인터넷 피어링 교환 (IXP)에 연결된 경우 사람들이 알리지 말아야 할 접두사를 보내지 않도록하는 좋은 방법은 무엇입니까?
bogons와 관련하여 Team Cymru Bogon Reference 프로젝트를 알고 있지만 동료와 다른 것을 필터링 할 때 어디서부터 시작 해야할지 모르겠습니다 . 내 이해는 이것이 RPKI와 비슷한 것이 무엇입니까?
답변:
다른 사람들이 말했듯이 RPKI가 갈 길이지만 아직 없습니다. 교환 지점에서는 일반적으로 모든 세션에 최대 접두사 한도를 설정합니다.
또한 다음 규칙을 사용합니다.
기본 경로가 없습니다
더 이상 bogons, 더 정확하게이 목록 :
route-filter 0.0.0.0/8 orlonger reject;
route-filter 127.0.0.0/8 orlonger reject;
route-filter 10.0.0.0/8 orlonger reject;
route-filter 172.16.0.0/12 orlonger reject;
route-filter 192.168.0.0/16 orlonger reject;
route-filter 224.0.0.0/4 orlonger reject;
route-filter 240.0.0.0/4 orlonger reject;
route-filter 169.254.0.0/16 orlonger reject;
route-filter 192.0.2.0/24 orlonger reject;
route-filter 198.51.100.0/24 orlonger reject;
route-filter 203.0.113.0/24 orlonger reject;
route-filter 100.64.0.0/10 orlonger reject;
/ 24보다 긴 접두사 없음
경로에 개인 AS 번호가 없습니다
우리 자신의 접두사 없음
IPv6의 경우 동일한 작업을 수행하며 곤봉 만 다릅니다. 아래에 필터를 붙여 넣었습니다. 구문은 약간 이상하지만 주니퍼 방식의 접두사가 일치하기 때문입니다. Cisco 구문의 경우 여기로 이동할 수 있습니다. IPv6 BGP 필터 권장 사항 (페이지의 Juniper 예제는 버그가 있습니다. 원하는 경우 아래 예제를 사용하십시오.)
용어 ebgp-relaxed {
{
가족 inet6;
루트 필터 3ffe :: / 16 이상;
루트 필터 0000 :: / 8 이상;
루트 필터 2001 : db8 :: / 32 이상;
route-filter 2001 :: / 32 정확한 다음 정책;
루트 필터 2001 :: / 32 이상;
route-filter 2002 :: / 16 정확한 다음 정책;
경로 필터 2002 :: / 16 이상;
경로 필터 fe00 :: / 9 이상;
루트 필터 ff00 :: / 8 이상;
경로 필터 2000 :: / 3 접두사 길이 범위 / 49- / 128;
루트 필터 0 :: / 0 이상;
}
그런 다음 거부하십시오.
}
현재 (RPKI가 더 널리 퍼질 때까지) 일반적으로 일반적인 곤봉을 필터링하고 최대 접두사 필터를 적용하여 피어를 교환합니다. 우리는 또한 특정 ASN을 필터링합니다. 레벨 3이나 코 젠트와 같은 대부분의 피어링 세션에는 절대 나타나지 않을 것입니다.
일반적으로 대부분의 일반적인 경로 누출은 1-2 자리 범위에 있지 않습니다. 접두사 / ASN 목록을 작성하여 모든 피어를 필터링하거나 radb 등으로 필터링하지 않는 한 어쨌든 포착하기가 매우 어렵습니다. 대부분의 누수는 10k-100k +에 가까워져 상당히 낮아지기 쉽습니다 (100-500). ) 최대 접두사 필터. 그런 다음 필요에 따라 세션별로 조정할 수 있습니다.
피어링 교환을 사용하는 방법에 따라 몇 가지 다른 옵션이 있습니다.
먼저 RPKI를 다루고 자신의 경로와 다른 유효성 검사 모두에 대해 확실히 진행하고 배포 해야하는 것이지만 불행히도이 시점에서 그렇게 많이 할 것으로 기대할 수없는 낮은 사용률입니다. 실제 솔루션은 WHOIS입니다. Merit의 RaDB는 모든 RIR의 결과를 한 번에 반환 할 수 있기 때문에 아마도 최고입니다. 그러나 각 RIR을 직접 쿼리하려면 선호하십시오.
이제 교환 중이고 사용 가능한 도구와 라우터 기능에 따라 IXP의 경로 서버에서 접두사를 얻는 경우 두 가지 가능성이 있습니다.
1. 원산지 기준으로 필터링
기본적으로 이것은 WHOIS의 접두사에 대한 접두사 AS의 접두사를 확인하는 것으로 구성됩니다. 원래 AS가 WHOIS의 접두사와 일치하지 않으면 접두사와 발표 될 수있는 더 자세한 사항을 삭제합니다. 이것은 일반적으로 의도하지 않은 도용에 대한 좋은 보호입니다. 대부분의 접두사에는이 데이터가 있어야합니다.
2. 운송 AS 기준으로 필터링
이것은 한 걸음 더 나아가 WHOIS 내에서 권한이 부여되지 않은 경로의 AS로 경로를 필터링합니다. 그러나 모든 접두사에 대해 모든 권한을 부여 할 수는 없습니다.
반면에, 피어링 교환을 사용하여 다른 사람과 직접 피어링하는 경우 인생이 훨씬 간단 해집니다. WHOIS에있는 접두사를 찾아서 허용 할 수 있습니다. 내 생각에 좋은 관행은 동료가 최대 길이 / 24까지 더 많은 세부 사항을 발표하는 동시에 피어링에 적절한 최대 접두사 값 (즉, 서브넷 수에 비례)을 설정하여 동료가 할 수 있도록하는 것입니다. ' t 경로로 넘치지 만 접두사 도용에 응답 할 수 있습니다 .
도구를 찾고 있다면 IRRToolSet 및 IRR PowerTools를 확인하십시오.
당신은 기본적으로 자신의 질문에 대답했습니다. RPKI를 사용하는 것이 최선의 방법이라고 가정합니다. 보다 구체적으로 라우트 발신 인증은 AS의 접두사를 검증하는 데 사용됩니다. 분명히 곤봉은 누구에게도 할당되지 않았기 때문에 유효하지 않으므로 문제가 스스로 해결됩니다. 이 정보는 RPKI Wikipedia 페이지 에서 볼 수 있습니다 . 또 다른 좋은 자료는 ARIN의 RPKI 페이지 입니다.
구성 도움말이 필요한 경우 특정 구성 도움말을 요청하는 다른 질문을 작성하는 것이 좋습니다.
또한 모든 사람이 사용하지는 않기 때문에 RPKI가 모든 것을 위해 작동하지는 않습니다. 어느 시점에서 당신은 당신이 받고있는 경로를 신뢰해야합니다.