摘要

  • IRR 路由对象说明一个前缀可能由一个命名的 AS 在某个注册源中发起。它是用于构建策略的声明,而不是对 BGP 的实时观察、资源证书或法律所有权的结论性声明。
  • 通常的操作链会展开一个 AS 或 AS-SET,从选定的 IRR 源检索匹配的路由和 route6 对象,将所得前缀编译成过滤器,并将该过滤器部署到客户或对等会话。当一个过时的对象在该选择和编译链中幸存时,它就变得重要。
  • 迁移网络可能意味着在保留发起 AS 的同时改变传输,在保留前缀持有者的同时改变发起 AS,转移前缀,在 RIR 服务区域之间移动,或使用临时缓解提供商。每个事件都需要对哪些路由对象应继续存在做出不同的判断。
  • 过时条目之所以持续存在,是因为有动机创建替代品的一方通常不是持有旧维护者凭证的一方。前任提供商几乎没有商业动机去清理,员工和账户消失,独立数据库没有统一的交易来淘汰每个副本。
  • 既不是与当前 BGP 的不匹配,也不是仅仅因为时间久远,就证明一个对象应该被删除。备份路由可以处于休眠状态,预期公告可以在使用前准备好,并且观察到的路由本身也可能是未经授权的。必须结合 RPKI、注册记录、持有者身份验证、通知和有限的 BGP 观察。
  • 当运营商自动重建过滤器时,删除可能会中断可达性。安全迁移是先创建再退役:在适当的源中建立预期的新声明,测试命名消费者如何解决冲突,通知相关方,移除被取代的权限,验证镜像,然后验证过滤器部署。
  • 资源持有者需要有资格质疑覆盖其前缀的路由对象,即使另一个维护者控制着该条目。注册中心还应向所列维护者提供通知、理由、证据记录、紧急审查路径和可逆暂停阶段,当错误删除的风险很重要时。
  • 号码资源协会可以定义便携式迁移收据、源质量测试以及持有者、注册中心和运营商的相互义务。它不应自封为通用路由权威,也不应声称在选定网络上的观察证明了全局过滤器收敛。

路由可以离开,但其声明仍然存在

考虑一家公司多年来通过一个自治系统发起同一地址块。它从不同的运营商购买服务,更改其路由设计,并开始通过另一个 AS 公告。新提供商要求在打开其过滤器之前提供路由对象。公司在该提供商接受的注册表中创建了一个。流量转移。旧运营商断开连接。然而,一个命名了前发起 AS 的路由对象仍然保留在一个由早已离职的工程师控制的维护者账户下,位于公司不再使用的数据库中。

BGP 中没有任何东西会自动删除该声明。BGP 分发可达性;它不会在业务关系结束时向每个路由注册中心发送取消指令。新的路由对象也不会通过通用规则取代所有旧对象。新旧前缀-发起的对可以共存于不同的数据库中,或者在同一个数据库中,如果它们的键不同。镜像可能会返回两者。过滤器构建器可能会包含其中一个、另一个或两者,具体取决于其选定的源、查询顺序、抑制设置和扩展方法。

由此产生的风险常常被误解。旧的路由对象不会使路由器发起路由。然而,它可以使过滤系统认为旧的发起-前缀组合是可接受的。如果前一个 AS 错误地或恶意地公告该前缀,那么仍然允许该组合的网络就少了一个障碍。在相反的方向,删除一个提供商仍然需要的对象可能会导致下一次过滤器刷新拒绝合法的公告。持久性产生残余许可;粗心的删除造成可达性危险。

这就是为什么这个问题是机构性的,而不仅仅是文书性的。不同的方控制着前缀注册、发起 AS、路由对象、镜像、过滤器生成器和路由器。网络迁移改变了其中一些关系,但可能使旧凭证和声明保持不变。健全的迁移必须在整个链上转移运营认可,同时保留质疑错误的手段。

1995 年的路由对象将分配与路由意图分开

路由对象的出现伴随着一次有益的概念清理。1995 年发布的 RFC 1786 将地址空间分配信息与路由公告信息分开。路由对象标识一个确切的前缀和一个发起 AS。如果一个路由可以由多个 AS 发起,注册中心可能包含多个对象。该设计承认了一个至今仍然重要的事实:记录为持有或接收地址空间的组织与注入路由的 AS 是相关的,但它们不是同一个事实。

RPSL 后来标准化了该表示。RFC 2622 将前缀和发起对作为类键。它还描述了维护者、路由集、AS 集和可由软件处理的策略表达式。该对象不是被设想为被动目录的散文。它旨在与其他对象结合,以便运营商可以检查策略并生成配置。RFC 2650 展示了从发布的 RPSL 到供应商特定路由器配置的实用桥梁。

这段历史解释了该系统的持久性和尴尬之处。文本对象是可移植的、公开的并且可自动化的,那时域间协调需要一种通用语言。跨注册中心的分布与网络管理的分布式特性相匹配。然而,路由对象没有携带对后来合同终止、合并、转移或实时路由表变化的自动感知。它的持久性是稳定策略的一个特点,也是继任的一个责任。

早期模型甚至在之前的规范中包含了withdrawn属性。将旧路由标记为已撤回可以保留历史路由信息,而不将其呈现为当前信息。现代运营实践通常集中于当前路由和 route6 对象、删除、源选择和外部历史。底层治理问题并未消失:谁可以声明先前的路由意图已经结束,以及该决定如何到达每个将该声明转换为策略的消费者?

答案不能简单地是“谁能登录”。凭据对于日常维护是必要的,但被遗弃的凭据安排不应永远冻结过时的许可。答案也不能是“谁当前公告该前缀”。观察到的 BGP 是使用的证据,而不是自我认证的权威。1995 年引入的分离必须在迁移期间保持,而不是为了方便而崩溃。

路由对象既不是路由也不是资源

三条记录很容易混淆。号码注册中心记录地址块根据其规则分配、指派或以其他方式注册的组织。IRR 路由对象记录一个前缀和预期的发起 AS,位于命名路由注册源中。BGP 收集器观察在特定观察点出现的公告。每个都回答不同的问题。

注册记录可以支持关于谁可以在 RIR 的管理系统内管理资源的声明。它不显示持有者当前是否在路由该前缀或它授权了哪个提供商。路由对象表达路由意图,但该表达的可信度取决于数据库的准入和更新控制。BGP 观察显示发起 AS 是可见的,但不显示资源持有者是否同意。将任何一个视为完整证据会使迁移要么不安全,要么不可能。

RPKI 增加了一个更强、更窄的声明。有效的路由源授权可以密码学地将认证的地址权限链接到发起 AS 和允许的前缀长度。这使得它在决定 IRR 路由对象是否与当前持有者意图冲突时高度相关。它仍然不能复制所有 RPSL 策略、证明商业关系或显示路由是活的。持有者可以在公告前准备 ROA;路由可能因为不存在覆盖的 ROA 而“未找到”;错误的持有者可能授权错误的发起 AS。

因此,过时对象的问题必须精确地陈述。它不是“这个对象与今天的 BGP 不同吗?”而是“这个对象是否继续表达一个当前的、授权的路由可能性,并且命名消费者是否仍然应该将其转换为许可?”备份路由可能不在全局表中,但仍是有效的。临时的 scrubbing 提供商可能只在攻击期间出现。旧的传输发起 AS 可能仍然在收集器中可见,因为撤回尚未到达每个路径。新劫持的路由可能看起来是当前的。

证据必须按功能进行比较。注册建立行政资格。持有者身份验证确定谁在请求。RPKI 可以在部署的地方建立认证的发起意图。合同或变更记录确定计划的迁移。BGP 观察显示运营状态。旧维护者的回应可以解释代理注册或持续服务。没有负责任的注册中心应该使用一个方便的单一信号作为通用删除预言机。

过滤器将历史文本转化为当前许可

路由对象的实际效力出现在运营商的过滤器构建过程中。传输网络可能要求客户提供 AS-SET 名称。软件递归地将该集展开为 AS 号码,查找发起 AS 匹配这些 AS 的路由和 route6 对象,获得相关前缀,并发出前缀列表或策略片段。运营商审查或自动将结果部署在客户的 eBGP 会话上。对等网络和路由服务器可以使用相同方法的变体。

bgpq4实用程序使这种转换显式:它从 IRR 数据生成前缀列表、路由过滤器和 AS 路径列表,并允许调用者指定要使用的 IRR 源。RADb 的查询服务同样允许客户端选择源,否则返回从多个注册中心收集的信息。IRRd 可以排序默认源、应用 RPKI 抑制、应用范围过滤器并抑制低优先级的重叠路由对象。因此,数据库答案是由本地策略塑造的输入,而不是全局规范的集合。

