BGP Private và Public AS Range – Vì sao một số ASN không bao giờ được phép xuất hiện trên Internet?

Trong quá trình học và triển khai BGP, nhiều kỹ sư thường thấy các AS Number như:

• 65000
• 64512
• 4200000000

Nhưng không phải ASN nào cũng được phép sử dụng giống nhau.

Trong BGP, Autonomous System Number được chia thành hai nhóm chính:

• Public AS
• Private AS

Đây là một khái niệm cực kỳ quan trọng trong thiết kế hệ thống mạng Enterprise, MPLS và Service Provider.

Public AS là gì?

Public AS là ASN được cấp phát chính thức bởi IANA hoặc Regional Internet Registry (RIR).

Các ASN này:

• Có tính duy nhất toàn cầu
• Được sử dụng trên Internet public
• Dùng cho ISP, Data Center, Cloud Provider hoặc Enterprise kết nối Internet trực tiếp

Ví dụ:

• AS 15169 của Google
• AS 13335 của Cloudflare
• AS 16509 của AWS

Khi một ASN public xuất hiện trên Internet:

• Tất cả ISP khác đều có thể nhìn thấy
• Route có thể được quảng bá toàn cầu

Điều này giúp Internet hoạt động như một hệ thống routing liên kết giữa hàng chục nghìn AS khác nhau.

Private AS là gì?

Private AS là ASN chỉ được sử dụng nội bộ và không được phép quảng bá ra Internet public.

Mục đích chính:

• Dùng cho Enterprise nội bộ
• Môi trường lab
• MPLS VPN
• Multi-site WAN
• Các hệ thống chưa cần ASN public

Dải Private AS truyền thống:

• 64512 – 65534

Với 4-byte ASN:

• 4200000000 – 4294967294

Điểm quan trọng nhất:

Private AS không được phép xuất hiện trên Internet routing table.

Tại sao?

Vì Private ASN có thể bị trùng giữa nhiều tổ chức khác nhau.

Ví dụ:

• Công ty A dùng AS 65000
• Công ty B cũng dùng AS 65000

Nếu cả hai cùng advertise ra Internet:

• BGP sẽ không phân biệt được
• Dễ gây loop hoặc route ambiguity

Do đó:
ISP thường sẽ remove private AS trước khi quảng bá route ra Internet.

Đây là lý do xuất hiện của cơ chế:

remove-private-as

Ví dụ cấu hình:
router bgp 100
neighbor 1.1.1.1 remove-private-as

Lệnh này giúp:

• Xóa ASN private khỏi AS-PATH
• Tránh leak private ASN ra ngoài Internet

Ví dụ thực tế:

Một doanh nghiệp dùng:

• AS 65001 nội bộ

Kết nối tới ISP:

• AS 12345

Nếu không remove-private-as:

• ISP có thể thấy AS 65001 trong AS-PATH
• Một số ISP sẽ reject route
• Một số policy Internet routing sẽ chặn route này

Sau khi bật remove-private-as:

• AS private được loại bỏ
• Route trở nên hợp lệ trên Internet public

Một điểm rất hay trong BGP là:

AS-PATH không chỉ dùng để chống loop.

Nó còn giúp:

• Xác định phạm vi quản trị
• Kiểm soát policy
• Xác minh nguồn route
• Phân tích topology liên AS

Vì vậy việc sử dụng đúng loại ASN là cực kỳ quan trọng.

Trong tài liệu lab:

• eBGP được triển khai giữa Enterprise và ISP
• Private ASN được quảng bá thử nghiệm
• Quan sát AS-PATH trước và sau khi remove-private-as
• Phân tích behavior của BGP update

Kết quả cho thấy:

• Route vẫn hoạt động nội bộ với private ASN
• Nhưng trước khi đi Internet, ASN private cần được loại bỏ

Đây là chủ đề nền tảng nhưng cực kỳ quan trọng trong:

• CCNP Enterprise
• CCIE Enterprise Infrastructure
• MPLS VPN
• Service Provider
• Internet Routing

Rất nhiều lỗi BGP ngoài thực tế xuất phát từ:

• Leak private ASN
• Sai policy AS-PATH
• Không remove-private-as
• Thiết kế ASN không đúng chuẩn

Một hệ thống BGP ổn định không chỉ nằm ở việc route reachable, mà còn nằm ở cách ASN được thiết kế và kiểm soát xuyên suốt toàn bộ kiến trúc mạng.

vnpro vnpronews bgp cisco ccnp ccie routing #ASNumber #ServiceProvider #NetworkEngineering
​