インターネットエクスチェンジ（IXP）からBGPを介して受信した非ボゴンプレフィックスをフィルタリングする方法

インターネットピアリングエクスチェンジ（IXP）に接続しているときに、人々がアナウンスしてはならないプレフィックスを送信しないようにする良い方法は何ですか？

bogonに関しては、Team Cymru Bogon Referenceプロジェクトについては知っていますが、他のメンバーからフィルタリングすることになると、どこから始めればいいのかわかりません。私の理解では、これはRPKIなどの目的ですか？

他の人が述べたように、RPKIは行くべき道ですが、まだそこにはありません。交換ポイントでは、通常、すべてのセッションに最大プレフィックス制限を設定します。

さらに、次のルールを使用します。

1. デフォルトルートなし

2. bogons、より正確にこのリスト：

   route-filter 0.0.0.0/8 orlonger reject;
   route-filter 127.0.0.0/8 orlonger reject;
   route-filter 10.0.0.0/8 orlonger reject;
   route-filter 172.16.0.0/12 orlonger reject;
   route-filter 192.168.0.0/16 orlonger reject;
   route-filter 224.0.0.0/4 orlonger reject;
   route-filter 240.0.0.0/4 orlonger reject;
   route-filter 169.254.0.0/16 orlonger reject;
   route-filter 192.0.2.0/24 orlonger reject;
   route-filter 198.51.100.0/24 orlonger reject;
   route-filter 203.0.113.0/24 orlonger reject;
   route-filter 100.64.0.0/10 orlonger reject;
   

3. / 24より長いプレフィックスはありません

4. パスにプライベートAS番号がありません

5. 独自のプレフィックスはありません

IPv6でも同じことを行いますが、ボゴンのみが異なります。この下にフィルターを貼り付けました。構文は少し変わっているかもしれませんが、これはプレフィックスを一致させるジュニパーの方法によるものです。シスコの構文については、ここにアクセスできます。IPv6BGPフィルターの推奨事項（ページ上のジュニパーの例はバグが多いため、必要に応じて以下を使用してください。）

用語ebgp-relaxed {
    {から
        ファミリーinet6;
        route-filter 3ffe :: / 16以上。
        ルートフィルター0000 :: / 8以上。
        route-filter 2001：db8 :: / 32 oror;
        route-filter 2001 :: / 32正確に次のポリシー。
        route-filter 2001 :: / 32が長くなりました。
        route-filter 2002 :: / 16次の正確なポリシー。
        route-filter 2002 :: / 16より長い。
        ルートフィルターfe00 :: / 9以上。
        route-filter ff00 :: / 8以上。
        route-filter 2000 :: / 3 prefix-length-range / 49- / 128;
        route-filter 0 :: / 0以上。
    }
    次に拒否します。
}

現時点では（RPKIが広く普及するまで）、一般に、一般的なbogonsをフィルタリングし、ピアを交換するためにmax-prefixフィルターを適用します。また、特定のASNもフィルタリングします。レベル3やCogentなど、ほとんどのピアリングセッションには表示されない、または交換を介して転送されるべきではないことが確認されています。

通常、一般的なルートリークのほとんどは1〜2桁の範囲内ではないことがわかります。いずれにせよ、プレフィックス/ ASNリストを作成してすべてのピアをフィルタリングするか、radbなどでフィルタリングしない限り、キャッチするのは非常に困難です。ほとんどのリークは、10k-100k +に近くなり、かなり低い（100-500 ）max-prefixフィルター。その後、必要に応じてセッションごとに調整できます。

ピアリングエクスチェンジの使用方法に応じて、いくつかの異なるオプションがあります。

まず、RPKIについて説明します。独自のルートと他のルートの検証の両方で、確実に先に進んで展開する必要があるものですが、残念ながら、あまり使用されていないため、現時点ではそれほど多くのことを期待することはできません。ここでの実際のソリューションはWHOISです。メリットのRaDBは、すべてのRIRの結果を一度に返すことができるため、間違いなく最高です。ただし、各RIRを直接照会する場合は、それを選択してください。

現在、取引所にいて、使用可能なツールとルーターの機能に応じて、IXPのルートサーバーからプレフィックスの山を取得している場合、2つの可能性があります。

   1.起点ASでフィルタリング

基本的に、これはプレフィックスの発信元ASをWHOISの発信元ASに対して検証することで構成されます。発信元ASがWHOISの発信元ASと一致しない場合、プレフィックスとアナウンスされるその他の詳細を削除します。これは通常、意図しないハイジャックに対する優れた保護です。大半のプレフィックスにはこのデータが必要です。

   2.トランジットASでフィルタリング

これはさらに一歩進んで、WHOIS内で許可されていないパス内のASでルートをフィルタリングします-ただし、すべてのプレフィックスに対してこれを行うことはできません。

一方、ピアリングエクスチェンジを使用して他のユーザーと直接ピアリングしている場合、あなたの人生はずっと簡単になります。WHOISでどのプレフィックスを持っているかを検索し、それらを許可できます。私の意見では、ピアが最大/ 24までの詳細をアナウンスすることを許可すると同時に、ピアに適切な最大プレフィックス値（つまり、サブネットの数に比例する）を設定してピアリングできるようにすることをお勧めしますtルートであふれますが、プレフィックスハイジャックに応答できます。

ツールをお探しの場合は、IRRToolSetとIRR PowerToolsをご覧ください

あなたは基本的にあなた自身の質問に答えました。RPKIを使用することが道であるというあなたの仮定は、絶対に正しいです。より具体的には、ASへのプレフィックスを検証するために、ルート発信許可が使用されます。bogonは誰にも割り当てられていないため、明らかに無効になります。そのため、この問題は自動的に処理されます。この情報の多くは、RPKI Wikipediaページで入手できます。別の優れたリソースはARINのRPKI pageです。

構成のヘルプが必要な場合は、特定の構成のヘルプを求める別の質問を作成することをお勧めします。

また、RPKIがすべてで使用できるわけではないため、RPKIがすべてに対して機能しないことにも注意してください。ある時点で、受信しているルートを信頼する必要があります。

ピアに通知するASマクロを尋ね、IRRToolSetまたはrpsltoolまたはirrptを使用してそれらのフィルターを作成します。IRRdbで正しい情報を公開するように彼らに勧めます。aut-num隣接を反映するために、最も近い友好的なIRRdbで独自のオブジェクトを更新することを忘れないでください。

RPKIは、ルートリークから保護されないため、前進する方法ではありません。