当多个注册表对同一路由给出不同答案时
路由服务器的工作在黎明前运行,因为交换中心希望其过滤器在商业日开始前准备就绪。它从多个互联网路由注册表源拉取数据,刷新镜像数据,展开成员 AS-SET,构建前缀列表和源检查,并输出将决定交换中心传递哪些公告的配置。大多数早晨都风平浪静。但今天早晨,这项工作停在一个由 AFRINIC 管理的 IPv4 前缀上,该前缀的故事取决于询问哪个源。
一个 IRR 源中有一条该前缀的路由对象,其源 AS 属于一个前上游提供商。另一个源中有一条较新的对象,指向一个客户网络,声称其已迁移到区域数据中心。第三个源镜像了一条更旧的条目,由于维护者名称与资源持有者相似,该条目看起来仍然合理。客户提供的 AS-SET 的展开结果取决于源顺序。在一次展开中,该前缀通过一个经销商的客户锥体被覆盖。在另一次展开中,它消失了,因为一个路由集引用了一个存在于不同仓库中的 AS-SET。公开的 RPKI 检查有助于解答部分问题,但并未解释为何 IRR 视图存在分歧,或当前的操作关系是什么。交换中心工程师可以拒绝该路由、接受它、做出手动例外、要求提供信函或推迟工单。这些选择没有一个是免费的。
这就是互联网路由注册表脆弱性背后的实际场景。问题不仅在于单个路由对象可能是错误的、过时的或难以修正的。更广泛的问题是,路由策略数据分布在多个仓库中,这些仓库具有不同的历史、更新规则、认证实践、镜像计划、清理习惯和社会声誉。运营商或 IXP 很少将“IRR”作为单一数据库来使用。它通过工具以选定的顺序消费选定的源集,这些工具对重复、递归、路由集成员关系和源优先级做出了假设。当这些假设与冲突的记录相冲突时,数据库设计就变成了经济事件。
受影响方远不止网络工程师。传输提供商在配置前需要知道该信任哪个源。云提供商需要确信后才通告客户地址空间。IXP 路由服务器需要过滤器来保护参与者,同时不排除合法的本地网络。经纪人必须解释为何过时的 IRR 记录不会压低价格或延迟转移。买方、贷款方或保险公司需要知道操作接受是否能在尽职调查中存活。购买连接的客户不关心 RPSL 语法,但如果路由不能被快速接受,他们将感受到成本。
AFRINIC 是一个有用的压力测试,因为它的制度环境使隐性成本可见。该区域面临长期的治理危机、诉讼、破产管理问题、选举动荡以及公众对历史地址记录完整性的担忧。IPv4 的稀缺使得每个可路由的地址块都更具经济意义。在这种背景下,与注册表相邻的路由数据不是文员的附录。它成为市场依赖基础设施的一部分。如果数据一致,第三方可以以较低的成本表示同意。如果数据碎片化,每个参与者都必须决定吸收多少法律、操作和声誉风险。
正确的框架并非制度忠诚。不是 AFRINIC 或任何其他 RIR 应因其声称的代表群体而受到信任。也不是私有 IRR 应因运营商已使用它们多年而受到信任。问题更难:当多个数据库对一个稀缺数字资源的路由策略给出看似合理但相互矛盾的答案时,上游、交换中心、云平台、经纪人、买方、贷款方或客户应该依赖哪个答案?如果答案错误,谁来买单?
RPSL 使路由策略可读,但未使其自我验证
互联网路由注册系统源于合理的运营需求。BGP 允许网络公告路由,但它本身并不提供网络想要发起、传输或接受的完整公开解释。路由策略太重要了,不能仅留在私人路由器配置和电子邮件线程中。RFC 2622 中定义的 RPSL 为运营商提供了一种描述该策略的结构化语言。它包括诸如 route、route6、aut-num、as-set、route-set 和 mntner 等对象。这些不是法律文书。它们是数据库对象,旨在以便于软件查询的形式描述路由关系。
这个区别往往是自动化的第一个牺牲品。一个路由对象将前缀与一个源自治系统关联起来。RFC 4012 多协议扩展中描述的路由 6 对象为 IPv6 执行类似功能。一个维护者对象标识可以验证对其他对象更改的维护者。AS-SET 和路由集允许运营商描述网络或路由的集合,通常是递归的。从这些片段中,网络可以为客户或对等方生成过滤器。语法很窄,但由于输出成为路由器策略,其后果很广。
早期的承诺是协调。如果运营商在公开或半公开的注册表中发布他们预期的路由策略,其他运营商可以做出更安全的决策。过滤器可以生成而不是手动构建。更改可以针对可见的策略模型进行审查。错误更容易被发现。互联网范围的协调将有一个共同的语法。RFC 2725,在围绕 IRR 的安全担忧增长时撰写,捕捉到了这一转变:随着 IRR 数据对运营变得更加有用,其完整性和安全要求也变得更加严格。一个维护松散协调的数据库是一回事。一个为过滤器提供信息的数据库是另一回事。
RPSL 并未使数据自我验证。它使数据可读。在每次碎片化的 IRR 争议中,这一区别都很重要。如果存储库中存在一个路由对象,该对象可以被解析。它可以被镜像。它可以与公告进行匹配。它可以被拉入前缀列表。但该对象的存在并不能证明资源持有者授权了它,源 AS 仍然是当前,维护者仍代表相关方,其他地方的重复是虚假的,或者跨源的路由集扩展反映了当前的商业关系。该格式使声明机器可读。但它并不使声明为真。
这一限制曾经不太重要,因为风险较低,操作文化更以关系为驱动。现代市场不那么宽容。IPv4 稀缺;自动化更深;云上线、路由服务器、托管安全服务、远程对等和地址转移都依赖于可重复的外部证据。曾经帮助工程师协调的记录现在影响着资本、连接和客户关系能否流动。
制度层面的教训简单但令人不安。影响过滤器的注册数据库不能像只是方便的通知板那样进行管理。但它也不应被转化为对市场活动进行广泛自由裁量的控制点。数据库的合法性来自其账本功能的狭窄性和可靠性。它应该以降低不确定性的方式记录、认证和暴露操作声明。它不应假装每个路由策略条目都是一项财产判决、群体投票或制度主权的工具。
