<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

    现今的网络中存在大概30kas(自治域系统),这里所说的3k是不包括那些private as number的,所以实际存在的as远大于此。
    因为当今并没有一个组织或机构去管理Internet,每一个ISP都有它自己的policy,所以比较混乱。

 

    现今的ISP主要有两种互联的方式:
1.       transit
2.       peering

 

transit
一个下层的ISP向它的upstream(上层)ISP 购买链路。此时,下层ISP就可以通过上层ISP到达上层ISP所连接的目标地址网络。

 

Peering
ISP之间建立peering连接,对等连接。此时,两个ISP只是交换他们各自的网络以及客户。比如,ABpeering方式对等互联,A不可以访问与B相连的ISP连接的网络目的地址。
理论上,以这样的方式连接的ISP的结构会非常清晰。但实际上,因为ISP对于业务需求的不同,不同级别的ISP也会建立transit或者peering的连接关系。
所以,当前ISP的构架是错综复杂的。
 
有一个组织叫做CAIDA,它有一个skitter模型,(附件一)
在这个模型中有很多衡量ISP规模的标准,其中一个叫做Degree,这个标准单一as,以eBGP关系直连的asn数量为标准。附件二为06年排出的排名前十位的asn
其实衡量的标准很多,排名也就有不同,就像这里派第一的UUnet,他自己拥有3asn,(701-703)这里只是701一个as
 
从另一个角度来看,ISP传统的连接方式有两种:
 
1.  Public
通过共享的二层网络连接。如:交换以太网,ATMMPLS
2Private
点对点连接,而以后ISP连接的发展方向就是点对点连接,这样比较容易管理。

 

关于安全性
 
ISP的发展经历了盲目相信到普遍不相信的过渡(implicit trustàpervasive distrust)。现在的ISP每天都要面对大量的DOSdenial of service)***,ISP之间是竞争关系,但从安全的角度,他们又不得不联起手来。这种矛盾也促进了ISP的发展。
ISP需要保护自己,保护自己的客户,保护自己的上层ISP。所以每一个ISP都会有一个安全运维部门,这个部门需要和其他的ISP合作,和厂商合作(比如cisco),和一些组织合作(比如FIRST事件响应与安全组织)。另外,还要有一些安全功能。
 
比较常见的安全功能有以下5种:
 
1.       IP option selective drop
     对于IP option 数据包的处理,包括dropignore,目前cisco只有12000系列才支持ignore的功能。
2.       Peering policy enforcement using vrf list
加强ISP之间政策的管理,防止链路被侵犯,自己的链路跑别人的流量。
3.       peering Interconnect link protection
对于链路的保护,可以用routing/FIB解决,也可以用一些ACL
4.       distinguishing traffic at peering interconnects
区分对等互联的ISP之间的流量。
5.       GTSM
利用TTLtime to live)对网络,对协议进行保护。

 

还有一些关于ISP的内容在一个好友的blog中有更详细的叙述,链接如下:

 

[url]http://steven24.blog.51cto.com/346765/71347[/url]     Internet 结构简析

 

[url]http://steven24.blog.51cto.com/346765/71364[/url]       ISP简析