Je suis Charlie

Autres trucs

Accueil

Seulement les RFC

Seulement les fiches de lecture

Ève

Des numéros d'AS attribués deux fois à des organismes différents

Première rédaction de cet article le 24 novembre 2009
Dernière mise à jour le 21 décembre 2009


Il existe un certain nombre de ressources virtuelles sur l'Internet qui doivent être uniques. Les noms de domaine, par exemple. Pour cela, toute une infrastructure est mise en place, en partant de l'IANA, pour s'assurer de cette unicité. Mais cette infrastructure peut cafouiller, comme en août dernier où des numéros d'AS ont été attribués deux fois...

Le numéro d'AS est utilisé dans des protocoles comme BGP. Il identifie de manière (normalement) unique un système autonome qui est une collection de réseaux gérés par la même entité (typiquement, un opérateur réseau). C'est ainsi que PCH, par exemple, a le numéro 42. On peut trouver des informations liées à un numéro d'AS avec whois, par exemple, pour un AS de mon employeur :

% whois -h whois.ripe.net AS2486
...
aut-num:        AS2486
as-name:        NIC-FR-DNS-TH2
descr:          AFNIC
remarks:        Peering:   peering@nic.fr
remarks:        NOC:       noc@nic.fr
...

Normalement, pour que BGP fonctionne, un numéro d'AS doit être unique au niveau mondial. L'IANA alloue des plages de numéros contigus à des RIR qui les affecte ensuite à leurs membres et aux clients de ceux-ci. L'AS 2486, cité plus haut, a ainsi été délégué par le RIPE-NCC à l'AFNIC.

Mais cette unicité suppose un minimum d'attention de la part des RIR et il vient d'y avoir un gros cafouillage. Toute une plage (de l'AS 1708 au 1726), avait été transférée du RIPE-NCC à l'ARIN sans faire attention aux faits qu'ils étaient déjà alloués (voir https://www.iana.org/assignments/as-numbers/). En août 2009, l'ARIN a commencé à les affecter et des collisions se sont déjà produites. Ansi, l'AS 1712 « appartient » désormais à la fois à Télécom Paris Tech et à un opérateur texan :


% whois -h whois.ripe.net AS1712

aut-num:        AS1712
as-name:        FR-RENATER-ENST
descr:          Ecole Nationale Superieure des Telecommunications,
descr:          Paris, France.
descr:          FR

% whois -h whois.arin.net AS1712

OrgName:    Twilight Communications
City:       Wallis
StateProv:  TX
Country:    US

Et le 1715 est à la fois à REMIP et chez un new-yorkais qui fait des placements dans les paradis fiscaux :

% whois -h whois.ripe.net AS1715

aut-num:        AS1715
as-name:        FR-REMIP2000
descr:          REMIP 2000 Autonomous System
descr:          Metropolitan Network
descr:          Toulouse City France
descr:          FR

%  whois -h whois.arin.net AS1715

OrgName:    Harrier Hawk Management LLC 
City:       New York
StateProv:  NY
Country:    US

Une telle erreur est grave dans son principe et indique un sérieux cafouillage du système des RIR. Quelles sont ses conséquences pratiques ? Les deux AS jumeaux ne peuvent pas se voir l'un l'autre, car les annonces BGP entrantes de l'« autre » sont refusées, BGP interprétant la présence de son propre AS dans le chemin comme le signe d'une boucle. Par contre, les autres AS peuvent voir les deux annonces, qui portent sur des préfixes d'adresses IP différents. Voici un préfixe de Twilight et un de Télécom Paris Tech / ENST, depuis un site tiers (rappel : les chemins d'AS se lisent de droite à gauche, comme les mangas, l'AS d'origine est donc le plus à droite) :

% bgproute 74.118.148.1   
AS path: 3277 3267 174 701 1712
Route: 74.118.148.0/22

% bgproute 137.194.2.1 
AS path: 293 20965 2200 2422 1712
Route: 137.194.0.0/16

La solution adoptée (et annoncée officiellement le 26 novembre) a été d'annuler les allocations faites par ARIN, les plus récentes. Au 21 décembre, cela n'était réalisé que pour 5 AS sur 19 (ce qui n'est pas étonnant, les clients d'ARIN qui ont reçu ces numéros ne sont évidemment pas enthousiastes à l'idée de renuméroter).

Pour les prochaines fois, les RIR se sont engagés à faire ce que n'a pas fait ARIN : tester, avant d'affecter un numéro d'AS, s'il est dans les bases des autres RIR, et s'il est utilisé dans la table de routage BGP globale (s'il est annoncé, ce qui n'est pas le cas de tous les AS).

Merci à Jean-Louis Rougier, Éric Elena et Pierre Beyssac pour le diagnostic et l'analyse. Un article ultérieur de Renesys montre qu'il existe d'autres problèmes de conflit de numéro d'AS, en général bien moins graves et plutôt dûs à des problèmes internes aux entreprises, liés aux divers rachats et fusions..

Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)

Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)