这就是碎片化如此昂贵的原因。如果相同的 RPSL 词汇出现在许多仓库中,每个都拥有不同的权威模型,那么市场收到的声明看起来相似,但建立在不同的基础之上。一个源中的路由对象可能与 RIR 持有者记录紧密相连。另一个源中的路由对象可能由某个网络运营商多年前在较宽松的维护者实践下创建。一个镜像对象可能落后于源或保存了一个已删除的视图。一个路由集可能引用了仅当工具查询正确的仓库时才存在的对象。共同的语法掩盖了下面的制度差异。
碎片化将协调工具变成了市场税
碎片化有时被描述为过滤器工具的烦恼。这种说法太温和了。在稀缺地址市场上,碎片化的 IRR 数据是一种税收系统。它向每个必须调查、解释、调和、覆盖、记录或为矛盾记录投保的当事方收费。税收不是付给单一的收税者。它是在劳动力、延迟、风险折扣、失败的上线、被阻止的对等、手动例外、法律审查和对手之间的不信任中支付的。
第一个成本是搜索。运营商不能简单地询问一个前缀是否有 IRR 对象。它必须询问其策略认可哪些源,这些源是否对资源区域具有权威性,镜像副本是否是最新的,重复是否应该合并或视为冲突,以及是否应允许私有或非 RIR 源中的对象覆盖 RIR 关联源中缺失或过时的条目。一个小型网络只看到一个工单。一个大型运营商看到的是规则集。两者之间存在着一个交易成本,这通常决定了小网络能否迅速获得服务。
第二个成本是解释。当客户说,“路由对象在那里”时,上游必须问在哪里。如果对象在 RADB 但不在相关的 RIR IRR 中,这足够吗?如果它在 AFRINIC 源中,但另一个源中的重复指向了不同的源,哪个对象胜出?如果客户有一个 AS-SET 通过几个仓库展开,上游是接受所有源还是仅接受首选列表上的源?如果客户之前的供应商在其自己的维护者中创建了对象,客户是否必须在新供应商接受路由之前删除它们?每个问题都很合理。它们一起让连接感觉像是变相的诉讼。
第三个成本是不对称的能力。大型运营商可以维护注册团队,构建特定于源的策略,运行定期的过期对象检查,监控过滤器差异,并知道该联系谁。较小的非洲 ISP、大学、公共机构和企业可能没有这种能力。他们可能从承包商那里继承了旧记录。他们可能依赖上游创建对象。他们可能不知道远处 IRR 中的重复会影响不同市场中的路由服务器。因此,碎片化有利于那些有足够规模来管理模糊性的参与者。它惩罚了那些认为互联网可达性应是一般基础设施的人。
第四个成本是议价能力。如果 IPv4 地址空间的买方发现该地址块存在冲突的 IRR 条目,它可能要求折扣或托管扣留。如果贷款方看到借款方依赖地址的服务依赖于运营商的手动例外,它可能将资产视为不太可靠的抵押品。如果云提供商要求在上线前进行清理,持有者可能失去迁移时间或从弱势谈判。碎片化的记录不必是恶意的就能改变价格。它们只需使资产更难依赖。
第五个成本是安全。过时的重复可以保留旧的源声明。弱认证的源可以为应被质疑的路由提供表面合法性。过于宽泛的 AS-SET 可能拉入不再属于的下游。镜像滞后可能使一个修正后的记录看起来尚未解决。如果运营商因此完全忽略 IRR 数据,他们就失去了一个有用的防御层。如果不加区别地信任每个源,他们扩大了攻击面。如果仅信任狭窄的源列表,记录不完整的合法网络可能被排除。碎片化迫使安全策略在几种不完美的危害之间做出选择。
第六个成本是制度信任。在稳定的注册环境中,运营商容忍一定的混乱,因为他们知道如何修正。在压力下,每个模糊性都被更阴暗地解读:过时的对象,弱记录控制,文牍缺口,持有者锁定,还是绕过区域账本?AFRINIC 最近的历史使这些问题更难被忽视。数据问题变成了治理问题,因为第三方不会将数据库与维护或未能维护它们的制度分开。
因此,碎片化改变了 IRR 记录的经济意义。在一个统一且治理良好的环境中,该记录降低了路由信任的成本。在碎片化的环境中,该记录可能将成本向外转移。路由服务器、上游、云平台、经纪人和买方成为了数据库冲突的无偿仲裁者。他们并不适合做这个工作,但路由系统不给他们逃脱的路径。数据包需要一个决定。
源选择是伪装成工程的经济决策
RFC 7454,即 BGP 操作和安全文件,将源选择视为运营商的实际关切。它讨论了前缀过滤、从路由注册表派生的客户过滤器、AS-SET 递归、刷新过滤器的必要性以及选择使用哪些 IRR 源的困难。文本是操作性的,但其经济含义重大:源选择规则是一种信任策略。它决定了哪些数据库声明足够便宜可以依赖,哪些声明需要手动升级或拒绝。
考虑一个在构建过滤器时接受 AFRINIC、RIPE、APNIC、ARIN 和 RADB 对象的运营商。该策略最大限度地体现了包容性。它减少了那些数据存在于较旧或非区域源中的客户的支持工单。它还增加了暴露于过期重复、较弱的授权历史和跨源递归惊喜的风险。现在考虑一个仅偏好每个前缀的相关 RIR 源并忽略私有 IRR(当存在 RIR IRR 时)的运营商。该策略可能改善权威对齐,但它可能破坏那些记录历史上在其他地方维护或其提供商创建的对象存在于区域源之外的合法客户。第三个运营商可能使用源偏好顺序,接受第一个匹配的对象。该规则是高效的,直到首选源是过时的,而较不满意的源是当前的。
这些选择看起来技术性,因为它们被编码在脚本中。它们是经济性的,因为它们分配了不确定性的成本。严格的源策略使客户在获得服务前清理他们的记录。这可能改善数据库,但它将劳动力转移给客户,并可能排除较小的网络。宽松的策略使路由更快被接受,但它将风险转移给运营商的网络及其对等方。手动例外策略保留了灵活性,但它创造了内部优势和支持瓶颈。没有中立的源策略。只有分配成本的不同方式。
对于 AFRINIC 管理的前缀,源选择异常敏感,因为该区域的记录可能同时承载多个历史。一个前缀可能在商业 IRR 中有一个旧的路由对象,因为一个上游在其很久以前使用 AFRINIC 自身的 IRR 工具之前就创建了它。可能在后续清理期间创建了一个 AFRINIC 关联对象。它可能有假设 RIPE 风格工具的路由集引用,因为一个欧洲传输提供商维护了客户的策略。它可能有云或 DDoS 提供商使用的私有 IRR 条目。每个源从其创建者的角度来看都是合理的。合理并不等同于当前权威。
