一、常見通信方式

1.1 UniCastAnyCast

UniCast，即單播，指網(wǎng)絡中一個節(jié)點與另一個節(jié)點之間需要建立一個單獨的數(shù)據(jù)通道，從一個節(jié)點發(fā)出的信息只被一個節(jié)點收到，這種傳送方式稱為單播。即網(wǎng)絡中從源向目的地轉(zhuǎn)發(fā)單播流量的過程，IP地址與節(jié)點（主機）一一對應，單播流量地址唯一。每個節(jié)點必須分別對需要訪問的節(jié)點發(fā)送單獨的查詢，而被訪問節(jié)點必須向每個訪問節(jié)點發(fā)送所申請的數(shù)據(jù)包拷貝。

1.2 MultiCast

MultiCast，即多播，指網(wǎng)絡中一個節(jié)點發(fā)出的信息被多個節(jié)點（一組節(jié)點）接受。這種技術用于多媒體應用、多用戶交互（如聊天室）、軟件分發(fā)等，相比與傳統(tǒng)的UniCast可以大大提高效率。在子網(wǎng)內(nèi)實現(xiàn)MultiCast較為簡單，跨越子網(wǎng)時需要Route 、Gateway等設備的支持。

1.3 BroadCast

BroadCast，即廣播，指網(wǎng)絡中一個節(jié)點發(fā)出的信息被網(wǎng)絡中的所有可能（通常的同子網(wǎng)下）的節(jié)點接受。網(wǎng)絡設備簡單地將它接收到的任何廣播報文副本轉(zhuǎn)發(fā)到除該報文到達的接口以外的每個接口。

二、什么是BGP AnyCast

AnyCast，也稱任意播，或泛播，指IPV6協(xié)議中一個發(fā)送方同最近的一組接收方之間的通信。BGP AnyCast就是利用一個（或多個）AS號碼在不同的地區(qū)廣播相同的一個IP段。即不同地區(qū)若干個AS號廣播同一個IP（段）。

Any Cast IP擁有MultiCast和UniCast各自的部分特性：

從宏觀上來說，AnyCast類似于MultiCast，同一種類型的數(shù)據(jù)流同時存在多個接收者。

而從微觀上來說，AnyCast又有著UniCast的唯一性。每一個單獨的IP會話都能夠找到唯一的源主機和目標主機（最終通信雙方唯一），如下圖所示。

即在AnyCast環(huán)境下，同時存在多個有效的數(shù)據(jù)包接收端，但具體一個特定IP數(shù)據(jù)包而言，僅有一個接收端主機收到了此數(shù)據(jù)包。

AnyCast利用BGP的尋路原則，短的AS PATH會選成最優(yōu)路徑（BGP尋路原則之一），從而優(yōu)化了訪問速度。

即可多個不同服務器使用了相同的IP地址（該地址即這一組主機的共享單播地址）的一種技術。當發(fā)送方發(fā)送報文給這個共享單播地址時，報文會根據(jù)路由協(xié)議路由到這一組主機中離發(fā)送方最近的一臺，所以這個技術也可以用來做負載均衡。

三、AnyCast技術特點

AnyCast的定義是：當一個單播地址被分配到多于一個的接口上（即目的地址不是唯一）時，發(fā)到該接口的報文被網(wǎng)絡路由到由路由協(xié)議度量的“最近”的目標接口（某個節(jié)點）上。

AnyCast允許源節(jié)點向一組目標節(jié)點中的一個節(jié)點發(fā)送數(shù)據(jù)報，而這個節(jié)點由路由系統(tǒng)選擇，對源節(jié)點透明。

同時，路由系統(tǒng)選擇“最近”的節(jié)點為源節(jié)點提供服務，從而在一定程度上為源節(jié)點提供了更好的服務也減輕了網(wǎng)絡負載。AnyCast分布的服務節(jié)點共享相同的IP地址，同時在IP層進行透明的服務定位，這使得各種網(wǎng)絡服務特別是應用層服務具有更強的透明性，如DNS（DomainNameSystem，域名系統(tǒng)），用戶不需要特殊配置也不用關心訪問的是哪一臺DNS服務器。

