要約
- IRR ルートオブジェクトは、特定のプレフィックスが、あるレジストリソース内の特定の AS によって生成される可能性があることを示します。これはポリシー構築に使用される宣言であり、BGP のリアルタイム観測、リソース証明書、法的権利の確定的な表明ではありません。
- 通常の運用チェーンでは、AS または AS-SET を展開し、選択された IRR ソースから一致する route および route6 オブジェクトを取得し、結果のプレフィックスをフィルターにまとめ、そのフィルターを顧客またはピアリングセッションに展開します。古いオブジェクトは、その選択およびコンパイルのチェーンを生き延びる場合に問題となります。
- ネットワークの移行とは、起点 AS を維持したままトランジットを変更すること、プレフィックス保持者を維持したまま起点を変更すること、プレフィックスを移転すること、RIR サービス地域間を移動すること、または一時的な緩和プロバイダーを使用することなどを意味します。各イベントでは、どのルートオブジェクトを継続すべきかについて異なる判断が必要です。
- 古いエントリが残存するのは、置き換えを作成する動機のある当事者が、古いメンテナー資格情報を持つ当事者とは限らないためです。過去のプロバイダーにはクリーンアップを行う商業的インセンティブがほとんどなく、スタッフやアカウントは消滅し、独立したデータベースには重複をすべて廃止する共通のトランザクションがありません。
- 現在の BGP との不一致や古さだけでは、オブジェクトを削除すべきことの証明にはなりません。バックアップ経路は休止状態にある可能性があり、意図したアナウンスは使用前に準備されているかもしれません。また、観測された経路自体が許可されていない可能性もあります。RPKI、登録記録、保持者認証、通知、限定的な BGP 観測を組み合わせる必要があります。
- 削除は、オペレーターが自動的にフィルターを再構築する際に到達性を妨げる可能性があります。安全な移行は「廃止前に作成」です。適切なソースに意図した新しい宣言を確立し、指定されたコンシューマーが競合を解決する方法をテストし、影響を受ける当事者に通知し、上書きされた権限を削除し、ミラーを確認し、フィルターの展開を確認します。
- リソース保持者は、別のメンテナーがエントリを制御している場合でも、自身のプレフィックスをカバーするルートオブジェクトに異議を唱える権限が必要です。また、レジストリは、リストされたメンテナーに対して通知、理由、証拠記録、緊急レビュー経路、誤った削除のリスクが大きい場合に一時停止を元に戻せる段階を提供する義務があります。
- 番号資源社会(Number Resource Society)は、移植可能な移行レシート、ソース品質テスト、および保持者、レジストリ、オペレーターの相互義務を定義できます。自らを普遍的なルーティング権威と位置付けたり、選択されたネットワークでの観測がグローバルなフィルター収束を証明すると主張すべきではありません。
ルートは去っても宣言は残る
ある企業が、長年にわたり同じアドレスブロックを1つの自律システム(AS)を通じて生成してきたとします。異なるキャリアからサービスを購入し、ルーティング設計を変更して別の AS を通じてアナウンスを開始します。新しいプロバイダーは、フィルターを開く前にルートオブジェクトを要求します。企業はそのプロバイダーが受け入れるレジストリにルートオブジェクトを作成します。トラフィックが移行し、古いキャリアは切断されます。しかし、以前の起点を指定するルートオブジェクトは、ずっと前に退職したエンジニアによって管理されているメンテナーアカウントの下で、企業がもはや使用していないデータベースに残ったままです。
BGP には、その宣言を自動的に削除するものは何もありません。BGP は到達可能性を配布しますが、ビジネス関係が終了したときにすべてのルーティングレジストリにキャンセル命令を送信するわけではありません。また、新しいルートオブジェクトが普遍的なルールで古いオブジェクトすべてに取って代わるわけでもありません。新旧のプレフィックスと起点のペアは、異なるデータベース、またはキーが異なる場合には同じデータベース内で共存できます。ミラーは両方を返すことがあります。フィルタービルダーは、選択されたソース、クエリの順序、抑制設定、展開方法に応じて、どちらか一方、両方を含めることがあります。
結果として生じるリスクはしばしば誤解されています。古いルートオブジェクトがルーターにルートを生成させるわけではありません。しかしながら、フィルタリングシステムが古い起点とプレフィックスの組み合わせを有効と見なす可能性があります。以前の AS が誤って、または悪意を持ってプレフィックスをアナウンスした場合、その組み合わせを依然として許可するポリシーを持つネットワークは、障壁が1つ少なくなります。逆に、プロバイダーがまだ必要としているオブジェクトを削除すると、次のフィルターリフレッシュで正規のアナウンスが拒否される可能性があります。永続性は残余の許可を生み出し、不注意な削除は到達性の危険を生み出します。
このため、この問題は単なる事務的なものではなく、制度的なものなのです。異なる当事者が、プレフィックス登録、起点 AS、ルートオブジェクト、ミラー、フィルタージェネレーター、ルーターを制御しています。ネットワークの移行はこれらの関係の一部を変更しますが、古い資格情報や宣言はそのまま残ることがあります。健全な移行では、誤りに異議を唱える手段を保持しつつ、チェーン全体にわたって運用上の認識を移行させる必要があります。
1995年のルートオブジェクト:割り振りとルーティング意図の分離
ルートオブジェクトは、概念的な整理という有益な行為とともに登場しました。1995年に公開された RFC 1786は、アドレス空間の割り振り情報とルーティングアナウンスに関する情報を分離しました。ルートオブジェクトは、正確なプレフィックスと1つの起点 AS を識別しました。ルートが複数の AS によって生成される可能性がある場合、レジストリには複数のオブジェクトが含まれ得ました。この設計は、現在でも重要な事実を認識していました。それは、アドレス空間を保持または受領する組織として記録されている組織と、ルートを注入する AS は関連しているが、同一の事実ではないということです。
後に RPSL が表現を標準化しました。RFC 2622は、プレフィックスと起点のペアをクラスキーとしました。また、メンテナー、ルートセット、AS セット、ソフトウェアで処理可能なポリシー表現についても記述しました。オブジェクトは、受動的なディレクトリのための散文として考案されたのではありません。オペレーターがポリシーをチェックし、設定を生成できるように、他のオブジェクトと組み合わせることが意図されていました。RFC 2650は、公開された RPSL からベンダー固有のルーター設定への実用的な橋渡しを示しました。
