知道Team Cymru Bogon参考项目,但是当涉及到过滤来自同行的任何其他信息时,我不知道从哪里开始。我的理解是这就是RPKI和类似产品的用途吗?
#1 楼
正如其他人所言,RPKI将是要走的路,但还不存在。在交换点,我们通常对每个会话都设置一个最大前缀限制。此外,我们使用以下规则:
无默认路由
没有逗号,更确切地说,此列表:
route-filter 0.0.0.0/8 orlonger reject;
route-filter 127.0.0.0/8 orlonger reject;
route-filter 10.0.0.0/8 orlonger reject;
route-filter 172.16.0.0/12 orlonger reject;
route-filter 192.168.0.0/16 orlonger reject;
route-filter 224.0.0.0/4 orlonger reject;
route-filter 240.0.0.0/4 orlonger reject;
route-filter 169.254.0.0/16 orlonger reject;
route-filter 192.0.2.0/24 orlonger reject;
route-filter 198.51.100.0/24 orlonger reject;
route-filter 203.0.113.0/24 orlonger reject;
route-filter 100.64.0.0/10 orlonger reject;
前缀不超过/ 24
路径中没有私有AS号
无我们自己的前缀
对于IPv6,我们做同样的事情,只是双引号不同。我在下面粘贴了我们的过滤器。请注意,语法可能有点奇怪,但这是由于Juniper匹配前缀的方式所致。对于Cisco语法,您可以转到此处:IPv6 BGP过滤器建议(该页面上的Juniper示例有问题,请根据需要使用以下示例。)
#2 楼
目前(直到RPKI更加普及为止),我们通常只过滤常见的bogon,然后应用max-prefix过滤器来交换对等体。我们还会过滤某些ASN,我们确定这些ASN不会在大多数对等会话中(例如Level3或Cogent)出现,或者不应该在交易所中转移。我们通常会发现大多数常见的路由泄漏不在1-2位数字范围内。无论如何,这很难捕获,除非您通过构建前缀/ ASN列表来过滤所有对等节点或通过radb进行过滤,等等。大多数泄漏最终会接近10k-100k +,这很容易被相当低的(100-500)捕获)最大前缀过滤器。然后,您可以根据需要调整每个会话的时间。
#3 楼
根据您使用对等交换的方式,您有几种不同的选择:首先,我将介绍RPKI,并说尽管这是您一定要继续进行部署的工作,自己的路线并验证其他路线,但不幸的是,它的使用率非常低,以至于您现在不能指望它能做那么多事情。真正的解决方案是WHOIS-Merit的RaDB可以说是最好的,因为它可以让您立即返回所有RIR的结果。但是,如果您希望直接查询每个RIR,请继续进行。
现在,如果您正在交换中,并且只是从IXP的路由服务器中获得了一堆前缀,具体取决于您可以使用的工具和路由器的功能,您有两种可能:
1.按来源AS过滤
本质上,这包括验证前缀的原始AS相对于WHOIS中的一个-如果起源AS与WHOIS中的前缀不匹配,则删除该前缀以及可能还要宣布的更多特定信息。通常,这是防止意外劫持的良好保护。
绝大多数前缀都应具有此数据。2。按运输AS进行过滤
,这将更进一步,并过滤路径为“在WHOIS中获得授权-您不能对每个前缀都执行此操作,因为并非每个人都会创建对象来指定其授权的传输AS提供商是谁。您使用对等交换直接与他人进行对等,那么您的生活就会变得更加简单;您可以查询WHOIS中的前缀,并允许使用这些前缀。我认为良好的做法是允许对等方宣布最大长度为/ 24的更多详细信息,同时还为对等方设置合理的最大前缀值(即与他们拥有的子网数成比例),以便他们可以不会向您发送路由,但可以响应前缀劫持。
如果您正在寻找工具,请查看IRRToolSet和IRR PowerTools
#4 楼
您基本上已经回答了自己的问题。您认为使用RPKI是可行的方法是绝对正确的。更具体地说,使用路由发起授权来验证AS的前缀。显然,由于没有将其分配给任何人,因此将是无效的,因此该问题将自行解决。 RPKI Wikipedia页面上提供了很多此类信息。另一个好的资源是ARIN的RPKI页面。如果您需要配置帮助,建议您创建另一个问题,以寻求特定的配置帮助。为所有事情工作,因为不是每个人都在使用它。在某些时候,您只需要信任您要接收的路线即可。
#5 楼
询问您的同行他们将宣布哪个AS宏,并使用IRRToolSet或rpsltool或irrpt为他们构建过滤器。鼓励他们在IRRdb中发布正确的信息。不要忘记在距离您最近的友好IRRdb中更新自己的aut-num
对象以反映邻接关系。
评论
为什么不只是eBGP与它们对等并在其路由表中添加黑洞前缀?