[Перевод] Что я хотел бы знать заранее, когда выкупал себе целую ASN

e680a4ea117a451ee28aae6fd03330d2

Как вы, возможно, знаете, я сейчас пишу серию статей о BGP и о том, как устроен Интернет. Рассказываю об этом с собственной точки зрения — как оператор небольшой автономной системы,  AS200351. Притом, что теоретического материала на эту тему много, предположу, что мои читатели достаточно поднаторели в теории и умеют самостоятельно обустроить элементарную автономную систему. Не вынуждая вас заниматься самостоятельными исследованиями, основанными на неактуальной и потенциально ошибочной информации, взятой из Интернета, а тем более не подвергая вас риску столкнуться с мошенничеством, полагаю, было бы важно рассказать, каково это — приобрести собственную ASN.

Для тех, кто не в курсе, почему кому-либо может понадобиться свой ASN, коротко поясню:

Автономная система (AS) — это крупная составляющая часть Интернета, которая может задавать собственную картину маршрутизации относительно остальной части Интернета. Автономные системы обмениваются своими маршрутами друг с другом по протоколу граничного шлюза (BGP) — именно так из них и складывается Интернет. Получив уникальный глобальный идентификатор — номер автономной системы (ASN), в моём случае —200351, я теперь могу обмениваться по BGP маршрутами с другими автономными системами, объявлять в Интернете мои собственные IP-адреса, а также контролировать входящие и исходящие потоки трафика в моей сети, а не просто обмениваться трафиком через заданный по умолчанию шлюз, чтобы перейти по Интернету на адрес, который присвоил мне интернет-провайдер. В таком случае я приобретаю ряд преимуществ — например, могу по собственному усмотрению переключаться между вышестоящими интернет-провайдерами (например, если один такой провайдер откажет), не меняя при этом IP-адресов и не разрывая ни единого соединения. Также я могу обнародовать одни и те же IP-адреса из множества локаций (эникастинг), таким образом позволяя пользователям выходить на мои сервисы с меньшей задержкой, чем позволяли бы альтернативные механизмы (ограничителем здесь выступает лишь скорость света). Также я могу рассчитывать на автоматическое восстановление после отказа.

В этом посте я расскажу о том, что хотел бы знать заранее, прежде, чем импульсивно подал заявку на собственную ASN — случилось это в 3.00 глубокой и холодной декабрьской ночью в прошлом году. Теперь же я уже некоторое время успел пожить с этим. Я постараюсь изложить вам этот процесс настолько объективно и подробно, насколько смогу, развеяв мифы о любых людях, пытающихся играть на этом поле. Я бы хотел, чтобы вы пускались в подобную авантюру, лишь полностью осознавая все риски и досконально понимая, куда идут ваши деньги. В конце поста я дам несколько субъективных рекомендаций по поводу провайдеров, но можете смело их проигнорировать, если желаете разобраться в этом вопросе сами.

Выбор РИР

Как известно, ASN и IP-адреса — это номера Интернета, то есть, ресурсы, в конечном счёте находящиеся в управлении агентства IANA. Присваивание этих номеров делегировано региональным интернет-регистраторам (РИР). В мире всего пять РИР, но, поскольку я имел дело всего с двумя из них,  ARIN и RIPE NCC, буду в основном рассказывать об этих двух.

Как правило, РИР распределяют номера ASN непосредственно между конечными пользователями. Также РИР могут напрямую распределять и IP-адреса, но есть и механизм дальнейшего делегирования локальным интернет-регистраторам (ЛИР), которые выдают их конечным пользователям. Для того, чтобы РИР могли выдать вам ASN, обычно требуется, чтобы у вас были собственные IP-адреса, которые вы могли бы объявлять по BGP. Поэтому сначала вам следует запастись IP-адресами, взяв их у РИР и ЛИР напрямую. Также их можно достать при помощи ASN, если такой вариант вам доступен. Обратите внимание: можно воспользоваться собственными IP-адресами, не имея собственной ASN — добившись, чтобы интернет-провайдер объявил их для вас. Такая услуга обычно называется «Приходи со своим IP» или BYOIP, но здесь мы этот вопрос разбирать не будем.

