要約：2進数システムやBGPのニュアンスを伴わない、読むべきテキスト形式の「ネットワークのネットワーク」としてのインターネットデバイスに関する物語。 ストーリーの大部分は、ラップトップとアクセスポイント間の通信プロセスについてではなく、データが「デフォルトゲートウェイ」を通過した後に何が起こるかについてです。 私はあなたに警告します、多くの手紙があります。

エントリー

小さな挑発的なスロー：この記事の読者は誰もインターネットに接続していません。 すべてがプロバイダーのネットワークに接続され、それ以上は接続されません。 インターネット接続は高価であり、実行が困難です。非常にクールな機器、複数の通信事業者および有資格の従業員とのいくつかの契約が必要になります。 単純なホームユーザーにとっては、決して光りません。 インターネット上で接続できるのは40億を超えないことは言うまでもありません（最近まで「65536以下」さえありました）[1]。 インターネット全体がipv6に切り替えられても、この数は変わりません。



インターネットに接続している人の数は次のとおりです[2]。



y軸は個数です。 ピース、ピース。 そして、あなたはこの数に数えられませんでした。



なんで？



実際には、インターネットは文字通り「相互接続」です。 ネットワークのネットワーク。 また、インターネットの参加者はユーザー（コンピューター、タブレット、Wi-Fiを備えた電子レンジなど）ではなく、ネットワークです。 ネットワークおよびネットワークのみがインターネットの作業に参加します。 インターネットは、互いに異なるネットワークを接続するものです。



しかし、これらのネットワークの個々のノード-インターネットに接続されたネットワークを介して、すでに他のネットワークの他のノードと通信できます。



ただし、最初にまず。

ネットワークとは何ですか？

私は、コンピューターの最初の数十年の劇的で埃っぽい歴史全体を見逃します。 ある時点で、数千枚のパンチカードの穴とは異なる方法でコンピューターからコンピューターに情報を転送したいという要望が生じました。 標準にならなかった（そして一部は消滅しましたが）死んだプロトコルへの多大な苦痛と数十億ドルの投資の後、「ローカルネットワーク」（または「LAN」）の概念が生まれました。 ローカルネットワークを使用すると、近くにあるコンピューターがそのネットワーク上のアドレスで相互に通信できます。 「近く」の概念は非常に拡張性があり、複数の建物に拡張できます。また、多くの建物に負担がかかる場合は、いくつかの都市に拡張できます。



なぜ「ネットワーク」なのですか？



私たちは皆、これが「ネットワーク」と呼ばれるほとんどのコンピューターベースであるという事実に慣れています。 しかし、網は魚や他の細胞構造が捕まえられるものと呼ばれていることを今でも覚えています。







したがって、コンピュータではなく、ネットワークであれば、それはセルからのものでなければなりません。 同時に、私たちの日常の経験から、これはネットワークではなく、実際のコンピューターツリーであることが示唆されています。 リーフ（コンピューター、スマートフォン、タブレットなど）はブランチ（ルーター、スイッチ、アクセスポイント）に接続され、ブランチはルーター/スイッチなどに接続され、メインルーターが形成されるまで続きます。あなたのISPに。 または、完全にローカルネットワークの場合、ルーターはメインネットワークであるため、どこにも移動しません。



ネットワークはどこにありますか？



回答：この構成では、ネットワークはありません。 これはネットワークではありません。 つまり、それはまだコンピューターネットワークですが、非常にプライベートな「破壊された」バージョンです。 実際のコンピューターネットワークとは、ネットワーク内に複数のルーターがあり、それらが複数のリンクで相互に接続されていることを意味します。



以下は、中規模のLANの図です。 円形オブジェクト-ルーター、正方形-スイッチ（ソースポイントとターゲットポイントを除く）。すべてのスイッチが削除されて簡略化されています。 緑は優先パスを示し、赤は道路を示します。







もうネットワークのようですか？



インターネットの主なアイデアは、冗長接続にあります。 アメリカ軍（ARPANET）によって簡単な目標で作成されました-この回路の中間ノードのいずれかが損傷した場合（戦争で、溝を掘り、ケーブルを壊した場合）、接続を維持する必要があります。