冲突的源偏好也影响提供商之间的竞争。如果一个主导上游的策略接受更广泛的源集,它可能比拥有更严格过滤器的小型提供商更快地上线客户。如果一个云平台要求一种清理方式,而一个传输提供商要求另一种,客户可能选择行政摩擦最小的路径,而不是最好的技术服务。如果一个 IXP 路由服务器使用保守的源规则,记录混乱的成员可能避免多边对等并保持依赖传输。数据库策略间接地塑造了市场结构。
源选择也可能成为一种隐藏的管辖权选择形式。在非 AFRINIC 仓库中为 AFRINIC 管理的前缀创建一个路由对象,可能比与 AFRINIC 持有者记录关联的对象更容易创建或保存。接受该对象的运营商并未正式将权威从 AFRINIC 转移出去,但它正在决定一个非 AFRINIC 源可以支持操作依赖。在正常情况下,这可能无害。在有争议的情况下,这很重要。市场可能根据最易于使用的数据库进行路由,而不是最能反映资源账本的数据库。
解决方案不是要求一个通用的源列表。运营商拥有不同的风险承受能力、客户基础和法律环境。解决方案是透明度和更窄的期望。运营商和路由服务器操作员应公布他们如何使用源、如何处理重复、他们多久刷新镜像、如何处理 RIR 与非 RIR 数据之间的冲突,以及手动例外需要什么证据。注册表应发布足够的元数据,让运营商区分源的权威性,而不是猜测。客户应能够提前了解他们的 IRR 状态是否会通过给定网络的过滤器。隐藏的源选择规则是一种隐藏的市场规则。
就 AFRINIC 而言,制度优先级应该是使 AFRINIC 关联源足够可预测,以便运营商有更少的理由跨数据库购买他们偏好的答案。这并不意味着让 AFRINIC 成为市场管理者。这意味着加强账本功能,使区域源成为一个低成本的参考点。保护账本,而不是看门人:注册表的价值在于使依赖更便宜,而不是将源偏好变成自由裁量权。
镜像滞后和过期重复制造虚假的连续性
IRR 数据经常通过镜像传播。镜像是必要的,因为运营商需要本地、快速和有弹性地访问注册信息。它也创造了一种新的脆弱性类别。一个镜像可能落后于权威源。它可以保存一个更正后的视图。它可以悄无声息地失败。它可以更新一个源而另一个保持过期。它可以给自动化一种印象,即一个记录仍然存在或仍然具有某种源,而底层仓库已经前进了。
镜像滞后容易被低估,因为大多数滞后是无害的。如果过滤器刷新比常规路由集更新晚几个小时,没有什么大不了的事。问题不在于平均延迟。问题在于在有争议或经济上重要的变化期间的延迟。持有者在离开前供应商后删除了一个过期对象。旧供应商的路由集仍通过镜像引用该对象。一个 IXP 路由服务器从一个滞后副本刷新,并继续接受一个持有者认为已撤销的路由。或者一个客户为迁移创建了一个新对象,但传输提供商选择的镜像尚未赶上,因此工单停滞。当前视图与过期视图之间的差异成为业务中断。
过期重复比镜像滞后更持久。在原始商业关系结束后,重复对象可能长期保留在另一个源中。前上游可能为客户创建了它,从未清理过。客户可能不知道它的存在。维护者可能无法联系。源可能没有强烈的动机去删除它,因为该对象未与该源的资源账本关联。多年后,自动化过滤器仍然看到一个合理的前缀-源声明。如果当前持有者想要更换提供商,它可能必须解释为何旧对象不应支配接受。如果不良行为者寻找掩护,旧对象可能提供足够的模糊性来延缓拒绝。
虚假连续性是经济危险。一个过期对象使过去的关系看起来像是当前的。一个镜像对象使已修正的视图看起来尚未解决。一个包含旧下游的递归 AS-SET 使前客户看起来像是当前锥体的一部分。数据库不需要说“这是权威的”。它只需要被足够多的工具消费以创造依赖。在一个速度很重要的市场中,表面上的连续性是有价值的。它让一方可以说,“数据一直看起来是这样”,即使数据的存活是一种整理失败。
AFRINIC 的背景增加了虚假连续性的代价。历史记录完整性的担忧意味着休眠或过时数据不仅仅是杂波。它可以成为围绕稀缺 IPv4 空间的一个证据阴影。审查 AFRINIC 区域地址块的买方可能会问,旧 IRR 对象是否在非区域源中留存。云提供商可能会问,前源是否仍然出现在它消费的任何地方。经纪人可能需要在收盘前清理旧路由集引用。上游可能拒绝接受新源,直到旧源被移除。每一步都是理性的,但合在一起,它们将碎片化的数据库清理变成了市场先决条件。
过期重复也创造了反向激励。从模糊性中受益的一方可能没有理由删除旧数据。前供应商可能不会优先为失去的客户进行清理。经销商可能偏好广泛的 AS-SET,因为它们使上线更容易。弱源可能偏好数量和便利,而不是严格的权威检查。严格的源可能删除记录,但对其他地方的副本没有权力。结果是一种负外部性:过期数据的成本由当前持有者、新供应商和必须安全过滤的网络承担,而不一定是留下过期记录的一方。
实际的回应应该是生命周期纪律。用于路由过滤器的记录需要时间戳、源出处、删除可见性、镜像状态和工具能够理解的冲突指示器。运营商需要过期对象报告,这些报告显示当具有不同源或维护者的前缀-源对出现在多个源中时。注册表和主要 IRR 运营商应为能够展示当前权威的持有者简化清理,同时保留足够的审计历史以防止秘密重写。路由服务器软件应暴露冲突,而不是将其隐藏在首匹配规则后面。这些都不需要将 IRR 变成财产法庭。只需要承认,当过滤器消费它时,过期数据并非中立的。
还有一个文化点。工程师经常容忍不整洁的注册表,因为互联网一直在正式数据和非正式应急措施的混合上运行。这种容忍在不断发展的网络中是很有用的。当稀缺的 IPv4 地址块、云上线和财务尽职调查依赖于外界难以解释的记录时,它就没那么有用了。在这种环境中,一个过期重复不仅仅是一个旧对象。它是对他人信任成本的一种索取。
认证而无授权不能解决信任问题