この歴史は、システムの持続性と扱いにくさの両方を説明しています。テキストオブジェクトは、ドメイン間の調整に共通言語が必要だった時代に、移植可能で公開され、自動化可能でした。レジストリ間での分散は、ネットワーク管理の分散的な特性に合致していました。しかし、ルートオブジェクトは、後の契約終了、合併、移転、またはライブルーティングテーブルの変更を自動的に認識するものではありませんでした。その耐久性は、安定したポリシーにとっては長所であり、承継にとっては負債でした。
初期のモデルでは、前身の仕様にwithdrawn属性さえ含まれていました。古いルートを withdrawn としてマークすることで、現在のものとして提示することなく、過去のルーティング情報を保持できました。現代の運用慣行では、一般的に現在の route および route6 オブジェクト、削除、ソース選択、外部履歴に重点が置かれています。根本的なガバナンス上の疑問は消えていません。以前のルーティング意図が終了したと宣言できるのは誰か、そしてその決定が、宣言をポリシーに変換したすべてのコンシューマーにどのように届くのか、ということです。
その答えは、単に「まだログインできる者なら誰でも」ではあり得ません。資格情報は通常のメンテナンスに必要ですが、放棄された資格情報の取り決めが、時代遅れの許可を永久に凍結すべきではありません。また、「現在そのプレフィックスをアナウンスしている者なら誰でも」という答えもあり得ません。観測された BGP は使用の証拠ではありますが、自己認証的な権威ではありません。1995年に導入された分離は、移行時に維持されなければならず、便宜のために崩されてはなりません。
ルートオブジェクトはルートでもリソースでもない
3つのレコードは混同されやすいものです。番号レジストリは、アドレスブロックが割り振り、割り当て、またはそのルールの下で登録された組織を記録します。IRR ルートオブジェクトは、特定のルーティングレジストリソースにおけるプレフィックスと意図された起点 AS を記録します。BGP コレクターは、特定の観測地点で現れたアナウンスを観測します。それぞれが異なる問いに答えます。
登録レコードは、RIR の管理システム内で誰がリソースを管理できるかについての主張を裏付けることができます。これは、保持者が現在そのプレフィックスをルーティングしていることや、どのプロバイダーを許可したかを示すものではありません。ルートオブジェクトはルーティングの意図を表現しますが、その表現の強さはデータベースの受け入れと更新の管理に依存します。BGP の観測は、起点が可視であったことを示しますが、リソース保持者がそれに同意したかどうかは示しません。いずれか1つを完全な証拠として扱うと、移行が危険になるか不可能になります。
RPKI は、より強力で限定的な表明を追加します。有効な Route Origin Authorisation(ROA)は、認証されたアドレスの権限を起点 AS および許可されたプレフィックス長に暗号的に結び付けることができます。これにより、IRR ルートオブジェクトが現在の保持者の意図と衝突するかどうかを判断する際に非常に関連性が高くなります。それでも、RPSL ポリシーをすべて再現したり、商業的な関係を証明したり、ルートがライブであることを示したりするわけではありません。保持者はアナウンスの前に ROA を準備することができ、ルートが NotFound となるのは、それをカバーする ROA が存在しないためです。また、誤った保持者が間違った起点を許可する可能性もあります。
したがって、古いオブジェクトの問題は正確に定義されなければなりません。「このオブジェクトは今日の BGP と異なるか」ではなく、「このオブジェクトは現在の、許可されたルーティング可能性を引き続き表現しているか、そして指定されたコンシューマーはそれを依然として許可に変換すべきか」です。バックアップルートはグローバルテーブルには存在しなくても有効かもしれません。一時的なスクラビングプロバイダーは攻撃時にのみ現れるかもしれません。古いトランジット起点は、撤退がすべてのパスに到達していないためにコレクターに表示されたままになることがあります。新たにハイジャックされたルートは、現在のもののように見える可能性があります。
証拠は機能ごとに比較されなければなりません。登録は管理上の地位を確立します。保持者認証は誰が求めているかを確立します。RPKI は展開されている場所で認証された起点の意図を確立できます。契約や変更記録は計画された移行を確立します。BGP 観測は運用状態を示します。古いメンテナーの応答は、代理登録や継続中のサービスを説明できます。責任あるレジストリは、1つの便利なシグナルを普遍的な削除の神託として使用すべきではありません。
フィルターは過去のテキストを現在の許可に変える
ルートオブジェクトの実際的な力は、オペレーターのフィルター構築手順に現れます。トランジットネットワークは、顧客に AS-SET 名を要求することがあります。ソフトウェアは再帰的にそのセットを AS 番号に展開し、起点がそれらの AS に一致する route および route6 オブジェクトを検索し、関連するプレフィックスを取得し、プレフィックスリストまたはポリシーフラグメントを出力します。オペレーターはその結果を確認するか、自動的に顧客の eBGP セッションに展開します。ピアリングネットワークやルートサーバーも同じ方法のバリエーションを使用できます。
bgpq4ユーティリティはこの変換を明示的なものにします。IRR データからプレフィックスリスト、ルートフィルター、AS パスリストを生成し、呼び出し元は使用する IRR ソースを指定できます。RADb のクエリサービスも同様に、クライアントがソースを選択することを許可し、それ以外の場合は複数のレジストリから収集された情報を返します。IRRd はデフォルトのソースを順序付けし、RPKI による抑制を適用し、スコープフィルターを適用し、優先度の低い重複するルートオブジェクトを抑制できます。したがって、データベースの回答は、単一のグローバルに正規のセットではなく、ローカルポリシーによって形成された入力です。
古いオブジェクトにはいくつかの潜在的な影響があります。以前の起点 AS 用にフィルターが構築されている場合、古いプレフィックスはその AS の許可リストに残る可能性があります。顧客の AS-SET に以前の起点や古い下流がまだ含まれている場合、再帰的な展開によってプレフィックスがより広範なポリシーに持ち込まれる可能性があります。消費側の IRR インスタンスがすべてのミラーソースを優先順位なしに含んでいる場合、独立したデータベース内の重複は、正式なコピーが削除されても生き残ることができます。オペレーターが生成された設定を決してリフレッシュしない場合、正しい削除でさえ、ルーターから古い許可を取り除けない可能性があります。
その逆も重要です。新しいルートオブジェクトは、そのホームデータベースで完全に許可されていても、ミラーが遅れている、選択されたソースリストがそのデータベースを除外している、または設定ジョブが実行されていないキャリアには届かない可能性があります。移行はレジストリによる受け入れで完了するわけではありません。受け入れは、配布、選択、コンパイル、レビュー、展開の一連のプロセスを開始します。