Учитывая современную ситуацию с исчерпанием адресов IPv4, вы почти наверняка будете получать IPv6-адреса, скорее всего — исключительно. В целом, основное внимание теперь уделяется IPv6.

Как бы то ни было, вам придётся выбрать РИР, чтобы получить номер ASN и IP-адреса. Даже если вы решите получать IP-адреса через ЛИР, то они в конечном итоге придут к вам от РИР. Поэтому от того, какой РИР вы выберете, зависит, как вы станете управлять вашими ресурсами, а также как этими ресурсами можно будет воспользоваться. «Народная мудрость» (в данном случае помноженная на поисковую выдачу лучших блогеров-энтузиастов) такова: ARIN делает акцент на бизнесе, а RIPE более ориентирован на хобби, но на самом деле это весьма искажённая трактовка истины. Ранее я об этом читал и думал, что только такой порядок вещей и возможен. Теперь я осознаю, что всё гораздо сложнее.

Вот и пришло время оговориться, что в каждом РИР действуют собственные политики, описывающие, как будут выделяться ресурсы, как происходит управление членством. Суть этих политик в основном зависит от ситуации в обслуживаемом регионе.

RIPE

Нужно с чего-то начать, поэтому давайте начнём с RIPE— в сущности, с RIPE NCC, «Европейского сетевого координационного центра IP-сетей». Это РИР, отвечающий за «Европу, Переднюю и Среднюю Азию». Учитывая, что в Европе не так уж и просто создавать компании и обзаводиться торговыми марками для индивидуальных предпринимателей, RIPE без каких-либо вопросов позволяет создавать «организации» прямо под именами собственными. Именно поэтому RIPE очень положительно воспринимается в среде разработчиков-любителей.

На самом деле, это ещё не всё. RIPE рассматривает все случаи индивидуального предпринимательства и партнёрства как потенциально вымышленные, поэтому требует использовать полное официальное название юридического лица. Например, хотя у меня и есть торговая марка «Dynamic Quantum Networks», RIPE настаивал бы, чтобы моя «организация» называлась «Guanzhong Chen» или «Guanzhong Chen, действующий под именем Dynamic Quantum Networks». Ранее это приводило к спорам между RIPE и его участниками по поводу корпоративных единиц определённых типов. Кстати, ARIN не будет иметь ничего против «Dynamic Quantum Networks». Может показаться, что это частности, но имейте их в виду, если не хотите повсюду светить полное название вашего юрлица.

RIPE готова обслуживать лишь тех пользователей, которые сами живут в соответствующем регионе или имеют там «сетевое представительство». В случае с RIPE последнее подразумевает, что в регионе должен быть хотя бы один виртуальный частный сервер (VPS), который должен объявить под вашим номером ASN как минимум один маршрут (если вы решите приобрести ASN в этой организации). Если вы являетесь резидентом данного региона, то от вас потребуется инвойс, который это подтверждает. Если это требование выполняется, то ваши RIPE-ресурсы могут использоваться во всем мире.

IP-ресурсы RIPE можно разделить на две обширные категории — «агрегируемые провайдером» (PA) и независимые от провайдера (PI). Адреса PA — это большие блоки (как правило, по 29 или более) выделяемые RIPE ЛИР-регистраторам, которые, в свою очередь, могут раздавать их кому заблагорассудится — конечно же, в соответствии с политикой RIPE. На практике ограничений не так уж и много, и мне то и дело доводилось видеть, как бесплатно раздавались блоки помельче (в частности, /44 или ещё меньше).  Важно отметить, что, с точки зрения RIPE, блок PA принадлежит ЛИР, а не тем конечным пользователям, которым ЛИР присваивает субблоки. Именно поэтому, если некий ЛИР прекратит существование, то RIPE заберёт обратно весь блок IP-адресов, и конечные пользователи потеряют выделенные для них адреса практически без какого-либо предупреждения. Следовательно, при использовании PA-адресов, важно опираться на такой ЛИР, в долговечности которого вы уверены.

