RPKI ROA 部署问题
今天晓伟分享讨论的几个问题,记一下:
问题:invalid的处理
例如,上级A拥有 某个 /16 前缀的地址段,且划分了该地址段的某个 /24 子段给下级B
如果上级A部署了RPKI,宣告了 /16 的ROA
但下级B未部署RPKI时,可能导致 /24 的路由验证为invalid
这个时候,路由可能异常
—-»»
我觉得这个是链式认证的断掉的invalid,而不是路由条目层面的invalid
思路类似DNSSEC链式部署,即使没有部署DNSSEC,依然能够”尽力而为”的查到一个应答
问题:分配
向下级分配不属于自己的AS资源(A->B),由于链式认证,外部不会有影响
向两个下级重复分配资源(A->B1,A->B2),B1与B2冲突
由于ROA合并签发机制,如果一个CA签发的ROA里单个AS的IP前缀有对有错,那么好人也会遭殃(别人不信,影响程度与该AS的覆盖有关),所以问题的关键是:由于同一个CA只能针对一个AS签发一个合并的ROA,当该AS的IP前缀覆盖面越大,出错后的打击面也越大
Published
18 January 2016