したがって、ガバナンスの関連単位は、単に保存されたオブジェクトではなく、有効なフィルターです。レジストリは、更新が正式な状態と配布サービスに入った時期を示す十分なステータス情報を公開すべきです。オペレーターは、どのスナップショット、ソース、クエリオプション、セット展開が展開されたフィルターを生成したかを記録すべきです。保持者は、特定のプロバイダーが変更を消費したかどうかを尋ねられるべきです。これらのレシートがなければ、各当事者はルートがブロックされたまま、または古い許可がアクティブなままでも、自らのステップは成功したと真実をもって言えます。
インセンティブは作成を促し、廃止を疎かにする
RFC 7682は2015年にこの非対称性を明確に説明しました。顧客は、プロバイダーが新しいルーティング情報なしにはプレフィックスリストを更新しない場合、新しいルーティング情報を登録する強い理由があります。古い情報を削除するインセンティブは、トランジット変更後に急激に低下します。特に、新しいプロバイダーが同じ IRR 規律を強制しない場合はそうです。新しい回線は作成に依存しており、削除に依存する請求書はほとんどありません。
管理もまた分割されています。プロバイダーは、顧客に代わって自らのメンテナーの下でルートオブジェクトを作成したかもしれません。その代理登録はサービス中は便利でした。終了時には、顧客はプレフィックスを管理できても、オブジェクトの資格情報は管理できないかもしれません。古いプロバイダーのネットワークチームは、クリーンアップを元顧客のための作業と見なすかもしれません。アカウントマネージャーはルーティングの結果を理解していないかもしれません。元のエンジニアは去っているかもしれません。メンテナーは、それを介して行動できる人間の組織が到達不能になった後でも、技術的に有効なアイデンティティとして存続することができます。
企業イベントは問題を複雑にします。企業は名称を変更したり、合併したり、ネットワーク部門を売却したり、運用を外部委託したりします。プレフィックス登録は更新されるかもしれませんが、IRR の資格情報は前任者や請負業者のもとに残ります。アドレス移転は、受領者に番号レジストリにおける地位を与えても、古いルートオブジェクトのmnt-byで参照されるパスワードやキーを与えないかもしれません。RIR サービス地域間の移動は、アドレス保持者を認証するのに最適な統合 IRR を変更する可能性がありますが、独立したサードパーティのオブジェクトは他に残ります。
すべての古いレコードに対して自然な市場のペナルティはありません。古い起点がそのルートを決してアナウンスしなければ、ほとんどのトラフィックは正常に流れます。古いエントリは新しい起点用のフィルター生成では無視され、保持者にはセキュリティレビューや別の移行、作成の試みがそれに遭遇するまで見えないままになる可能性があります。RADb の stale-エンティティ機能自体がこの曖昧さを反映しています。BGP、メンテナー、RIR、その他のシグナルを使用してオブジェクトにフラグを立てることができますが、そのマーク自体はクエリの動作を変更しません。割り当てられた義務のない情報は、誰もが見ていて誰も閉じない警告になる可能性があります。
より良いインセンティブ設計は、廃止を変更を生み出すイベントに結び付けます。トランジットの終了には、IRR の在庫と削除義務を含めるべきです。リソース移転では、完了前に発見されたすべてのルートオブジェクトを明らかにすべきです。レジストリとプロバイダーの契約は、現在の保持者に文書化された異議申し立ての経路を提供すべきです。IRR データを消費するオペレーターは、リフレッシュと例外の慣行を公開すべきです。クリーンアップは、商業関係が消滅した後の自発的なハウスキーピングではなく、権限の終了の一部とならなければなりません。
「ネットワークの移行」が示すさまざまなイベント
移行という言葉は、1つの削除ルールに対してあまりにも広範です。最も単純なケースは、起点変更を伴わないトランジット変更です。保持者は自身の ASN を維持し、同じプレフィックスを新しい上流を通じてアナウンスします。ルートオブジェクトは、プレフィックスを古いトランジットプロバイダーではなく、保持者の変更されていない起点に結び付けているため、完全に正しいままかもしれません。削除が必要なのは、プレフィックスと起点の宣言自体ではなく、古い AS-SET メンバーシップやプロバイダー管理の代理コピーかもしれません。
2番目のケースは、同じ保持者を維持したまま起点を変更するものです。企業は、プロバイダー起点のサービスから自社の ASN に移行したり、管理ネットワークを切り替えたり、起点の制御を別のグループ会社に委ねたりすることがあります。この場合、古いルートオブジェクトは期限切れになるべき許可を表す可能性があります。計画された重複は、切り替え中に両方の起点がアナウンスしている間は正当かもしれません。新しいプロバイダーがフィルターを再構築する前に削除すると、サービスが中断される可能性があります。無期限の共存は残余の権限を残します。
3番目のケースは、アドレスリソースを移転するものです。新しい登録保持者は、一時的に古い起点を保持するか、すぐに新しいものを使用するか、サードパーティのネットワークを指名することがあります。移転記録は、現在のルーティング意図を管理するうえでの受領者の地位を裏付けますが、それ自体で意図されたルートを明らかにするわけではありません。古いオブジェクトは機械的な削除ではなくレビューが必要です。同じプレフィックスと起点のペアが新しい保持者の下で有効なままである場合がありますが、そのメンテナーと連絡チェーンは依然として移行が必要かもしれません。
4番目のケースは、レジストリ地域をまたぐものです。正式な番号レコードと推奨される統合 IRR は移動する可能性がありますが、以前のソース、RADb、または他の独立したレジストリ内のルートオブジェクトは残り続けます。RIPE NCC の地域外オブジェクトの扱いは、この境界の重要性を示しています。既存のオブジェクトはRIPE-NONAUTHに再ラベル付けされ、新しい地域外の作成は停止され、後のポリシーでは、競合する RPKI の証拠、通知、および削除の待機期間が使用されました。プレフィックスを認証する機関の能力が変化したために、ソースのステータスが変更されたのです。
一時的な運用変更は5番目のケースを形成します。DDoS 緩和、エニーキャストの開始、災害復旧、合併などは、明示された条件下でのみ存在することを意図された第2の起点を生み出す可能性があります。アクティベーション中に取得されたスナップショットは一時オブジェクトを現在のものに見せかけるかもしれません。休眠中に取得されたスナップショットはそれを古く見せるかもしれません。そのようなオブジェクトには、明示的な目的、所有者、レビュー条件が必要です。時間だけでは、宣言された範囲の弱い代替に過ぎません。
移行記録は、どのイベントが発生したかを特定しなければなりません。さもなければ、レジストリは、キャリアが変更されたために耐久性のある同一起点のオブジェクトを削除したり、保持者が変わらなかったために古い起点を保存したり、一時的な緊急認可を永続的なものとして扱ったりする可能性があります。イベントに関する正確さは、残留と誤ったクリーンアップの両方に対する第一の防御策です。
