您好,登錄后才能下訂單哦!
資源公鑰基礎設施是防止BGP劫持的一種方法。它使用密碼簽名來驗證允許ASN宣布特定子網。
路由發(fā)起授權是RPKI的關鍵組成部分。ROAs只包含幾個條目:ASN、子網和最大長度。然后,ROA經過加密簽名并公開發(fā)布。然后,任何路由器都可以使用ROA來驗證某個特定公告是由IP空間的所有者授權的。
{ "asn" : "AS64496", "prefix" : "192.0.2.0/24", "maxLength" : 29, "ta" : "ARIN" }
聲明ASAS64496被授權宣布192.0.2.0/24和任何小于/29s的小子網。
與此相反,下面只允許AS64496準確地宣布192.0.2.0/24。這個范圍內的小子網將不被允許。
{ "asn" : "AS64496", "prefix" : "192.0.2.0/24", "maxLength" : 24, "ta" : "ARIN" }
成熟提供了一種公共服務,您可以在其中查找個人ROAs。
VPS每晚都會檢查每個客戶子網的RPKI狀態(tài)。您可以在這里查看狀態(tài)。這里有幾個不同的州:
有效:我們能夠驗證ASN/prefix對的ROA存在。這是你想要的狀態(tài)。
未知:給定前綴不存在ROA。這就是你將看到的絕大多數空間。你一般不會看到這個狀態(tài)有任何問題,因為現在沒有任何isp真正要求RPKI。
這些狀態(tài)可能導致您的IP空間對internet的各個部分不可用,并且應該得到糾正。值得注意的是,您可能無法使用無效的RPKI簽名從IP空間訪問Cloudflare:
無效的ASN:這個前綴至少有一個ROA存在,但是沒有一個ASNs匹配您的帳戶的配置。如果您使用的是私有ASN,那么ROAs應該列出我們的ASN(20473)。
無效的前綴長度:我們發(fā)現一個與這個前綴/ASN匹配的ROA,但是最大允許的前綴長度是不正確的。這通常意味著您需要發(fā)出一個新的ROA,最大前綴長度設置為IPv4的24或IPv6的48。您還可以為較小的前綴發(fā)出新的ROA。
RPKI可以通過您的加入設置。只有IP空間的所有者才能管理RPKI ROAs。如果您正在租用IP空間,您需要聯系您租用的公司,以協(xié)助配置RPKI。
免責聲明:本站發(fā)布的內容(圖片、視頻和文字)以原創(chuàng)、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。