BGP Route Origin Validation v J*
Jan je poročal o RPKI-based BGP Route Origin Validation v Go6Labu, kjer je navedel primer konfiguracije na opremi proizvajalca C*. Da bo slika popolnejša, je prav, da navedemo še primer z opreme proizvajalca J*. Tam gre takole:
V [routing-options validation] vpišemo povezave s strežniki “validation cache”. Na primer:
traceoptions {
file route-origin-validation size 50m files 9 world-readable;
flag error;
}
group RouteOriginValidation {
session x.y.z.w {
refresh-time 300;
hold-time 3600;
port 8282;
local-address a.b.c.d;
}
}
Definiramo politiko, na primer [edit policy-options policy-statement RouteValidation]:
term Valid {
from {
protocol bgp;
validation-database valid;
}
then {
validation-state valid;
community add RouteOriginValid;
}
}
term Invalid {
from {
protocol bgp;
validation-database invalid;
}
then {
validation-state invalid;
community add RouteOriginInvalid;
}
}
term Unknown {
from {
protocol bgp;
validation-database unknown;
}
then {
validation-state unknown;
community add RouteOriginUnknown;
}
}
V našem primeru smo glede na veljavnost usmerjevalne poti nastavili oznako BGP community, na podlagi katere bomo prepoznali status posameznih poti. V tem primeru ne vplivamo na odločitev v usmerjanju prometa – za test samo označujemo.
To politiko uporabimo kot “import policy” v BGP peering-u, na primer:
[edit protocols bgp group MyUpstreams]
import [ RouteValidation ...other policies... ]
Potem lahko preverimo stanje v usmerjevalni tabeli, na primer z ukazom “show route validation-state …”. Proizvajalec J* uporablja poleg stanj “valid”, “invalid” in “unkown” še oznako “unverified”. Slednja označuje usmerjevalne poti, ki niso bile preverjene z BGP Route Origin Validation (niso bile označene v ustreznem “policy-statement”-u).
Upam, da tole dopolni Janov primer.
Vaš IP naslov (ali ste na IPv6 ?):
3.135.217.228