メンテナー保護は制御を保持し、放置も保持しうる
RPSL のメンテナーは根本的な問題を解決しました。公開ルーティング宣言は、それを好まない人なら誰でも編集できるべきではありません。RFC 2725は認証と認可を区別し、mnt-by、mnt-routes、mnt-lower、再利用ルール、および関連する制御が追加や変更をどのように管理できるかを説明しました。通常の操作では、ルートオブジェクト自身のメンテナーが変更または削除を許可します。これはオペレーターを恣意的な干渉から保護します。
階層化は、異議申し立ての手段を追加することを意図していました。アドレス空間と AS のメンテナーはルートの作成を認可でき、再利用の概念は上位のリソース権威が下位のオブジェクトを回復することを可能にし、auth-overrideはメンテナーが非アクティブになった場合の遅延回復について説明しました。しかし、展開はさまざまであり、分散リポジトリ設計が統一されたグローバルな権威チェーンになることはありませんでした。RFC 7682は、第三者が安全に削除できず、オーバーライドのセマンティクスが、リストされた保持者が効果的な通知を受け取る前に行動するリスクがあるため、古い情報が残存する可能性があると指摘しました。
現在の RIPE データベースの管理は、権威のある地域内での実用的な回答の一つを示しています。現在のリソース保持者は、ルートオブジェクト自身の資格情報がなくても、カバーするアドレス空間オブジェクト上のメンテナーを通じて、特定のブロッキングルートオブジェクトを強制削除できます。この権限は、RIPE NCC が維持するリソース階層によって範囲が定められています。これは削除を許可しますが、暗黙の再割り当ては許可せず、すべての独立した IRR で同等の権限を創出するわけではありません。
その制限は適切です。リソース保持者にサービスを提供するレジストリは、そのアドレスが自らの地域に登録されているというだけの理由で、すべてのサードパーティデータベースに対する制御を主張すべきではありません。しかし、保持者は放棄された代理メンテナーに非公式にいつまでも嘆願しなければならないべきではありません。各 IRR は、どのような証拠が現在の保持者に権限を与えるのか、別のレジストリの記録がいつ受け入れられるのか、どのような通知が送られるのか、一時停止にどのように異議を唱えられるのか、誰が不可逆的な削除を承認するのかを説明する公開ルールを必要とします。
メンテナー保護は、承継と組み合わされた場合にのみ正当です。資格情報は、現在のルールの下で誰がオブジェクトを操作できるかを識別しますが、根底にある許可が実質的に常に有効であることを証明するものではありません。機関は、サービス中は認可された制御を保持し、制御が合法的に変更された後は証拠に基づく回復を可能にすることで信頼を得ます。
ミラーリングは可用性を分散させ、遅延も分散させる
IRR は、1つのテーブルではなく、データベースの連合体です。オペレーターはしばしば、権威のあるローカルソースといくつかの他のソースのミラーコピーを保持する IRRd インスタンスにクエリを実行します。RADb は、IRR 全体のレジストリから引き出された結合クエリビューを提供しています。このモデルは可用性を向上させ、フィルタービルダーがすべてのレジストリに個別に問い合わせる代わりに、1つのエンドポイントを使用できるようにします。
ミラーリングはまた、削除の瞬間と消失の瞬間を分離します。権威のあるソースが変更を受け入れます。ジャーナルやスナップショットがそれを利用可能にします。ミラーがポーリングし、シーケンスを検証し、更新を適用します。下流のミラーがそのプロセスを繰り返すかもしれません。次に、オペレーターのフィルターサービスがスケジュールに従ってそのローカルビューにクエリを実行します。ルーターは後で設定変更を受け取ります。各段階には独自のクロックと障害モードがあります。
RFC 7682は、安全でない複製やかなりのリフレッシュ間隔を含む、古い NRTM とフラットファイルの慣行を文書化しました。実装は改善されました。現在の IRRd は、インポート、NRTM ストリーム、ジャーナル、シリアル、ソース固有の設定を使用できます。RIPE の新しい NRTM 設計は、ハッシュとソース識別子を含むバージョン管理されたスナップショットと差分を提供します。より良い転送整合性とより速いポーリングは不確実性を低減します。それらは、オペレーターに正しいソースを選択させたり、独立して維持されている重複を削除させたりするわけではありません。
ソース A で削除されたオブジェクトは、ソース B で別個のオブジェクトとして存続し続ける可能性があります。これは必ずしもミラーの遅れではありません。別個に提出されたか、別のメンテナーの下でコピーされたか、非権威的記録として保持されている可能性があります。逆に、結合クエリエンドポイントで可視なオブジェクトは、その権威ある起源がまだ異議申し立てを処理していない忠実なミラーかもしれません。調査者は、出自を転送から区別する必要があります。
したがって、データベース間の同期には2つの意味があります。技術的同期は、ミラーがソースの現在のシリアルまたはスナップショットを適用しているかどうかを問います。制度的同期は、上書きされた許可を独自に主張するすべてのソースが、同じ移行の証拠をレビューし、正当化された状態に達したかどうかを問います。前者は複製プロトコルによって自動化できます。後者は、共通の参照、相互通知、説明責任のある決定を必要とします。
移行レシートは両方を記録すべきです。それは、各ソース内のオブジェクト、正式な更新時刻、ミラー観測、独立した重複のステータスを示します。「RADb から削除されました」や「RIR で更新されました」では、別の選択されたソースがまだ古いペアを返す場合には不十分です。また、結合クエリがクリーンに見えるまでチームが盲目的に削除し続けるべきではありません。各主張をどの機関が、どのような権限の下で行ったのかを知らなければなりません。
ソース証明はリクエストと共に移動しなければならない
退役を求める当事者は、現在のルーティングテーブルのスクリーンショット以上のものを提示すべきです。信頼できるリクエストは、リソース上の地位、すなわち、関連する RIR における認証された現在の保持者、またはその範囲が明確な認可された代理人から始まります。正確なプレフィックス、古い起点、新しい起点または継続する起点、既知のすべてのソースとメンテナー、移行イベント、および要求される有効な状態を特定します。
その後、証拠を階層化することができます。現在の登録レコードは、RIR のルールの下でのプレフィックスの管理を裏付けます。ROA は、そのカバレッジと最大長が問題のルートと実際に一致する場合に、現在の起点の意図を裏付けることができます。保持者からの署名または認証された宣言は、古い起点が取り消されたのか、バックアップのために保持されているのか、移行日を通じて認可されているのかを説明します。プロバイダー終了または移転の記録は、商業的条件を公開する必要なしにイベントを裏付けることができます。BGP 観測は、指定された時間と観測地点で新旧の起点が可視かどうかを示します。
可能であれば、古いメンテナーにもヒアリングが行われるべきです。それは、オブジェクトが異なる企業名の下でアクティブな顧客ルートをカバーしていること、緩和の取り決めが依然として有効であること、またはリクエスト元の登録変更に異議が唱えられていることを示すかもしれません。確認された配信と定義された応答期間の後の沈黙は、無応答の証拠であり、すべての根底にある事実の証明ではありません。意思決定者は、沈黙にどのような重みを割り当てたかを述べるべきです。
証明の基準は、その結果に応じて高まるべきです。非権威的なクエリビューで明らかに RPKI 無効なオブジェクトを抑制することは、重要なプロバイダーが依存している唯一の宣言を消去することとは異なります。明らかなハイジャックを伴う緊急の異議申し立ては、一時的な抑制と迅速なレビューを正当化するかもしれません。曖昧な移転における恒久的な削除には、より強力な保持者認証、2人による承認、代替経路の準備ができていることの証拠が必要になるかもしれません。
すべての決定は、非公開の監査記録、すなわち、提出された主張、検証結果、通知、応答、競合、レビュアーの身元、時間、理由を保存すべきです。公開出力はより狭くすることができ、個人データや機密契約なしにオブジェクトのステータスと理由クラスを公開します。重要なのは最大限の開示ではありません。後になって、残余のルーティング権限が影響力や事故ではなく、ルールによって削除されたことを証明できることです。
BGP は証人であり、裁判官ではない
ライブルーティングデータは不可欠です。なぜなら、IRR は運用ポリシーを記述するために存在するからです。RADb の古いオブジェクト評価は、プレフィックスと起点のペアを BGP と比較し、直接一致をメンテナー、AS リンク、RIR、レピュテーションシグナルで補完します。RIPE Labs を通じて提示された最近の測定作業は、同様にルートオブジェクトを権威ある IRR、RPKI、デフォルトフリーゾーンと比較して、競合、冗長性、非アクティブを特定します。そのような方法は、静的なレジストリ調査では明らかにできないパターンを明らかにします。
しかし、BGP の可視性には明確な限界があります。コレクターは選択されたピアを見ているのであり、すべてのプライベート相互接続を見ているわけではありません。バックアップのアナウンスは意図的に存在しないかもしれません。より詳細なプレフィックスは、トラフィックエンジニアリングや攻撃緩和中にのみ現れるかもしれません。集約によって正規のルートオブジェクトが未使用のように見えることがあります。許可されていない起点が成功したためにルートが可視になっている可能性もあります。観測の欠如は放棄の証明ではなく、存在は同意の証明ではありません。
時間枠は役立ちますが、問題を解決するわけではありません。何年にもわたって観測された BGP と一致していないオブジェクトは、特に関係者が存在せず、現在の保持者がそれに異議を唱えている場合には、レビューに値します。それでも、コールドスタンバイや限られたルーティングドメイン内でのみアドバタイズされるプレフィックスを記述している可能性があります。新しいオブジェクトは作成されたその日に誤りである可能性があります。最終更新時刻はデータベースとの相互作用を測定するものであり、真実ではありません。
BGP の有用な役割は、証拠に基づく限定されたものです。移行チームは、コレクター、上流のルッキンググラス、または自らのセッションテレメトリを指定し、切り替え前、中、後に観測された起点を記録し、矛盾する結果を保持できます。古い起点が観測されたすべての場所で消え、新しい起点と代替フィルターが機能している場合、退役への信頼性が高まります。古い起点が持続する場合、チームはそれが伝播、漏洩、意図的な重複、または悪用であるかを調査します。
測定結果は、裏付けのないグローバルな分母にすり替えられるべきではありません。選択された IRR とルーティングコレクターの研究は、そのデータセット、日付、分類方法を記述できますが、すべてのプライベートオペレーターがどのようにフィルターを構築したか、どれだけの休眠オブジェクトが正当であったか、どれだけの移行が顧客に害を与えたかを示すことはできません。制度的決定は、測定結果を規律ある証拠として使用すべきであり、装飾的な確実性として使用すべきではありません。
RPKI は削除マシンになることなく優先順位を確立できる
RPKI は、従来の IRR オブジェクトが一般的に提供できないもの、すなわち、認証された番号リソース権威に根ざした暗号的に検証可能な表明を提供します。現在の ROA がプレフィックスをカバーし、1つの起点を認可している一方で、IRR オブジェクトが競合する起点を指定している場合、その競合は強力な証拠です。RIPE ポリシー2018-06は、この特性を利用して、通知と削除前の持続的な競合期間をもって、RIPE-NONAUTHから競合するルートオブジェクトをクリーンアップしました。
IRRd はまた、RPKI 無効なルートオブジェクトを抑制し、ROA から派生した疑似 IRR オブジェクトを既存のフィルターツールに公開できます。ARIN は、IRR Auto-Manager を通じて、認証された IRR ルートオブジェクトの作成を ROA にリンクさせることで、別の方向にさらに進んでいます。これらのメカニズムは相違を減らし、すべてのフィルターシステムを一度に交換する必要なしに、オペレーターにより強力な起点シグナルを提供します。
しかし、3つの注意点が重要です。第一に、NotFound は無効ではありません。カバーする ROA が存在しない場合、RPKI は競合する権威を提供しません。すべての NotFound IRR オブジェクトを削除することは、RPKI を展開していない保持者を罰し、正当なルーティングデータを削除する可能性があります。第二に、有効な ROA は、他の RPSL ポリシーが誤ったまままたは古いままでも、同じ起点のルートオブジェクトと共存できます。第三に、ROA には正規の保持者が犯した運用ミスが含まれている可能性があります。暗号の権威は全知ではありません。
優先順位には、オブジェクトレベルの正確さも必要です。比較では、プレフィックスのカバレッジ、起点、許可された長さを正しく使用しなければなりません。制限的な最大長を持つ集約用の ROA は、保持者が将来のイベントのためにその詳細プレフィックスを意図していたとしても、より詳細なルートオブジェクトを無効にする可能性があります。是正策は、IRR オブジェクトを削除することではなく、ROA を修正することかもしれません。通知は、保持者がセキュリティ上の競合と設定エラーを区別することを可能にします。
正しいルールは、有効で、現在の、保持者が管理する暗号による表明は、認証されていない第三者の主張よりも高い証拠の重みに値するということです。それでも、イベントを特定し、影響を受けるオペレーターに警告し、継続性を保護し、是正策を記録する必要性がなくなるわけではありません。強力な証明は、適正手続きをより速く、より正確にするべきであり、不必要にするべきではありません。
