IP地址实际上是如何分配的？

我很难理解理事机构如何分配IP地址，公司如何使用BGP宣传这些IP以及互联网如何工作。那么，DNS到底从哪里来？

谁能建议您很好地阅读这些东西的实际工作原理？我想我有几个问题。首先是，ARIN（或任何其他管理机构）是否真的重要？如果他们不在附近，会不会有混乱？当他们分配一个块时，他们不是完全分配它吗？您必须使用BGP做广告，对吗？我一直习惯于封闭的托管环境（专用/共享），在该环境中您已经路由了IP。

那么，DNS如何发挥作用？通过我的注册商，我可以注册DNS服务器（eNom）-这实际上是什么意思？我已经安装了Bind并完成了所有这些工作，并且运行了自己的DNS服务器，但是他们向谁注册该DNS服务器？我就是不明白。

我觉得这是我应该知道的事情，但我不知道，我真的很沮丧。就像..简单..互联网如何工作？从分配IP到路由它们的公司，再到DNS。

我想我有一个例子-我有这个IP空间，例如158.124.0.0/16。该公司拥有158.124.0.0/17面向互联网。（首先，为什么公司要分配IP地址块然后不使用它们？为什么他们不使用保留的内部空间10.x和192.x？）。所以，这就是我的所在。我如何做才能使这些IP真正在Internet上可用？假设我在芝加哥有一个数据中心，在纽约有一个数据中心。我无法上传图片，但可以在此处链接图片：http : //begolli.com/wp-content/gallery/tech/internetworkings.png

我只是想了解如何将IP块分配给使用BGP的公司（获得公共AS＃？），然后如何使用DNS？

我的照片看起来像什么？我试图整理一个场景，不确定我是否做得很好。

租用的IP块

IP由IANA逐块分配给区域Internet注册表（RIR）。请参阅此RIR （列表和地图）。然后，RIR将较小的块IP出租给各个公司（通常是ISP）。有一些要求（包括费用和使用证明）才能获得分配，而不能保持这些要求则意味着租赁损失。

一旦公司从RIR租用了一个或多个区块，他们就需要某种方法来告诉世界其他地方在哪里可以找到特定的IP（或其中的一组：子网）。这就是BGP发挥作用的地方。BGP使用大型网络概念，称为自治系统（AS）。AS知道如何在其内部进行路由。路由到另一个网络时，它仅知道AS网关以及指向这些外部地址的“下一跳”的位置。AS号也由IANA管理。

在一个甚至与ISP一样大的AS中，它们可能会使用几种路由协议（想到的是RIP，OSPF，BGP，EIGRP和ISIS）在内部路由流量。也可以使用静态路由表，但是在大多数应用程序中完全不可行。内部路由协议是一个巨大的话题，因此，我将在服务器故障上进行其他说明，以使这些话题比我在这里能说得更多。

域名解析

人们不太记得数字，因此我们发明了主机名。跳过历史记录，我们使用域命名系统（DNS）来跟踪什么主机名指向哪个IP地址。有一个中央注册表，也由IANA管理，它们确定由根服务器提供服务的根域中有哪些顶级域（TLD）（例如“ .com”或“ .net”）。IANA委派了“根区域”的管理，该管理员仅接受来自合格注册服务商的更新。

您可以使用注册服务商来“购买”域名，该域名是TLD的子域。此注册实质上创建了该子域，并为您分配了对它的名称服务器（NS）和胶水（A）记录的控制权。您将它们指向托管您的域的DNS服务器。当客户端要通过域名解析您的IP时，客户端会联系其DNS服务器，该服务器进行递归查找，从根服务器开始，找到您的DNS服务器，最后获取相关信息。

大家都同意

至于“管理机构”：每个人都同意使用它们。没有（或很少有）法律要求任何人进行合作。互联网之所以能够成功，是因为人们选择了合作。理事机构提供了轻松合作的手段。所有各种RFC，“标准”等等-没有人被迫使用它们。但是我们了解社会是建立在合作基础上的，这样做是出于我们自身的利益。

合作产生的效率与BGP流行的原因相同，每个人基本上都同意使用它。在ArpaNet时代，他们从手工配置的路由表开始。然后随着Internet的复杂性逐渐发展为更全面的系统，但是每个人都“同意”使用任何新标准。类似地，名称解析用网络将分发的主机文件说明，并最终发展成我们今天所知道的DNS系统。（“商定”用引号表示，因为多数情况下少数人提出了对新标准的要求，没有其他人有更好的选择，因此被接受）。

信任

这种合作需要非常信任IANA。如您所见，它们管理各种系统的大多数核心。IANA目前是美国政府赞助的非营利性公司（类似于美国邮局），虽然仅被删除，但它不是政府的一部分。在过去的几年中，人们担心美国政府可能会对IANA施加某些控制权，作为对其他世界政府或平民的“武器”（特别是通过SOPA和PIPA等法律，这些法律尚未获得通过，但可能成为未来法律的基础） 。

目前，IANA已通过创建新的TLD 自行筹集资金（尽管是一家非营利性公司）。一些人将“ xxx” TLD视为敲诈勒索式的筹款活动，因为很大一部分注册人都在“捍卫”自己的名字。IANA还接受了私有TLD的申请（每个18万美元；在被应用淹没后，他们暂停了申请流程，其中将近一半来自亚马逊，其中许多申请都产生了新gTLD）。