実際、私は少しずるいです。多くのローカルネットワーク（IP）ではなく、他のプロトコル（ATM、IPX / SPX）上に構築されました。



しかし、我々は勝者について話している-IPプロトコル（インターネットプロトコルの略）。IPプロトコル、特にインターネットに基づいて構築されたネットワークは、ホップバイホップの原理で機能します。

ホップバイホップ

「中央インターネットルーター」の存在を除外するために、受信したパケットの送信先を決定する各ルーターは、この決定を独自に行います。 そして、彼らの隣人（直接接続された）内でのみ。 この原則は「ホップバイホップ」と呼ばれます。 このアプローチの代替手段は、パケットの送信方法を指示する中央調整ノード、またはパケット自体のルートの表示のいずれかです。



中央調整ノードのアイデアは、1つの単純な問題に遭遇します。ルーターとの通信に使用されるルートが破損した場合に、新しいルートに関する情報をルーターに伝達する方法です。 おっと...



「事前に設定されたルート」のアイデアはUUCP（通常の電子メールの前身）で使用されましたが、戦争条件（同時に：地震、津波、原子力発電所での事故）で、送信者がどのノードが動作しているか、動作していないかを軽度に認識していることを望みます、素朴に。



したがって、ホップバイホップの原則は、特定のセクションのルートに対するすべての責任を、このセクションを担当するルーターに転送します（この言葉では、バナリティーのように聞こえます）。



ルーターは通常、近隣のどれが生きており、どれが生きていないかをかなりよく伝えることができます。 さらに、彼は隣人の隣人と通信し、彼らが生きているリンクとそうでないリンクに関する情報を見つけることができます。



2番目（近隣との通信）は「ルーティングプロトコル」と呼ばれます。 ルーターが近隣と通信する方法と、この通信がルーティングテーブルにどのように影響するかについて説明します。 プロトコル自体には、「ネットワーク内」での作業用とネットワーク間の作業用の2つのタイプがあります。



ルーティングテーブルは、ルーターの神聖なものです。 その構造は単純です。すべてのネットワークトラフィックは、ネットワークインターフェイスなどを介してアドレスに転送され、さらに各ルートの優先順位も転送されます。 経路がより正確であるほど、それはより望ましいものであり、他の条件が同じであれば、この経路の優先順位が使用されます。 最後の（最悪の）ルートは、「祖父の村へ」、つまり「すべての交通」と呼ばれます。 これは、いわゆる「デフォルトゲートウェイ」です。 これは、これ以上正確なルートがなく、最も興味深いことに、通常のコンピューター（電話、タブレット、掃除機、カムコーダー、wifi付きのつまようじなど）が非常に頻繁にのみ使用される場合にのみ使用されます-デフォルトのルート、 つまり、良いものはありません彼らの人生ではない 。



しかし、それは格言でした。 物語は先を行くでしょう。

そして、アップリンクとは何ですか？

アップリンクは、インターネットへのアクセスを取得するアップリンクです。



すでに説明したように、実際のインターネットはネットワークを接続します。 このようなネットワークは「自律システム」と呼ばれ、誰にも依存していないため、そう呼ばれています-それは自分自身です。 自律システムは相互に接続し（方法について説明します）、トラフィックを近隣に転送し、さらにトラフィックをある近隣から別の近隣に転送します。



これは、ネイバーからトラフィックを受信して​​ネイバーに送信する自律システムの個人的な権利であることを理解することが重要です。 彼らが欲しい-彼らはそれを送信します。 彼らはそれを望みます-彼らはそれを送信しないか、最も近い隣人にではなく、3番目、3番目、5番目、5番目にトラフィックをオーストラリアに送り返します。 オペレーター間契約 （または、2つのアップリンク用の小規模ながら誇り高い自律システムがある場合は、より単純な契約）によって決定されるトラフィックを誰に誰に送信するか。



したがって、実際のインターネットは、自律システムとそれらの間の接続で構成されています。



中国と、たとえばモスクワの自律システムとの関係は数千キロメートルであると誰かが想像した。 いやいや 自律システム間のリンクのサイズ（物理的）は通常非常に小さく、時には数十センチメートル、時には数メートル、極端な場合は数十メートルです。



