Plus de détails
RPKI ROAs for Unallocated and Unassigned AFRINIC Address Space |
|||
ID: |
AFPUB-2019-GEN-006-DRAFT02 |
Date de soumission: |
30ème Juillet 2020 |
Auteur : |
Frank Habicht geier à geier.ne.tz Association des FAI de Tanzanie Marc Elkins mje chez posix.co.za POSIX Jordi Palet Martínez jordi.palet sur theipv6company.com Le IPv6 L'entreprise Haitham El Nakhal Hytham sur tra.gov.eg Autorité de régulation nationale des télécommunications (NTRA) |
Version: |
2.0 |
Obsolètes: |
Modifie: |
Nouvelle section |
Proposition
1.0 Résumé du problème traité par cette proposition
L'espace d'adressage géré par AFRINIC qui est soit «non alloué», soit «non attribué» est considéré comme «espace d'adressage Bogon». Comme défini dans la RFC3871, un «Bogon» (pluriel: «bogons») est un paquet avec une adresse source IP dans un bloc d'adresse encore non alloué par l'IANA ou le RIR s ainsi que toutes les adresses réservées à un usage privé ou spécial par les RFC.
Le but de la création de RPKI ROA avec l'origine AS0 pour l'espace d'adressage non alloué et non attribué d'AFRINIC est de restreindre la propagation des annonces BGP couvrant cet espace bogon. Lorsque AFRINIC émet un ROA avec AS0 pour l'espace d'adressage non alloué sous l'administration d'AFRINIC, les annonces BGP couvrant cet espace seront marquées comme invalides par les réseaux effectuant une validation de l'origine BGP basée sur RPKI à l'aide du TAL d'AFRINIC.
2.0 Résumé de la façon dont cette proposition résout le problème
Cette proposition charge AFRINIC de créer des ROA pour tous les espaces d'adressage non attribués et non attribués sous son contrôle. Cela permettra aux réseaux effectuant la validation de l'origine BGP basée sur RPKI de rejeter facilement toutes les annonces de bogon couvrant les ressources gérées par AFRINIC.
Actuellement, en l'absence de ROA, ces bogons sont marqués comme NotFound. Étant donné que de nombreux opérateurs ont mis en œuvre un ROV et que la planification ou la suppression est déjà invalide, tous les ROA AS0 créés par AFRINIC pour l'espace d'adressage non alloué seront également supprimés.
Le processus de validité des ROA et de libération des ROA avant affectation / allocation par AFRINIC est laissé au personnel d'AFRINIC à définir dans les procédures internes.
Il est suggéré que, si cette politique est adoptée, elle soit placée comme une nouvelle section à la fin de la RPC. Cette modification éditoriale peut être effectuée par le personnel, renumérotant / réorganisant toutes les sections pertinentes, même en ajustant les titres / sous-titres pour la nouvelle section afin de mieux correspondre au texte adopté.
3. Proposition
Nouvelle section CPM comme suit:
Actuel |
Proposition |
1 ERP RPKI pour l'espace d'adressage AFRINIC non alloué et non attribué AFRINIC créera des ROA d'origine AS0 pour tout l'espace d'adressage non alloué et non affecté (IPv4 et IPv6) dont il est l'administrateur actuel. Tout détenteur de ressources peut créer un ROA AS0 (zéro) pour les ressources dont il dispose sous son compte / son administration. Un ROK RPKI est une attestation positive qu'un détenteur de préfixe a autorisé un système autonome à créer une route pour ce préfixe vers la table de routage BGP globale. Un ROA RPKI pour les mêmes préfixes d'origine AS0 (zéro) montre une intention négative du détenteur de la ressource de faire publier les préfixes dans la table de routage BGP globale. Seul AFRINIC a le pouvoir de créer des ERP RPKI pour l'espace d'adressage non encore alloué ou attribué à ses membres. Si AFRINIC souhaite allouer de l'espace d'adressage à l'un de ses membres, le ou les ROA RPKI d'origine AS0 devront être révoqués au préalable. L'espace d'adressage ne peut être alloué qu'une fois que le ROA ou les ROA d'origine AS0 ont été entièrement supprimés et ne sont pas visibles dans les référentiels. Les ROA AS0 pourraient être sous un localisateur d'ancre de confiance (TAL) distinct, de sorte qu'il devient un service opt-in et fournit des mesures séparées, au moins dans les phases de déploiement initial. Ceci et d'autres détails opérationnels sont laissés à la discrétion d'AFRINIC. |
Références 4.0
Une proposition équivalente a déjà atteint un consensus au sein de l'APNIC et du LACNIC.
