一、常見通信方式

1.1 UniCastAnyCast

UniCast，即單播，指網(wǎng)絡(luò)中一個(gè)節(jié)點(diǎn)與另一個(gè)節(jié)點(diǎn)之間需要建立一個(gè)單獨(dú)的數(shù)據(jù)通道，從一個(gè)節(jié)點(diǎn)發(fā)出的信息只被一個(gè)節(jié)點(diǎn)收到，這種傳送方式稱為單播。即網(wǎng)絡(luò)中從源向目的地轉(zhuǎn)發(fā)單播流量的過(guò)程，IP地址與節(jié)點(diǎn)（主機(jī)）一一對(duì)應(yīng)，單播流量地址唯一。每個(gè)節(jié)點(diǎn)必須分別對(duì)需要訪問(wèn)的節(jié)點(diǎn)發(fā)送單獨(dú)的查詢，而被訪問(wèn)節(jié)點(diǎn)必須向每個(gè)訪問(wèn)節(jié)點(diǎn)發(fā)送所申請(qǐng)的數(shù)據(jù)包拷貝。

1.2 MultiCast

MultiCast，即多播，指網(wǎng)絡(luò)中一個(gè)節(jié)點(diǎn)發(fā)出的信息被多個(gè)節(jié)點(diǎn)（一組節(jié)點(diǎn)）接受。這種技術(shù)用于多媒體應(yīng)用、多用戶交互（如聊天室）、軟件分發(fā)等，相比與傳統(tǒng)的UniCast可以大大提高效率。在子網(wǎng)內(nèi)實(shí)現(xiàn)MultiCast較為簡(jiǎn)單，跨越子網(wǎng)時(shí)需要Route 、Gateway等設(shè)備的支持。

1.3 BroadCast

BroadCast，即廣播，指網(wǎng)絡(luò)中一個(gè)節(jié)點(diǎn)發(fā)出的信息被網(wǎng)絡(luò)中的所有可能（通常的同子網(wǎng)下）的節(jié)點(diǎn)接受。網(wǎng)絡(luò)設(shè)備簡(jiǎn)單地將它接收到的任何廣播報(bào)文副本轉(zhuǎn)發(fā)到除該報(bào)文到達(dá)的接口以外的每個(gè)接口。

二、什么是BGP AnyCast

AnyCast，也稱任意播，或泛播，指IPV6協(xié)議中一個(gè)發(fā)送方同最近的一組接收方之間的通信。BGP AnyCast就是利用一個(gè)（或多個(gè)）AS號(hào)碼在不同的地區(qū)廣播相同的一個(gè)IP段。即不同地區(qū)若干個(gè)AS號(hào)廣播同一個(gè)IP（段）。

Any Cast IP擁有MultiCast和UniCast各自的部分特性：

從宏觀上來(lái)說(shuō)，AnyCast類似于MultiCast，同一種類型的數(shù)據(jù)流同時(shí)存在多個(gè)接收者。

而從微觀上來(lái)說(shuō)，AnyCast又有著UniCast的唯一性。每一個(gè)單獨(dú)的IP會(huì)話都能夠找到唯一的源主機(jī)和目標(biāo)主機(jī)（最終通信雙方唯一），如下圖所示。

即在AnyCast環(huán)境下，同時(shí)存在多個(gè)有效的數(shù)據(jù)包接收端，但具體一個(gè)特定IP數(shù)據(jù)包而言，僅有一個(gè)接收端主機(jī)收到了此數(shù)據(jù)包。

AnyCast利用BGP的尋路原則，短的AS PATH會(huì)選成最優(yōu)路徑（BGP尋路原則之一），從而優(yōu)化了訪問(wèn)速度。

即可多個(gè)不同服務(wù)器使用了相同的IP地址（該地址即這一組主機(jī)的共享單播地址）的一種技術(shù)。當(dāng)發(fā)送方發(fā)送報(bào)文給這個(gè)共享單播地址時(shí)，報(bào)文會(huì)根據(jù)路由協(xié)議路由到這一組主機(jī)中離發(fā)送方最近的一臺(tái)，所以這個(gè)技術(shù)也可以用來(lái)做負(fù)載均衡。