其次，路由系統(tǒng)選擇了“最近”的服務，縮短了服務響應的時間，同時減輕了網(wǎng)絡負載。

最后，相同的服務在網(wǎng)絡上冗余分布，路由系統(tǒng)可以提供機制選擇負載相對輕的帶寬相對高的路徑來轉(zhuǎn)發(fā)報文，這樣就給用戶帶來了兩個方面的好處：

減弱了分布式拒絕服務攻擊（DDoS：DistributedDenialofService）對用戶帶來的影響。當AnyCast組中某一個成員或者幾個成員受到攻擊時，負責報文轉(zhuǎn)發(fā)的路由器可以根據(jù)各個組成員的響應時間來決定報文應該轉(zhuǎn)發(fā)到哪個成員上，而受到攻擊的成員由于沒有響應，所以報文就不會被轉(zhuǎn)發(fā)到此節(jié)點，同時，由于AnyCast提供的服務訪問透明性，組成員也相對較難受到DDoS攻擊。

減弱了網(wǎng)絡擁塞給用戶帶來的影響，當AnyCast的某些組成員處在擁塞的網(wǎng)段時，它的響應時間就較長，報文可以被轉(zhuǎn)發(fā)到響應較好的成員那里，對于最終用戶而言是無感知的。

四、AnyCast應用場景

AnyCast主要應用于大范圍的DNS部署，CDN數(shù)據(jù)緩存，數(shù)據(jù)中心等。

疑惑一：在AnyCast網(wǎng)絡中多個主機用同一個IP，這豈不是IP地址沖突了？

解惑：首先，每一個節(jié)點主機處在不同的地理位置，相互之間不在同一個廣播域內(nèi)。所以把所有主機配置成相同的IP地址并不會引起我們?nèi)粘Ｋ�見的IP地址沖突；

其次，在僅僅配置相同IP之外，還需要借助BGP協(xié)議進行地址宣告，通過BGP，各個站點向Internet宣告相同的AnyCast IP地址。

疑惑二：具有多條到達目的的路徑，且具有相同Anycast IP地址的Prefix，數(shù)據(jù)包如何做到就近路由選址的呢？。

解惑：當用戶的DNS（數(shù)據(jù)）請求到達運營商的寬帶路由器以后，運營商的路由器會根據(jù)BGP的選路原則選擇到達目的的最優(yōu)路徑。在用戶寬帶運營商和DNS服務器Internet運營商相同的情況下，最終會以IGP metric為關鍵因素來決定哪個DNS服務器給用戶提供服務。而IGP的 Metric某種程度上就是物理距離的代表，從而實現(xiàn)就近原則。

4.1 場景一：基于IP Anycast＋BGP的DNS部署

背景：假設部署三個DNS服務器站點，地點分別在北京、上海、廣州，且服務于全國的DNS解析。

常規(guī)方案：為了實現(xiàn)三個DNS服務器負載均衡，通常會考慮到使用硬件負載均衡設備，例如常見的F5負載均衡設備等。

方案缺陷：

網(wǎng)絡流量瓶頸：所有的流量都需要先通過負載均衡設備，而硬件設備本身的吞吐量決定了整個網(wǎng)絡環(huán)境的吞吐量。

高昂的硬件成本：為了實現(xiàn)全國的流量負載均衡，需要極大吞吐量的硬件設備，從而大大提高了部署成本。

AnyCast方案：

方案優(yōu)點：通過AnyCast技術，無需要借助任何第三方負載均衡器，就可以輕松達到負載均衡的效果，同時還提供了冗余和高可靠性。

方案實施：

通過配置三個DNS站點的服務器IP為相同IP，例如1.1.1.1/32。然后通過各個站點的BGP對互聯(lián)網(wǎng)宣告1.1.1.0/24的網(wǎng)段。

