Detalhes
|
ROAs RPKI para espaço de endereço AFRINIC não alocado e não atribuído |
|||
|
IDENTIDADE: |
AFPUB-2019-GEN-006-DRAFT03 |
Data Enviada: |
19 Abril 2021 |
|
Autor: |
Frank Habicht geier em geier.ne.tz Associação de ISP da Tanzânia Marcos Elkins mje em posix.co.za POSIX Jordi Palet Martinez jordi.palet em theipv6company.com O IPv6 Empresa Haitham El Nakhal Hytham em tra.gov.eg Autoridade Reguladora Nacional de Telecomunicações (NTRA) |
Versão: |
3.0 |
|
Estado: |
Ratificado |
Altera: |
Nova seção |
Proposta
1.0 Resumo do problema tratado nesta proposta
O espaço de endereço gerenciado pelo AFRINIC que é “Não alocado” ou “Não atribuído” é considerado “espaço de endereço Bogon”. Conforme definido na RFC3871, um "Bogon" (plural: "bogons") é um pacote com um endereço de origem IP em um bloco de endereço ainda não alocado pela IANA ou pelo RIRs também todos os endereços reservados para uso particular ou especial por RFCs.
O objetivo de criar RPKI ROAs com Origem AS0 para o espaço de endereço não alocado e não atribuído do AFRINIC é restringir a propagação de anúncios BGP cobrindo esse espaço bogon. Quando o AFRINIC emite um ROA com AS0 para o espaço de endereço não alocado sob administração do AFRINIC, os anúncios BGP cobrindo este espaço serão marcados como inválidos por redes que fazem validação de origem BGP baseada em RPKI usando TAL da AFRINIC.
2.0 Resumo de como esta proposta aborda o problema
Esta proposta instrui o AFRINIC a criar ROAs para todo o espaço de endereço não alocado e não atribuído sob seu controle. Isso permitirá que as redes que executam a validação de origem BGP baseada em RPKI rejeitem facilmente todos os anúncios falsos que cobrem os recursos gerenciados pelo AFRINIC.
Atualmente, na ausência de qualquer ROA, esses bogons são marcados como NotFound. Como muitos operadores implementaram o ROV e estão planejando ou já descartando Invalid, todos os ROAs AS0 que o AFRINIC criará para o espaço de endereço não alocado também serão descartados.
O processo para os períodos de validade do ROA e liberação dos ROAs antes da atribuição / alocação pela AFRINIC é deixado para o pessoal da AFRINIC definir os procedimentos internos usuais.
Sugere-se que, se essa política for adotada, ela será colocada como uma nova seção no final do CPM. Essa modificação editorial pode ser feita pela equipe, renumerando / reordenando quaisquer seções relevantes, até ajustando títulos / legendas para a nova seção para melhor corresponder ao texto adotado.
3. Proposta
A nova seção de CPM é a seguinte:
|
Atual |
Proposto |
|
1 RPKI ROAs para espaço de endereçamento AFRINIC não alocado e não atribuído
AFRINIC criará ROAs com origem AS0 para todos os espaços de endereço não alocados e não atribuídos (IPv4 e IPv6) do qual é o administrador atual. Qualquer detentor de recurso pode criar ROAs AS0 (zero) para os recursos que possui sob sua conta / administração. Um RPKI ROA é um atestado positivo de que um detentor de prefixo autorizou um Sistema Autônomo a originar uma rota para esse prefixo na tabela de roteamento global BGP. Um RPKI ROA para os mesmos prefixos com origem AS0 (zero) mostra uma intenção negativa do detentor do recurso de anunciar os prefixos na tabela de roteamento BGP global. Somente o AFRINIC tem autoridade para criar RPKI ROAs para o espaço de endereço ainda não alocado ou atribuído aos seus membros. Se o AFRINIC quiser alocar espaço de endereço para um de seus membros, o RPKI ROA ou ROAs com origem AS0 terá que ser revogado com antecedência. O espaço de endereçamento só pode ser alocado quando o ROA ou ROAs com origem AS0 forem totalmente removidos e não estiverem visíveis nos repositórios. Os ROAs AS0 podem estar sob um Trust Anchor Locator (TAL) distinto, então se torna um serviço opcional e fornece medições separadas, pelo menos nas fases iniciais de implantação. Este e outros detalhes operacionais são deixados ao critério da AFRINIC. O AFRINIC deve adicionar recursos recuperados apenas no final do processo de recuperação.
|
Referências 4.0
Uma proposta equivalente já alcançou consenso em APNIC e LACNIC.