IRR 安全讨论经常始于认证。用户是否控制了维护者凭证?密码、PGP 密钥、门户账户或其他方法是否有效?更新是否通过适当的渠道提交?这些问题很重要。一个无法认证更新的数据库对于过滤器生成来说不够可靠。但认证并非授权。RFC 2725 在二十多年前就注意到了这种区分,这一区别仍然是碎片化 IRR 经济的核心。
认证证明对一个凭证的控制。授权询问凭证持有者是否有权在特定时间为特定资源做出此特定路由策略声明。前承包商可能仍然控制着一个维护者。传输提供商可能在服务期间被授权为客户创建一个路由对象,但在终止后无权保留它。经销商可能有权为一个产品将下游包含在 AS-SET 中,但无权授权新的源 AS。公司邮箱可能在曾使用它的员工离开后仍然存在。注册账户可能在技术上有效,而基础的公司权威存在争议。强大的登录控制减少了冒充;它们不回答授权问题。
碎片化放大了问题,因为每个源可能以不同的方式划分认证-授权界限。一个仓库可能将路由对象创建紧密地与资源持有者或分层授权模型联系在一起。另一个仓库可能允许基于维护者控制和源 AS 确认来创建。第三个仓库可能在遗留实践下保存旧对象。第四个仓库可能允许供应商维护者为客户创建对象以便操作。当过滤器将它们全部作为可比较的 RPSL 数据消费时,市场就忽略了记录背后不同的权威假设。
对于 AFRINIC 区域的前缀,这一区别并非理论上的。治理压力、诉讼和记录完整性担忧使授权问题更有可能出现。谁可以代表处于破产管理、清算或董事会争议中的公司行事?谁可以在法院监督期间更新记录?当历史分配与一个公共机构相关联,而其当前的网络运营已外包时,会发生什么?注册表或运营商应如何对待由不再有客户的提供商控制的维护者?这些都是授权问题。一个有效的维护者密码不能单独回答它们。
这一区别的经济后果是严重的,因为市场喜欢凭证。凭证是快速的。它们适合软件。它们让工单得以关闭。授权更慢。它涉及合同、信函、公司权威、注册记录、历史背景,有时还有法律。在压力下的市场会倾向于接受认证作为授权的替代,因为延迟是昂贵的。这种诱惑为任何能够保留或获取凭证而无当前权威的人创造了一个攻击面。它也为那些缺乏旧凭证但能证明当前权利的合法持有者创造了一个障碍。
相反的错误也是昂贵的。如果每次 IRR 更新都需要对资源权威进行全面重新证明,常规路由更改就变得太昂贵了。小型运营商将避免更新记录。提供商将保持广泛的 AS-SET 以减少摩擦。客户将依赖私人信函和手动例外。过滤器将变得不那么准确,因为准确发布的成本太高了。目标不是最大化的文档。它是成比例的授权:对于改变风险或经济意义的更改需要更多证据,对于稳定的日常维护减少摩擦,在过时权威明显时快速更正,并在当事方可能受影响时发出明确通知。
在实践中,这意味着 IRR 源应暴露权威上下文,而不仅仅是对象内容。一个在直接资源持有者认证下创建的路由对象应可区别于由供应商维护者创建的对象。一个与源 AS 确认相关联的记录应可区别于历史遗留对象。一个有争议或最近修正的对象应携带足够可见的状态,以便运营商谨慎处理。私人证据无需发布。但数据库不应强迫每个下游用户从对象语法和维护者名称推断权威。
这就是窄连续性原则重要的地方。注册表应作为连续性公用事业,而不是每个市场用途的自由裁量管理者。他们应保持账本足够可靠,以便第三方能够解释操作声明。他们应抵制授权洗钱,即广泛引用群体或管理的名义将对市场的技术协调转化为制度控制。但他们也应抵制相反的失败,即薄弱的认证卫生让旧凭证和碎片化的源支配当前的可达性。一个窄的公用事业仍然需要强有力的程序。它只是使用程序来保护依赖,而不是积累自由裁量权。
AS-SET 递归使小错误传播很远
AS-SET 是 IRR 生态系统中最有用也最危险的部分之一。它们允许一个网络发布一组应被视为其客户锥体或路由策略一部分的 ASN。一个传输提供商可以向客户索要 AS-SET,递归展开它,找到内部的 ASN,然后为与那些 ASN 关联的前缀构建过滤器。没有这种机制,客户过滤器维护将手动得多。有了它,单个路由服务器或运营商可以自动处理许多路由关系。
危险在于递归。一个 AS-SET 可以包含其他 AS-SET。那些 AS-SET 可以存在于不同的源中。它们可以包含过时的客户 ASN、下游经销商、路由集或在不同的权威标准下维护的对象。展开可能依赖于源。一个搜索所有源的工具可能产生比一个限制为首选源的工具更大的集合。一个在首匹配处停止的工具可能将一个数据库视为决定性的。一个故障关闭的工具可能拒绝合法客户。一个故障打开的工具可能通过一条最近无人审查的链条接受路由。RFC 7454 对 AS-SET 递归和 IRR 派生过滤器的警告并非学术脚注。它是数据库碎片化变成路由器配置的操作点。
在 AFRINIC 区域的案例中,递归问题可能被普通的商业层次所掩盖。一个小型 ISP 从一个区域运营商那里购买了传输。运营商的 AS-SET 包含一个经销商。经销商包含客户 ASN。这些客户有些拥有来自 AFRINIC 的前缀,有些来自其他区域,有些是租赁或委托的,有些迁移到了云或 DDoS 提供商。这些对象是由不同的维护者多年创建的。当一个 IXP 路由服务器展开顶层的 AS-SET 时,它可能导入整个商业关系历史,而不仅仅是成员当前的政策。如果展开过于宽泛,过时的客户可能仍然可路由。如果过于狭窄,合法的下游可能消失。
经济效应是规模性的。一个过时的路由对象影响一个前缀-源声明。一个过时的 AS-SET 成员可以影响许多前缀。一个宽泛的路由集可以影响与多个 ASN 关联的所有前缀。一个受信源中的递归对象可以从另一个源导入较少信任的数据。错误的半径随着每一层间接方向而增长。这使得 AS-SET 卫生成为一个市场问题。不准确集合的成本不仅由维护者承担,还由每个依赖其展开的上游、路由服务器、客户和对等方承担。
递归也造成了不透明性。客户可能不知道为什么上游的过滤器包含或排除了一个路由。答案可能藏在几层深的源选择规则中。支持工单可能写着“IRR 不匹配”,而真正的问题是客户的 AS 在下游集中缺失,或者是另一个源中的重复 AS-SET 被优先采用,或者是一个旧的经销商条目仍在展开。当事方围绕可见的前缀争论,而原因则隐藏在 RPSL 对象的隐藏链条中。
