在构建稳定可靠的互联网的漫长征程中,路由安全始终是网络工程师和安全专家关注的核心议题。在众多安全机制中,IRR(Internet Routing Registry,互联网路由注册)和ROA(Route Origin Authorization,路由起源授权)是两个至关重要的概念。它们虽然目标一致——防止错误或恶意的路由通告——但实现方式和权威性上存在本质区别。
首先,让我们了解什么是IRR。IRR是一个分布式的数据库集合,网络运营商可以在其中注册并发布其路由策略信息,包括他们打算宣告哪些IP地址前缀(路由)、以及这些路由的路径(AS Path)信息。它是一种基于“善意信任”和行业合作的模型。其他运营商可以查询IRR,并据此手动配置路由过滤器(Filter),只接受那些符合IRR数据库中注册策略的路由。IRR的价值在于提供了丰富的路由策略信息,但其数据质量完全依赖于注册者的自觉和维护的及时性,缺乏自动化的验证机制。
然后,我们来看ROA。ROA是RPKI(资源公钥基础设施)体系中的一部分,它是一种密码学签名的数字证书,用于明确地授权某个自治系统(ASN)可以宣告特定的IP地址前缀。当一个网络运营商创建了一个ROA时,它实际上是在向其IP地址的持有者(通常是区域互联网注册机构,RIR)进行“数字签名授权”。下游的网络运营商则可以部署RPKI验证器,通过密码学方式自动验证收到的BGP路由通告是否与全球一致的RPKI数据库中的ROA记录匹配。如果匹配(VALID),则接受路由;如果不匹配(INVALID),例如未被授权的ASN宣告了该前缀,则可以选择自动拒绝该路由。
那么,IRR路由与ROA的核心区别在哪里?
1. 权威性与安全性:这是最根本的区别。IRR的数据是建议性的,依赖于人工配置和社区信任,其数据可能过时或不准确。而ROA是权威性的,因为它基于密码学签名,与IP地址资源的法定持有者(RIR)直接关联,提供了不可否认的授权证明。
2. 验证机制:IRR的验证是手动和离线的,需要网络工程师编写和维护复杂的过滤策略。ROA的验证则是自动和在线的,通过RPKI验证器可以实现实时、自动化的路由起源验证,大大减少了人为错误和响应时间。
3. 信息范围:IRR包含的信息更广泛,不仅包括路由起源(Origin),还包括路径(AS Path)策略等。而ROA的 scope 相对狭窄且精准,它只专注于解决“谁可以宣告这个IP前缀”这一路由起源问题。
4. 状态结果:基于IRR的过滤通常只有“接受”或“拒绝”两种状态。而RPKI/ROA验证会产生三种明确的状态:VALID(有效)、INVALID(无效,应拒绝)和UNKNOWN(未知,通常因缺少ROA记录造成),为网络操作提供了更细致的决策依据。
综上所述,IRR和ROA并非相互替代的关系,而是互补的。IRR作为一个丰富的策略信息库,至今仍在流量工程和对等协商中发挥重要作用。而ROA则通过其自动化和加密验证的特性,为路由起源提供了坚实的基础信任层。现代的最佳实践是同时利用两者:使用ROA进行自动化的起源验证以抵御BGP劫持,同时参考IRR数据进行更复杂的路径策略过滤,从而共同构筑一个更加安全、更具韧性的互联网路由系统。
[…] 先前我们介绍了IRR和ROA的区别,那么如何创建ROA?这里用RIPE做例子进行介绍 […]