旧对象有几个可能的影响。如果过滤器是为前一个发起 AS 构建的,旧前缀可能仍然保留在该 AS 的允许列表中。如果客户的 AS-SET 仍然包含前一个发起 AS 或过时的下游,递归展开可以将该前缀带入更广泛的策略。如果消费的 IRR 实例包括所有镜像源且无偏好,那么独立数据库中的副本可能在权威副本被移除后仍然存在。如果运营商从不刷新其生成的配置,即使正确的删除也可能不会从路由器中移除旧许可。

相反的情况也很重要。新的路由对象可以在其本地数据库中完全授权,但仍然无法到达其镜像延迟的运营商、其选择的源列表排除该数据库或配置作业尚未运行的运营商。迁移在注册中心接受时并未完成。接受启动了一个分布、选择、编译、审查和部署的序列。

因此,治理的相关单元是有效的过滤器,而不仅仅是存储的对象。注册中心应发布足够的状态信息,以显示更新何时进入其权威状态及其分发服务。运营商应记录哪个快照、源、查询选项和集展开产生了部署的过滤器。持有者应能够询问指定提供商是否已消费变更。没有这些收据,每一方都可以真实地说自己的步骤成功了,而路由仍然被阻止或过时的权限仍然有效。

激励措施偏向于创建而忽视淘汰

RFC 7682 在 2015 年明确描述了这种不对称。客户有强烈的动机在提供商不会在没有它的情况下更新前缀列表时注册新的路由信息。在传输变更后,删除旧信息的动机急剧下降,尤其是当新提供商不强制执行相同的 IRR 纪律时。新电路依赖于创建;很少有发票依赖于删除。

控制也是分散的。提供商可能已经以自己的维护者名义为客户创建了路由对象。这种代理注册在服务期间很方便。终止时,客户可能控制前缀,但不控制对象的凭证。旧提供商的网络团队可能认为清理是前客户的工作。客户经理可能不了解路由后果。原始工程师可能已经离开。维护者可以在人类组织能够通过其行动的能力变得不可及之后,作为技术上有效的身份继续存在。

公司事件加剧了问题。公司更名、合并、出售网络部门或外包运营。前缀注册可能会更新,而 IRR 凭证仍然保留在前身或承包商手中。地址转移可能使接收者在号码注册中心获得资格,但不会提供旧路由对象mnt-by引用的密码或密钥。跨越 RIR 服务区域的移动可以改变哪个集成的 IRR 最适合验证地址持有者,而独立的第三方对象则保留在其他地方。

没有自然的市场惩罚每个过时记录。如果旧发起 AS 从不公告该路由,大多数流量正常运行。过时条目可能被新发起 AS 的过滤器生成忽略,并且对持有者不可见,直到安全审查、另一次迁移或尝试创建时遇到它。RADb 自己的过时对象功能反映了这种模糊性:它可以使用 BGP、维护者、RIR 和其他信号标记对象,但标记本身不改变查询行为。没有分配责任的信息可能成为每个人看到但没有人关闭的警告。

更好的激励设计将淘汰与创建变更的事件挂钩。传输终止应包括 IRR 清单和删除义务。资源转移应在完成前暴露所有发现的路由对象。注册中心和提供商的合同应赋予当前持有者文档化的质疑路径。消费 IRR 数据的运营商应公布其刷新和异常实践。清理必须成为结束授权的一部分,而不是商业关系消失后的自愿家务事。

“网络迁移了”描述了几种不同的事件

迁移一词对于一条删除规则来说过于宽泛。最简单的情况是传输变更而不改变发起 AS。持有者保留其 ASN 并通过新的上游公告相同的前缀。路由对象可能完全正确,因为它将前缀绑定到持有者未改变的发起 AS,而不是旧的传输提供商。需要移除的可能是一个过时的 AS-SET 成员资格或提供商管理的代理副本,而不是前缀-发起声明本身。

第二种情况改变了发起 AS 而保持相同的持有者。企业可能从提供商发起的服务迁移到自己的 ASN,切换管理网络或将发起控制权交给不同的集团公司。这里旧路由对象可能代表一个应该过期的许可。在切换期间,两个发起 AS 都在公告时,计划的重叠可能是合法的。在新提供商重建过滤器之前删除可能中断服务;无限制的共存留下残余权限。

第三种情况转移了地址资源。新的注册持有者可能暂时保留旧发起 AS,立即使用新发起 AS,或任命第三方网络。转移记录支持接收者管理当前路由意图的资格,但它本身并不揭示意图的路由。旧对象需要审查而不是机械删除。相同的前缀-发起对在新持有者下可能仍然有效,但其维护者和联系人链可能仍需迁移。