フィルターには記憶があるため、削除は段階的に行わなければならない
安全な順序は、インベントリから始まります。権威ある RIR IRR、独立したレジストリ、結合クエリサービス、既知のプロバイダーが使用するソースセットを検索します。正確なプレフィックス起点キー、メンテナー、連絡先、作成および変更時刻、ソースラベル、RPKI 状態、観測された BGP を記録します。関連する AS-SET を展開します。古い関係は、ルートオブジェクトが修正された後でもそこに生き残る可能性があるからです。
次に、意図された最終状態を定義します。どの起点が認可されたままであるべきか?実際にはどのプレフィックスと長さがアナウンスされるのか?計画された重複、バックアップ、緩和の役割はあるか?現在の保持者にとって適切なソースはどれか?各代替オブジェクトを誰が管理するのか?この宣言は、クリーンアップが運用目的にかかわらずレコード数を最小化する競争になるのを防ぎます。
その後、退役前に作成します。現在の保持者を認証できるソースを通じて、意図されたルートオブジェクトを作成または修正します。適切な場合には一貫性のある ROA を作成します。指定されたトランジットおよびピアリングオペレーターに、生成されたフィルターのプレビューを実行するよう依頼します。新しい起点が受け入れられ、AS-SET を介した再帰が期待されるプレフィックスを生成することを確認します。レジストリの受け入れメールは、このコンシューマー側のテストの代わりにはなりません。
その後のみ、退役通知を発行すべきです。古いメンテナー、現在のリソース保持者、可能であれば起点 AS の連絡先、既知の消費プロバイダーが、正確なオブジェクト、証拠クラス、提案されたアクション、応答期限、緊急連絡先を受け取ります。異議のあるオブジェクトは、レジストリのルールがその救済策をサポートし、リスクがそれを正当化する場合、通常のクエリビューから一時停止することができますが、レビュアーには取得可能なままにします。一時停止は、黙って恒久的な削除になってはなりません。
決定後、各権威的または独立したソースは、共通の移行リファレンスの下でそのアクションを記録します。ミラーはソースのシリアルまたはスナップショットと照合されます。結合クエリは、明示的なソース選択を行って繰り返されます。オペレーターはフィルターを再構築し、差分をレビューし、ルートリフレッシュまたは同等の安全なポリシー更新を適用します。観測により、意図されたルートが受け入れられたままであり、上書きされた起点が指定されたセッションでもはや許可されていないことが確認されます。
クロージャーは最後に行われます。レシートには、未解決のソース、到達不能なオペレーター、継続中の例外がリストされます。サードパーティレジストリが削除を拒否した場合、保持者とプロバイダーは影響を受けるプレフィックスに対してそのソースを除外するか、優先度を下げることができますが、例外は可視のままです。グリーンステータスは、不便な証拠が省略されたことではなく、限定的な完了を意味するべきです。
データベース間連携に必要なのは中央データベースではなく、共通イベントである
不整合を解決するために、単一のグローバル IRR を提案したい誘惑に駆られます。それはいくつかのクエリを簡素化する一方で、ルーティング宣言の受け入れ、抑制、削除の能力を集中させます。インターネットのルーティングレジストリの歴史は、正当な地域、プロバイダー、運用上の違いを反映しています。復元力は、複数の公開およびクエリサービスから利益を得ることができます。欠けている要素は、必ずしも単一の所有者ではなく、相互運用可能な変更イベントです。
移行イベント識別子は、レジストリが決定権限を放棄することを要求せずに、通知とレシートをレジストリ間で結び付けることができます。レコードには、正確なリソース、古い起点と意図された起点、保持者認証方法、裏付けとなる RPKI 状態、イベントタイプ、有効期間、連絡先が含まれます。各レジストリは、独自の決定、理由、時刻、異議申し立て経路を追加します。ミラーは以前と同様にソースデータを運びます。オペレーターは宣言された選好に従って決定を消費できます。
この取り決めは、不一致を隠すのではなく、露呈させます。RIR 統合 IRR は現在の保持者のリクエストを受け入れるかもしれません。RADb は、別個に維持されているオブジェクトを検証する必要があるかもしれません。別のレジストリは、アクティブなバックアップ関係を文書化しているためにオブジェクトを保持するかもしれません。レシートは3つの結果とそれらの証拠を示します。オペレーターは、その後、正当な共存と放棄されたコピーを区別することができます。
ソース固有のアクションは、名前の衝突による偶発的な削除も防ぎます。ルートオブジェクトは、プレフィックス、起点、ソースによって識別され、プレフィックスだけでは識別されません。あるソース内のオブジェクトは、別のソースのミラーか、独立した主張かもしれません。共通のイベントは、その出所を保持しなければなりません。最初に誰がそれを受け入れたのか、どのユーザーがそれに依存しているのかを尋ねることなく、すべてのデータベースにすべての一致するテキストを消去するよう指示すべきではありません。
連携には否定的な確認応答を含めるべきです。関連するオブジェクトがないレジストリはその旨を伝えます。ミラーは、適用した正式なシリアルを報告します。プロバイダーは、影響を受けるソースを使用していないことを述べます。これらの限定的な表明は、未知の表面を減らすため、沈黙よりも価値があります。また、フィルターが後で期待された状態と異なる場合に、事後のレビューを可能にします。
このモデルは、連合された説明責任です。共通の証拠とステータスのセマンティクス、ローカルな権限、移植可能なレシート、可視化された例外。これは、IRR の分散的な特性と整合しつつ、独立したデータベースが BGP からどうにかして同じ移行を推測するという仮定を修正します。
通知は運用上の制御であり、事務的な礼儀ではない
通知は、時に弁護士によって追加される遅延として扱われます。ルーティングレジストリのクリーンアップにおいては、それは技術的検証の一部です。リストされたメンテナーは、一見古いオブジェクトがなぜ残っているのかを知っているかもしれません。現在の保持者は、競合する ROA を発見するかもしれません。起点 AS は、顧客関係が決して閉じられていなかったことを知るかもしれません。プロバイダーは、削除前に代替が必要なフィルター依存関係を特定するかもしれません。
効果的な通知は、20年前のオブジェクトに埋め込まれたアドレス以上のものに届かなければなりません。レジストリは、オブジェクトのnotifyおよびメンテナーの連絡先、現在の RIR 連絡チャネル、登録された保持者アカウント、そして適切な場合には起点 AS の運用連絡先を使用すべきです。配信結果は記録されるべきです。すべてのアドレスを公開する必要はなく、機関が関連するチャネルを試みたことの証明がレビューには十分です。