以上步驟完成以后，互聯(lián)網(wǎng)路由表針對1.1.1.1/24會有三個不同的出口路由器，分別是北京，上海，廣州。

假設現(xiàn)有用戶都使用1.1.1.1作為DNS服務器，依據(jù)就近原則，若用戶地域為東北，則會優(yōu)先采用北京DNS服務器進行解析。

同理，貴陽的寬帶路由器通過查看BGP路由，發(fā)現(xiàn)1.1.1.1出口最優(yōu)路由是在廣州，那么貴陽用戶的DNS數(shù)據(jù)包將被發(fā)送給廣州的DNS服務器。而江南一帶的則是上海DNS服務器負責提供解析服務。

故障容災：

若三臺DNS服務器中某一臺出現(xiàn)故障，如廣東DNS服務宕機，BGP協(xié)議會立即停止通告此1.1.1.0/24的網(wǎng)段，Internet路由表將會只有北京和上海的DNS可供選擇。

此時原廣東DNS服務的用戶將再次根據(jù)“就近原則”選擇其他DNS服務器，例如上海DNS，從而達到業(yè)務的平滑遷移和服務的高可用性。

總結(jié)結(jié)論：

全國用戶最終會根據(jù)距離DNS服務器的遠近來判斷使用哪個DNS服務器做域名解析；

從DNS角度來說，正因為不同的地理位置用戶會根據(jù)就近路由判斷，從而選擇不同的DNS服務器，最終會使三臺DNS服務器達到負載均衡的效果；

若其中某一個節(jié)點出現(xiàn)故障以后，業(yè)務會立即自動遷移到其他可用的節(jié)點上，從而避免網(wǎng)路服務故障。

4.2 場景二：防范DDOS攻擊

4.2.1 DDoS簡述

DoS攻擊是指故意的攻擊網(wǎng)絡協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，目的是讓目標計算機或網(wǎng)絡無法提供正常的服務或資源訪問，使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰。

DDoS（分布式拒絕服務）指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，同時對一個或多個目標發(fā)動DoS攻擊。

DDOS攻擊主要分為三類：流量型攻擊；連接型攻擊；特殊協(xié)議缺陷。

最常見的為流量型攻擊，當大規(guī)模異常流量涌入時，會占用運營商核心MPLS網(wǎng)路帶寬，同時這種洪泛攻擊會給客戶網(wǎng)絡造成短時間的癱瘓。

案例參考：以NTP協(xié)議為例，NTP協(xié)議基于C/S模式，客戶發(fā)起NTP時間查詢申請，服務器響應NTP查詢。假設有成千上萬的僵尸主機紛紛偽造如下數(shù)據(jù)包并不斷連續(xù)發(fā)送給全球NTP服務器：

偽造源地址：1.2.3.4 #此地址為真正需要攻擊的地址

目標地址：全球各個NTP服務器地址 #大批量提供響應的節(jié)點

當全球各地的NTP服務器收到此查詢以后，它會把查詢結(jié)果發(fā)送回給真正的被攻擊者1.2.3.4，此時IP地址為1.2.3.4的受害者收到全世界的NTP服務器發(fā)過來的數(shù)據(jù)包時，其有限的帶寬鏈路就很容易產(chǎn)生擁塞并造成服務中斷。受到的DDoS攻擊流量=虛假數(shù)據(jù)包發(fā)送數(shù)量x全世界NTP服務器的數(shù)量。

4.2.2 AnyCast防范DDOS攻擊

DDOS攻擊最關鍵是需要把所有地理位置分散的小流量最終匯集為一個巨大的流量，從而發(fā)起攻擊。

在AnyCast環(huán)境下，由于多個地理位置不同的主機同時使用同一個IP地址。因此，DDOS攻擊流量在穿越運營商路由器時，路由器會根據(jù)地理位置遠近把數(shù)據(jù)包路由到距離源地址最近的受害者主機站點，從而間接又再次分散了整個DDOS流量。