なんで？ なぜなら、それらの間のリンクが10,000キロメートルであり、ポールに掛けられていたとしても、誰がこれらのポールの世話をし、それらに水をやり、サポートし、ワイヤーに結び付けるのでしょうか？ そのため、ほとんどの場合、これらの数千キロおよび数千キロすべての光学系（銅はそのような距離で死亡しました）は自律システムです。 これは「バックボーン演算子」と呼ばれるまったく別の世界であることに注意してください。 彼らのビジネスは、ある地点からトラフィックを取り、数千キロメートルの寒さ、トラクター、熊を介して別の地点に輸送するという事実に正確にあります。



しかし、自律システム（それらは「ジョイント」と呼ばれます）間の接続は、通常、居心地の良い、寒く、乾燥した、慎重に守られた部屋にあります。 サーバーの場合もあります（たとえば、Selectelにはサーバールームにいわゆる「オペレーターラック」があります-そこにいるオペレーターが快適な状態でお互いにドッキングできるようにするため）、または、特殊なノード、次に個別の部屋が使用されます（多くの場合、準備が整ったルートが集中しているために自然に形成されます）-Internet Exchange（IX）。 MSK-IXは「モスクワ-9」ではなく、「モスクワインターネットエクスチェンジ」です）。 オペレーター（有線またはリース付き）およびスイッチ（全体、またはVLAN /ポートのリースによる小さな断片）がそこに来ます。 そして、勤勉なスパイダーがWorld Wide Webを編み始め、エンジニアは数千のクロスオーバー（1つのスイッチを別のスイッチにワイヤで接続）に従事し始めます。 これらの交差点では、インターネット全体が開催されます。



これらすべての人々はどうやってお互いに仲良くなるのでしょうか？ そして最も重要なことは、これらの協定がどのように主な財産を保存するのか-死（隣人とのリンクの死を含む）を生き残るために？

BGP

主なインターネットプロトコル（トラフィックではなく重要度による）は、BGP（境界ゲートウェイプロトコル）です。 このプロトコルは、自律システムの接合部、つまりネットワークの外部にあるプロバイダー/オペレーターのルーター間の通信に使用されます。



インターネットの作業に参加している各自律システムは、受け入れるルートとアップリンクを通知します。 しかし、多くの自律システムがあります。 数千人！ すべての発表の完全なリストはフルビューと呼ばれ、惑星地球上のインターネット全体の存在を説明します（私が知る限り、惑星の外側には自律システムはなく、地上ルーターを介してトラフィックをルーティングする個々のノードのみがあります）。 フルビューは非常に大きい（ipv4の400,000エントリ未満、ハードウェアとソフトウェアに応じて200MBから2GBのサイズ）。



フルビュールーターにはデフォルトゲートウェイが必要ないことに注意してください。その前にはインターネット全体のマップがあります。



オペレータ自身がアナウンスする必要のあるプレフィックス（あるサイズまたは別のサイズのネットワークのフラグメント）を決定するため、誰を介してトラフィックを受信するかを指定できます。 たとえば、「良いと高価」と「安い」のどちらかを選択すると、オペレーターは安い方を好むかもしれません。 そして、予備として残すために「高価」。



さらに、「オペレータがトラフィックを受信する場所」と「トラフィックを送信する場所」が等しくないことが非常に重要です。 これらは、いわゆる非対称ルートです。 それらの外観は、経済政策と貪欲の結果です。



控えめな非対称ルートの例を次に示します（マップの断片は、サイト[3]、彼自身の発明のルートから取られました）。 キエフに座って、ビリニュスのサーバーから猫の写真を要求することにしたと仮定します。 プロバイダのルーターは、ビリニュスに最も近いリンクがワルシャワ経由であることを知っています（緑色の矢印）。 ビリニュスのサーバーがガサガサ音を立てて、猫を見つけて私たちに送りました。 しかし、ビリニュスのネットワークオペレーターは、ワルシャワへのケーブルトラフィックのために多くのお金がそこから遮断されることを知っています。 しかし、彼は政治的な理由でモスクワに交通を送りません。 そして、彼は別のオペレーターを通してそれを送ります。 リガで。 誰が再び彼をストックホルムに送ったか、彼はさらに送って、トラフィックは再び転送されます...そして、写真がキエフの退屈した愛好家にうまで。