对于云提供商和大型内容网络,AS-SET 问题与上线规模相交。他们需要验证许多客户,并避免成为可疑空间的起源点。严格的 AS-SET 处理减少了滥用风险,但增加了客户摩擦。宽松的处理提高了上线速度,但可能导入过时或过于宽泛的策略。对于经纪人和买方,AS-SET 蔓延是尽职调查的噪音。一个地址块在持有者记录中可能看起来很干净,但出现在与旧供应商、经销商或客户关联的路由集中。在金钱流动之前,必须有人确定这些引用是否在操作上有意义、过时还是有害。
正确的政策不是放弃 AS-SET。它们仍然是实用的且广泛使用。政策是将递归展开视为一个依赖链条,具有可见的薄弱环节。工具应报告源路径、重复集名称、跨源引用、展开年龄、异常增长以及与已知持有者或源数据的冲突。运营商应避免在考虑权威性之前接受跨所有源的任意递归。注册表应帮助持有者找出他们的前缀和 ASN 出现在他们不控制的集合中的位置。主要的 IXP 和运营商应公布他们如何处理跨源递归。市场越依赖自动化,自动化就必须越能解释其假设。
对于 AFRINIC,AS-SET 递归具有区域发展维度。当过滤器可以可预测地构建时,本地对等和区域传输就变得更便宜。如果小型网络无法使其 AS-SET 在交换中心和上游之间工作,他们可能仍然依赖于少数几个已经了解这些仪式的提供商。如果过时或过于宽泛的集合造成安全疑虑,路由服务器运营商可能以排除这些小型网络的方式收紧规则。因此,良好的 AS-SET 治理不仅是安全便利。它是降低参与路由经济成本的一部分。
AFRINIC 将数据库模糊性变成了制度风险
每个 RIR 都面临碎片化的 IRR 数据。AFRINIC 并非因为拥有路由对象、过期记录或反对源政策的运营商而独一无二。它的独特之处在于,数据库模糊性坐落于制度压力之上,这种压力已经使对手方对连续性变得敏感。一场治理危机改变了普通技术缺陷的定价方式。在一个平静的机构中,一个过时的 IRR 重复可能被视为家庭清理。在一个压力下的机构中,同一个重复可能被解读为账本无法管好其边缘的证据。
AFRINIC 的近期历史包括诉讼、有争议的治理、与破产管理相关的不确定性、选举动荡、一次在报告违规问题后于 2025 年被废止的选举,以及随后恢复董事会功能的努力。它还包括对历史 IPv4 记录完整性和地址非法侵占的公众关注。这些事实不应被用来谴责该区域的每一条记录或每一个运营商。它们并不证明给定的 IRR 对象是假的。但它们确实改变了证明的成本。一个审视 AFRINIC 管理前缀的第三方可能会问更多问题,因为账本周围的机构受到了明显的压力。
这就是碎片化的 IRR 数据成为制度风险的地方。如果一个前缀在一个 AFRINIC 关联源中有一个源,在商业 IRR 中有一个,并在一个由前供应商维护的 AS-SET 中有一个过时的引用,技术冲突也是一种治理信号。它说明市场无法轻易看出哪个机构、哪个源和哪条权威链应解决操作声明。在一个地址稀缺且注册表一直承受压力的地区,这种不确定性吸引了风险溢价。
危险不仅来自不良行为者。合法网络同样受到这种折扣的影响。一个拥有旧记录的公立大学在更换供应商时可能被视为可疑。一个小型 ISP 可能因为其 AS-SET 展开不一致而失去传输机会。一个政府机构可能面临数周的审查,因为历史联系人不再回应。一个数据中心可能难以将客户空间带入本地交换中心,因为另一个源仍然指向一个国际运营商。这些不一定是 AFRINIC 员工或任何一个 IRR 运营商的失败。它们是碎片化依赖系统未能使普通合法性变得便宜的失败。
制度压力也鼓励了授权扩张。一个受到批评的注册表可能会试图通过主张对路由数据、地址使用或市场行为更广泛的控制的来证明其警惕性。群体主权语言可以使这种扩张听起来自然:因为注册表服务于一个区域,它应该以该区域的名义决定更多问题。但技术协调不会仅仅因为援引群体而变得合法。如果注册表成为一个自由裁量的市场管理者,它就提高了被捕获、诉讼和政治冲突的风险。如果它退回到被动的记录保管,而碎片化的数据支配可达性,它又以另一种方式辜负了市场。窄路径是在没有更广泛守门的情况下更强大的账本可靠性。
这条路径需要认识到不同的层次。AFRINIC 的数字资源注册表是持久的账本。IRR 数据是与该账本相邻的路由策略发布。RPKI 和 ROA 通过不同的机制提供加密的路由起源证据。BGP 公告显示观察到的路由,而不是权威。合同和法院命令可能决定当事方之间的权利,但它们需要转化为操作信号。混淆这些层次会产生越权或疏忽。将它们分开,每个都能做自己的工作。
例如,如果一个有争议的 AFRINIC 区域前缀有冲突的 IRR 条目,注册表不应必须在任何操作记录可以改变之前决定每个商业纠纷。但它应提供明确的程序:源权威、通知、状态标签、冲突报告和更正。如果一个持有者表明 AFRINIC 控制源中的过期对象不再反映其授权,更正路径应快速且可审计。如果一个重复在其他地方持续存在,运营商应有足够的源元数据来知道 AFRINIC 源具有不同的权威姿态。如果一个法院命令影响了谁可以为持有者行事,注册表应谨慎地将该命令映射到账本,而不是将路由过滤器变成临时法律文书。
制度目标是连续性。网络不应必须在完美的治理平静过去之后才能使用其路由数据。治理动荡也不应被允许将模糊的 IRR 记录变成私人杠杆。一个狭窄、程序化和透明的注册表降低了制度捕获的价值。与数据库模糊性相关联的自由裁量权越少,控制该制度的奖赏就越小。
IPv4 稀缺将模糊性变成溢价
IPv4 稀缺是将 IRR 脆弱性从工程麻烦转化为经济问题的力量。当地址充裕时,一个混乱的地址块有时可以被替换、重新编号或被忽略。耗尽改变了这一点。一个可路由的 IPv4 地址块如今承载着客户依赖关系、声誉历史、防火墙白名单、地理位置假设、反向 DNS 期望、云映射和资产价值。让该地址块被上游、IXP 和云平台接受的能力是该地址块价值的一部分。