三、AnyCast技術(shù)特點(diǎn)

AnyCast的定義是：當(dāng)一個(gè)單播地址被分配到多于一個(gè)的接口上（即目的地址不是唯一）時(shí)，發(fā)到該接口的報(bào)文被網(wǎng)絡(luò)路由到由路由協(xié)議度量的“最近”的目標(biāo)接口（某個(gè)節(jié)點(diǎn)）上。

AnyCast允許源節(jié)點(diǎn)向一組目標(biāo)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)發(fā)送數(shù)據(jù)報(bào)，而這個(gè)節(jié)點(diǎn)由路由系統(tǒng)選擇，對(duì)源節(jié)點(diǎn)透明。

同時(shí)，路由系統(tǒng)選擇“最近”的節(jié)點(diǎn)為源節(jié)點(diǎn)提供服務(wù)，從而在一定程度上為源節(jié)點(diǎn)提供了更好的服務(wù)也減輕了網(wǎng)絡(luò)負(fù)載。AnyCast分布的服務(wù)節(jié)點(diǎn)共享相同的IP地址，同時(shí)在IP層進(jìn)行透明的服務(wù)定位，這使得各種網(wǎng)絡(luò)服務(wù)特別是應(yīng)用層服務(wù)具有更強(qiáng)的透明性，如DNS（DomainNameSystem，域名系統(tǒng)），用戶不需要特殊配置也不用關(guān)心訪問(wèn)的是哪一臺(tái)DNS服務(wù)器。

其次，路由系統(tǒng)選擇了“最近”的服務(wù)，縮短了服務(wù)響應(yīng)的時(shí)間，同時(shí)減輕了網(wǎng)絡(luò)負(fù)載。

最后，相同的服務(wù)在網(wǎng)絡(luò)上冗余分布，路由系統(tǒng)可以提供機(jī)制選擇負(fù)載相對(duì)輕的帶寬相對(duì)高的路徑來(lái)轉(zhuǎn)發(fā)報(bào)文，這樣就給用戶帶來(lái)了兩個(gè)方面的好處：

減弱了分布式拒絕服務(wù)攻擊（DDoS：DistributedDenialofService）對(duì)用戶帶來(lái)的影響。當(dāng)AnyCast組中某一個(gè)成員或者幾個(gè)成員受到攻擊時(shí)，負(fù)責(zé)報(bào)文轉(zhuǎn)發(fā)的路由器可以根據(jù)各個(gè)組成員的響應(yīng)時(shí)間來(lái)決定報(bào)文應(yīng)該轉(zhuǎn)發(fā)到哪個(gè)成員上，而受到攻擊的成員由于沒(méi)有響應(yīng)，所以報(bào)文就不會(huì)被轉(zhuǎn)發(fā)到此節(jié)點(diǎn)，同時(shí)，由于AnyCast提供的服務(wù)訪問(wèn)透明性，組成員也相對(duì)較難受到DDoS攻擊。

減弱了網(wǎng)絡(luò)擁塞給用戶帶來(lái)的影響，當(dāng)AnyCast的某些組成員處在擁塞的網(wǎng)段時(shí)，它的響應(yīng)時(shí)間就較長(zhǎng)，報(bào)文可以被轉(zhuǎn)發(fā)到響應(yīng)較好的成員那里，對(duì)于最終用戶而言是無(wú)感知的。

四、AnyCast應(yīng)用場(chǎng)景

AnyCast主要應(yīng)用于大范圍的DNS部署，CDN數(shù)據(jù)緩存，數(shù)據(jù)中心等。

疑惑一：在AnyCast網(wǎng)絡(luò)中多個(gè)主機(jī)用同一個(gè)IP，這豈不是IP地址沖突了？

解惑：首先，每一個(gè)節(jié)點(diǎn)主機(jī)處在不同的地理位置，相互之間不在同一個(gè)廣播域內(nèi)。所以把所有主機(jī)配置成相同的IP地址并不會(huì)引起我們?nèi)粘Ｋ�見的IP地址沖突；

