APNIC文摘 – 合作對ROA的重要性

台灣網路資訊中心與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。本篇文摘原始條目為:Long chopsticks in heaven: the importance of cooperating when it comes to ROAs

路由來源驗證(Route Origin Validation, ROV)越來越常被全球的註冊管理機構、組織和用戶使用,以降低網路配置錯誤所產生相關問題的風險,而它是根據路由來源授權(Route Origin Authorizations, ROAs)所發展出來的框架。日本網路資訊中心(JPNIC)研究員Taiji Kimura以一起網路故障事件講述合作維護路由問題的重要性,本篇根據該文章做重點摘要。

自2015年起,JPNIC提供其會員ROA服務,2017年與APNIC的資源公鑰基礎建設憑證授權機構(RPKI CA)連接後,日本自治系統下的BGP路由可在全球得到驗證。幾個月後研究人員得知一項連通性(reachability)的問題,他們無法透過IPv4連上歐洲的一個網站,但卻可由IPv6或行動路由連上,經過ISP人員調查後發現,ISP的BGP前綴長度與幾年前ROA建立的前綴長度不同,由於操作因素,前綴長度已被改變,但因事隔多年,ISP中沒有一個人記得這件事,也當然不認為問題出自於此,最後,透過修正ROA的最大前綴長度便可恢復連通性。

這起事件強調了部署和維護ROAs時要注意的事項:

  • IP位址持有者可能會配置與實際BGP路由不同的ROA。
  • 用戶將在沒有任何徵兆或警告下面臨無法連通的問題。
  • 需要不同的參與者來解決問題,例如,只有BGP營運商才知道問題發生的原因,也只有IP位址持有者才能解決問題。

為避免同樣情形再次發生,對於那些想要部署ROA的人來說必須知道如何去執行並正確地去維護ROA設定,對於ISP工程師來說,了解ROA設定錯誤所產生的徵兆尤其重要—在為某些特定路由排除無法到達的前綴時,必須記得調查原始驗證狀態。最後一個值得注意的課題是, ROA這個全球認證框架最終依賴的是大多數人能夠正確地部署它,這凸顯了各方利害關係人合作的重要性。

原始文章

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *