我有一个关于 BGP 的基本问题。公共 AS 如何验证被通告到 INTERNET 的网络?例如,我有从 RIR 分配的 /25,其他路由器如何验证这个前缀是否真的属于我?是什么阻止我通告不属于我的子网?谢谢
答案1
理想情况下,您的 ISP 会根据 RIR 信息生成过滤器,这样只有您的特定 /25 才可以通过 BGP 对等连接获得许可。各种注册中心(ARIN、RIPE、APNIC 等)都有机制,通过这些机制可以将路由认证为属于特定实体。也就是说,BGP(广泛部署)无法确认给定前缀是否合法属于特定 ASN,或者该前缀是否确实来自正确的网络。
人们(多年来一直)努力通过允许在前缀生成和传播时对其进行加密签名来保护 BGP(以 BGPsec 为例)。请记住,无论采用哪种方法,都必须通过标准机构的审核,被各种供应商采用,某种中央机构必须能够对其进行管理,运营商本身必须使其适应其运营流程,等等。将所有这些叠加在一个覆盖大部分地球的极度分散的网络上,这将变得更加困难。
与此同时,在边缘进行适当的过滤在很大程度上属于广泛接受运营商的最佳实践,当虚假广告出现时,投诉和过滤会很快随之而来。