第四种情况跨越注册区域。权威的号码记录和首选的集成 IRR 可以移动,而前一个源中的路由对象、RADb 或其他独立注册中心继续存在。RIPE NCC 对区域外对象的处理说明了这一边界的重要性。现有对象被重新标记为RIPE-NONAUTH,停止了新的区域外创建,后来的政策使用了冲突的 RPKI 证据、通知和删除前的等待期。源状态改变是因为机构验证前缀的能力改变了。

临时运营变更形成第五种情况。DDoS 缓解、任播启动、灾难恢复和合并可以产生第二个发起 AS,其意图仅在指定条件下存在。在激活期间拍摄的快照可能使临时对象看起来是当前的;在休眠期间拍摄的快照可能使其看起来过时。此类对象需要明确的目的、所有者和审查条件。时间是弱替代品,不能替代声明的范围。

迁移记录必须识别发生了哪个事件。否则,注册中心可能因为运营商变更而删除一个持久的同发起对象,因为持有者未变更而保留一个过时的发起 AS,或将临时紧急授权视为永久。事件的精确性是防止残留和错误清理的第一道保障。

维护者保护保留控制权,也可能保留遗弃

RPSL 维护者解决了一个基本问题:公共路由声明不应被任何不喜欢它们的人编辑。RFC 2725 区分了身份验证和授权,并描述了mnt-bymnt-routesmnt-lower、回收规则和相关控制如何管理添加和变更。在常规操作中,路由对象自身的维护者授权修改或删除。这保护了运营商免受任意干扰。

层级结构旨在提供追索权。地址空间和 AS 维护者可以授权路由创建;回收概念可以允许上级资源权威恢复下级对象;auth-override描述了当维护者变得不活跃时的延迟恢复。然而,部署各不相同,分布式存储库设计从未成为统一的全局权威链。RFC 7682 观察到过时信息可能仍然存在,因为第三方无法安全地移除它,并且覆盖语义冒着在列出的持有者收到有效通知之前采取行动的风险。

当前 RIPE 数据库控制展示了一个在权威区域内的实际答案。当前的资源持有者可以通过覆盖地址空间对象上的维护者强制删除某些阻塞的路由对象,即使没有路由对象自身的凭据。权威由 RIPE NCC 维护的资源层级限制。它允许删除,而不是无声的重新分配,并且不会在每个独立 IRR 中创建等效的资格。

这种限制是适当的。服务于资源持有者的注册中心不应仅仅因为地址在其区域内注册就声称对每个第三方数据库的控制。然而,持有者不应永远不得不非正式地恳求被遗弃的代理维护者。每个 IRR 需要一个已发布的规则,解释什么证据赋予当前持有者资格,何时接受另一个注册中心的记录,发送什么通知,如何对暂停提出异议,以及谁批准不可逆的删除。

只有与继任配对时,维护者保护才是合法的。凭据标识谁可以在当前规则下操作对象;它不证明底层的许可在实质上是永远有效的。机构通过保留服务期间的授权控制并在控制合法变更后启用基于证据的恢复来赢得信任。

镜像同时分布可用性和延迟

IRR 是一个数据库的联盟,而不是单一表格。运营商通常查询一个 IRRd 实例,该实例持有一个权威的本地源和其他几个源的镜像副本。RADb 宣传一个组合的查询视图,该视图来自 IRR 中的注册中心。该模型提高了可用性,并让过滤器构建器使用一个端点,而不是单独联系每个注册中心。

镜像也将删除时刻与消失时刻分离。权威源接受变更。日志或快照使其可用。镜像轮询、验证序列并应用更新。下游镜像可能重复该过程。运营商的过滤器服务然后按计划查询其本地视图。路由器接收后来的配置变更。每个阶段都有自己的时钟和故障模式。

RFC 7682 记录了旧的 NRTM 和平面文件实践,包括不安全的复制和大量的刷新间隔。实现已经改进。当前的 IRRd 可以使用导入、NRTM 流、日志、序列和源特定设置;RIPE 较新的 NRTM 设计提供了带有哈希和源身份的版本化快照和增量。更好的传输完整性和更快的轮询减少了不确定性。它们不会导致运营商选择正确的源或移除独立维护的副本。

在源 A 中删除的对象可能继续作为源 B 中的不同对象存在。这不一定是镜像延迟。它可能是单独提交的、在另一个维护者下复制或保留为非权威记录。相反,在组合查询端点可见的对象可能是一个忠实镜像,其权威来源尚未处理质疑。调查人员需要区分来源和传输。