Также следует понимать, как именно эксплуатируются ЛИР. За право быть ЛИР RIPE взимает единовременный взнос, в настоящее время €1000, а также ежегодный взнос, сейчас равный €1550. Эти суммы каждый год уплачиваются в январе со скидкой для новых ЛИР. RIPE позволяет подписываться на политику «один ЛИР, один взнос» — то есть, у больших и малых ЛИР взносы одинаковые. Подробнее эти платежи разобраны на странице с тарифами RIPE. Согласно действующей политике, каждому новому ЛИР причитается по /24 пула IPv4 (в силу исчерпания IPv4, любой новый ЛИР вынужден долго ждать, прежде, чем получит эту порцию) и не больше. При работе с новым IPv6 новые ЛИР получают по /29 без какого-либо обоснования.

Если вы решите получать PA-адреса от ЛИР, учитывайте, что у организации есть минимум /29 (что составляет 512k /48s), и они платят за это €1550 в год. Таким образом, если им удастся полностью продать их первые /29, то они выходят на безубыточность, продавая каждые /40 за 76 центов, каждые /44 за 4,8 цента или каждые /48 за 0,3 цента в год. Учитывая издержки, приходящиеся на отделы продаж и менеджмента, а также тот факт, что ЛИР может и не продать 99% своего пространства, типичный ЛИР, вероятно, не должен взимать более $20/год за PA-блок в /44 или менее, либо сверх $40/год за /40.

PI-адреса даются в небольших блоках, как правило, не крупнее /48. Такие блоки  RIPE выдаёт непосредственно конечным пользователям. Разумеется, RIPE не работает с конечными пользователями — вместо этого пользователи должны сами найти ЛИР, который сработал бы в качестве посредника и проспонсировал их запрос. Каждый PI-запрос RIPE в настоящее время тарифицирует по €50/год. В ответ всего на один запрос может быть выдано несколько пакетов по /48s, если инициатор запроса располагает несколькими сайтами и требует по /48 на каждый — именно такова минимальная порция адресов, к которой в Интернете применяется маршрутизация. Для RIPE практически невозможно (или это бывает очень редко) выделить блок PI-адресов в /44 или крупнее, идёт ли речь о непрерывном или сборном блоке. Поэтому любой ЛИР, предлагающий продать такую партию, наверняка не сможет выполнить данные обязательства.

Как правило, для обработки запроса ЛИР взимает немного более, чем €50/год, но, если их ставка более чем вдвое превышает эту, то они рискуют вас отпугнуть. Кроме того, учитывайте, что для использования PI-адресов предусмотрено гораздо меньше вариантов, чем для PA-адресов. Подробности описаны в политике RIPE по данному вопросу. Добавлю, что если ЛИР, спонсирующий данный блок адресов, вдруг разорится, то RIPE потребует у пользователя найти нового спонсора в течение 30 дней либо отберёт ресурс.

ASN функционируют очень схоже с PI-ресурсами, и для их обслуживания нужна такая же процедура спонсорства, но сегодня ЛИР ничего не стоит их раздавать. Когда-нибудь эта ситуация может измениться. На генеральном собрании RIPE NCC в этом году было озвучено предложение добавить ежегодный сбор в размере €50/год/ASN, но эту инициативу зарубили — хотя, возможно, она снова всплывёт. Именно поэтому я полагаю, что те ЛИР, которые взимают ежегодные взносы за ASN, поступают неправильно. Вообще я думаю, что выдача ASN должна стоить дороже единовременно вносимой суммы $100.

Поскольку нужны IP-адреса для того, чтобы вам можно было выдать ASN, среди ЛИР также распространена практика продавать пакеты из ASN и IP. В таких случаях единовременный взнос должен покрывать как ASN, так и текущий платёж за диапазон IP-адресов.

ARIN

В свою очередь, Американский реестр Интернет-номеров (ARIN) — это РИР, обслуживающий США, Канаду и некоторые острова Карибского бассейна. В этом регионе начать бизнес не составляет труда, поэтому ARIN рассмотрит ваше обращение лишь при условии, что вы представляете юрлицо той или иной формы. Именно поэтому складывается впечатление, будто в ARIN третируют любителей. Нет, это не так, поскольку ARIN удовлетворится и простейшей формой бизнеса  —индивидуальным предпринимательством. Как правило, они хотят от вас торговое наименование, которое обычно можно приобрести за небольшую сумму в местной администрации. Например, власти канадской провинции Онтарио выдали мне «деловое имя» «Dynamic Quantum Networks» за 60 канадских долларов, оно действительно в течение 5 лет. Ненамного дороже доменного имени. В качестве альтернативы ARIN позволит вам воспользоваться даже личным именем, если вы сможете доказать, что под этим именем вы ведёте бизнес.