其次，在僅僅配置相同IP之外，還需要借助BGP協(xié)議進(jìn)行地址宣告，通過(guò)BGP，各個(gè)站點(diǎn)向Internet宣告相同的AnyCast IP地址。

疑惑二：具有多條到達(dá)目的的路徑，且具有相同Anycast IP地址的Prefix，數(shù)據(jù)包如何做到就近路由選址的呢？。

解惑：當(dāng)用戶的DNS（數(shù)據(jù)）請(qǐng)求到達(dá)運(yùn)營(yíng)商的寬帶路由器以后，運(yùn)營(yíng)商的路由器會(huì)根據(jù)BGP的選路原則選擇到達(dá)目的的最優(yōu)路徑。在用戶寬帶運(yùn)營(yíng)商和DNS服務(wù)器Internet運(yùn)營(yíng)商相同的情況下，最終會(huì)以IGP metric為關(guān)鍵因素來(lái)決定哪個(gè)DNS服務(wù)器給用戶提供服務(wù)。而IGP的 Metric某種程度上就是物理距離的代表，從而實(shí)現(xiàn)就近原則。

4.1 場(chǎng)景一：基于IP Anycast＋BGP的DNS部署

背景：假設(shè)部署三個(gè)DNS服務(wù)器站點(diǎn)，地點(diǎn)分別在北京、上海、廣州，且服務(wù)于全國(guó)的DNS解析。

常規(guī)方案：為了實(shí)現(xiàn)三個(gè)DNS服務(wù)器負(fù)載均衡，通常會(huì)考慮到使用硬件負(fù)載均衡設(shè)備，例如常見的F5負(fù)載均衡設(shè)備等。

方案缺陷：

網(wǎng)絡(luò)流量瓶頸：所有的流量都需要先通過(guò)負(fù)載均衡設(shè)備，而硬件設(shè)備本身的吞吐量決定了整個(gè)網(wǎng)絡(luò)環(huán)境的吞吐量。

高昂的硬件成本：為了實(shí)現(xiàn)全國(guó)的流量負(fù)載均衡，需要極大吞吐量的硬件設(shè)備，從而大大提高了部署成本。

AnyCast方案：

方案優(yōu)點(diǎn)：通過(guò)AnyCast技術(shù)，無(wú)需要借助任何第三方負(fù)載均衡器，就可以輕松達(dá)到負(fù)載均衡的效果，同時(shí)還提供了冗余和高可靠性。

方案實(shí)施：

通過(guò)配置三個(gè)DNS站點(diǎn)的服務(wù)器IP為相同IP，例如1.1.1.1/32。然后通過(guò)各個(gè)站點(diǎn)的BGP對(duì)互聯(lián)網(wǎng)宣告1.1.1.0/24的網(wǎng)段。

以上步驟完成以后，互聯(lián)網(wǎng)路由表針對(duì)1.1.1.1/24會(huì)有三個(gè)不同的出口路由器，分別是北京，上海，廣州。

假設(shè)現(xiàn)有用戶都使用1.1.1.1作為DNS服務(wù)器，依據(jù)就近原則，若用戶地域?yàn)闁|北，則會(huì)優(yōu)先采用北京DNS服務(wù)器進(jìn)行解析。

同理，貴陽(yáng)的寬帶路由器通過(guò)查看BGP路由，發(fā)現(xiàn)1.1.1.1出口最優(yōu)路由是在廣州，那么貴陽(yáng)用戶的DNS數(shù)據(jù)包將被發(fā)送給廣州的DNS服務(wù)器。而江南一帶的則是上海DNS服務(wù)器負(fù)責(zé)提供解析服務(wù)。

故障容災(zāi)：

若三臺(tái)DNS服務(wù)器中某一臺(tái)出現(xiàn)故障，如廣東DNS服務(wù)宕機(jī)，BGP協(xié)議會(huì)立即停止通告此1.1.1.0/24的網(wǎng)段，Internet路由表將會(huì)只有北京和上海的DNS可供選擇。

此時(shí)原廣東DNS服務(wù)的用戶將再次根據(jù)“就近原則”選擇其他DNS服務(wù)器，例如上海DNS，從而達(dá)到業(yè)務(wù)的平滑遷移和服務(wù)的高可用性。

