https://slinkov.ru/openforum/vsluhforumID3/112369.html Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил (http://www.ietf.org/mail-archive/web/ietf-announce/current/msg17040.html) формирование RFC для протокола BGPsec и опубликовал (https://www.rfc-editor.org/info/rfc8205) связанную с ним спецификацию под идентификатором RFC 8205 (https://www.rfc-editor.org/rfc/rfc8205.txt). RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний. <br><br><br>BGPsec определяет расширение для протокола маршрутизации BGP (Border Gateway Protocol), обеспечивающее авторизацию списка автономных систем (AS), передаваемых в сообщениях об обновлении маршрута (BGP UPDATE), привязывая их к точке доверия (Trust Anchor). Изначально протокол BGP не предусматривал средств для защиты от модификации цепочки AS, что создавало угрозу по совершению атак для перенаправлению траф https://slinkov.ru/openforum/vsluhforumID3/112369.html#36 Tue, 03 Oct 2017 18:11:54 GMT Сейчас примерно прикинул объес ОЗУ необходимый для хранения full view с подписями.<br>Я взял одного из своего апстримов, с него я получаю 661251 маршрут. В сумме AS PATH всех маршрутов получился 3174042.<br>Если смотреть по RFC8208, там в примере BGPSEC Path Attribute занимает 209 байт, то умножив получаем, что в моем случае около 632 МБ памяти будет занимать каждый Full View (на самом деле чуть меньше, поскольку препенды не будут занимать дополнительного места, для них есть поле pCount).<br>Для бордера, может быть, это и проблема, особенно если аплинков 4-5, но для магистральных роутеров - не думаю что создаст какие-то трудности.<br>Я очень бегло глянул RFC, и не до конца понял как маршрутизаторы будут получать публичные ключи для проверки маршрутов. Если придется в роутере хранить кеш всех публичных ключей, это может занять еще по 64 байта на ASN, плюс номер ASN, плюс указатели... 72-80 байт на ASN. Если предположить что имеется 128тыс ASN (не представляю сколько их прямо сейчас) и по 80 байт то получается нам надо https://slinkov.ru/openforum/vsluhforumID3/112369.html#35 Tue, 03 Oct 2017 17:17:49 GMT &gt;&gt; Интересно, как будет выглядеть процедура внедрения данного расширения <br>&gt; боюсь, никак. Ничего не хочу знать о том, сколько именно займет единичный <br>&gt; full-view со всеми этими подписями (а единственный, естественно, не нужен).<br><br>На роутерах обычно проблемы с дорогущей CAM/TCAM памятью, в которой хранится FIB. А для храннения подписей будет расходоваться RAM, которая очень дешевая. Поставят вместо 2х Гб в роутер 8 Гб и все, роутер подорожает на 100 баксов.<br> https://slinkov.ru/openforum/vsluhforumID3/112369.html#34 Tue, 03 Oct 2017 14:42:03 GMT &gt; P.S. как сделать так, что б сообщение не удалилось?..<br><br>щательнее фильтровать базар - тут очень следят за соблюдением приличий, разрешено обсирать только оракла, мелкософт и проклятых проприетарастов.<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID3/112369.html#33 Tue, 03 Oct 2017 14:40:45 GMT &gt; BGP-роутеры не вечны. <br><br>оптимииииист... Как тебе 7200 в роли пира? Да, там не full-view, но и не полтора инвалида - вполне себе живой и работающий оператор связи за ней.<br><br>Ну и помимо проблем с операторами, есть еще такая "мелкая" проблема как требуемый этой фичей объем памяти - что мелкий оператор-то решит заменой железа, когда-нибудь, теоретически, а вот магистралы и IX'ы - могут, внезапно, обнаружить, что при их масштабах "мелкая проблема" требует памяти больше, чем физически можно засунуть вообще в любой существующий ящик.<br>Да и насчет вычислительных ресурсов неочевидно.<br> https://slinkov.ru/openforum/vsluhforumID3/112369.html#32 Tue, 03 Oct 2017 13:21:28 GMT &gt;&gt;&gt; Интересно как Вы собираетесь обязать RIR что-либо делать?<br>&gt;&gt; Для этого есть icann и iana. Глядя на бд arin, становится страшно.<br>&gt;&gt; Их давно пора вздрючить.<br>&gt; ага, при этом ICANN вообще не имеет рычагов воздествия <br>&gt; на RIR..<br><br> Это как же? Насколько я знаю, именно icann присваивает статус rir. И вообще,<br>как выполняющая роль iana, она является корнем выделения адресов и т.