一个地址块并非仅仅因为它出现在注册表中而有价值。它有价值是因为对手方相信它可以被使用。可用性取决于一堆证据:注册表持有者记录、合同权威、路由历史、IRR 对象、AS-SET、RPKI 状态、滥用声誉、反向 DNS、云上线审批和运营商过滤器。碎片化的 IRR 数据位于这堆证据的中部。它离操作足够近,从而影响可达性;离注册表足够近,从而影响对合法性的看法。当它冲突时,该地址块就变得不那么流动了。
买方将此视为清理风险。如果它获取该地址块,旧的路由对象会保留吗?前源会仍然出现在过滤器中吗?卖方能否从它不控制的源中删除过时的重复?云提供商会迅速接受新的源吗?为交易提供融资的贷款方会将路由姿态视为稳定吗?每个不确定的答案都可能改变价格、托管条款或收盘时间表。市场不需要相信 IRR 记录是产权文件。它只需要相信不良的 IRR 记录可能延迟价值。
经纪人将其视为执行风险。经纪人出售信心,就像他们出售引介一样。一个注册表数据干净但 IRR 历史混乱的区块需要更多解释。如果经纪人不能显示该前缀将被主要的传输提供商和平台接受,买方可能会低估它。如果经纪人依赖于一个过时对象来显示可路由性,买方以后可能发现操作接受是基于脆弱的证据。碎片化的 IRR 数据将经纪变成了路由尽职调查的一种形式。
贷款方将其视为抵押品不确定性。依赖地址的企业可能不会以简单的方式直接质押 IPv4 地址块,但贷款方仍然关心支持现金流的网络资产是否稳定。如果一家公司服务客户的能力依赖于需要手动路由例外的前缀,该资产就更弱。如果冲突的 IRR 记录可能让旧供应商或声称者制造混乱,风险就更高。如果注册表环境有压力,贷款方可能要求更多的控制。模糊的路由数据成为融资成本。
客户将其视为服务可靠性。企业、公共机构和云用户不想学习 RADB、AFRINIC、AS-SET 递归和 RPKI 之间的区别。他们想要他们的提供商网络能工作。当一次迁移因路由服务器拒绝一个前缀而失败时,客户感受到的是延迟和不信任。提供商可能责怪注册表、旧供应商、新上游或一个数据库源。客户只听到地址资产比承诺的更难用。
稀缺加剧了分配问题。富裕的网络可以购买专业知识。较小的网络可能通过延迟支付。试图建立本地互连的非洲运营商可能面临来自习惯于更严格文档的全球平台的怀疑。拥有旧分配的公共部门网络可能难以现代化,因为旧记录与当前的采购结构不匹配。大学和研究型网络可能从更非正式的时代继承记录。因此,清洁 IRR 数据的市场溢价不仅是对良好卫生的奖励。它也是对历史复杂性的惩罚。
政策结论应适度。AFRINIC 不应让自己成为每笔转移价格、租赁、质押或云上线决策的仲裁者。那会将注册表变成市场监督者。但它应该理解,与注册表相邻的路由数据影响这些决策。如果区域源是可预测的,如果过时的记录可以被找到和更正,如果源权威是可见的,如果运营商能够依赖清晰的程序,那么附加在模糊性上的稀缺溢价就会下降。良好的 IRR 治理使 IPv4 市场不那么封建。糟糕的 IRR 治理让那些拥有私人知识的人从所有人的不确定性中提取价值。
RPKI 有帮助,但不会消除 IRR 依赖
RPKI 和路由源授权经常被呈现为 IRR 的更清洁替代品。对于某个特定问题,它们确实更清洁。ROA 允许资源持有者在资源证书系统内说明哪个 AS 可以在定义的最大长度内发起一个前缀。执行路由源验证的网络可以将公告分类为有效、无效或未找到。这是对未认证或认证较松散的文本记录的重大改进。它减少了一类关于源权威的不确定性。
但 RPKI 不会消除 IRR 问题。运营商仍然使用 IRR 数据进行客户过滤器、AS-SET 展开、路由集策略、最大前缀期望和路由策略文档。ROA 可以说一个 AS 被授权发起一个前缀。它不会描述一个传输 AS 背后的完整客户锥体。它不会清理过时的 AS-SET。它不会从私有 IRR 中移除重复的路由对象。它不会解释为什么一个仓库说一个前上游仍然发起该地址块。它不会告诉经纪人旧的 IRR 引用是否会延迟买方的运营商上线。它不会决定是否应在合同终止后删除供应商创建的对象。
因此,RPKI 是一个比较器和部分的替代品,而不是源碎片化问题的核心。它可以为前缀-源声明提供更强的证据。它可以帮助运营商拒绝与 ROA 不一致的公告。它可以减少对一个子集决策的弱 IRR 数据的依赖。然而,路由经济仍然是多元的。一些网络严格执行 ROV。一些只是监控。一些比 RPKI 更重度地使用 IRR 过滤器。一些要求两者。一些接受 RPKI 作为源验证,但仍然要求 AS-SET 用于客户锥体过滤。市场不受一个验证开关的支配。
在 AFRINIC 的情况下,RPKI 的价值可能特别高,因为制度压力使机器可验证的起源证据具有吸引力。一个 ROA 可以让上游放心,持有者已经发布了当前的起源授权。它可以帮助云提供商区分合法的起源和过时的 IRR 对象。它可以让买方获得一个更清洁的尽职调查项目。但它不回答每个源碎片化问题。一个前缀可以有一个有效的 ROA,但仍然出现在旧的 AS-SET 中。一个路由服务器可以在 RPKI 甚至起作用之前使用 IRR 派生的过滤器拒绝该路由。一个上游可以为配置要求 IRR 注册,即使 RPKI 是有效的。运营文化变化缓慢。
还有一个替代的政治经济。如果一个注册表或标准团体说,“使用 RPKI,忽略 IRR”,它可能低估了现有的运营依赖关系。如果运营商说,“IRR 工作得足够好”,他们可能保留了薄弱的权威链。现实的路径是分层。RPKI 应该减少为源验证而加在 IRR 身上的负担。IRR 应该继续用于路由策略和客户锥体表达。当两者冲突时,运营商应该有明确的政策,哪个信号支配哪个决策。一个有效的 ROA 不应自动清洗每个过时的 AS-SET。一个过时的 IRR 对象不应自动击败强大的当前起源证据。每个信号都有自己的工作。
