जब एक इंटरनेट पीरिंग एक्सचेंज (IXP) से जुड़ा है, तो यह सुनिश्चित करने का एक अच्छा तरीका क्या है कि लोग आपको उपसर्ग न भेजें कि उन्हें घोषणा नहीं करनी चाहिए?
दलदलों के संबंध में मुझे टीम Cymru Bogon संदर्भ परियोजना के बारे में पता है, लेकिन जब यह साथियों से कुछ और को छानने की बात आती है तो मुझे नहीं पता कि कहां से शुरू करना है। मेरी समझ यह है कि आरपीकेआई और इसके समान क्या हैं?
जवाबों:
जैसा कि अन्य लोगों ने कहा, आरपीकेआई जाने का रास्ता होगा, लेकिन यह अभी तक नहीं है। विनिमय बिंदुओं पर हम आम तौर पर हर सत्र पर अधिकतम-उपसर्ग सीमा लगाते हैं।
इसके अतिरिक्त हम निम्नलिखित नियमों का उपयोग करते हैं:
कोई डिफ़ॉल्ट मार्ग नहीं
कोई दलदल नहीं, और अधिक बिल्कुल इस सूची में:
route-filter 0.0.0.0/8 orlonger reject;
route-filter 127.0.0.0/8 orlonger reject;
route-filter 10.0.0.0/8 orlonger reject;
route-filter 172.16.0.0/12 orlonger reject;
route-filter 192.168.0.0/16 orlonger reject;
route-filter 224.0.0.0/4 orlonger reject;
route-filter 240.0.0.0/4 orlonger reject;
route-filter 169.254.0.0/16 orlonger reject;
route-filter 192.0.2.0/24 orlonger reject;
route-filter 198.51.100.0/24 orlonger reject;
route-filter 203.0.113.0/24 orlonger reject;
route-filter 100.64.0.0/10 orlonger reject;
/ 24 से अधिक कोई उपसर्ग नहीं
मार्ग में कोई निजी AS नंबर नहीं है
हमारा अपना कोई उपसर्ग नहीं
IPv6 के लिए हम वही करते हैं, केवल बोगन अलग होते हैं। मैंने इसके नीचे हमारा फ़िल्टर चिपकाया। कृपया ध्यान रखें कि वाक्यविन्यास थोड़ा अजीब हो सकता है, लेकिन यह उपसर्गों के मिलान के जुनिपर तरीके के कारण है। सिस्को सिंटैक्स के लिए आप यहां जा सकते हैं: आईपीवी 6 बीजीपी फ़िल्टर सिफारिशें (पृष्ठ पर जुनिपर उदाहरण छोटी गाड़ी है, कृपया नीचे दिए गए का उपयोग करें यदि आप चाहते हैं।)
शब्द ईबग-आराम {
{से
परिवार inet6;
मार्ग-फ़िल्टर 3ffe :: / 16 ऑर्लर;
मार्ग-फ़िल्टर 0000 :: / 8 ऑर्लगनर;
मार्ग-फ़िल्टर 2001: db8 :: / 32 ऑर्लर;
मार्ग-फ़िल्टर 2001 :: / 32 सटीक अगली नीति;
मार्ग-फ़िल्टर 2001 :: / 32 लंबा;
मार्ग-फ़िल्टर 2002 :: / 16 सटीक अगली नीति;
मार्ग-फ़िल्टर 2002 :: / 16 लंबा;
मार्ग-फ़िल्टर fe00 :: / 9 ऑर्लर;
मार्ग-फ़िल्टर ff00 :: / 8 ऑर्लर;
मार्ग-फ़िल्टर 2000 :: / 3 उपसर्ग-लंबाई-सीमा / 49- / 128;
मार्ग-फ़िल्टर 0 :: / 0 orlonger;
}
फिर अस्वीकार;
}
फिलहाल (जब तक आरपीकेआई अधिक व्यापक है), हम आम तौर पर सिर्फ आम बोगन को फ़िल्टर करते हैं और साथियों का आदान-प्रदान करने के लिए एक अधिकतम-उपसर्ग फ़िल्टर लागू करते हैं। हम कुछ ASN को भी फ़िल्टर करते हैं, जिनके बारे में हम निश्चित हैं कि वे अधिकांश peering सत्रों में कभी नहीं दिखेंगे, जैसे Level3 या Cogent, या किसी एक्सचेंज पर हस्तांतरित नहीं किया जाना चाहिए।
हम आमतौर पर पाते हैं कि ज्यादातर सामान्य मार्ग लीक 1-2 अंकों की सीमा में नहीं होते हैं। वैसे भी पकड़ना बहुत कठिन है, जब तक कि आप अपने सभी साथियों को एक उपसर्ग / ASN सूची या फ़िल्टर को राड, आदि बनाकर फ़िल्टर नहीं करते हैं। अधिकांश लीक अंत में 10k-100k + के करीब होते हैं, जो आसानी से काफी कम (100-500) द्वारा पकड़ा जाता है। ) अधिकतम-उपसर्ग फिल्टर। फिर आप आवश्यकतानुसार उस प्रति सत्र को समायोजित कर सकते हैं।
आप peering exchange का उपयोग कैसे कर रहे हैं, इसके आधार पर, आपको कुछ अलग विकल्प मिलेंगे:
सबसे पहले मैं RPKI को कवर करूंगा और कहूंगा कि जब तक यह कुछ है आपको निश्चित रूप से आगे बढ़ना चाहिए और अपने स्वयं के मार्गों के लिए और दूसरों को मान्य करना चाहिए, यह दुर्भाग्य से इस तरह के कम उपयोग में है कि आप इस बिंदु पर यह उम्मीद नहीं कर सकते कि यह सब करना है। यहाँ असली समाधान WHOIS है - मेरिट का RDB यकीनन सबसे अच्छा है क्योंकि यह आपको एक साथ सभी RIR के लिए परिणाम वापस करने की अनुमति देगा। लेकिन, यदि आप प्रत्येक RIR को सीधे क्वेरी करना पसंद करते हैं, तो इसके लिए जाएं।
अब, यदि आप एक्सचेंज पर हैं और आपको IXP के रूट सर्वर से उपसर्गों का ढेर मिल रहा है, तो आपके द्वारा उपलब्ध उपकरणों और आपके राउटर की क्षमताओं के आधार पर, आपके पास दो संभावनाएँ हैं:
1. मूल रूप से फ़िल्टर करें
अनिवार्य रूप से, इसमें WHOIS में से किसी एक के खिलाफ उपसर्ग के मूल के रूप में मान्य होता है - यदि मूल AS WHOIS में किसी से मेल नहीं खा रहा है, तो आप उपसर्ग को छोड़ देते हैं और किसी भी अधिक-विशिष्ट को भी घोषित किया जा सकता है। यह आमतौर पर अनजाने हिजड़ों के खिलाफ एक अच्छा संरक्षण है। उपसर्गों के विशाल बहुमत के पास यह डेटा होना चाहिए।
2. पारगमन एएस द्वारा फ़िल्टर करें
यह इसे एक कदम आगे ले जाता है और WHOIS के भीतर अधिकृत नहीं होने वाले मार्ग में किसी भी AS के साथ मार्गों को फ़िल्टर करता है - आप इसे हर उपसर्ग के लिए नहीं कर सकते हैं, क्योंकि सभी ने ऑब्जेक्ट्स को निर्दिष्ट नहीं किया होगा जो उनके अधिकृत ट्रांजिट एएस प्रदाता हैं।
दूसरी ओर, यदि आप दूसरों के साथ सीधे सहकर्मी के लिए पीयरिंग एक्सचेंज का उपयोग कर रहे हैं, तो आपके जीवन को पूरी तरह से सरल हो जाता है; आप देख सकते हैं कि WHOIS में उनके कौन से उपसर्ग हैं और उन्हें अनुमति दी गई है। मेरी राय में अच्छा अभ्यास साथियों को अधिकतम 24 / / की अधिकतम लंबाई तक की घोषणा करने की अनुमति देता है, साथ ही साथ आपके प्रति उत्साही पर एक समझदार अधिकतम-उपसर्ग मान (यानी उनके पास सबनेट की संख्या के अनुपात में) सेट करना ताकि वे ' आप मार्गों के साथ बाढ़ नहीं है, लेकिन एक उपसर्ग अपहरण का जवाब कर सकते हैं।
यदि आप उपकरण खोज रहे हैं, तो IRRToolSet और IRR PowerTools देखें
आपने मूल रूप से अपने प्रश्न का उत्तर दिया है। RPKI का उपयोग करने का आपका तरीका बिल्कुल सही है। अधिक विशेष रूप से रूट ओरिजनल ऑथोराइज़ेशन का उपयोग AS के लिए उपसर्ग को मान्य करने के लिए किया जाता है। जाहिर है कि बोगन वैध नहीं होंगे क्योंकि वे किसी को नहीं सौंपे जाते हैं, इसलिए यह समस्या खुद का ध्यान रखेगी। यह जानकारी आरपीकेआई विकिपीडिया पृष्ठ पर उपलब्ध है । एक और अच्छा संसाधन ARIN का RPKI पेज है ।
यदि आपको कॉन्फ़िगरेशन सहायता की आवश्यकता है, तो मेरा सुझाव है कि आप विशिष्ट कॉन्फ़िगरेशन सहायता के लिए एक और प्रश्न बनाएं।
यह भी ध्यान देने योग्य है कि RPKI हर चीज के लिए काम नहीं करेगा, क्योंकि हर कोई इसका उपयोग नहीं कर रहा है। कुछ बिंदु पर आपको बस उन मार्गों पर भरोसा करना होगा जो आप प्राप्त कर रहे हैं।
अपने साथियों से पूछें कि IRRToolSet या rpsltool या irpt का उपयोग करके वे किस मैक्रो की घोषणा करेंगे और उनके लिए फ़िल्टर बनाएंगे। आईआरआरडीबी में प्रकाशित सही जानकारी के लिए उन्हें प्रोत्साहित करें। aut-numनिकटता को प्रतिबिंबित करने के लिए अपने निकटतम दोस्ताना IRRdb में अपनी खुद की वस्तु को अद्यतन करने के लिए मत भूलना ।
RPKI आगे का रास्ता नहीं है क्योंकि यह मार्ग लीक से रक्षा नहीं करता है।