资源公钥基础设施(RPKI)
RPKI 是一个公钥基础设施框架,旨在保护互联网的路由基础设施,特别是边界网关协议 (BGP)。RPKI 提供了一种将互联网号码资源(例如 IP 地址)信息与信任锚点连接起来的方法。借助 RPKI,号码资源的合法持有者可以控制互联网路由协议的运行,从而防止路由劫持和其他攻击风险。更多信息,请参阅RPKI – BGP 路由所需的加密升级。
Internet Exchange中的 RPKI
Equinix Internet Exchange 多边对等交换 (MLPE) 路由服务器使用 RPKI 将客户通告的所有 BGP 前缀与区域互联网注册管理机构 (RIR) 的授权记录进行比对验证。我们在每个 Internet Exchange (IX) 城域网运行冗余缓存服务器以简化密钥验证,并在每个区域运行冗余验证器服务器。这种基础设施模型能够快速验证路由,并在 RIR 数据库不可用时提供强大的弹性,从而维持服务。
客户可见性
窥镜是 IX 门户上的一款路由分析工具,可以验证发布到Equinix路由服务器的 IP 前缀是否经过验证。Equinix 还会向客户发布Equinix社区,以指示各个前缀是否有效。
双边对等会议的RPKI
您也可以在双边对等互联会话中使用 RPKI,尽管 Equinix 并不对这些过程进行任何验证。两个 IX 参与者可以同意使用 RPKI 来保护他们之间的对等互联会话,并使用他们自己的方法来验证广告的前缀。
MLPE前缀验证过程
此图显示了 Equinix IX 如何处理 IRR 和 RPKI 的 MLPE 前缀验证流程。
-
前缀通过了内部 MLPE 策略 – 该前缀已通过多项内部检查,例如前缀长度、Bogon、无效 ASN 和下一跳。
-
IRRDB – 互联网路由注册管理机构 (IRR) 是由区域互联网注册管理机构 (RIR) 维护的全球分布式数据库 (DB) 的集合。许多 IRR 互为数据库镜像。IRR 包含互联网路由对象资源,用于描述自治系统编号 (ASN)、IP 地址前缀、所有权等信息。许多实体使用这些资源来辅助定义路由策略。
Equinix 要求客户在其中一个 IRR 中公布与他们的公共 IP 前缀有关的信息。Equinix 至少查询一个 IRR,并对所有其他主要的 IRR 有所了解。
-
RTBH – 远程触发黑洞 (RTBH) 过滤是一项自我管理功能,可让您在不必要的流量进入 IX 保护的网络之前将其拦截。RTBH 可保护您免受分布式拒绝服务 (DDoS) 攻击。
-
ROA 存在 – 路由源授权 (ROA) 是一个经过加密签名的声明,它由前缀、前缀长度、最大前缀长度、源 ASN 和有效日期组成。
如果没有公告的ROA,状态为未知/未找到。
-
ROA 有效 – ROA 与路线公告匹配。
-
ROA 无效 – ROA 具有匹配的前缀,但 ROA 中的参数并非全部与公告匹配。例如,发起 ASN、前缀长度或前缀最大长度不匹配。