IP-маршрутизация частного приложения между двумя странами

Question

В устных экзаменах мне задавали вопрос:

You are accessing a website whose webserver is located in country A.
You are in Country B.
You know that the TCP/UDP Packets pass through Country C while travelling from Country B to Country A.
How will you avoid your packets to travel via Country C, and rather select a different route ?

Есть ли у вас ответы на этот вопрос?

Answer 1

Топология выглядит следующим образом (я аннотировал веб-сервер как Z, ниже):

  new fiber (in ASN 777)
     +-------+
     |       |
Z----A---C---B
     |   |   |
     <INTERNET>

Резюме

Поскольку в противном случае не существует правил, Самое умное , что могли бы сделать страны A и B, - это купить прямой оптоволоконный канал между A и B ¹ .Страна B должна администрировать маршрутизаторы с обеих сторон и объявить небольшой маршрут (что-то вроде /24 блока) в BGP от маршрутизатора B в стране A к маршрутизатору B в B. B должен получить новый ASN дляс этой целью (назовем это ASN 777).

Важные сведения

Теперь убедитесь, что все пользователей, которым требуется подключение к Z в стране B, имеют прямое подключение кISP пиринг с межконтинентальными маршрутизаторами B через eBGP ² .Страна A должна убедиться, что Z напрямую подключен к провайдеру, который предпочитает маршруты в страну B через свой маршрутизатор в стране A ² .

Причина, по которой это работает, заключается в том, что eBGP выбирает один кратчайший путь на основена количество провайдеров хмеля ³ ;и все переменные находятся непосредственно в стране B и контроле страны A.

END NOTES

---

1. Даже если это трансбег океанического волокна;самое большое требование состоит в том, чтобы он не проходил через территорию C (или даже близко к их союзникам, если безопасность очень важна).Вы действительно не имеете никакого контроля, если вы передаете трафик между странами через любую третью сторону (чтобы включить предложение о прокси в другом ответе).Также поймите, что темное волокно, вероятно, не будет сокращать его ... из-за расстояний, которые обычно связаны между странами, управляемые оптоволоконные повторители потребуются в линии.

2. Все провайдеры ввопрос должен отклонить маршруты для Z и B через любые другие ASN , кроме как через ASN 777. Если вы ультра-параноик (и это возможно в административном отношении), поставьте Z и всех пользователейданные из Z в ASN 777.

3. Технически, скачки ISP измеряются как Номера автономной системы , то есть, как eBGP оценивает предпочтение маршрута (меньшее количество пересеченных ASNлучшие маршруты).

Answer 2

Вы можете использовать простые фильтры пути AS, чтобы вы знали только путь, который не пересекает нежелательную AS.

Answer 3

Просто мысль: использовать прокси?

Прокси в стране D, который, как вы знаете, для пакетов от B до D не проходит C, а пакеты от D до A также не проходят C , Таким образом, маршрут будет:

B -> [E] -> D -> [F] -> A,

, где E и F - некоторые страны, через которые вы можете отправлять свои пакеты.

Это только я, или C выглядит как C Хина? : -)