这种分层方法也避免了将 RPKI 变成一个过宽的财产工具。ROA 不是一份契约,就像一个路由对象不是一份契约一样。它是一项具有定义操作意义的加密路由授权。在稀缺市场上,诱惑是让最强的制品成为所有纠纷的通用答案。那将是一个错误。RPKI 可以减少路由起源模糊性,但合同、注册表记录、公司权威、法院命令、客户委托和 IRR 清理仍然重要。一个层面更强的事实并不消除跨层面一致性的需要。
对于路由服务器和传输自动化,实际的改进是冲突感知策略。系统应该能够说:ROA 验证了这个起源,AFRINIC 关联的 IRR 源支持它,一个非区域 IRR 有一个过时的重复,而另一个源中的一个 AS-SET 仍然引用前供应商。这是一个比二元的接受或拒绝更好的市场信号。它让运营商在接受路由的同时开启一个清理工单,或者仅在冲突达到一个定义的风险阈值时拒绝。目标不是为了数据本身而获得更多数据。目标是更便宜、更一致的判断。
因此,RPKI 的崛起应使 IRR 治理更加纪律化,而非无关紧要。随着更强的起源证据变得可用,剩余的 IRR 数据应用于其最擅长的领域,并在造成混淆的地方进行清理。AFRINIC 的挑战是在不利用它扩大自由裁量权的情况下支持这种过渡。更强的路由安全应保护账本的可靠性。它不应给账本运营商一个更大的授权来通过暗示治理市场关系。
每个对手方的信任问题是不同的
“可以信任哪个数据库?”这句话听起来很简单。在实践中,信任取决于对手方和决策。上游、IXP、云提供商、经纪人、买方、贷款方和客户都会对 IRR 数据提出不同的问题。碎片化之所以昂贵,是因为同一个冲突必须被翻译成每个决策背景。
上游询问它是否可以安全接受客户的公告。它关心的是防止劫持、避免路由泄漏、满足内部政策、限制支持负担和配置收入。如果客户关系牢固,它可能接受 IRR 和 RPKI 证据的组合。对于新的或小型客户,它可能更严格。对于上游来说,数据库信任是一种客户风险过滤器。如果源冲突,保守的答案可能是延迟服务,直到客户清理记录。成本落在客户身上。
IXP 路由服务器提出了一个更群体性的问题。它必须同时保护许多参与者。一个坏的路由可以通过多边对等传播。一个被拒绝的路由可以降低交换中心对合法成员的价值。路由服务器通常更规则驱动,因为它不能在不破坏可预测性的情况下私下协商每一个案例。对于 IXP 来说,数据库信任是一种共享的风险政策。源碎片化既可以降低本地对等价值,也可以增加所有成员接受的风险。
云提供商询问它是否可以大规模地通告客户空间,而不成为可疑前缀的洗钱通道。它需要标准化的上线。它可能偏好强大的注册表和 RPKI 证据,但在尽职调查和运营过滤期间仍然会遇到 IRR 记录。对于云来说,数据库信任是平台风险的一部分。一个混乱的 AFRINIC 区域前缀可能不是因为偏见而被拒绝;它可能被延迟,因为平台无法廉价地大规模解决矛盾。对持有者来说,经济效应是一样的。
经纪人询问地址块是否可以在没有意外的情况下出售、租赁或引进。它关心信心、价格和收盘时间表。碎片化的 IRR 数据是一个需要披露、清理或折扣的缺陷。对于经纪人来说,数据库信任是可销售性。过时重复和冲突的起源降低了买方能够快速使用该地址块的承诺。经纪人可能不控制任何数据库,但它必须围绕数据库的缺陷进行销售。
买方询问在收盘后它是否会收到一个能在运营上工作的资产。仅仅注册表转移是不够的,如果旧路由对象、AS-SET 引用或源冲突会阻碍部署。买方可能在付款前要求补救,或者扣留资金直到运营商接受新源。对于买方来说,数据库信任是收盘后可用性。模糊性成为一个价格条款。
贷款方询问依赖地址的收入是否有弹性。它可能不理解每个 RPSL 对象,但其技术顾问会将数据库冲突转化为运营风险。如果借款方的前缀依赖于手动运营商例外或未解决的注册表纠纷,贷款方就看到了脆弱性。对于贷款方来说,数据库信任是现金流支持。即使贷款不是直接由地址担保的,它也影响信贷。
客户询问最简单的问题:服务会工作吗?它可能不知道路由服务器使用了哪个数据库。它只看到迁移停滞、前缀被拒绝,或者提供商无法解释为什么不同网络之间的接受不同。对于客户来说,数据库信任是服务可信度。当提供商躲在“IRR 问题”后面而不给出清晰的解释时,客户了解到市场的无形管道是不可靠的。
这些差异对 AFRINIC 很重要,因为一个以注册表为中心的答案本身不会满足每个依赖需求。注册表可以使它的源更清晰,提供修正路径,发布冲突元数据,并在压力下改善连续性。每个对手方仍然会选择如何使用数据。目标不是统一的信任,而是连贯的事实:源证明了什么,它没有证明什么,冲突如何被标记,过时数据如何被修正,以及第三方如何在不猜测的情况下制定政策。信任不是被命令的。它是被变得更便宜的。
AFRINIC 区域依赖的窄标准
一个适用于 AFRINIC 区域 IRR 依赖的实用标准应始于对任何单个制品证明什么的谦逊。一个路由对象证明一个前缀-源声明存在于一个源中,根据该源的规则。一个 route6 对象对 IPv6 做同样的工作。一个 mntner 证明了谁可以认证某些数据库更改,而不是谁持有每个基础的授权。一个 AS-SET 描述了预期的路由关系,但可能导入过时或跨源数据。一个 ROA 提供了更强的加密起源证据,但不是客户锥体、商业权威或数据库清理的完整地图。观察到的 BGP 显示了正在发生的事情,而不一定是被授权的事情。
从这种谦逊出发,有一个层次。对于 AFRINIC 管理的资源,当它是当前、程序上干净且透明时,AFRINIC 关联的注册表和路由策略源应具有很高的证据权重。非 AFRINIC 的 IRR 条目应仍然可用,但运营商不应假装每个 RPSL 对象都建立在同一权威基础上。RPKI 应加强起源保证。AS-SET 展开应被视为一个链条,其源、年龄和跨源引用很重要。手动例外应是临时的并记录。过时重复应可见并可纠正。