到DFZ（默认自由区）的所有公共互联网广告都是通过BGP（边界网关协议）完成的，ISP的内部路由方式各不相同。大多数人会在内部在自己的路由器之间使用BGP（BGP通常与IGSP（例如OSPF）结合使用）以及与客户端一起使用，如果您没有自己的AS编号，则可以使用私有AS进行对等您的ISP，当他们向DFZ声明您的地址空间时，他们只是从as-path中删除了私有AS。对于较小的非冗余链接，您也可以在PE上使用静态路由。实际的“分配”仅在您的注册服务商的数据库中，whois数据库，RIPE / ARIN等都为此运行自己的数据库。

尝试whois 158.124.0.0/16在Linux机器上运行命令。

DNS同样如此，反向DNS服务器在whois记录中指定。

这是一个非常老的问题，但是在弄清互联网的工作原理时，我遇到了许多相同的问题。像其他答案一样，网络书籍对BGP和DNS进行了概述，但仍然让我感到困惑。例如，a.root-servers.net到m.root-servers.net被指定为根服务器，但是，如果DNS服务本身不能使用DNS，DNS服务如何知道在哪里可以找到这些服务器。

假定该答案已知IP，子网划分，DNS等基础知识。我正在解决我以及可能是提问者关于互联网如何工作的“空白”。我绝对不是专家，但这是我对差距的理解。

IP地址

首先要注意的是，当Internet以ARPANET开头时，每个人都知道每个人，并且IP地址的路由表都是手工编码的。我假设IP的分配过程是通过电话完成的。随着Internet变得越来越大，多个网络（AS）使用BGP来通告它们具有公共IP或可以通过其AS到达另一个AS的公共IP。那里有一个信任，那就是AS不会广告他们没有的IP。

如今，人们的信任度下降了。取而代之的是，ISP可以从IANA和区域机构下载并验证对每个AS的IP分配。现在，这些下载已通过公钥加密进行了身份验证。因此，当IANA“分配IP地址”时，他们正在更改其记录（或者实际上是地区机构在更改其记录）。所有其他AS都可以下载并验证其记录。

这些记录很重要，因为ISP无法使用其他具有IP地址的ISP的字眼。ISP可以将BGP通告与经过身份验证的IP记录进行比较。如果除IANA和RIR的身份验证记录中的内容外，任何BGP公告都将最后一个AS显示为AS，则BGP公告不会更改其自己的路由。

更常见的是，流氓ISP或AS可以通过他们没有的AS通告他们有一条路由。AS1已注册IP，AS5当前使用AS5-> AS4-> AS3-> AS1-> IP。AS2向AS5通告AS5-> AS2-> AS1-> IP的路由。除了AS2实际上与AS1没有连接。它可能会丢掉数据包，也许会挫败AS1的托管客户。或者，AS2可以是一个小型公司网络，与AS5和AS1进行多宿主配置。他们的路由器配置错误，并通过小型公司网络发布了一条路径。几乎所有ISP都放弃了其BGP客户的此类广告，而仅传递终止的BGP广告。

您更有可能遇到巴基斯坦的情况，即巴基斯坦试图通过此类IP劫持来关闭巴基斯坦的YouTube，并试图关闭巴基斯坦以外的YouTube，因为巴基斯坦以外的AS认为他们的BGP广告是正确的。

最后，对于这种IP劫持并没有完美的防御。在像美国这样的大多数国家/地区，此类BGP滥用可能会因违反合同而受到惩罚，而其他ISP则必须与该AS断开对等连接。ISP 也可以忽略整个IANA和RIR设备，并将IP地址重定向到其自己的服务器。但是，假设ISP没有任何CA的私钥，那么这对任何https站点都将无效。从经济上几乎没有收益。这仅在威权主义政府中发生，例如埃及最近关闭了从国外到其ISP的所有BGP广告。

DNS服务器

一旦IP表正确，DNS就会更简单。根服务器都是DNS服务器代码中的硬核IP地址。a.root-servers.net是198.41.0.4，并且IP地址在一个AS中是任播的。对于a.root-servers.net，AS是Verisign，并且有五个不同的站点。在美国，这两个站点是纽约和洛杉矶。如果您的地址是Main Street 123，并且您说：“您在哪个城镇都没关系，请转到123 Main Street，您会发现我的其中一家商家。” 纽约州和洛杉矶的123 Main Street都会对所有顶级域名给出相同的答案。AS（在这种情况下为Verisign）内部通过OSPF，内部BGP和其他路由协议找出哪个服务器的跳数最少。因此，丹佛的路由器可能去洛杉矶，而芝加哥的路由器可能去纽约。

根服务器之一为com顶级域提供哪个IP地址。然后，该域将为yoursite.com提供域。注册商实际上与经营顶级域名的任何人都有合同。因此，如果顶级域当前没有yoursite.com的记录，则它有权使用其Who-is服务器添加记录。然后，通过注册商授予您对yoursite.com的DNS记录的访问权限，您可以将其DNS服务器中的记录更改为您的IP地址。

由于DNS都取决于将多个IP地址传送到正确的位置，因此与AS一起对IP注册表进行身份验证，然后对BGP进行身份验证时，您将遇到与以前相同的问题。这是http网站的关键。Https具有证书的附加保护。因此，ISP无法将对自己的根服务器和顶级域服务器的请求重新路由以为citibank.com提供自己的IP。如果他们这样做，则给用户的IP地址将是一个不同的IP地址，但是他们的服务器将没有花旗银行的私钥。

而且不，我不是在开玩笑（我15年前就开始读这本书，但它仍然很有意义）：http : //www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

然后，带着BGP问题回到这里=）