当前,信息技术飞速发展,互联网在全球教育和科研领域中的作用日益凸显。特别对于高等教育机构而言,接入互联网不仅可以促进知识传播和学术交流,更可以提升其教学、科研能力和国际影响力。在这一背景下,边界网关协议(BGP)作为互联网最重要的路由协议之一,对于高校和科研单位管理及优化网络路由、保障网络稳定性和安全性、提高网络性能具有重要意义,为科研合作和学术交流提供了有力支撑。
本文介绍了国外国内高校和科研单位使用BGP接入互联网的情况,并探讨了BGP如何帮助高校等教育科研机构在技术上、安全上和科研上获得收益,希望为促进高校和科研单位网络基础设施的发展与革新提供参考。
国内外高校使用BGP的情况
当前国内外知名院校及科研单位多拥有自己的自治系统号码(ASN),这允许其使用BGP来管理自己的网络路由,更有效地控制网络流量,实现更优化的路径选择和网络性能。并且,这些机构大多连接至区域性的研究和教育网络(R&E网络),如美国的Internet2、欧洲的GéANT、中国的CERNET等。这些研究和教育网络通过BGP来交换路由信息,并为参与的机构提供高性能的网络服务。
美国Internet2网络情况
Internet2
Internet2是由美国教育、研究、政府和商业机构共同创建的高级研究和教育网络,专注于开发和部署下一代网络技术及应用,推动教育和科研领域的网络创新。为了确保网络的高效和稳定运行,Internet2还对其接入的高等教育机构发布的BGP路由策略进行监控,尤其关注其中的缺失及不一致情况。
Internet2的主干网络ASN号为11537。在CERNET全球路由中,监测到包含AS11537的IPv4路由535条,IPv6路由687条。其中,IPv4路由的始发AS共有130个,包括55所大学、1个学院及2所研究机构,共计58个,占比约44.6%。对于IPv6路由,始发AS共有395个,包括162个大学、17个学院和19所研究机构,总计198个,占比约50.1%。
Internet2的BGP用户中包括了部分世界知名的高校,如哈佛大学(Harvard University)、麻省理工学院(Massachusetts Institute of Technology)、芝加哥大学(University of Chicago)、哥伦比亚大学(Columbia University)、耶鲁大学(Yale University)、普林斯顿大学(Princeton University)、宾夕法尼亚大学(University of Pennsylvania)、康奈尔大学(Cornell University)等。
欧洲GéANT网络情况
GéANT
是欧洲研究和教育网络,为欧洲的研究和教育机构提供高速网络连接。其连接了各个国家学术网络的骨干网络,为科学研究和教育活动提供支撑,尤其是需要高容量和跨国合作的项目。
GéANT的主干网络ASN号为20965。在CERNET全球路由中,AS-Path(AS路径)中含AS20965的IPv4路由始发AS共有636个,包含153所大学、44个学院、9所研究机构,共计206个,占比约32.4%。对于IPv6路由,始发AS共有275个,包括54所大学、15个学院和2所研究机构,总计71个,占比约25.8%。
这些BGP用户中包括一些世界知名的高校,如雅典国立技术大学(National Technical University o fAthens)、斯图加特大学(Universitaet Stuttgart)、慕尼黑工业大学(Technical University of Munich)、华沙大学(University of Warsaw)、阿卜杜勒阿齐兹国王科技城(King Abdul Aziz City for Scienceand Technology)、卡尔斯鲁厄理工学院(Karlsruhe Institute of Technology)、亚琛工业大学(RWTH Aachen University)、伦敦大学玛丽皇后及威斯特菲尔德学院(Queen Mary and Westfield College, University of London)等。
中国高校及科研单位BGP接入情况
当前,中国已有部分高校/科研单位通过BGP接入到互联网中,尤其在港澳台地区,覆盖了广泛的教育和研究领域。
