Jump to content

ROA и Bird: как подписать анонсы и фильтровать с ошибкой подписи

korobeynikov
 Share

Recommended Posts

korobeynikov

korobeynikov

Posted
Posted (edited)

Собственно, кто может что сказать про ROA на Bird-RS. IPv4/IPv6.

Наш LIR у себя что-то сделал, а дальше сказал читать здесь.

 

Читать не то чтобы лень, просто вначале хочется получить краткий обзор, а затем вникать в основные вещи, по пути натыкаясь на мелочи, а не наоборот.

Edited by korobeynikov
uxcr

uxcr

Posted
Posted

Это нужно только лирам, вы же вроде клиент?

Если вы всё-таки лир. Здесь подписываете свои анонсы и своих клиентов, и всё.

bird проверять rpki не умеет, настройки для junos/ios/iosxr легко гуглятся.

OKyHb

OKyHb

Posted
Posted

А кто-нить вообще у себя RPKI использует?

Мы как бы тоже, в RIPE LIR портале ROA анонсы создали, но на этом всё и закончилось :(

uxcr

uxcr

Posted
Posted

Ну то есть проверка в rpki нужна только провайдерам, если точнее.

Вам необязательно заниматься валидацией, ваш аплинк пусть проверяет если хочет.

korobeynikov

korobeynikov

Posted
  • Author
Posted

Это нужно только лирам, вы же вроде клиент?

Я клиент со своей ASN и PI-блоками.

bird проверять rpki не умеет

Как оказалось, умеет. Есть таблица roa, но наполнять её нужно через birdc или birdc6.

Вам необязательно заниматься валидацией, ваш аплинк пусть проверяет если хочет.

Я не хочу принимать маршруты со статусом INVALID, через фильтр bird это легко делать.

Мы как бы тоже, в RIPE LIR портале ROA анонсы создали, но на этом всё и закончилось :(

Собственно, хотелось бы от кого-нибудь получить полное описание технологии на доступном русском языке.

Кто разбирался? Т.е. хочется чтобы твою ASN и твои ресурсы никто левый не анонсировал. Хотелось бы от этого защититься.

RPKI вообще даёт гарантию, что присоединённый шлюз правильный, я так понимаю ничерта оно не даёт и это убогая технология.

Ну, подключены мы к РТК. Где гарантия наши анонсы не польются с другой точки, подсоединённой к РТК. Я понимаю что там не дураки сидят, но всё же.

uxcr

uxcr

Posted
Posted

Даже не обязательно клиент ртк.

У магистралов между собой фильтров нет, зачастую не используются на больших даунлинках.

Эта штука сделана для провайдеров с клиентами bgp, просто чтобы в счастливом будущем постоянно не дёргать бд whois на префиксы для построения фильтров.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.