诱人的替代方案是集中化:使一个源成为决定性的,并要求所有市场参与者遵从。那将把账本变成看门人来回应碎片化。AFRINIC 应避免这条路径。它的价值不在于批准每次转移、租赁、云上线或提供商变更。它的价值在于保护一个窄的连续性账本,以便其他人能够廉价地做出自己的路由和商业决策。授权语言不应将一个技术协调角色洗成自由裁量的市场控制。
狭窄并不意味着软弱。一个可靠的源仍然可以拥有强大的认证、成比例的授权检查、清晰的更正路径、冲突标签、公开指标和连续性程序。稳定维护者的常规更新应容易。改变起源 AS、移除前供应商、添加广泛的客户锥体、影响稀缺 IPv4 地址块、或在公司或治理争议期间出现的更改应需要更多的证据和通知。测试是成比例的:太少的证据招致滥用;太多的证据冻结了日常运营。
通知应成为这种比例性的一部分。如果一项更改将取代现有起源或移除被过滤器使用的对象,在可行的情况下应通知受影响的联系人:资源持有者、现有维护者、提议的起源、当前起源和相关的运营联系人。通知不应成为否决权。它是一种在出错前表面错误的方式,避免成为中断。在紧急需要紧急行动的地方,行动应是临时的、记录在案并经过审查。
指标将使标准可信。AFRINIC 和主要运营商应能够衡量,AFRINIC 管理的前缀有多少比例在跨源拥有冲突的路由或路由 6 对象,AS-SET 展开因源顺序而不同的频率,过期重复有多旧,镜像有多新鲜,修正需要多长时间,以及有多少客户需要手动例外。这些数字无需暴露私人客户文件。它们将告诉市场碎片化是轶事、慢性税收还是改善的条件。
同样的纪律应适用于工具。过滤器系统应暴露源路径:哪个源、对象、AS-SET 链和递归规则产生了接受或拒绝。持有者应能够发现他们的前缀和 ASN 出现在哪些主要 IRR 源和路由集中。路由服务器应报告对成员可理解的拒绝类别。应保存历史记录以供审计,但当前状态指导应足够清晰以供运营商使用。目标不是一个完美的数据库。它是一个数据库环境,其中不确定性被标记、限定且廉价降低。
这个标准将使面对黎明滤波器工作的路由服务器工程师的生活更容易。如果多个源给出矛盾的答案,工具将显示新鲜度、权威姿态、源路径和冲突年龄。一个有效的 ROA 将被权衡用于起源保证,但不用于忽略过时的 AS-SET。AFRINIC 关联源被信任,因为其程序是可见的,而不是因为该机构要求顺从。外部源将在其限制下被考虑。客户将收到一条清晰的清理路径,而不是一个神秘的拒绝。判断仍然需要,但会变得更便宜。
不解决碎片化的成本
如果 IRR 碎片化仍然不受管理,市场仍然会找到路由的方法。互联网擅长绕过制度弱点进行路由。这种韧性不应被误解为健康。应急路径是可预测的:大型运营商建立私人信任系统,平台强加更严格的上线,小型网络依赖现有企业,经纪人为清理风险定价,路由服务器收紧政策,客户了解到某些地区依赖地址的服务需要更多解释。数据包可能仍然流动,但参与变得更贵且更不平等。
对 AFRINIC 来说,这种结果将是有害的,因为该区域需要更低的协调成本,而不是更高的。本地互连、云本地化、公共部门数字服务、大学网络、区域内容交付和小型提供商竞争都依赖于可预测的路由接受。如果每次迁移或上线都可能因矛盾的数据库源而减速,该区域就支付了一笔安静的税。这笔税以延迟的项目、更高的传输依赖、更弱的议价地位、更低的资产价值和对外部中介更大的依赖的形式出现。
安全不一定改善。过于严格的政策可能减少一些坏路由,但它们也会将合法运营商推向手动例外。过于宽松的政策让过时的权威保持活力。私人应急措施使系统不那么透明。最好的安全结果来自连贯的证据:当前持有者关联数据、清洁的 AS-SET、在适当情况下的 RPKI、可见的源冲突和快速修正。没有管理的碎片化既不会产生开放性也不会产生安全性。它产生选择性的不透明性。
制度成本同样严重。一个正在从治理动荡中恢复的注册表需要显示其基本公用事业功能是可靠的。IRR 连贯性就是这样一个功能,因为它接近于日常运营。如果 AFRINIC 可以使路由策略数据更清洁、更透明且更容易修正,它将在不要求市场盲目信任的情况下加强人们对账本的信心。如果它不能,对手方将创建他们自己的依赖系统。一旦这些系统硬化,区域注册表的公共功能就变得不那么中心,私人看门人变得更强大。
随着 IPv4 稀缺持续,市场成本将上升。稀缺性提高了每一个可能影响使用的模糊性的价值:一个过时的路由对象,一个缺失的 AS-SET 条目,一个镜像滞后,一个源偏好,或一个治理争议。碎片化的 IRR 数据将小的技术缺陷变成了由任何能够利用或解决它们的人持有的经济期权。
答案不是一个对路由戏剧性的新主权主张。它是对模糊性的纪律化减少。AFRINIC 应成为其管理资源的窄连续性公用事业,提供足够可靠以供第三方使用且有限制以避免成为市场命令的路由策略支持。运营商应公布他们如何消费源和处理冲突。主要 IRR 源应改善过期对象的发现和权威上下文。IXP 和运营商应使路由服务器和客户过滤器决策可解释。买方、经纪人和贷款方应将 IRR 姿态视为尽职调查,而不是民间传说。
黎明时的路由服务器工作不应必须决定非洲互联网编号的制度未来。它应必须根据明确的政策决定一个路由是否安全接受。这已经足够困难了。碎片化的 IRR 数据通过呈现出几个似乎合理的过去,仿佛它们是等同的现在,使其更难。在一个建立在稀缺数字和自愿互连基础上的市场中,这种混乱有一个价格。
AFRINIC 的机会是降低这个价格。不是通过成为 IPv4 每个商业用途的看门人。不是通过要求运营商忽略非区域源。不是通过假装 RPKI 消除了路由策略数据库。这个机会更窄也更有价值:使 AFRINIC 关联账本和路由策略源变得可靠,暴露冲突,保存历史,加速修正,区分认证和授权,并帮助运营商看到哪个数据库声明建立在哪个制度基础上。如果这能实现,IRR 数据就回归到其适当的经济角色。它变成一种让信任更便宜的方式,而不是每个网络都必须购买自己私人的怀疑地图的原因。

