互联网交换中心IX的实施策略(20031017《北京青年通信科技论坛论文集》).doc

互联网交换中心IX的实施策略胡捷 中国电信集团北京研究院技术部数据通信研究室 西城区西直门内大街118号 100035互联网运营商之间组建流量交换中心IX，可以加强自身在整个Internet中所起的作用，获得更大的利益，同时也解决自身网络与其他ISP网络的互通问题，降低自己的运营成本。另外，Tier 1级ISP还可以通过交换中心向其他小的、国家级（或地区级）ISP提供Transit业务。互联网交换中心的建设和运营已成为真正的商业活动。一 IX商业实施策略所有成员根据自己的网络规模和用户数量，可以划分两个等级，高等级用户之间可以签署“多边对等协议（MLPA，Multi-Lateral Peering Agreement）”，相互之间不进行结算。国际上也称“SKA模式”（Sender keep all），SKA模式应用在互联双方从对等中获得的利益相当的情况下最合适，而这种情况通常发生在相同等级的ISP之间，例如地区级ISP与地区级ISP之间、国家级ISP与国家级ISP之间。低等级用户与高等级用户之间可以各自签署“双边对等协议（BLPA，Bi-Lateral Peering Agreement）”，由于双方拥有的网络资源和用户数量不对称导致的流量不均等，可以通过双方协商采取相应的费用结算方式，即国际上统称的“双边协商结算模式”。通常采用流量作为计费依据，这也是目前在交换中心最客观公正、最易于实现的计费方式。ISP从对等中获得的利益一般与它接收到的流量成正比关系。因此，在双边结算中，通常是由流量接收方向发送方付费。二 IX技术实施策略1 网络结构建议采用传统的以太网交换机为核心，各个加入方设置路由器进行互连的方式。路由器与交换机的互连带宽采用GE。交换机只启用L2 MAC交换功能。通过L2交换机构成所有成员ASBR在Multi Access环境下的连接，每个成员ASBR通过ARP得知对方ASBR的IP与MAC地址的映射，实现L3 IP的连通性，进而构成eBGP的Full Mesh连接。建设初期不必采用独立的服务器作为路由仲裁。加入各方分别签署互连协议，包括多边对等和双边对等，并以此为依据进行互连各方的BGP策略设置。对等双方根据各自的用户、资源、出/入站流量等情况进行付费或免费Peering连接。每个成员只拿出一台路由器作为ASBR加入IX的L2交换网络即可，由于任意一台ASBR都和其他成员ASBR进行流量交换，因此不宜对某两个成员之间流量所占用的具体带宽进行设置或限制，对流量进行统计来作为双方之间业务量大小的衡量依据是目前比较切实可行的方案。如果双边协议确实规定了带宽限制，可以采用Prefix、AS-Path、BGP Community等属性与CAR相结合的方式实现，但是对双方ASBR的系统资源将占用过大。2 路由策略通常情况下，如果没有采用路由仲裁方式，IX不必具备独立的AS号码，无论是多边对等还是双边对等，各成员之间相互通告路由的方式又可分为两种：1）只通告自己的路由：成员ISP向对等方通告自身AS在InterNIC注册的全部地址范围。2）通告Transit客户的路由：除了向对等方通告自身地址，还将自己的下游客户地址进行通告，AS-Path长度大于等于2。具体的地址和路由通告范围，将更多地依靠IX各成员之间的相互协商而定，或者由IX成员章程规定，也可以在ISP签署加入IX协议时明确。IX每个成员的ASBR位于一个Multi Access 环境中，相互之间运行eBGP，通告各自的路由。如果今后IX采用了路由服务器，应具备独立的AS号码，在L2交换网络中与每个成员的ASBR进行eBGP 连接，路由服务器可以采用一台路由器来担当，也可以采用运行eBGP Daemon的SUN工作站。