经统计,使用BGP接入互联网的港澳台地区高校有香港大学、香港理工大学、香港中文大学、岭南大学、珠海高校联盟、香港科技大学、香港城市大学、香港恒生大学、香港都会大学、香港浸会大学、香港演艺学院、澳门大学、澳门科技大学、台湾国立清华大学、台湾大学、台湾交通大学、台湾交通大学、台湾成功大学、台湾中兴大学、台湾中山大学、台湾师范大学、台湾科技大学、台湾中正大学、台湾辅仁大学等。
使用BGP接入互联网的科研单位有中国国家图书馆、CARSI(CERNET联邦认证与资源共享基础设施)、CNIC-CAS(中国科学院计算机网络信息中心)、中国科学院大气物理研究所、山东省教育厅、中国电信研究院、诺华生物医药研究院、中国信息通信研究院、上海市教委信息中心(IPv6)、香港学术网(HARNET)、台湾工业技术研究院、台湾健康研究院、台湾中央研究院、台湾学术网络(TANet)、台湾工业技术研究院(IPv6)等。
使用BGP接入CERNET的高校有十多个,如清华大学、北京大学、中国社会科学院大学、中国石油大学(华东)、上海纽约大学、昆山杜克大学等。
高校使用BGP接入互联网的好处
以下分别从技术、安全以及科研三个方面对高校和科研单位如何通过BGP实践提升自身网络接入能力及教育和科研实力进行说明。
路由技术方面
1. 更稳定的网络连接性
当前各高校校园网多为多出口,分别连接至教育网或各运营商,BGP协议可增加该场景下网络的稳定性和容错能力。作为一种动态协议,BGP协议可定期更新路由信息,快速响应网络变化。当某节点或线路发生故障时,通过快速重新计算路由,可自动将流量转移到其他可用线路或出口上。
此外,在高校多出口带宽资源有限的条件下,可在运营商出口使用“GRE隧道+BGP”(通用路由封装隧道+边界网关协议)等方式,为用户开通多条接入教育网的虚链路[1],增加用户接入教育网的容灾备份能力。结合BFD(Bidirectional Forwarding Detection,双向转发检测),可保证故障时出口链路的快速切换[2]。BGP协议本身也具有冗余备份、消除环路的特点,进一步增强了网络的稳定性。
2. 更灵活的路由管理策略
BGP提供了基于网络策略和实时数据的动态路由选择。BGP协议包含Local Preference(本地优先级)、AS路径长度、MED(多出口鉴别符)、Community(团体属性)等多种路由选择属性,网络管理员可基于带宽、延迟、成本或政策限制等原则进行配置,实现定制化的路由策略。如,通过协商发送给教育网的Community属性控制高校前缀地址在教育主干网中的路由策略,通过不同的AS路径预置(AS Path Prepending)实现入流量在教育网和运营商之间的调整,通过MED属性实现入流量在不同接入设备之间的调整,通过设置不同路由的本地优先级属性实现不同出口之间的流量调整等。
BGP允许高校自身实现对路由和流量的精细控制。高校可使用前缀列表、路由映射和AS路径过滤来对从教育网接收到的BGP路由进行管理;通过Network(宣告)和Import(引入)等不同颗粒度方式引入路由,通过设置宣告路由的BGP属性、控制路由粒度等实现对自身路由的精细化管理和控制。结合BGP提供的灵活路由策略最终实现对自身路由和流量的独立管控。
3. BGP协议本身的优势
与静态路由或其他路由协议相比,BGP通过状态会话机制以及定时心跳包确保了对等体连接的稳定性。同时,BGP能够处理大量的路由信息,协议本身具备较强的可扩展性(如MD5认证、GTSM策略、限制从对等体接收的路由数量、AS-Path长度保护、Flowspec等)。另外,BGP提供了路由聚合和路由衰减功能用于防止路由振荡,有效提高了网络的稳定性。
安全技术方面
1.便于控制网络流量路径
通过配置BGP策略,可以基于安全策略和信任级别为网络流量选择不同的路径,避免流量经过特定的国家或网络节点,降低数据被非法截取或滥用的风险。例如,欧盟的GDPR(通用数据保护条例)对数据跨境传输有严格规定,而BGP策略可以帮助控制数据流经的地理位置和网络路径,确保遵守相关法规。
2.便于进行路由验证和管理
BGP通过路由验证、AS(自治系统)路径过滤等手段,可有效减少路由泄露和路由劫持。使用如rPKI(资源公钥基础设施)等技术,可以提高BGP路由的合法性和正确性,防止路由泄露和路由劫持事件,以及来自未经授权AS的恶意或错误路由传播。
3.便于实现快速的安全处置
在高校遭受网络攻击时,借助BGP协议可实现异常流量的过滤和自动封禁。遭受DDoS(分布式拒绝服务攻击)时,高校可通过发送携带匹配规则以及流量动作的BGP Update报文(更新报文)应用FlowSpec(流规范)机制在教育网边界处对异常流量进行过滤;另外,通过向教育网广播需要封禁的路由前缀,携带专用Community属性(如3333:4444),主干网可基于BGP黑洞路由对异常流量模式进行封禁。