ネットワークを発表することで、オペレーターは奇跡（または恐怖）を実行できることに注意してください。 オペレーターは、複数のアップリンクを介してネットワークをアナウンスできます-この場合、トラフィックはすべてを介してネットワークに到達し、さらに、何らかの方法でアップリンクを選択すると、最も便利な方法（設定に応じてより近いかより安価）を通過します。 ちなみに、これはほとんどのCDN（コンテンツ配信ネットワーク）の基礎です-オペレーターは世界中のサーバーのヒープに配信されたコンテンツのコピーを保存し、ローカルオペレーターと多くのジョイントを持ち、その（同じ）アドレスをどこでもアナウンスします。 ユーザーは各地域で（ルートに沿って）自分に最も近いサーバーでリクエストを受信し、そこから、惑星の周りを尋ねるよりもはるかに高速であると答えます。



また、たとえば、オペレーターは住所の一部を発表しない場合があります。 この場合、トラフィックは最初のルーターで停止し、これ以上の方法はないことがわかりました。



ここに、最近のネットワーク機器の短期作業中に得られた出力の例を示します。 ルーターとそのアップリンク間のBGPセッションの完了に関する情報がインターネット上で分岐するにつれて、トラフィックはルーターにさらに送信され、これまでトラフィックの送信先がわかっていたと考えられていました。 その結果、255個の希望（つまり、255個のルーター間の送信）の後、パケットは古い時代に死に、宛先に到達することはありませんでした。

 PING selectel.ru（188.93.16.26）56（84）バイトのデータ。
 ae0-0.par-gar-score-2-re1.interoute.net（212.23.42.26）からicmp_seq = 51存続可能時間を超過
 ae-3-80.edge5.Frankfurt1.Level3.net（4.69.154.137）からicmp_seq = 54存続可能時間を超過
 xe-0-2-1.par72.ip4.tinet.net（89.149.181.138）からicmp_seq = 68存続可能時間を超過
 94.79.28.33からicmp_seq = 72存続可能時間を超過
 so-0-0-0.IL2.NYC12.ALTER.NET（146.188.15.254）からicmp_seq = 92存続可能時間を超過
 188.93.16.26から64バイト：icmp_seq = 326 ttl = 58 time = 0.732 ms

アップリンクアップリンク：ティア1

アップリンクにアップリンクがある場合、無限の数のアップリンクがあるか、リングで閉じられているか、アップリンクがないアップリンクがあるという単純な論理的推論で簡単に理解できます。



そして、そのようなものがあります。 これらはティア1と呼ばれます。 他の皆との違いは、彼らがアップリンクを持っていないということではありません（結局、私たちはネットワークを持っています。正式な意味では、トップ/ボトムはありません）。 数百ギガビット/秒（テラビット？）のトラフィックを受信し、同じ量を送信する会社を想像してください。これはすべて無料です。 無料のインターネットを利用するには、最寄りのマクドナルド/スターバックスの近くに行き、Wi-Fiを見つける必要があります...残念ながら、Tier 1はこれを行いません。 ティア1になるには、もう1つの条件が必要です。それは、インターネットの料金が支払われるということです。 したがって、彼らは誰にも支払わないが、接続に対しては支払われる。



これは、これらのオペレーターの非常に良好な接続性（ジョイントの数）によるものです。 明らかに、この場所はとても居心地が良く、魅惑的であるため、多くの人がそこに印を付けています。 ティア1がお互いの「友」である方法の詳細は、nag.ru [4]に詳しく記載されています。

ごちそう、ピアリング、そしてピュロスの勝利

判明したように、Tier 1はすべてからお金を受け取り、誰にも寄付しません。 トラフィックの多いオペレーターが2人いる場合（たとえば、これは子猫に関する数百万のビデオと子猫を見たいと願う数百万人の新しいmegatelecomを含む別のYouTubeキラーです）、理想的な（ティア1オペレーターの観点から）画像は次のようになります：ティア1およびトラフィックの支払い。 発信用のYouTubeキラー、着信用の子猫受信者。 ティア1は満足しており、YouTubeキラーは子猫の収益化に適したモデルを見つけることができず、メガテレコムは予算からの補助金を求めています。



解決策？ ケーブルを快適なスイッチングルームにドラッグ/レンタルし、ローカルエクスチェンジをセットアップします。 YouTubeからMega Telecomへ。 結論：ギガバイトの子猫は直接移動し、コストが削減されます。 Tier 1はあまり満足していませんが、彼の仕事は子猫を運転することではなく、「最もクールな結束」をすることです。