В ARIN предусмотрено два подхода к выделению IP-адресов —интернет-провайдерам/ЛИР и конечным пользователям. Подход с интернет-провайдерами/ЛИР очень похож на концепцию RIPE с выделением PA-адресов. ЛИР ARIN может выделить своему клиенту желаемый диапазон IP-адресов, при условии, что тот ведёт учёт и при запросе дополнительных адресов может продемонстрировать, что обоснованно выделял часть своих адресов субподрядчикам. Выделение адресов конечным пользователям похоже на работу с PI, но в ARIN концепция спонсорства отсутствует. Напротив, ARIN выделяет ресурсы непосредственно конечному пользователю. Как правило, целесообразнее запрашивать ресурсы через Интернет-провайдера/ЛИР, если это возможно, так как действующие там политики гораздо либеральнее. Если вас интересуют подробности, почитайте мануал о политиках работы с цифровыми ресурсами (NRPM), в частности, разделы 4.2, 4.3 и 6.5.

Обратите внимание: в отличие от RIPE, позволяющего использовать ваши ресурсы где угодно, в ARIN жёстче регламентируется политика использования ресурса вне региона: требуется, чтобы /22 от IPv4 использовалось внутри региона, прежде, чем вы сможете использовать какие-либо IPv4 вне региона. В случае с IPv6 внутри региона должно использоваться /44. Что касается ASN, конкретный номер ASN должен присутствовать, как минимум, в одном пиринговом сеансе внутри региона. Подробнее см. в этом регламенте.

В ARIN взимается несколько единовременных платежей, например, на создание организации — они необходимы, чтобы можно было рассчитывать на выделение каких-либо адресов. В настоящее время этот взнос составляет $50. Ежегодные взносы ARIN зависят от объёма ресурсов, которыми вы располагаете. В настоящее время расценки начинаются с $250 за объём до /24 от IPv4 и до /403 от IPv6. Сейчас ARIN взимает $550 за выделение одной ASN и $150/год/ASN с организаций, которым нужен только ASN. Если же у вас есть IP-адреса, то вы платите только ежегодный сбор, и все выдаваемые ASN для вас бесплатны. Подробнее об этом рассказано в плане выплат.

Также в настоящее время у ARIN предусмотрен вариант частичного освобождения от оплаты сборов, позволяющий вам придерживать до /36 за $250/год до конца 2026 года, после чего плата за этот объём поднимается до $500/год. 

В 2024 этот план выплат должен измениться и станет разумнее: ASN будут выделяться бесплатно, а минимального ежегодного взноса в $250 хватает на 3 ASN. Подробнее об этом рассказано на странице FAQ по этому изменению.

Упрощённо политику выделения адресов в ARIN можно сформулировать так:

  • ЛИР может без какого-либо обоснования выделить первичную партию адресов IPv6 в размере /32. Но, чтобы сэкономить на сборах, ЛИР может предпочесть получить /36 или /40. При этом ARIN резервирует полный комплект /32, и вы можете в любой удобный вам момент обновиться до него без обоснования;

  • Любой ЛИР может запросить выделить ему адреса IPv4 в размере /22, встав в лист ожидания. Также ЛИР может запросить специальные зарезервированные блоки, должным образом это обосновав; и 

  • ЛИР может запросить ASN с двумя равноправными партнёрами.

Другие РИР

Если вы живёте в Азиатско-Тихоокеанском регионе, можете обратиться в APNIC. Я их политик не знаю, но в курсе, что они выдают адреса IPv4 по /23 на каждый новый ЛИР. Это и есть максимальный объём IPv4, который APNIC в принципе выдаёт.

В AfriNIC и LACNIC нет тех возможностей, на которые можно рассчитывать, работая с APNIC, ARIN и RIPE. Например, в обоих РИР участникам не предоставляется сервис  публикаций RPKI — требуется, чтобы пользователь сам озаботился поддержкой такого сервиса. Вообще с AfriNIC связано множество неоднозначных ситуаций и скандалов.

