AS Number e BGP: cos'è un Autonomous System e come funziona il routing su Internet

Cos'è un Autonomous System

Internet non è una rete unica gestita da un'entità centrale: è un insieme di migliaia di reti indipendenti che si parlano tra loro seguendo regole precise. Ciascuna di queste reti si chiama Autonomous System (AS) — un insieme di prefissi IP sotto il controllo di un singolo operatore (un ISP, un'azienda, un data center, una università).

Ogni AS è identificato da un numero univoco, il cosiddetto ASN (Autonomous System Number). Questo numero viene assegnato dai Regional Internet Registry (RIR): in Europa è RIPE NCC a gestire le assegnazioni.

Gli ASN possono essere a 16 bit (da 1 a 65535, il formato classico) oppure a 32 bit (da 1 a 4.294.967.295), introdotti per far fronte all'esaurimento degli ASN a 16 bit. La notazione a 32 bit può essere scritta in forma dotted, ad esempio 2.1234.

Velix opera con l'ASN 206658, assegnato da RIPE NCC nell'ambito della propria infrastruttura ISP in Sicilia.

A cosa serve il BGP

Il protocollo che permette agli AS di scambiarsi informazioni di routing è il Border Gateway Protocol (BGP), attualmente alla versione 4 (RFC 4271). BGP è il protocollo di routing dell'intero Internet globale — senza di esso, i pacchetti non saprebbero come raggiungere destinazioni al di fuori della rete locale di ciascun operatore.

BGP funziona annunciando prefissi IP (blocchi di indirizzi) tra AS vicini, detti peer o neighbor. Quando il tuo ISP ti assegna un indirizzo pubblico, quell'indirizzo appartiene a un prefisso che il tuo ISP annuncia via BGP a tutti gli altri AS connessi.

Le sessioni BGP si dividono in due categorie:

• eBGP (external BGP): sessioni tra AS diversi, usate per il routing inter-dominio
• iBGP (internal BGP): sessioni all'interno dello stesso AS, per distribuire le route apprese dall'esterno ai router interni

Come funziona la selezione del percorso

BGP non è un protocollo che sceglie il percorso "più veloce" o "più corto" in termini di latenza. Lavora su policy: ogni AS decide a quali percorsi dare preferenza in base ad attributi specifici. I più importanti:

• AS_PATH: la lista degli AS attraversati per raggiungere un prefisso. Percorsi con AS_PATH più corto sono generalmente preferiti.
• LOCAL_PREF: attributo interno all'AS che indica la preferenza per un percorso in uscita. Valore più alto = preferenza maggiore.
• MED (Multi-Exit Discriminator): suggerisce al peer come entrare nel tuo AS se hai più punti di interconnessione.
• NEXT_HOP: l'indirizzo del prossimo router da raggiungere per seguire quella route.

La selezione segue un algoritmo a cascata ben definito: prima si controlla LOCAL_PREF, poi AS_PATH, poi MED, e così via fino a criteri di tiebreaker come il router-id.

Tipi di relazioni tra AS

Non tutti i peer BGP sono uguali. Esistono tre tipi di relazione principali:

• Transit: un AS (il cliente) paga un altro AS (il provider di transit) per ricevere l'intera routing table di Internet e avere connettività globale. Il provider annuncia al cliente tutte le route che conosce.
• Peering: due AS si scambiano traffico reciprocamente senza pagamento, tipicamente presso un Internet Exchange Point (IXP). Ciascuno annuncia all'altro solo i propri prefissi e quelli dei propri clienti.
• Customer: l'inverso del transit. L'AS che paga per il transit è il customer.

Questa struttura gerarchica (tier-1 → tier-2 → access ISP) è quella che sostiene l'intera architettura di Internet.

Prefix filtering e sicurezza BGP

BGP nasce come protocollo basato sulla fiducia: in origine non esisteva un meccanismo crittografico per verificare che un AS avesse davvero il diritto di annunciare un certo blocco di indirizzi. Questo ha portato nel tempo a incidenti noti come BGP hijacking — situazioni in cui un AS annuncia per errore (o intenzionalmente) prefissi che non gli appartengono, dirottando il traffico.

Le contromisure principali oggi in uso:

• Prefix filtering: ogni operatore configura filtri in ingresso per accettare solo i prefissi effettivamente assegnati al peer, verificabili via IRR (Internet Routing Registry) o RIPE database.
• RPKI (Resource Public Key Infrastructure): sistema crittografico che associa ogni prefisso al suo legittimo titolare tramite ROA (Route Origin Authorization). Un router con RPKI abilitato può scartare automaticamente annunci non validi.
• MANRS (Mutually Agreed Norms for Routing Security): iniziativa che promuove l'adozione di queste pratiche a livello globale.

Dove si vede BGP in pratica

Strumenti utili per esplorare il routing BGP pubblico:

• bgp.he.net — lookup per ASN e prefissi, visualizzazione dei peer
• RIPE Stat (stat.ripe.net) — statistiche dettagliate per qualsiasi ASN o prefisso IP
• route-views.oregon-ix.net — route server pubblico per analizzare la routing table globale
• AS206658 su RIPE NCC — la pagina pubblica dell'ASN Velix con prefissi annunciati e peer

Capire BGP è fondamentale non solo per chi gestisce un ISP, ma anche per chiunque voglia comprendere perché certi siti risultano irraggiungibili, perché il percorso di un pacchetto cambia nel tempo, o cosa succede davvero quando si verifica un "down di Internet".