總結(jié)結(jié)論：

全國(guó)用戶最終會(huì)根據(jù)距離DNS服務(wù)器的遠(yuǎn)近來(lái)判斷使用哪個(gè)DNS服務(wù)器做域名解析；

從DNS角度來(lái)說(shuō)，正因?yàn)椴煌�的地理位置用戶�?huì)根據(jù)就近路由判斷，從而選擇不同的DNS服務(wù)器，最終會(huì)使三臺(tái)DNS服務(wù)器達(dá)到負(fù)載均衡的效果；

若其中某一個(gè)節(jié)點(diǎn)出現(xiàn)故障以后，業(yè)務(wù)會(huì)立即自動(dòng)遷移到其他可用的節(jié)點(diǎn)上，從而避免網(wǎng)路服務(wù)故障。

4.2 場(chǎng)景二：防范DDOS攻擊

4.2.1 DDoS簡(jiǎn)述

DoS攻擊是指故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過(guò)野蠻手段殘忍地耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問(wèn)，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰。

DDoS（分布式拒絕服務(wù)）指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，同時(shí)對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊。

DDOS攻擊主要分為三類：流量型攻擊；連接型攻擊；特殊協(xié)議缺陷。

最常見的為流量型攻擊，當(dāng)大規(guī)模異常流量涌入時(shí)，會(huì)占用運(yùn)營(yíng)商核心MPLS網(wǎng)路帶寬，同時(shí)這種洪泛攻擊會(huì)給客戶網(wǎng)絡(luò)造成短時(shí)間的癱瘓。

案例參考：以NTP協(xié)議為例，NTP協(xié)議基于C/S模式，客戶發(fā)起NTP時(shí)間查詢申請(qǐng)，服務(wù)器響應(yīng)NTP查詢。假設(shè)有成千上萬(wàn)的僵尸主機(jī)紛紛偽造如下數(shù)據(jù)包并不斷連續(xù)發(fā)送給全球NTP服務(wù)器：

偽造源地址：1.2.3.4 #此地址為真正需要攻擊的地址

目標(biāo)地址：全球各個(gè)NTP服務(wù)器地址 #大批量提供響應(yīng)的節(jié)點(diǎn)

當(dāng)全球各地的NTP服務(wù)器收到此查詢以后，它會(huì)把查詢結(jié)果發(fā)送回給真正的被攻擊者1.2.3.4，此時(shí)IP地址為1.2.3.4的受害者收到全世界的NTP服務(wù)器發(fā)過(guò)來(lái)的數(shù)據(jù)包時(shí)，其有限的帶寬鏈路就很容易產(chǎn)生擁塞并造成服務(wù)中斷。受到的DDoS攻擊流量=虛假數(shù)據(jù)包發(fā)送數(shù)量x全世界NTP服務(wù)器的數(shù)量。

4.2.2 AnyCast防范DDOS攻擊

DDOS攻擊最關(guān)鍵是需要把所有地理位置分散的小流量最終匯集為一個(gè)巨大的流量，從而發(fā)起攻擊。

在AnyCast環(huán)境下，由于多個(gè)地理位置不同的主機(jī)同時(shí)使用同一個(gè)IP地址。因此，DDOS攻擊流量在穿越運(yùn)營(yíng)商路由器時(shí)，路由器會(huì)根據(jù)地理位置遠(yuǎn)近把數(shù)據(jù)包路由到距離源地址最近的受害者主機(jī)站點(diǎn)，從而間接又再次分散了整個(gè)DDOS流量。

如上案例，假設(shè)IP地址為1.2.3.4的受害者采用了AnyCast協(xié)議部署網(wǎng)絡(luò)，其服務(wù)器分布在全國(guó)各地。當(dāng)DDOS洪流攻擊時(shí)，不同的NTP服務(wù)器根據(jù)路由選擇，把流量發(fā)送到距離NTP服務(wù)器最近的受害者服務(wù)器上。最終，大流量的攻擊被逐步分解。

