我的口语考试中被问到了一个问题:
You are accessing a website whose webserver is located in country A. You are in Country B. You know that the TCP/UDP Packets pass through Country C while travelling from Country B to Country A. How will you avoid your packets to travel via Country C, and rather select a different route ?
对此有何答案?
答案 0 :(得分:6)
拓扑看起来像这样(我已将网络服务器注释为Z,如下所示):
new fiber (in ASN 777)
+-------+
| |
Z----A---C---B
| | |
<INTERNET>
由于没有其他规则,国家A和B可以做的 smartest 事情是购买A和B 1 之间的直接光纤。国家B必须管理双方的路由器,并在BGP中从A的B路由器向B的B路由器宣布一条小路由(类似/24块).B应获得新的ASN for这个目的(我们称之为ASN 777)。
现在确保在国家B中需要连接到Z的所有用户通过eBGP 2 直接连接到与B的洲际路由器对等的ISP。国家A必须确保Z直接连接到一个ISP,该ISP更喜欢通过国家A 2 中的路由器到达B国的路由。
这可行的原因是因为eBGP根据ISP跳数 3 选择一条最短路径;所有变量都直接在国家B和国家A的控制下。
结束注释
即使这是跨洋纤维运行;最大的要求是,如果安全非常关键,它不会通过C的领土(甚至接近他们的盟友)。如果您通过任何第三方在国家之间传递流量(在另一个答案中包含代理建议),您实际上无法控制。还要明白暗光纤可能不会削减它...由于国家之间通常涉及的距离,管理光纤中继器将需要在线。
所有相关ISP必须拒绝通过任何其他ASN的Z和B路由,除非通过ASN 777.如果您是超偏执的(并且在行政上可行) ,将Z和Z的所有数据用户放入ASN 777。
从技术上讲,ISP跳数的测量值为Autonomous System Numbers,这是eBGP评估路由优先级的方式(交叉的ASN数量较少是更好的路由)。
答案 1 :(得分:0)
只是一个想法:使用代理?
国家/地区D中的代理,您知道从B到D的数据包未通过C,而D到{{}的数据包1}}也不会通过A。所以路线是:
C - &gt; B - &gt; [E] - &gt; D - &gt; [F],
其中A和E是您可以发送数据包的国家/地区。
只有我,或F看起来像C hina? : - )
答案 2 :(得分:0)
您可以使用简单的AS路径过滤器,以便您只知道不会遍历不受欢迎的AS的路径。