Histórico de Revisão
Histórico de Revisão
|
Data |
Detalhes |
| 19 Abril 2021 |
Versão 3: AFPUB-2019-GEN-006-DRAFT03 Consideração sobre os recursos recuperados |
| 30 Julho 2020 |
Versão 2: AFPUB-2019-GEN-006-DRAFT02 TAL distinto |
|
4 novembro 2019 |
Versão 1: AFPUB-2019-GEN-006-DRAFT01 Inicie Draft Postado em rpd |
Avaliação de impacto da política AFRINIC
AVALIAÇÃO DA EQUIPE AFRÍNICA
1. Interpretação e compreensão da proposta pela equipe
- Esta proposta requer que o AFRINIC crie ROAs com origem AS0 para todos os seus não alocados e não atribuídos IPv4 e IPv6 espaço de endereço que administra atualmente. espaço não alocado e não atribuído aqui significa espaço disponível e reservado de acordo com o arquivo de estatísticas delegadas estendido AFRINIC.
- Novos prefixos recebidos de IANA/PTI teriam imediatamente ROAs AS0.
- Todos os prefixos retornados ou reclamados por membros também terão ROAs AS0
- Quando o AFRINIC aloca espaço de endereçamento para um de seus membros de recurso, o RPKI ROA ou ROAs com origem AS0 cobrindo o espaço primeiro terá que ser revogado E não estar visível nos repositórios, antes que a alocação / atribuição possa acontecer.
- O processo para períodos de validade do ROA e liberação dos ROAs antes da atribuição / alocação pelo AFRINIC é deixado para a equipe do AFRINIC definir nos procedimentos internos.
- Os ROAs AS0 podem estar sob um Trust Anchor Locator (TAL) distinto, então se torna um serviço opcional e fornece medições separadas, pelo menos nas fases iniciais de implantação.
- O período de validade para esses ROAs deve ser de 10 anos (como atualmente é para todos os ROAs), a menos que um período de validade específico seja especificado pelos autores da proposta de política.
- O AFRINIC deve adicionar ROAs aos recursos recuperados apenas no final do processo de recuperação.
Impacto nos membros
Nenhum impacto nos recursos dos membros, pois os ROAs AS0 serão criados em não alocados e não atribuídos IPv4 e IPv6 Recursos. A AFRINIC garantirá que o RPKI ROA ou ROAs com origem AS0 que cobre o espaço tenham primeiro que ser revogados E não ficarem visíveis nos repositórios antes que a alocação / atribuição possa acontecer a um Membro de Recurso.
2.0 Comentários da equipe da AFRINIC sobre a clareza da política
nenhum
3.0 Pedidos de Esclarecimento da Equipe AFRINIC
Nenhum.
4.0 Comentários da equipe sobre as áreas de impacto
Impacto nas funções de registro
- Será necessária uma atualização do sistema de gestão de inventário AFRINIC para implementar esta política
- Automatização da criação de AS0 ROAs para recursos atualmente não alocados em seu inventário, bem como recursos de entrada (seja de recuperação de recursos, devoluções ou reposição de seu pool de IANA / PTI)
- Ajustes do processo de emissão de recursos, bem como prazos para garantir que os ROAs sejam revogados e que os ROAs revogados sejam removidos dos repositórios dos validadores antes que os recursos sejam emitidos.
- Será necessária uma atualização nas interfaces de sistemas AFRINIC e controles internos usados para gerenciamento de recursos e transferência
- Melhore o monitoramento geral para garantir que os membros não criem consistentemente ROAs com AS0 com os prefixos que eles precisam anunciar em conformidade com as políticas sob as quais receberam esses recursos.
- As políticas existentes implementadas ou em implementação serão levadas em consideração para que uma verificação seja executada para determinar quais prefixos de uso não requerem um anúncio no roteamento global
- A documentação do membro para gestão de ROAs deve ser atualizada
Impacto no sistema RPKI
No lado do RPKI, 3 opções foram selecionadas, notavelmente,
- Use a árvore AFRINIC RPKI existente
- Certificado de produção adicional (0/0) apenas para espaço não alocado
- Nova âncora de confiança com um único certificado de produção
A AFRINIC recomenda a opção C porque ela se torna um serviço opcional e não polui o RPKI atual.
Avaliação Legal
Sem comentários
Avaliação Financeira
Nenhum CAPEX será necessário para a implementação desta proposta de política.
Implementação 5.0
Caso esta proposta chegue a um consenso e seja ratificada, a implementação será feita em uma nova âncora de confiança (separada) para que se torne um serviço opcional e não afete a configuração atual de RPKI
Timeline
Visto que AFRINIC planejou a migração para myafrinic v2 em Q4-2021. O inventário AFRINIC de recursos não alocados e não alocados será integrado no myafrinicA plataforma v2 e a equipe técnica serão capazes de implementar os AS) ROAs nelas. Fomos informados de que a política pode ser totalmente implementada até o 2º trimestre de 2022.