このような接続は、ピアリング（ピアから）と呼ばれます。 その主な条件は、ピアリング参加者がお互いに支払うわけではなく、支払うのではなく、ポート/物理リンクの一部をレンタルするためのばかげた金額です。



かつて、お気に入りのピアツーピアの方向は「コンテンツジェネレーター」と「インターネットプロバイダー」でした。 しかし、それは始まった...ナップスター、シャレア、エドンキー、DC、そして著作権ファンファーレのトランペットの声の下で...急流。 突然、「ユーザー間」のトラフィック量は、コンテンツプロバイダーと消費者間のトラフィックの数倍になりました。 YouTubeとそのクローンが簡単に競合できる場合、「多くの文字、写真が少ない」サイト（たとえば、Habrahabr）は、明らかにすべてのFuturamaとSimpsonsを1パックでダウンロードし、それを返すユーザーに追いつくことができません。レート2。



そのため、プロバイダー間のジョイントは特に人気があります。 多くのプロバイダーがネットワーク内でNATおよびグレーアドレスを作成し、ピアリングがグレーアドレスに到達し、プロバイダーがインターネットのみに関税を課し、LANとのピアリングが中速で行われたという事実によります。



その結果、オペレーターはテラバイト規模の巨大なトラフィックの手中にありました。



したがって、ピアリングは両方のオペレーターにとって有益です。 どちらも、ジョイントのポートと、このジョイントの何らかのサービスのみを支払います。 両方とも節約...ビジネスが節約できれば、それは良いことです。 ビジネスの競争相手が節約するとき、それは悪いです。 そのため、大きな企業ポリシーが作用します。



10 Gb / sのトラフィックを持つプロバイダーAと1 Gb / sのトラフィックを持つプロバイダーBがあり、それらの間のピアリングのおおよその量が500 MB / sである場合、...



...また、ほとんどの場合、高速道路は95％のパーセンタイルで車線にお金をかけており、そのために発信または着信がありました。



したがって、AとBの間にピアリングがある場合、Aはピアリングのトラフィックの5％を節約し、Bは50％を節約します。 明らかに、AとBが競合相手である場合、ピアAを拒否してもほとんど何も失われませんが、BはAにトラフィックをもたらすために大量のアップリンクを支払います。



さらに悪いことに、A、B、Bの3つの演算子がある場合、AとBは大きく、それらの間に10 Gb / sのジャンクションがあり、ほとんど詰まっています。 Bは小さく、500 Mb / sしかありません。 AとBはごちそうですが、Bは許可されていません。 Bはアップリンクに行き、苦労して稼いだお金を支払います。 AとBへのトラフィックの場合。そして、ほとんどのユーザーはAとBを持っているので、ほとんどのユーザーはトラフィックAまたはBの送受信を望んでいます。アライアンスAとBの場合、すべてが正常です-トラフィックの大部分はローカルで、競合他社は行きます薄手のパン粉。 Bの場合、これはほとんどのトラフィックが有料で高価であることを意味します。



したがって、2人の大きな友人、およびBはすべて悪い（高価）です。 そして、いくつかの大規模な事業者が集まり、「ビジネス」を設立することを決定することが起こります。 組織犯罪グループが判明しました。 あらゆる組織犯罪グループのように、それは屋根のある人々を「搾り出し」、抵抗する人々を押しつぶし始めます。 まあ、あなたは理解している、誰もが食べたいです。



...ああ、組織犯罪グループは非常に無邪気に統合されています-ユナイテッドピアグループです。 これについてもう少し詳しくは、Kipchatovのブログ[5]をご覧ください。



悲しいかな、ピアリングをめぐる戦争が存在し、今後も存在します。 メッシュネットワークはユーザーには適していますが、インターネットでお金を稼ぐ人には適していません。



