文章

从零开始的BGP①——注册ASN来实名上网

Posted 2024-05-29 Updated 2024-05- 30
By YakaMiraris
23~30 min read

前言——关于BGP的一些东西

1. ASN?BGP?有什么用?

ASN是自治系统号(Autonomous System Number)的缩写。这是用于互联网路由的全球唯一标识符,使得不同的网络(即自治系统)可以互相识别并交换路由信息。

简单来说,它是一个类似于全球公共互联网上身份证一样的东西,有了ASN,你便可以申请,管理和分配公网上面的资源了。想想之前只是在诸如家庭网络环境的局域网中玩一玩,现在可是面向广阔的全球公网了,是不是有点心动了呢?

奈落之底公网进发吧!

2. 我要不要注册一个ASN?

答案是: “有利有弊。”

好处:

  1. 可以拥有自己的IP前缀分配到自己的设备上。只要你想,这些IP能够比一般VPS商家所自带的IP干净得多

  2. 可以自己调路由。建立BGP Session之后,你可以轻松地选择管理调配路由,比如对某些IP段走特定的Tier1 ISP来获得更好的网络体验等

  3. 成为一名BGP Player可以学到很多网络相关的知识,很多很多

  4. 可以和其他的BGP Player快乐Peer

坏处:

  1. 个人隐私。申请ASN是需要实名的,不仅需要向LIR提供真实的KYC(地址,护照/身份证等),而且个人身份注册的ASN名称即是你的真实姓名1,是纯纯的实名上网

  2. 学习成本较高。互联网上对于BGP相关的教程(特别是中文)是很少的,一些交流群也是以英文为主,想要排查故障解决问题不被劝退需要很强的信息搜索能力动手折腾能力

  3. 贵。截止发稿的现在,免年费的ASN已经无了。以RIPE为例,从2025年开始RIPE将向LIR收取50欧元/年/ASN的年费。毫无疑问,这笔费用最终是需要你来支付的。IP段租赁和支持开通BGP Session的VPS同样需要钱。折算下来,每年至少80欧元的预算是要有的

当然啦,好处和坏处都不止这些,请权衡想清楚

#1 你也可以自己搞个公司,这样就可以用企业的身份去申请了,ASN的名称就不会是自己的名字了,可以自己去研究

3. ASN的一些事

  1. RIR(Regional Internet Registry)是最终给我们发ASN的机构。目前有ARIN(北美),APNIC(亚太),LACNIC(拉美),AFRINIC(非洲),RIPE NCC(欧洲&中亚)这五个。无论在哪一个注册,都可以在全球范围内宣告和使用。因为一些政策上的方便,个人一般会找RIPE去注册ASN,这篇文章也一样,有其他RIR的需求可以自行搜索相关教程。

  2. 除非你就是LIR,不然我们注册ASN一般都要找LIR。LIR是RIR的大会员,每年要交会费,很贵。他们可以给自己的客户向RIR申请ASN,只需要提供注册的材料,并且在注册的时候缴纳一笔费用就行了(以及现在需要每年缴纳年费了)

  3. ASN有16位和32位的。就个人而言,你现在去RIPE注册大概率拿到的是32位,也就是6位数的。16位的联系你的LIR,加钱也可以有。

  4. ASN注册之后,有需要的话可以转移至其他LIR。

  5. IP段买的话有两种。一种是PI段,这些由RIR直接分配,价格比较贵,但不跟随LIR。一种是PA段,一般是LIR从RIR拿到之后,分配给客户的。它的价格就比较便宜了,很多LIR在你注册ASN的时候就会送你IPv6 /40或/44的PA段,可以直接使用。但这些PA段并不能转移到其他LIR

  6. 玩公网需要很强的自律意识和公德心。部分错误的设置和偷懒的行为可能造成漏路由,对公网上的其他人造成麻烦。不要抱着随便玩玩而已的心态去配置,同时也更推荐先去DN42等进行预先学习

正篇——申请ASN的详细教程(RIPE)

1. 需要准备的材料清单

  1. 法定身份证件(对于中国大陆居民,身份证和护照皆可)