如上案例，假設IP地址為1.2.3.4的受害者采用了AnyCast協(xié)議部署網(wǎng)絡，其服務器分布在全國各地。當DDOS洪流攻擊時，不同的NTP服務器根據(jù)路由選擇，把流量發(fā)送到距離NTP服務器最近的受害者服務器上。最終，大流量的攻擊被逐步分解。

4.3 場景三：大型企業(yè)CDN部署

AnyCast在大型企業(yè)中也常用于CDN部署，采用了Anycast技術為用戶提供距離用戶最近的Cache服務器，可大大提高了用戶的服務體驗。在全球建設了多個數(shù)據(jù)中心，憑借于AnyCast的高冗余性，任何一個數(shù)據(jù)中心出現(xiàn)網(wǎng)絡、系統(tǒng)故障。均不會影響客戶體驗度，所有當?shù)氐目蛻袅髁繒�自動路由到其他就近的�?shù)據(jù)中心。相對傳統(tǒng)企業(yè)網(wǎng)絡面對網(wǎng)絡節(jié)點故障的脆弱性，Anycast具有很強的優(yōu)勢。

4.4 場景四：時延敏感度高的內(nèi)容服務業(yè)務

針對https/tcp等對時延敏感的協(xié)議（涉及多次握手的協(xié)議），由于用戶位置流動，而數(shù)據(jù)中心相對固定，因此會隨著用戶的移動，體驗可能出現(xiàn)嚴重下降。

基于以上背景，可在全球有相關業(yè)務的地址位置部署小型數(shù)據(jù)中心，所有小型數(shù)據(jù)中心和總部數(shù)據(jù)中心保持長期穩(wěn)定的TCP會話連接。當相對于總部的遠端用戶訪問服務時，TCP連接實際是發(fā)送至用戶當?shù)氐男⌒蛿?shù)據(jù)中心，從而降低了訪問延時，提高了用戶體驗度。

在全球大規(guī)模部署多個節(jié)點時，為了確保用戶能就近訪問所在地的數(shù)據(jù)中心，可把所有小型數(shù)據(jù)中心的IP采用相同地址，通過BGP發(fā)布至Internet。

當用戶訪問服務時，DNS解析會返回此小型數(shù)據(jù)中心的IP，然后用戶運營商會根據(jù)就近原則路由用戶數(shù)據(jù)到最近的小型數(shù)據(jù)中心，從而達到了上面所述的優(yōu)化延遲的目的。

五、AnyCast總結(jié)

5.1 優(yōu)點

AnyCast可以零成本實現(xiàn)負載均衡，同時對于客戶端而言是透明的，且無視流量大��；

AnyCast是非常有效的DDOS防御措施，采用了逐層分解的思想；

部署AnyCast可以獲得設備的高冗余性和可用性，即當任意目的節(jié)點異常時，可自動路由到就近目的節(jié)點；

AnyCast適用于無連接的UDP，以及有連接的TCP協(xié)議；

基于AnyCast的特性——就近原則，很大程度上提升了客戶端的響應速度。

5.2 缺點

AnyCast嚴重依賴于BGP的選路原則，在整個Internet網(wǎng)絡拓撲復雜的情況下，可能導致次優(yōu)路由選擇。

參考：https://blog.csdn.net/enweitech/article/details/79778528

買阿里云、騰訊云、華為云產(chǎn)品找天 下 數(shù) 據(jù)，可享受高折扣、高額返現(xiàn)優(yōu)惠。詳詢客服電話400-638-8808 官網(wǎng)：m.51huadong.com。

本文鏈接：http://m.51huadong.com/cloundnews/11005713.html