п. - rir лишь её региональные представители. Так же как rir дрючит lir на корректное заполнение доков, можно помучать и rir, я так думаю. Мне думается это всё можно провернуть, было бы желание.<br><br>&gt; В каком мире Вы живете ? - у меня <br>&gt; ныне покойный провайдер акртел анонсировал сеть <br>&gt; клиента, который от них ушел и сессию погасил и <br>&gt; физику порубил. <br><br> Это как так они настроили свой bgp-сервер? В том, что пользую я, нельзя анонсировать то, что тебе не приходит - этому анонсу просто взяться неоткуда. Единственный вариант прописать это у себя как свой анонс, но это ж пипец. Так никто не делает. Сочуствую Вам. Идио https://slinkov.ru/openforum/vsluhforumID3/112369.html#31 Tue, 03 Oct 2017 12:00:07 GMT &gt;&gt;&gt;&gt; Ну и кроме Райпа ( где с базой все нормально) есть еще куча RIR, которые вообще не ведут вменяемых баз.<br>&gt;&gt;&gt; Так, это их проблемы. Вопрос административно решается вполне нормально, как показывает <br>&gt;&gt;&gt; опыт ripe.<br>&gt;&gt; Интересно как Вы собираетесь обязать RIR что-либо делать?<br>&gt; Для этого есть icann и iana. Глядя на бд arin, становится страшно. <br>&gt; Их давно пора вздрючить.<br><br>ага, при этом ICANN вообще не имеет рычагов воздествия на RIR..<br>&gt;&gt; Ну и как <br>&gt;&gt; обяжете всех накладывать фильтры на анонсы ( даже от пиров), <br>&gt; Да, вроде, сейчас с кем ни сталкивался, все фильтруют и так.<br>&gt; Я не очень понимаю зачем драконовские фильтры в ix - каждый адекватный <br>&gt; участник должен сам контролить своих downstream'ов.<br>&gt; Насчёт серьёзных косяков, те случаи, которые я слышал по нашей месности, оборачивались <br>&gt; хмурой реакцией ripe и желающих такое повторять особо нет, что б <br>&gt; не лишиться asn.<br><br>В каком мире Вы живете ? - у меня ныне покойный провайдер акртел анонсировал сеть клиента, который от них уш https://slinkov.ru/openforum/vsluhforumID3/112369.html#30 Tue, 03 Oct 2017 07:15:11 GMT Наверное спец службы в этом тоже не заинтересованны. Вот будут подписаны все маршрутами чем-то вроде цифровых подписей. Все будут знать что и куда пошло/пришло. И никто не останется незамеченным. <br> https://slinkov.ru/openforum/vsluhforumID3/112369.html#29 Mon, 02 Oct 2017 21:17:07 GMT &gt;&gt;&gt; Ну и кроме Райпа ( где с базой все нормально) есть еще куча RIR, которые вообще не ведут вменяемых баз.<br>&gt;&gt; Так, это их проблемы. Вопрос административно решается вполне нормально, как показывает <br>&gt;&gt; опыт ripe.<br>&gt; Интересно как Вы собираетесь обязать RIR что-либо делать?<br><br>Для этого есть icann и iana. Глядя на бд arin, становится страшно. Их давно пора вздрючить.<br><br>&gt; Ну и как <br>&gt; обяжете всех накладывать фильтры на анонсы ( даже от пиров), <br><br>Да, вроде, сейчас с кем ни сталкивался, все фильтруют и так.<br>Я не очень понимаю зачем драконовские фильтры в ix - каждый адекватный участник должен сам контролить своих downstream'ов.<br>Насчёт серьёзных косяков, те случаи, которые я слышал по нашей месности, оборачивались хмурой реакцией ripe и желающих такое повторять особо нет, что б не лишиться asn.<br><br>&gt; пир с одним Rtcomm это тысячи строк "что им можно <br>&gt; анонсировать", <br><br>Если Вы про as8342, то я там тысячи никакие не вижу. Посмотрите as39792, вот там кошмар. <br><br>&gt; память и проц с бордерах денег стоят. ( https://slinkov.ru/openforum/vsluhforumID3/112369.html#28 Mon, 02 Oct 2017 19:47:31 GMT &gt;&gt; Ну и кроме Райпа ( где с базой все нормально) есть еще куча RIR, которые вообще не ведут вменяемых баз.<br>&gt; Так, это их проблемы. Вопрос административно решается вполне нормально, как показывает <br>&gt; опыт ripe.<br><br>Интересно как Вы собираетесь обязать RIR что-либо делать? Ну и как обяжете всех накладывать фильтры на анонсы ( даже от пиров), пир с одним Rtcomm это тысячи строк "что им можно анонсировать", память и проц с бордерах денег стоят. (мне пришлось ограничиться проверкой разрешененных путей, так как префиксы просто никуда влезть не могли при включении пиринга с he.net И de-cix)<br><br>