現今的網絡中存在大概30k個as(自治域系統),這裏所說的3k是不包括那些private as number的,所以實際存在的as遠大於此。
因爲當今並沒有一個組織或機構去管理Internet,每一個ISP都有它自己的policy,所以比較混亂。
現今的ISP主要有兩種互聯的方式:
1. transit
2. peering
transit
一個下層的ISP向它的upstream(上層)ISP 購買鏈路。此時,下層ISP就可以通過上層ISP到達上層ISP所連接的目標地址網絡。
Peering
ISP之間建立peering連接,對等連接。此時,兩個ISP只是交換他們各自的網絡以及客戶。比如,A和B以peering方式對等互聯,A不可以訪問與B相連的ISP連接的網絡目的地址。
理論上,以這樣的方式連接的ISP的結構會非常清晰。但實際上,因爲ISP對於業務需求的不同,不同級別的ISP也會建立transit或者peering的連接關係。
所以,當前ISP的構架是錯綜複雜的。
有一個組織叫做CAIDA,它有一個skitter模型,(附件一)
在這個模型中有很多衡量ISP規模的標準,其中一個叫做Degree,這個標準單一as,以eBGP關係直連的asn數量爲標準。附件二爲06年排出的排名前十位的asn。
其實衡量的標準很多,排名也就有不同,就像這裏派第一的UUnet,他自己擁有3個asn,(701-703)這裏只是701一個as。
從另一個角度來看,ISP傳統的連接方式有兩種:
1. Public
通過共享的二層網絡連接。如:交換以太網,ATM,MPLS等
2.Private
點對點連接,而以後ISP連接的發展方向就是點對點連接,這樣比較容易管理。
關於安全性
ISP的發展經歷了盲目相信到普遍不相信的過渡(implicit trustàpervasive distrust)。現在的ISP每天都要面對大量的DOS(denial of service)***,ISP之間是競爭關係,但從安全的角度,他們又不得不聯起手來。這種矛盾也促進了ISP的發展。
ISP需要保護自己,保護自己的客戶,保護自己的上層ISP。所以每一個ISP都會有一個安全運維部門,這個部門需要和其他的ISP合作,和廠商合作(比如cisco),和一些組織合作(比如FIRST事件響應與安全組織)。另外,還要有一些安全功能。
比較常見的安全功能有以下5種:
1. IP option selective drop
對於IP option 數據包的處理,包括drop和ignore,目前cisco只有12000系列才支持ignore的功能。
2. Peering policy enforcement using vrf list
加強ISP之間政策的管理,防止鏈路被侵犯,自己的鏈路跑別人的流量。
3. peering Interconnect link protection
對於鏈路的保護,可以用routing/FIB解決,也可以用一些ACL。
4. distinguishing traffic at peering interconnects
區分對等互聯的ISP之間的流量。
5. GTSM
利用TTL(time to live)對網絡,對協議進行保護。
還有一些關於ISP的內容在一個好友的blog中有更詳細的敘述,鏈接如下:
[url]http://steven24.blog.51cto.com/346765/71347[/url] Internet 結構簡析