korobeynikov Posted March 24, 2016 (edited) Собственно, кто может что сказать про ROA на Bird-RS. IPv4/IPv6. Наш LIR у себя что-то сделал, а дальше сказал читать здесь. Читать не то чтобы лень, просто вначале хочется получить краткий обзор, а затем вникать в основные вещи, по пути натыкаясь на мелочи, а не наоборот. Edited March 24, 2016 by korobeynikov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
korobeynikov Posted March 28, 2016 LIRы, кто подобными вещами занимался, осветите тему :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted March 28, 2016 Это нужно только лирам, вы же вроде клиент? Если вы всё-таки лир. Здесь подписываете свои анонсы и своих клиентов, и всё. bird проверять rpki не умеет, настройки для junos/ios/iosxr легко гуглятся. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
OKyHb Posted March 28, 2016 А кто-нить вообще у себя RPKI использует? Мы как бы тоже, в RIPE LIR портале ROA анонсы создали, но на этом всё и закончилось :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted March 28, 2016 Ну то есть проверка в rpki нужна только провайдерам, если точнее. Вам необязательно заниматься валидацией, ваш аплинк пусть проверяет если хочет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
korobeynikov Posted March 28, 2016 Это нужно только лирам, вы же вроде клиент? Я клиент со своей ASN и PI-блоками. bird проверять rpki не умеет Как оказалось, умеет. Есть таблица roa, но наполнять её нужно через birdc или birdc6. Вам необязательно заниматься валидацией, ваш аплинк пусть проверяет если хочет. Я не хочу принимать маршруты со статусом INVALID, через фильтр bird это легко делать. Мы как бы тоже, в RIPE LIR портале ROA анонсы создали, но на этом всё и закончилось :( Собственно, хотелось бы от кого-нибудь получить полное описание технологии на доступном русском языке. Кто разбирался? Т.е. хочется чтобы твою ASN и твои ресурсы никто левый не анонсировал. Хотелось бы от этого защититься. RPKI вообще даёт гарантию, что присоединённый шлюз правильный, я так понимаю ничерта оно не даёт и это убогая технология. Ну, подключены мы к РТК. Где гарантия наши анонсы не польются с другой точки, подсоединённой к РТК. Я понимаю что там не дураки сидят, но всё же. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted March 28, 2016 Даже не обязательно клиент ртк. У магистралов между собой фильтров нет, зачастую не используются на больших даунлинках. Эта штука сделана для провайдеров с клиентами bgp, просто чтобы в счастливом будущем постоянно не дёргать бд whois на префиксы для построения фильтров. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