Принимаем решение

Я не считаю себя достаточно компетентным, чтобы говорить о APNIC, AfriNIC или LACNIC, так что не буду. Если вы живёте в регионе, обслуживаемом этим РИР, то попробуйте сами в нём разобраться и сравнить его с RIPE, который также остаётся популярен среди любителей, живущих в Африке и Латинской Америке.

Итак, в финал выходят ARIN и RIPE. На первый взгляд ARIN может показаться гораздо дороже RIPE, но не забывайте о следующем:

1.      В ARIN, даже уплачивая минимально возможный ежегодный взнос, вы остаётесь полноценным участником и можете напрямую получать ресурсы. Таким образом, можно не волноваться, что ваш ЛИР прекратит существование;, а также

2.      В ARIN есть зарезервированные пулы адресов IPv4, которые могут быть выделены вам без промедления, если вы вправе на них претендовать. Учитывая, что сегодня IPv4 /24 котируется на рынке примерно по $1000/год, и что вам потребуется уплатить ЛИР полный взнос, чтобы просто попасть в лист ожидания RIPE на /24, годовой взнос в $250/ за /24, действующий в ARIN, кажется вполне разумным. В ARIN тоже предусмотрен лист ожидания на IPv4, но вы, как минимум, не платите за ресурсы до тех пор, пока их не получите, и можете запросить до /22 за один раз.

Делаю вывод, что RIPE — стоящий вариант для вас, если вы новичок, стеснены в средствах и хотите как можно дешевле обзавестись не ASN, но и блоком адресов IPv6-адресов, а также понимаете, какие подводные камни возникают с PA-адресами. Для более серьёзной эксплуатации сетей в регионе, обслуживаемом ARIN, особенно при намерении работать с адресами IPv4, ARIN может всерьёз потягаться с RIPE.

Обратите внимание: можно без проблем получить пространство IP-адресов от одного РИР и объявить его с ASN, полученным от другого РИР. Я сам работаю с AS200351, полученным от RIPE, а пространство IP-адресов у меня от ARIN. Если бы я начинал работу только в следующем году, но уже знал всё, что знаю сейчас, то просто пользовался бы ARIN везде без исключения.

Получаем ASN

Во-первых, независимо от РИР, вам потребуется два равноправных партнёра — это необходимое условие, чтобы обосновать потребность в ASN. Можете поспрашивать людей в дискорде по сетям IPv6, кто хочет скооперироваться с вами.

Кроме того, настоятельно рекомендую вам изучить политики, действующие в выбранном вами РИР:

Если решите пользоваться RIPE, то вам потребуется найти ЛИР с хорошей репутацией и божескими расценками, а затем приобрести там PA-адреса. Вероятно, их вам смогут выделить довольно быстро. Далее запросите ASN. Многие ЛИР предлагают партию IP-адресов+ASN в комплекте. Если колеблетесь с выбором bundle LIR, не стесняйтесь спрашивать в дискорде по сетям IPv6, а также следуйте рекомендациям из этой статьи. Справившись с этим, сделайте следующее:

1.      Зарегистрируйте аккаунт RIPE NCC;

2.      Создайте в базе данных RIPE пару ответственное лицо и специалист по поддержке (форма составлена так, что из неё сразу всё понятно;

3.      Создайте в базе данных RIPE объект «организация» . В org-name укажите ваше юридическое наименование или название той компании, которой вы управляете. В mnt-ref введите mntner, созданный вами ранее. Кстати, вам также придётся попозже указать в ЛИР вторую запись mnt-ref, чтобы вам могли присвоить ASN или пространство IP-адресов — там вам подскажут, где что добавить. Всё остальное должно быть понятно без объяснения;

4.      Сообщите выбранному ЛИР всю информацию о тех объектах, которые вы создали в базе данных RIPE — вероятно, их также потребуется оплатить;

5.      Подпишите договор с ЛИР;

6.      Дождитесь, пока ЛИР пришлёт вам ссылку для проверки вашей личности от RIPE. RIPE проверит вас напрямую. Кроме того, ЛИР может попробовать проверить вас сам, поскольку RIPE штрафует ЛИР, когда те выдают ресурсы клиентам, не прошедшим идентификацию в RIPE. В таких случаях будьте осторожны и убедитесь, что ЛИР хранит ваши данные и документы в безопасности. Далее завершите верификацию. 

