今天晓伟分享讨论的几个问题，记一下：

问题：invalid的处理

例如，上级A拥有 某个 /16 前缀的地址段，且划分了该地址段的某个 /24 子段给下级B

如果上级A部署了RPKI，宣告了 /16 的ROA

但下级B未部署RPKI时，可能导致 /24 的路由验证为invalid

这个时候，路由可能异常

—-»»

我觉得这个是链式认证的断掉的invalid，而不是路由条目层面的invalid

思路类似DNSSEC链式部署，即使没有部署DNSSEC，依然能够”尽力而为”的查到一个应答

问题：分配

向下级分配不属于自己的AS资源(A->B)，由于链式认证，外部不会有影响

向两个下级重复分配资源（A->B1，A->B2），B1与B2冲突

由于ROA合并签发机制，如果一个CA签发的ROA里单个AS的IP前缀有对有错，那么好人也会遭殃（别人不信，影响程度与该AS的覆盖有关），所以问题的关键是：由于同一个CA只能针对一个AS签发一个合并的ROA，当该AS的IP前缀覆盖面越大，出错后的打击面也越大

---

---

Published

Tags

• rpki 4
• roa 1
• bgp 4
• security 36

Share On

• twitter


• weibo


• reddit


• linkedin