  2. 在欧洲地区的互联网服务证明(VPS的账单即可,一年以内一般都行。有些LIR会有更多要求,比如必须得是填写的Peering对象之一等。我自己是正常的年付账单就过了)

  3. 肯为你注册ASN的LIR(没有推荐。注意你要把真实信息交给他,找靠谱一点的没坏处)

  4. 两个Peering对象(找支持的填就行了,申请的过程并不要求你真的得和他建立BGP连接)

  5. 已经准备好的RIPE Database相关资料(见下面)

附上我的LIR对我资料的要求原文

In order to submit your request to the RIPE NCC, you must send us the following:
- Invoice of Service in the RIPE Region - this can be for a VPS, Dedicated Server, phone bill, broadband bill, etc physically located in the RIPE NCC Service Region
- Your Identification Document (ID), in order to verify the existence of you, and for the RIPE NCC's use.

2. RIPE数据库的准备

接下来,我们准备需要交给LIR的东西,你在RIPE数据库中填写的资料

这一部分文章【ASN 申请快速指北 - RIPE NCC】介绍得非常详细而全面,这里就不多做赘述,完全按照其步骤照做即可

最终你将得到的部分

  • as-name

  • org

  • admin-c

  • tech-c

  • abuse-c

  • mnt-by

这些,作为上一小节5. 的RIPE Database相关资料提交给LIR

3. 等待ASN下号

就我个人的申请体验而言,RIPE的工作效率是很高的,从提交资料到最终ASN下号,仅用了36小时的时间

在过程当中,LIR会向你发送两封电子邮件:

  1. 一份RIPE End User Assignment-Agreement,需要你签署。我的是在网页上直接通过电子签名完成的,也或许会要求打印出来亲笔签字。

  2. 一次动态KYC验证,要求你使用手机摄像头拍摄你提供的身份证件进一步验证。

也可能不止这些,总之做好以上的准备

4. 后续的工作

当LIR通知你注册成功之后。就可以去https://apps.db.ripe.net/db-web-ui/myresources/ 下查看,像这样

同时,如果有附赠或同时购买的的IPv4/IPv6地址段,也能够在这里看到

接下来,要做的事情有几件:

  1. 确认IRR是否已经开放。可以去创建一个route6对象来验证这一点,如果能够创建则没有任何问题,如果出现如图所示的提醒而无法创建,请联系你的LIR获得IRR权限

  1. 向LIR请求为你的IP段添加RPKI。这是非常方便的,能够验证IP段是你的,很多VPS开BGP Session是需要这个的(ROA)。添加完成之后,你应该能够在 https://bgp.tools/prefix/[你的ip prefix]#validation 看到类似如下内容:

RPKI Chain (Current origin: Valid)

Matched ROA:

Source: repo.rpki.space/repo/xxxxx.roa

AS114514 | 2a14:114:514::/44 [History] (Max 48) (Expires in: 7 hours)

AS是你的AS,后面是你的IP段

  1. 获得LoA Letter。这个同样是能声明你拥有此IP段的文件,开BGP Session时会用到。可以向LIR请求提供,也可以在需要的时候自己按照模板写一个,存成PDF。模板如下:

AUTHORIZATION LETTER

 

MM DD,YYYY

 

This letter serves as authorization for [VPS厂商] to announce the following netblocks:

2a14:114:514::/44 , ASN 114514 (你的ip段和ASN)

 

[你的名字] is the owner of ASN, and this subnet had allocated to me by LIR, I hereby declare that I'm authorized to represent and sign for this LOA.

 

Should you have questions about this request, email me at [你的邮箱]

 

Best Reguards

5. 大功告成!

完成以上内容之后,恭喜你,你已经正式拥有了自己的ASN并且随时能够起BGP了,开始折腾吧

继续阅读,添加IRR记录并且申请开启BGP

文章如果出现任何错误,欢迎各位大佬的指正,随时修改勘误~

感谢一些资料:

https://twd2.me/archives/11591

https://lir.zhnet.co.uk/asn-setup-zhcn

Networking
BGP
License:  CC BY 4.0