7.      Дождитесь, пока RIPE выдаст вам ASN.

Если вы собираетесь работать с ARIN, то посмотрите их видер-руководства о том, как настраивать Org ID и запрашивать IP-адреса. Вам понадобится создать Org ID, подписать договор об оказании услуг, запросить, чтобы вам выделили начальную порцию IPv6, а затем запросить ASN.

Что делать с ASN

Как только у вас появится ASN, с ним, пожалуй, лучше сразу проделать несколько вещей:

1.      Создать AS-множество для вашего AS-макроса, о чём я рассказывал ранее. Создавать эти сущности понадобится в базе данных того РИР, с которым вы решили работать. Это нужно делать в иерархической форме, подбирая имена вида ASx: as-all, где x — ваша ASN, и добавлять вашу собственную ASN как единственный элемент этого множества, а также

2.      (Не обязательно, но рекомендуется) зарегистрироваться в базе данных PeeringDB и создать в ней профиль для вашего ASN. Можете посмотреть мой в качестве образца.

Затем вам потребуется обзавестись сервером, который поддерживает BGP, либо обратиться к провайдеру, обеспечивающему компактное размещение (коллокацию) адресов. Далее выберите диапазон IP-адресов (/24 или более для IPv4, /48 или более для IPv6) и объявите его с этого сервера. Скорее всего, вам придётся запросить у провайдера BGP-сеанс, и на данном этапе вам потребуется сообщить провайдеру ваш номер ASN, AS-макрос и те IP-диапазоны, которые вы планируете объявить. Провайдер может отправить на указанный вами контакт вашей организации случайную строку, либо проверочный объект aut-num, чтобы удостоверить ваш номер ASN в базе данных соответствующего РИР. Вас попросят его воспроизвести или создать документ на языке RPSL, подтверждающий, что ваш провайдер может действовать относительно вас как вышестоящая организация. В последнем случае, если вы получили AS64500, а у вашей вышестоящей организации он AS64510, то вам понадобится добавить следующие строки в ваш объект aut-num:

import:         from AS64510 accept ANY
export:         to AS64510 announce AS64500:as-all

Самостоятельно настроить простейший BGP-сеанс можно при помощи любого BGP-демона. Рекомендую пользоваться любым демоном, который поддерживается на вашем роутере, либо bird, если вы работаете с обычным сервером Linux. Если пользуетесь bird, то можете создать конфигурацию сами, а фрагменты для ориентира возьмите из моей библиотеки фильтров для bird. Также можете взять генератор конфигураций, например, PathVector.

А теперь подходим к самому сложному — как построить собственную сеть. В данном случае можно много что сделать, например, объединить точки обмена интернет-трафиком, чтобы у вас было несколько вышестоящих серверов. Возможности здесь открываются безграничные, и я даже не буду пробовать все их объяснять. Вероятно, вам потребуется изучить их самостоятельно методом проб и ошибок. Удачи! Если у вас появятся какие-либо вопросы, не стесняйтесь задавать их в дискорде по сетям IPv6 — там вам с готовностью помогут.

Рекомендации

Дальше — немного субъективных рекомендаций. Нижеперечисленные провайдеры считаются добропорядочными — так считаю я и люди, которым я доверяю. Кроме того, эти провайдеры устанавливают адекватные тарифы. Тем не менее, держите руку на пульсе, ведь ситуация всегда может измениться. Если я ставлю партнёрскую ссылку, то рядом помещаю и непартнёрскую.

ЛИР RIPE:

Обратите внимание: вероятно, вам удастся бесплатно получить PA /48 от респектабельного ЛИР, если хорошо поспрашивать в Дискорде.

Хостинг с поддержкой BGP:

Здесь я упомянул только варианты, с которыми работал сам. Многие другие провайдеры перечислены на bgp.cheap и bgp.directory, поддерживаемых сообществом единомышленников, но лично поручиться за все эти варианты я не могу.

© Habrahabr.ru