我有一个关于BGP的基本问题。 公共AS如何validation正在向INTERNET广告的networking? 例如,我从RIR分配了/ 25,这个前缀是如何由其他路由器validation的,它确实属于我? 什么阻止我发布对我来说不长的子网呢? 谢谢
理想情况下,您的ISP根据RIR信息生成一个filter,以便只有您的特定/ 25被允许通过您的BGP对等。 各种登记处(ARIN,RIPE,APNIC等)都有机制,通过这些机制,路线可以被authentication为属于特定的实体。 也就是说,BGP(广泛部署)无法确认给定的前缀是否合法地属于特定的ASN,或者确实前缀是否实际上是由正确的networking发起的。
多年来(…已经和多年来)努力通过允许在发起和传播前缀的encryption签名(参见BGPsec作为示例)来保护BGP。 请记住,无论采取什么方式,都要通过标准化组织,由各个供应商采用,某种中央pipe理机构必须能够pipe理,承运人本身必须适应其运作stream程,将这一切与覆盖地球大部分的广泛分散的networking相叠加,这变得更加困难。
与此同时,在边缘进行适当的过滤已经成为运营商广泛接受的最佳实践,而且在出现虚假广告的时候,投诉和过滤过程也非常迅速。