Historique des révisions
Historique des révisions
Date |
Plus de détails |
30ème Juillet 2020 |
Version 2 : AFPUB-2019-GEN-006-DRAFT02 TAL distincte |
4ème Novembre 2019 |
Version 1 : AFPUB-2019-GEN-006-DRAFT01 Initiales Draft Publié sur rpd |
Analyse d'impact de la politique AFRINIC
ÉVALUATION DU PERSONNEL AFRINIC
Date d'évaluation | Concernant la proposition |
---|---|
18 août 2020 | AFPUB-2019-GEN-006-DRAFT02 |
1.0 Interprétation et compréhension du personnel de la proposition
- Cette proposition oblige AFRINIC à créer des ROA d'origine AS0 pour tous ses non alloués et non attribués IPv4 et IPv6 l'espace d'adressage qu'il administre actuellement. L'espace non alloué et non attribué ici signifie l'espace disponible et réservé selon le fichier de statistiques déléguées étendu AFRINIC.
- Les nouveaux préfixes reçus de l'IANA / PTI auraient immédiatement des ROA AS0.
- Tous les préfixes renvoyés par ou récupérés auprès des membres auront également un ROA AS0
- Lorsque AFRINIC alloue un espace d'adressage à l'un de ses membres ressources, le ROA ou les ROA RPKI d'origine AS0 couvrant l'espace devront d'abord être révoqués ET ne pas être visibles dans les référentiels, avant que l'allocation / l'affectation ne puisse avoir lieu.
- Le processus de validité des ROA et de libération des ROA avant affectation / allocation par AFRINIC est laissé au personnel d'AFRINIC à définir dans les procédures internes.
- Les ROA AS0 pourraient être sous un localisateur d'ancre de confiance (TAL) distinct, de sorte qu'il devient un service opt-in et fournit des mesures séparées, au moins dans les phases de déploiement initial.
- La période de validité de ces ROA est de 10 ans (comme c'est le cas actuellement pour tous les ROA), sauf si une période de validité spécifique est spécifiée par les auteurs de la proposition de politique.
Impact sur les membres
Un membre de ressource peut créer un ROA AS0 (zéro) pour les ressources (par exemple, les préfixes d'appairage des IXP) dont il dispose sous son compte / administration pour les ressources qu'il n'a pas l'intention d'annoncer.
Les membres ressources doivent s'assurer qu'ils ne créent pas de ROA AS0 pour les ressources qui doivent être annoncées conformément au manuel des politiques consolidées.
2.0 Commentaires du personnel d'AFRINIC sur la clarté de la politique
Aucune
3.0 Demandes de clarification du personnel d'AFRINIC
Quelle sera la période de validité de ces ROA AS0? 10 années?
4.0 Commentaires du personnel sur les domaines d'impact
Impact sur les fonctions de registre
- Une mise à niveau du système de gestion des stocks AFRINIC sera nécessaire afin de mettre en œuvre cette politique
- Automatisation de la création de ROA AS0 pour les ressources actuellement non allouées dans son inventaire ainsi que les ressources entrantes (soit à partir de la récupération des ressources, des retours ou du réapprovisionnement de son pool de l'IANA / PTI)
- Ajustements du processus d'émission des ressources ainsi que des délais pour s'assurer que les ROA sont révoqués et que les ROA révoqués sont supprimés des référentiels des validateurs avant l'émission des ressources. (James Chirwa pour fournir le temps que cela prend actuellement).
- Une mise à jour sur les interfaces des systèmes AFRINIC et les contrôles internes utilisés pour la gestion des ressources et des transferts sera nécessaire
- Améliorer la surveillance globale pour s'assurer que les membres ne créent pas systématiquement des ROA avec AS0 avec les préfixes dont ils ont besoin pour annoncer conformément aux politiques en vertu desquelles ils ont reçu ces ressources.
- Les politiques existantes mises en œuvre ou en cours d'implémentation seront prises en compte afin qu'une vérification soit effectuée pour déterminer quels préfixes l'utilisation des préfixes ne nécessite pas d'annonce dans le routage global
- La documentation des membres pour la gestion des ROA doit être mise à jour
Impact sur RPKI
Côté RPKI, 3 options ont été étudiées notamment,
- Utilisez l'arborescence AFRINIC RPKI existante
- Certificat de production supplémentaire (0/0) pour l'espace non alloué uniquement
- Nouvelle ancre de confiance avec un seul certificat de production
AFRINIC recommande l'option C car elle devient alors un service opt-in et ne pollue pas le RPKI actuel.
Évaluation juridique
Pas de commentaires
5.0 Calendrier de mise en œuvre
La politique peut être mise en œuvre telle qu'elle est rédigée dans les 6 mois suivant le dernier appel.