メッセージには、結果と救済策が必要です。提案されたアクションが警告、優先度の低減、抑制、削除のいずれであるか、いつそれが発生するか、どのような証拠がそれを引き起こしたか、異議を唱える方法、到達性が影響を受ける場合に緊急レビューを得る方法を述べます。「記録を更新してください」という曖昧な要求は説明責任のある期限を生み出しません。誤りを停止する経路なく即座に削除することは、データの衛生をサービス拒否に変えかねません。
応答期間は、儀式的なものではなく、リスクに基づくべきです。アクティブな悪用イベント中に明確に競合する非権威的なオブジェクトは、迅速な一時抑制を正当化するかもしれません。休止中だが矛盾のないバックアップオブジェクトは、より長いレビューを正当化するかもしれません。機関は、影響力のある各リクエスターごとに異なる期間を考案するのではなく、要因を公開すべきです。いかなる緊急措置も、迅速な独立したレビューを受けます。
通知は消費側ネットワークにも届きます。トランジットプロバイダーは機密の証拠を必要としませんが、使用しているプレフィックス起点エントリが変更されること、および代替が準備されていることを知る必要があります。オペレーターはフィルターの差分を段階的に適用し、予期しない削除を検査し、最悪の瞬間に再構築することを回避できます。いくつかの正確な通知のコストは、古いポリシーの何層にもよって拒否されたルートをデバッグするのに比べれば小さいものです。
権利と救済策がクリーンアップの正当性を決定する
現在のリソース保持者は、ソース、メンテナー、ステータス、異議申し立て経路を含め、自身のプレフィックスをカバーするルートオブジェクトを発見する権利を必要とします。発見は、すべてのデータベース名を知っていることに依存すべきではありません。結合検索サービスは役立ちますが、そのカバレッジは明示されなければなりません。あるエンドポイントからの結果の欠如は、他にオブジェクトが存在しないことの証明にはなりません。
保持者はまた、修正または退役を要求する権限も必要とします。その権利は即時削除を保証するものではなく、レジストリがリクエストを認証し、証拠を調査し、影響を受ける当事者に通知し、理由を付した決定を下すことを保証します。ルートオブジェクトのメンテナーが元プロバイダーである場合、保持者は元プロバイダーだけが発言できると言われるべきではありません。まさにその紛争は、委任された運用権限が終了したかどうかに関するものだからです。
リストされたメンテナーは相互の権利を有します。主張を見て、継続的な認可の証拠を提示し、不利な決定に対して異議を申し立てることができます。資格情報が侵害された場合、緊急停止を求めることができます。現在の保持者がバックアップや顧客の取り決めについて誤っている場合、レコードは保持または修正されます。適正手続きは、残留物を除去するのと同様に、正確なルーティング情報を保護します。
コンシューマーには別の救済策が必要です。すなわち、期限付きの例外です。古いオブジェクトが明白なリスクを生み出している間にレジストリの決定が遅れた場合、オペレーターは文書化されたポリシーの下で、影響を受けるプレフィックスについてそのオブジェクトまたはソースを除外できます。削除が予期せずサービスをブロックした場合、保持者とレジストリが正式な宣言を修復する間、レビューされた例外を一時的に復元することができます。例外は狭く、ログに記録され、自動的に再検討されるべきです。
独立したレビューが構造を完成させます。レビュアーは、権限チェーン、証拠、通知、技術的影響、公開されたルールとの一貫性をチェックします。誤った抑制を覆し、履歴を改ざんすることなく新しい現在のオブジェクトを作成することが可能であるべきです。古いバージョンは、通常のポリシークエリから消えても、保護された履歴に残ることができます。
正当性は救済策に表れます。オブジェクトを受け入れることはできるが実用的な修正経路を提供しないデータベースは、オペレーターに説明責任なしに永続性を信頼するよう求めています。通知なしに私的なリクエストで削除するデータベースは、裁量を信頼するよう求めています。信頼できる中庸は、証拠、地位、制限された行動、レビューです。
有用な指標はデータベースの規模ではなく、クロージャーを測定する
ルートオブジェクトを数えるのは簡単で、しばしば誤解を招きます。データベースは、正当な休眠ポリシーを削除することで総数を減らすことができます。権限を確認せずにタイムスタンプを更新することで、高い新鮮さを誇ることができます。ソース選択ルールが低優先度のオブジェクトを隠すため、競合が少ないと報告することができます。ガバナンス指標は、移行イベントを追跡し、分母を保持すべきです。
各参加移行について、認証されたリクエストから完全なインベントリまでの間隔、責任あるメンテナーが到達可能であった発見オブジェクトの割合、代替受け入れまでの間隔、各独立ソース決定までの時間、ミラー遅延、指定オペレーターフィルターリフレッシュまでの時間、クロージャー時の未解決例外の数を測定します。同じ起点のトランジット変更、起点変更、リソース移転、地域間移動、一時サービスを分離します。なぜなら、それらの期待される状態が異なるからです。
品質測定はまた、誤った措置を記録すべきです。メンテナーが現在の使用を実証した後に取り下げられた、提案された古い分類はいくつあったか?緊急の復元を必要とした削除はいくつあったか?構文的には受け入れられたが、プロバイダーの選択ソースから省略された代替はいくつあったか?目標日を過ぎても残った古い許可はいくつあったか?過剰削除と過少削除の両方を公表することは、レジストリが片側だけを最適化するのを妨げます。
ソースレベルの統計にはコンテキストが必要です。RADb の古いラベルは有用なレビューシグナルですが、そのドキュメントではラベルはクエリ結果を変更しないとされています。RPKI 無効または低優先度のオブジェクトを抑制する IRRd の展開は、物理的な削除ではなく、有効な可視性を測定しています。RIR IRR は、独立したレジストリよりもリソース保持者との結びつきが強いかもしれませんが、地域的なカバレッジは狭いかもしれません。比較では、これらの設計上の違いを述べるべきです。
選択された証拠は、ルートオブジェクトの移行、古いエントリから生成されたフィルター、残余の許可によって可能になった攻撃の成功、削除によって引き起こされた停止についての完全なグローバルな分母を提供するものはありません。プライベートなプロバイダー設定や顧客紛争は一般に観測可能ではありません。レポートは、実際に研究されたレジストリ、日付、オブジェクトクラス、BGP 観測地点、参加オペレーターを記述すべきです。
正直な境界は行動の根拠を弱めません。それはパフォーマンスの主張を有用なものにします。保持者は、自らの移行が指定されたソースとプロバイダーにわたってクローズしたかどうかを気にします。オペレーターは、そのフィルターが現在の認可された入力に由来するかどうかを気にします。レジストリコミュニティは、その救済策が機能し、誤りが修復されるかどうかを気にします。これらの質問は、すべてのルーターを見ているふりをせずに測定できます。
Number Resource Society は引継ぎレシートを標準化できる