IX的各方成员采用Ripe-181或RPSL语言进行路由策略注册，路由服务器依据成员的策略可以对成员进行BGP路由输入输出策略设置。当然，每个成员的ASBR也可以进一步制定自己的BGP控制策略，主要方式仍然是采用Route-Map、NLRI Prefix或AS-Path进行入站、出站过滤。各个成员的ASBR还可以根据多边或单边对等协议的具体内容进行相关路由的本地优先、权重、MED等参数的设置。由于路由服务器和各个成员ASBR在一个Multi Access L2广播域中，所有ASBR选择路由的Next Hop是广播域中其他成员ASBR的接口地址，业务流量不需经由路由服务器。独立的路由服务器可以具备Internet Full Routing Table，通过对成员的ASBR进行相关路由的发送，可以决定成员是普通Peering连接还是通过RADB路由服务器进行Transit连接，也可以决定具体通过哪个成员的网络进行Transit连接。3 安全措施a) 不具备路由仲裁服务器情况下在国内，具备独立国际出口的大型ISP在国际出口需要实施安全控制策略，而其他国内中小运营商、专网、Tier 2 ISP及大客户都需要通过一个政府批准的、具备独立国际出口的上游ISP进行国际业务连通。由于IX直接与国外大型网络服务提供商直连，为避免安全方面的隐患，国内没有独立国际出口的用户将不能直接接入IX。只能借助上游ISP参与IX流量交换，提高这些用户对IX其他成员的访问速度，同时也可为上游ISP增加运营收入。国内大型ISP虽然获准接入IX，也必须符合国家有关部门的规定，采用相关的安全防范措施。b) 具备路由仲裁服务器情况下路由仲裁服务器将采用独立的AS号码，与IX成员各方分别建立“双边对等协议”，可以在路由仲裁服务器上设置相应的安全策略，对路由进行控制，此时，理论上国内没有独立国际出口的用户是可以以正式成员身份直接接入IX的。c) 路由安全策略由于在IX上可以通过技术手段实施欺诈性互连行为，如强送缺省路由、在没有签定双方共同认可的协议前提下利用它方提供Transit、隧道封装等，对等双方在建立连接之前需要进行协商，认真配置自己的路由策略，需要采用Route-Map、NLRI Prefix或AS-Path等方式进行路由通告限制或接收过滤来加以防范，同时应禁止在各成员内部通告IX局域网所在的地址网段，避免某个ISP利用隧道技术占用IX成员网内和网间带宽。4 IX过渡策略交换中心建设初期，由于规模小，流量不足，成员单位比较少，会对成员加入的积极性带来消极影响。很可能成员各方出于成本、流量、发展前景等各种因素的考虑，不愿提供一台专门的路由器设置在IX机房，此时需要采取一种折衷和过渡的策略，先期通过与其他成员之间的传送网通道构成连接，实现双方ASBR的远距离对等连接，后期再根据业务量发展逐步过渡到纯粹的交换中心组网模式。IX运营者提供一台专门的路由器作为IX Router，与其他所有IX成员通过光缆实现物理连接，基于双边对等协议，运行eBGP路由协议，并实施策略。此方式中，所有其他成员都与IX Router进行了点到点连接，成员相互之间没有直接相连的通道，IX Router起到星型网络的汇聚作用，为了体现交换中心的概念，IX Router需要负责为其他成员之间提供路由信息的相互通告和交换，进而实现流量过境和中转。建议采取的方式如下：IX的其他所有成员都只与IX Router进行eBGP连接，交换路由信息，由IX Router负责对每个具体连接实施路由策略，此时IX Router相当于路由仲裁服务器，此连接方式逻辑上相当于采用L3路由器而不是L2交换机为中心组建IX。此时IX Router的路由策略配置复杂，责任重大，对各方成员之间具有控制力，起到仲裁作用，可以很好地规范IX成员之间的连接，明确各方的利益和责任。 传统的路由仲裁方式，仲裁服务器只负