Пытаясь диагностировать проблему переключения при отказе в моих межсетевых экранах Cisco ASA 5520, я запустил трассировку на www.btfl.com и, к моему большому удивлению, некоторые из переходов вернулись как адреса RFC 1918.
Чтобы было ясно, этот хост не находится за моим брандмауэром и в нем нет VPN. Мне нужно подключиться к открытому Интернету, чтобы попасть туда.
Как / почему это возможно?
asa# traceroute www.btfl.com
Tracing the route to 157.56.176.94
1 <redacted>
2 <redacted>
3 <redacted>
4 <redacted>
5 nap-edge-04.inet.qwest.net (67.14.29.170) 0 msec 10 msec 10 msec
6 65.122.166.30 0 msec 0 msec 10 msec
7 207.46.34.23 10 msec 0 msec 10 msec
8 * * *
9 207.46.37.235 30 msec 30 msec 50 msec
10 10.22.112.221 30 msec
10.22.112.219 30 msec
10.22.112.223 30 msec
11 10.175.9.193 30 msec 30 msec
10.175.9.67 30 msec
12 100.94.68.79 40 msec
100.94.70.79 30 msec
100.94.71.73 30 msec
13 100.94.80.39 30 msec
100.94.80.205 40 msec
100.94.80.137 40 msec
14 10.215.80.2 30 msec
10.215.68.16 30 msec
10.175.244.2 30 msec
15 * * *
16 * * *
17 * * *
То же самое происходит с моим домашним подключением FiOS:
C:\>tracert www.btfl.com
Tracing route to www.btfl.com [157.56.176.94]
over a maximum of 30 hops:
1 1 ms <1 ms <1 ms myrouter.home [192.168.1.1]
2 8 ms 7 ms 8 ms <redacted>
3 10 ms 13 ms 11 ms <redacted>
4 12 ms 10 ms 10 ms ae2-0.TPA01-BB-RTR2.verizon-gni.net [130.81.199.82]
5 16 ms 16 ms 15 ms 0.ae4.XL2.MIA19.ALTER.NET [152.63.8.117]
6 14 ms 16 ms 16 ms 0.xe-11-0-0.GW1.MIA19.ALTER.NET [152.63.85.94]
7 19 ms 16 ms 16 ms microsoft-gw.customer.alter.net [63.65.188.170]
8 27 ms 33 ms * ge-5-3-0-0.ash-64cb-1a.ntwk.msn.net [207.46.46.177]
9 * * * Request timed out.
10 44 ms 43 ms 43 ms 207.46.37.235
11 42 ms 41 ms 40 ms 10.22.112.225
12 42 ms 43 ms 43 ms 10.175.9.1
13 42 ms 41 ms 42 ms 100.94.68.79
14 40 ms 40 ms 41 ms 100.94.80.193
15 * * * Request timed out.
Не только RFC 1918 ... также RFC 6598, т.е. 100.64.0.0/10 CGN пространство. Обе эти сети являются частными, но последняя в последнее время стандартизирована и менее известна.
В этом нет ничего необычного с точки зрения трассировки. На самом деле вы не разговариваете напрямую с этими 10- и 100-пространственными хостами, вы отправляете пакеты с постепенно увеличивающимся TTL на ваш маршрутизатор следующего перехода. Чтобы ответ не получился слишком длинным, эта ссылка в Википедии резюмирует процесс.
какой является необычным является то, что этот пакет проходит через общедоступное IP-пространство, а затем туннелируется через частное IP-пространство, чтобы снова попасть в "общедоступную" сеть. 157.56.176.94 принадлежит Microsoft, и пакет проходит через сети, принадлежащие MS, прежде чем попасть в частную сеть ... так что это просто то, что Microsoft предпочитает делать со своим сетевым пространством на обоих концах частного пространства. Они рекламируют маршруты; другие маршрутизаторы просто делают то, что им говорят.
Как правило, нет, сетевые операторы обычно не открывают свои частные сети на маршруте в общедоступное IP-пространство извне. Вот почему это так необычно.
(это может быть отсутствующий маршрут где-то на их границе, из-за чего пакеты проходят неоптимальный путь, который в конечном итоге достигает пункта назначения, но я не специалист по сетям, и кто-то, вероятно, может лучше его нанести)
Маршрутизаторам разрешено подключаться друг к другу, используя RFC1918 или другие частные адреса, и на самом деле это очень распространено для таких вещей, как двухточечные ссылки и любая маршрутизация, которая происходит внутри AS.
Только пограничные шлюзы в сети действительно нуждаются в общедоступных IP-адресах для работы маршрутизации. Если интерфейс маршрутизатора не подключается к другим AS (или другим поставщикам услуг, проще говоря), нет необходимости объявлять маршрут в Интернете, и только оборудование, принадлежащее тому же объекту, должно будет напрямую подключаться к интерфейс.
То, что пакеты возвращаются к вам таким образом в traceroute, является небольшим нарушением RFC1918, но на самом деле нет необходимости использовать NAT для этих устройств, поскольку они сами не подключаются к произвольным объектам в Интернете; они просто проезжают мимо пробок.
То, что трафик проходит (возможно, обходным) маршрутом через несколько организаций, это просто следствие работы протоколов маршрутизации внешнего шлюза. Кажется вполне разумным, что у Microsoft есть некоторая опора, и некоторые люди ее наблюдали; вам не нужно быть оптовым интернет-провайдером для маршрутизации трафика.
То, что трафик прошел через несколько серий маршрутизаторов с частными IP-адресами, проходя через маршрутизаторы с общедоступными IP-адресами между ними, не особенно странно - это просто указывает (в данном случае), что две разные сети на пути перенаправили трафик через свои собственные маршрутизаторы. которые они решили пронумеровать таким образом.