Number Resource Society は、正確な番号登録、ネットワークオペレーターの明確な権利、集中した行政裁量への制限を主張しています。注意深く適用されれば、これらの原則は IRR 移行における実用的な役割を支えます。NRS は、保持者、レジストリ、トランジットネットワーク、ソフトウェアオペレーターを召集し、移植可能なレシートと証拠の語彙を定義することができます。
レシートはルートオブジェクトではなく、BGP を認可するものでもありません。それは、正式な宣言に関するイベント、すなわち、プレフィックス、古い起点と意図された起点、イベントタイプ、関連する RIR、IRR ソース、メンテナーステータス、保持者認証、RPKI 比較、通知、ソース決定、ミラー観測、フィルターテスト、例外、レビュアーを記録します。署名または認証された証明は、1つの機関がすべてを作成したかのように見せかけることなく、各声明を作成した主体を識別します。
NRS はまた、適合性テストを公開できます。レジストリは、発見、現在の保持者による異議申し立て、元メンテナーへの通知、可逆的な一時停止、削除のログ記録、ミラーステータスを実証します。プロバイダーは、明示的なソース選択、再現可能な AS-SET 展開、段階的なフィルター更新、例外の期限切れを実証します。移転または管理ネットワークプロバイダーは、終了に IRR インベントリが含まれることを実証します。テスト結果は期限切れとなり、調査されたバージョンを識別します。
これにより、サービス品質を移植可能にすることで分散化を前進させることができます。保持者は、IRR が信頼できる回復を提供するかどうかを比較できます。オペレーターは、権限と新鮮さの管理が測定されているソースを好むことができます。レジストリは、新しい中央署名者を作成することなく連携できます。研究者は、同意と適切な境界をもって完了したイベントを分析できます。
NRS は証拠を意識し続けるべきです。その公開資料はアドボカシーの立場を表明するものであり、IRR 移行サービスの展開や技術的詳細に関する全会員のコンセンサスを証明するものではありません。認定は、RIR にオブジェクトの削除を強制したり、プロバイダーがフィルターをリフレッシュすることを保証したり、アドレス空間に対する法的権原を確立したりすることはできません。同会の価値は、それが持たないルート権威を主張することではなく、標準、透明性、会員サポートにあります。
最も強力な積極的役割は、権利を執行可能にすることです。移行した保持者は、古い宣言がどこに残っているか、それに異議を唱える方法、どのような証明が必要か、各コンシューマーがいつ変更したかを知るべきです。それは、管理についてのスローガンよりも具体的であり、説明責任のない門番を別の門番に置き換えるよりも、分散型インターネットと互換性があります。
移行は古い許可がポリシーに届かなくなったときに終了する
整然とした IRR の検索結果は最終目標ではありません。意図されたネットワークは、許可された起点を通じて到達可能でなければならず、以前の許可は重要なフィルターに影響を与えるのをやめなければなりません。その状態は、普遍的な知識を主張せずに記述できます。
現在の保持者は認証されています。意図されたプレフィックス起点宣言は適切なソースに存在し、使用されている場合には有効な ROA と整合しています。計画されたバックアップと一時的な起点は明示的な範囲を持っています。上書きされたオブジェクトは、通知とレビューの後、公開されたルールの下で削除または抑制されています。独立した重複は解決されているか、例外として指定されています。ミラーは関連する正式な変更を適用しています。指定されたトランジットおよびピアリングネットワークはフィルターを再構築し展開しています。宣言された観測地点での BGP 観測は、意図された状態と一致しています。
すべての条項が重要です。保持者認証がなければ、クリーンアップは管理者によるハイジャックになる可能性があります。代替がなければ、削除はサービスをブロックする可能性があります。通知がなければ、正当な休眠ルートが消去される可能性があります。ソースごとの措置がなければ、重複が生き残ります。ミラーとフィルターの証拠がなければ、レジストリの変更がルーターに決して届かないかもしれません。限定的な観測がなければ、完了の主張は誰も測定したものを超えてしまいます。
古いルートオブジェクトは、単に古いというだけで危険なわけではありません。それが危険になるのは、時代遅れの主張が、現在の説明責任を負う主体なしに運用上の力を保持している場合です。また、削除は本質的に高潔なわけでもありません。それが安全であるのは、機関が権限が終了した理由、継続性がどのように保護されたか、判断が誤っていた場合にどのような救済策が存在するかを説明できる場合のみです。
IRR の創設者たちは、宣言されたルーティングポリシーを調整に変換する分散型手段を設計しました。30年後、その同じ強みが承継を重要なものにしています。ある商業的および技術的取り決めのために書かれたテキストは、その取り決めが変更された後も長くコピーされ、ミラーされ、コンパイルされる可能性があります。移行がそれ自体でイベントとされない限り、ネットワークは制度的記憶よりも速く移動します。
したがって、統治ルールは単純ですが要求の多いものです。現在の権限の源泉を証明し、意図されたポリシーを使用可能にし、証拠に反論しうる者に通知し、すべての独立したソースにわたって古い主張を退役させ、配布を検証し、指定されたコンシューマーが変更した後にのみクローズすること。以前の許可が、それが依存するネットワークのフィルターの中にまだ生きている間は、ネットワークは完全には移行していないのです。
情報源
- RFC 1786: ルーティングレジストリにおける IP ルーティングポリシーの表現
- RFC 2622: ルーティングポリシー仕様言語
- RFC 2650: RPSL の実践
- RFC 2725: ルーティングポリシーシステムのセキュリティ
- RFC 7682: インターネットルーティングレジストリとルーティングポリシー設定に関する考察
- RIPE データベース: ルートオブジェクト空間の保護
- RIPE データベース: 強制削除機能
- RIPE-731: RIPE NCC IRR データベースの非権威的ルートオブジェクトクリーンアップ
- RIPE NCC: RIPE データベースにおける地域外オブジェクトの変更
- RADb: 古いオブジェクト
- RADb: WHOIS を介した RADb へのクエリ
- ARIN: インターネットルーティングレジストリ
- ARIN: Route Origin Authorizations と IRR Auto-Manager
- APNIC: ルーティングオブジェクト
- APNIC: 別の IRR からのルートオブジェクトのインポート
- IRRd: 設定
- IRRd: オブジェクト抑制の概要
- IRRd: ルートオブジェクトの優先順位
- RIPE データベース: 準リアルタイムミラーリング v4
- bgpq4 マニュアル
- RIPE Labs: IRR の風景 - データ品質、良いもの、悪いもの、時代遅れのもの
- Number Resource Society: 私たちについて
- Number Resource Society 憲章