ピアリングは非常に人気のあるサービスであるため、ピアリングの提供のみでビジネスを構築する企業全体が存在します。 この場合、いくつかの方法があります。

• 直接切り替え オペレーターAはオペレーターBに物理的に突き刺さります
• ピアツーピアスイッチを介した通信。 この方法の利点は、1つのポートを持ち、同じスイッチに存在する複数のオペレーターと通信できることです。
• ルーティングサーバー これは最も繊細でエレガントな動きです。各ピアリングオペレーターは、ピアオペレーターのルーターサーバーとの接続を確立し、ピアリング接続されたすべてのオペレーターによってアナウンスされたすべてのルートを受信します。 同時に、外部のオブザーバーの場合、自律的なピアツーピアオペレーターシステムはルートに表示されません。 この場合、ピアツーピアオペレーターは通常、トラフィックにお金をかけますが、アップリンクとして機能する「実際の」プロバイダーよりも少なくなります。

インターネット上のブラックホール

その原始性により、DoS攻撃（通常はDDoSを追加するのが好きですが、分散は個別の会話です）は実装が非常に簡単です。 Cには数十行、シェルには1行があります。そして今、次のコンピューターは無意味なトラフィックでインターネット全体を台無しにしようとして、激しくプッシュしています。 そのようなコンピュータを複数収集すると、ギガバイト、数十ギガバイト、数百ギガバイトのジャンクストリームを取得できます。



このすべてのゴミが1つのアドレスに送信される場合、問題はあります。 着信チャネルが「天井」に詰まっており、良心的なユーザーは単にリクエストを送信できません。



問題は、特定のサーバーのチャネルだけでなく、オペレーターの着信チャネルも詰まる可能性があることです（はい、これが起こります）。 オペレーター間のチャネルへの支払い方法（95％パーセンタイル）を考慮すると、長期間にわたる大量のガベージトラフィックの流れは明らかに非生産的なコストです。



最も単純な家庭用ソリューションは、ソースを最も近いルーターまたはスイッチにドロップで登録することです。 しかし、第一に、着信チャネルはまだ混雑していることがわかります。第二に、代金を支払わなければなりません。第三に、「誰を禁止するか」という問題に直面しています。 すべてのトラフィックが1つまたは2つのアドレスから来る場合、タスクは簡単です。 しかし、偽の送信者アドレスで洪水を起こすのは簡単というよりも簡単です。 したがって、非常に緊急の状況では、受信者のアドレスをブロックし（はい、彼らは隣人を救うために「自発的に死ぬ」）、このタスクをBGPのブラックホールに転送します。 通常の設定では、見知らぬ人ではなく独自のアドレスを追加する必要がありますが、同意または不注意によりアップリンクで他の人のアドレスをアナウンスできる場合は、これも実行できます。



ブラックホールBGPの技術的な部分についての話は、ハブにあります[6]。



どのように見えますか？ 特別なコミュニティがブラックホールに割り当てられ（相対的に言えば、別の特別な小さなフルビュー）、プロバイダーは/ 32プレフィックス（ipv4用）でアドレスをアナウンスできます。 彼らは彼にロマンチックな番号666を与えました。境界ルーターはBGPを介してこの情報を交換します。そのため、ブラックホールは忍び寄って、これらのアナウンスが見る（およびサポートする）すべてのルーターで禁止アドレス宛のすべてのトラフィックをゆっくり吸収します。 その結果、「犠牲者」へのトラフィックは、アップリンク、アップリンク、アップリンクなどで、攻撃元に最も近い「理解している」ルーターへとドロップし始めます。 それらは貧弱なトラフィックであり、ドロップするので、インターネット攻撃は気付かないでしょう。 ただし、ルーターは「良い」または「悪い」トラフィックを見つけることができないため、アドレスはインターネットからアクセスできません。

参照資料

• [1]最近まで、AS（自律システム）番号は16ビットでしたが、その後32ビットに置き換えられました。
• [2] www.potaroo.net/tools/asn32の図
• [3]インターネットの地図： www.telegeography.com/telecom-maps/global-internet-map
• [4]ティア1の戦争について： nag.ru/articles/article/19954/depir-vo-imya-status-kvo-cdn-platejey-comcast-protiv-level3.html
• [5]大小のピアリングの問題： www.kipchatov.ru/blog/?p=376およびwww.kipchatov.ru/blog/?p=780
• [6] tsiskaにブラックホールを設定することに関するストーリー： habrahabr.ru/post/91574

情報を提供し、記事の不正確さを指摘してくれた同僚に感謝します。また、Tirexの図面についてはborisbladeに感謝します。