在检测到恶意流量时,也可使用BGP路由来将该流量重定向到专门的流量清洗设备或服务,如利用DDoS防护设备或云服务提供商的清洗服务进行流量检查和清洗,识别和过滤掉恶意流量,只允许合法的流量通过。
科研方面
1.促进网络科学和网络空间学科研究
通过BGP接入CERNET的高校不仅能实时获取最新的全球路由表信息,还能与网络管理员协商,获得根据特定需求定制化的路由表信息,如特定运营商、CDN网络或国际学术数据库的路由条目。全球路由表蕴含着丰富的网络拓扑和路径信息,对于网络科学研究具有极高的价值,能够帮助研究人员深入理解网络行为、网络协议以及网络的发展趋势。对网络管理员、安全专家及研究人员而言,跟踪最新的全球路由表具有重要意义,具体如下:
(1)网络性能优化。全球路由表包含了网络中所有可达目的地的路径信息。通过跟踪最新的路由表,可以了解当前网络中的最佳路径和可用带宽,从而优化网络性能,提高数据传输的效率。
(2)故障预防和恢复。如果跟踪到某个路径或节点出现故障,可以提前采取措施,如切换到其他可用路径或进行故障恢复,避免网络中断或数据丢失。
(3)增强安全能力。通过跟踪全球路由表,可以了解网络流量的动态变化,发现潜在的DDoS攻击、恶意流量等行为,增强网络安全防护能力。
(4)路由宣告追踪。对不同自治域路由宣告情况进行追踪,可及时发现路由劫持事件,深入分析网络结构的演变趋势,探究网络协议的设计与实现,促进网络科学理论的发展和应用研究的深化。
(5)满足合规性和监管要求。在一些行业和领域,如金融、医疗等,需要严格遵守数据传输和存储的合规性要求。通过跟踪全球路由表,可以确保数据在合规的区域内传输和处理,满足相关监管要求。
2.提高科研数据传输的效率和可靠性
BGP技术为高等教育机构提供了数据路由的优化机制,特别是对于依赖大量数据传输的科研项目,如高能物理、生命科学和天文学等,BGP通过优化传输路径,能显著降低数据传输的延迟。此外,BGP通过精细的路由控制,为敏感科研数据的保护提供了强有力的支持,有效防止了数据的泄露和未授权访问。
随着科研项目进展和需求的不断变化,BGP还赋予网络管理员动态调整网络资源的能力,确保关键任务得到充足的网络支持,并灵活应对科研需求的波动。对于依赖分布式计算和数据密集型分析的项目,BGP可以优化数据中心之间的连接,实现网络带宽的有效利用。
BGP的扩展协议,特别是BGP/MPLS IP VPN技术,为不同地理位置之间的网络安全连接提供了强大支持。该技术基于多协议标签交换(MPLS)的三层VPN技术,利用MP-BGP协议扩展支持Route-Distinguisher和Route-Target字段[3],从而在运营商网络内实现数据隔离,并通过BGP传播不同VPN实例之间的路由信息。这不仅为大规模数据传输和远程科研合作提供了方便,还为多校区间的内网互访以及需要频繁变更网络配置的科研项目提供了一个安全、经济且高效的网络连接解决方案。
总结
对于现代高等教育机构而言,有效使用BGP接入互联网不仅意味着拥有一个更加高效和安全的网络环境,而且可以促进其教育和科研尤其是互联网相关学科发展,提升高校的综合研究水平和国际影响力。
建议高校加强对网络管理团队的BGP培训和教育,充分理解并有效应用BGP技术。同时,高校应当积极与区域性或全球性的科研教育网络(例如CERNET)建立合作关系,从而获得更广泛的资源共享和学术合作机会。一直以来,CERNET致力于为高校提供BGP接入服务和技术咨询,并愿意为全国高校和科研机构提供更好的互联网技术支持。
参考文献
[1]薛硕硕,李锁钢.BGP+GRE技术提高用户接入教育网能力[J].中国教育网络,2021,(10):78.
[2]贺聿志,章勇,柳斌.多链路BGP接入方法的探讨[J].华中科技大学学报(自然科学版),2016,44(S1):148-151.DOI:10.13245/j.hust.16S130.
[3]Rosen I,Rekhter Y.BGP/MPLS IP Virtual Private Networks(VPNs)[R].RFC4364.Internet Engineering Task Force(IETF),2006.
来源:《中国教育网络》2024年4月刊
作者:钱志业、李锁钢(作者单位为CERNET NOC)
责编:项阳