третьему узлу? Даже по моему простому рисунку видно, что есть длинные маршруты до одной и той же точки, а есть даже тупиковые.
На эти вопросы отвечают протоколы маршрутизации, например, Border Gateway Protocol. Именно благодаря им маршрутизатор «знает» самый лучший (не обязательно короткий — критериев оценки несколько) путь из точки A в точку B. И именно понятиями «Автономная Система» оперируют подобные протоколы. То есть, упрощённо говоря, подобные протоколы строят маршруты по узлам автономной системы, при этом учитывают, какие узлы подключены к данному маршрутизатору, какие к следующему и так далее.
Итак, Автономная Система (AS) это термин, обозначающий группу шлюзов (роутеров, маршрутизаторов), которые находятся в одном административном управлении, то есть принадлежат одной организации.
Такими организациями могут быть:
Номер Автономной Системы (ASN) — это числовой идентификатор для сетей, участвующих в Border Gateway Protocol (BGP). BGP — это протокол, в котором определяются маршруты для передачи пакетов по всему миру. Без BGP, Internet трафик не мог бы покинуть локальные сети.
ASN определяет группу блоков протокола Internet protocol для версий 4 или 6.
Зачем вообще пытаться определить ASN по IP?
При сборе информации с помощью ASN можно добыть некоторые дополнительные данные:
Как по IP узнать Autonomous system в командной строке Linux
1. Как узнать Автономною Систему с помощью команды dig
Используя такую конструкцию с командой dig (замените в ней 185.117.153.79 на интересующий IP), можно узнать номер Автономной Системы, диапазон, к которому принадлежит данный IP адрес, страну и дату выделения:
Именно такой способ (запрос DNS *.origin.asn.cymru.com) узнать AS используется в команде mtr (она рассматривалась в статью про трассировку узлов).
Её можно поместить в файл
/.bashrc. Тогда прямо в консоли можно будет использовать короткую запись вызова:
2. Получение AS из базы данных cymru.com
База данных cymru.com поддерживает запросы по протоколу whois (в команде замените 185.117.153.79 на интересующий IP адрес):
В предыдущей команде два тире подряд говорят команде, что последующий ввод не является её опциями. Это сделано для того, чтобы команда whois не обрабатывала -v как свою опцию.
3. Получение AS из базы данных whois.radb.net
А этот способ я подсмотрел в программе traceroute — когда ей нужно узнать номер Автономной Системы, то она обращается к базе данных whois.radb.net. Пример запроса:
Если нужен только номер AS, то можно запустить так:
4. С помощью API hackertarget.com
Сайт hackertarget.com содержит базу данных и предоставляет дружественные к командной строке API: https://api.hackertarget.com/aslookup/?q=185.117.153.79
Чтобы получить данные в командной строке:
5. Как узнать номер автономной системы с помощью WHOIS
По умолчанию запрос от команды whois адресуется базе данных whois.ripe.net. Она также для некоторых IP адресов показывает поле origin:
Ещё один вариант (вывод команды будет ограничен разделом route):
Пример вывода (комментарии удалены):
Как узнать информацию об Автономной Системе
1. Получение информации об Автономной Системе из базы данных whois.cymru.com:
2. Получение информации об Autonomous system из базы данных whois.radb.net:
База данных whois.radb.net содержит дополнительную техническую информацию об Автономной Системе:
В информации о некоторых автономных системах:
Содержаться ссылки на другие записи в базе данных
которые также можно посмотреть:
3. Автономные Системы в WHOIS
Обычная команда whois также умеет показывать информацию об AS по их номеру:
Как узнать все IP диапазоны Автономной Системы
По номеру AS можно узнать диапазоны IP адресов Интернет-провайдера, поисковой системы, хостера, любой другой организации, которой выделены IP.
1. Получение IP Автономной Системы из radb.net
Следующая команда выведет информацию о маршрутах данной AS:
Боле сжатая запись:
Фильтрация только нужных строк:
Но списки диапазонов, полученные таким образом, требуют дополнительного внимания, поскольку некоторые из них включают в себя другие диапазоны из этого же списка.
2. Диапазоны IP из базы данных hackertarget.com
Используя API hackertarget.com можно получить диапазоны IP организаций: https://api.hackertarget.com/aslookup/?q=AS48666
В том числе в командной строке:
Заключение
Обратите внимание, что показываемые диапазоны могут содержать одни и те же IP адреса. Для своего сервиса «Все IP провайдера» (там не только провайдеры — любые AS) я в начале использовал похожий метод получения диапазонов, но из-за этого недостатка написал свой собственный скрипт извлечения данных из базы данных. Поэтому на сервисе по ссылке получаемые диапазоны не должны содержать одинаковых IP.