RPKI

RPKI（资源公钥基础结构）是一种有助于防止BGP劫持的方法。它使用加密签名来验证是否允许ASN声明特定子网。

ROA（路由始发授权）是RPKI的关键组件。ROA仅包含以下几项：ASN，子网和最大长度。然后，对ROA进行加密签名并公开发布。然后，任何路由器都可以使用ROA来验证IP空间所有者是否已授权特定公告。

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

这说明ASAS64496有权发布，192.0.2.0/24并且任何较小的子网都可以降至/29s。

与此相反，以下内容仅允许确切AS64496宣布。不允许使用该范围内的较小子网。192.0.2.0/24

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE提供一项公共服务，您可以在其中查找各个ROA。

Vultr每晚检查每个客户子网的RPKI状态。您可以在此处查看状态。您会在这里看到几种不同的状态：

• Valid：我们能够验证ASN /前缀对存在ROA。这是您想要的状态。
• Unknown：给定前缀不存在ROA。这是您将在绝大多数空间中看到的。通常您不会看到这种状态的任何问题，因为这些天没有ISP真正在要求RPKI。

这些状态可能会导致您的IP空间无法用于Internet的各个部分，因此应予以纠正。值得注意的是，您可能无法使用无效的RPKI签名从IP空间访问Cloudflare。此外，非洲的许多ISP都承诺在2019-04-01启用RPKI，这意味着在那里将无法访问无效前缀。自2019年2月11日起，AT＆T已停止接受RPKI无效公告。

无效签名有几种不同类型：

• Invalid ASN：此前缀至少存在一个ROA，但是没有一个ASN与您的帐户配置匹配。如果您使用的是私人ASN，则您的ROA应列出我们的ASN（20473）。
• Invalid Prefix Length：我们找到了与此前缀/ ASN匹配的ROA，但是允许的最大前缀长度不正确。通常，这意味着您将需要发出新的ROA，且其最大前缀长度设置24为IPv4或48IPv6。您还可以为较小的前缀发出新的ROA。

可以通过您的RIR（RIPE，ARIN，APNIC等）设置RPKI。只有IP空间的所有者才能管理RPKI ROA。如果要租用IP空间，则需要与您租用的公司联系，以获取有关配置RPKI的帮助。

有关更多信息，请参见以下文档：

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html