4.3 場(chǎng)景三：大型企業(yè)CDN部署

AnyCast在大型企業(yè)中也常用于CDN部署，采用了Anycast技術(shù)為用戶提供距離用戶最近的Cache服務(wù)器，可大大提高了用戶的服務(wù)體驗(yàn)。在全球建設(shè)了多個(gè)數(shù)據(jù)中心，憑借于AnyCast的高冗余性，任何一個(gè)數(shù)據(jù)中心出現(xiàn)網(wǎng)絡(luò)、系統(tǒng)故障。均不會(huì)影響客戶體驗(yàn)度，所有當(dāng)?shù)氐目蛻袅髁繒?huì)自動(dòng)路由到其他就近的數(shù)據(jù)中心。相對(duì)傳統(tǒng)企業(yè)網(wǎng)絡(luò)面對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)故障的脆弱性，Anycast具有很強(qiáng)的優(yōu)勢(shì)。

4.4 場(chǎng)景四：時(shí)延敏感度高的內(nèi)容服務(wù)業(yè)務(wù)

針對(duì)https/tcp等對(duì)時(shí)延敏感的協(xié)議（涉及多次握手的協(xié)議），由于用戶位置流動(dòng)，而數(shù)據(jù)中心相對(duì)固定，因此會(huì)隨著用戶的移動(dòng)，體驗(yàn)可能出現(xiàn)嚴(yán)重下降。

基于以上背景，可在全球有相關(guān)業(yè)務(wù)的地址位置部署小型數(shù)據(jù)中心，所有小型數(shù)據(jù)中心和總部數(shù)據(jù)中心保持長(zhǎng)期穩(wěn)定的TCP會(huì)話連接。當(dāng)相對(duì)于總部的遠(yuǎn)端用戶訪問(wèn)服務(wù)時(shí)，TCP連接實(shí)際是發(fā)送至用戶當(dāng)?shù)氐男⌒蛿?shù)據(jù)中心，從而降低了訪問(wèn)延時(shí)，提高了用戶體驗(yàn)度。

在全球大規(guī)模部署多個(gè)節(jié)點(diǎn)時(shí)，為了確保用戶能就近訪問(wèn)所在地的數(shù)據(jù)中心，可把所有小型數(shù)據(jù)中心的IP采用相同地址，通過(guò)BGP發(fā)布至Internet。

當(dāng)用戶訪問(wèn)服務(wù)時(shí)，DNS解析會(huì)返回此小型數(shù)據(jù)中心的IP，然后用戶運(yùn)營(yíng)商會(huì)根據(jù)就近原則路由用戶數(shù)據(jù)到最近的小型數(shù)據(jù)中心，從而達(dá)到了上面所述的優(yōu)化延遲的目的。

五、AnyCast總結(jié)

5.1 優(yōu)點(diǎn)

AnyCast可以零成本實(shí)現(xiàn)負(fù)載均衡，同時(shí)對(duì)于客戶端而言是透明的，且無(wú)視流量大��；

AnyCast是非常有效的DDOS防御措施，采用了逐層分解的思想；

部署AnyCast可以獲得設(shè)備的高冗余性和可用性，即當(dāng)任意目的節(jié)點(diǎn)異常時(shí)，可自動(dòng)路由到就近目的節(jié)點(diǎn)；

AnyCast適用于無(wú)連接的UDP，以及有連接的TCP協(xié)議；

基于AnyCast的特性——就近原則，很大程度上提升了客戶端的響應(yīng)速度。

5.2 缺點(diǎn)

AnyCast嚴(yán)重依賴于BGP的選路原則，在整個(gè)Internet網(wǎng)絡(luò)拓?fù)鋸?fù)雜的情況下，可能導(dǎo)致次優(yōu)路由選擇。

參考：https://blog.csdn.net/enweitech/article/details/79778528

買阿里云、騰訊云、華為云產(chǎn)品找天 下 數(shù) 據(jù)，可享受高折扣、高額返現(xiàn)優(yōu)惠。詳詢客服電話400-638-8808 官網(wǎng)：51huadong.com。

本文鏈接：http://51huadong.com/cloundnews/11005713.html