因此,跨数据库同步具有两种含义。技术同步询问镜像是否应用了源的当前序列或快照。机构同步询问每个独立声称被取代权限的源是否审查了相同的迁移证据并达到了合理的状态。第一个可以通过复制协议自动化。第二个需要共同参考、互惠通知和可问责的决定。

迁移收据应记录两者。它命名每个源中的对象、权威更新时间、镜像观测和独立副本的状态。“从 RADb 删除”或“在 RIR 更新”是不够的,当另一个选定的源仍然返回旧的配对时。团队也不应盲目删除直到组合查询看起来干净;它必须知道哪个机构做出了每个断言以及依据什么权限。

源证据必须随请求一起传递

寻求淘汰的一方应提供不仅仅是当前路由表的截图。可信的请求从资源身份开始:相关 RIR 中的经过身份验证的当前持有者,或范围明确的授权代表。它标识确切的前缀、旧发起 AS、新的或持续的发起 AS、每个已知源和维护者、迁移事件以及请求的有效状态。

然后可以分层证据。当前注册记录支持根据 RIR 规则对前缀的控制。ROA 可以在其覆盖范围和最大长度实际上匹配有问题的路由时支持当前发起意图。持有者的签名或认证声明解释了旧发起 AS 是否被撤销、保留用于备份或通过过渡日期授权。提供商终止或转移记录可以佐证该事件,而无需公开商业条款。BGP 观察显示旧的和新的发起 AS 在指定时间和观察点是否可见。

在可行的情况下,还必须听取旧维护者的意见。它可能显示该对象覆盖了不同公司名称下的活动客户路由,缓解安排仍然有效,或请求者的注册变更存在争议。在已验证传递和定义的响应期限后的沉默是不可响应的证据,而不是每个底层事实的证明。决策者应说明它赋予了沉默什么权重。

证明标准应随着后果而提高。在非权威查询视图中抑制明显的 RPKI 无效对象,与擦除关键提供商依赖的唯一声明不同。涉及明显劫持的紧急质疑可能证明临时抑制和快速审查是合理的。在模糊转移中的永久删除可能需要更强的持有者身份验证、双人批准以及替代路径已准备好的证据。

每个决定应保留非公开的审计记录:提交的声明、验证结果、通知、回应、冲突、审查者身份、时间和原因。公开输出可以更窄,暴露对象状态和原因类别,而不含个人数据或敏感合同。重点不是最大披露。而是能够事后证明残余路由权限是根据规则而不是通过影响或事故移除的。

BGP 是证人,而非法官

实时路由数据是不可或缺的,因为 IRR 存在是为了描述运营策略。RADb 的过时对象评估将前缀-发起对与 BGP 进行比较,并用维护者、AS 链接、RIR 和声誉信号补充直接匹配。最近通过 RIPE Labs 呈现的测量工作同样将路由对象与权威 IRR、RPKI 和默认自由区进行比较,以识别冲突、冗余和不活动。这些方法揭示了静态注册中心检查无法发现的模式。

然而,BGP 可见性有尖锐的限制。收集器看到选定的对等体,而不是每个私有互连。备份公告可能有意缺席。更具体的可能只在流量工程或攻击缓解期间出现。聚合可以使合法的路由对象看起来未使用。路由可能可见,因为未经授权的发起 AS 成功了。未观察到不是废弃的证据,而存在不是同意的证据。

时间窗口有所帮助,但不能解决问题。多年来与观察到的 BGP 不匹配的对象值得审查,特别是当联系人已故且当前持有者质疑时。它仍然可能描述冷备或仅在一个有限路由域内广告的前缀。年轻的对象可能在创建当天就是错误的。最后修改时间衡量与数据库的交互,而不是真相。

BGP 的有用角色是证据性的且有限的。迁移团队可以命名收集器、上游 looking glass 或其自身的会话遥测;记录切换之前、期间和之后观察到的发起 AS;并保留矛盾的结果。如果旧发起 AS 在所有观察到的地方消失,而新发起 AS 和替换过滤器正常工作,对退役的信心增加。如果旧发起 AS 持续存在,团队将调查它是传播、泄漏、有意重叠还是误用。

测量绝不应被洗钱成无根据的全局分母。对选定的 IRR 和路由收集器的研究可以描述其数据集、日期和分类方法。它不能显示每个私有运营商如何构建过滤器,有多少休眠对象是合法的,或有多少迁移导致客户损害。机构决策应使用测量作为规训的证据,而不是装饰性的确定性。

RPKI 可以建立优先级,而不会成为删除机器

RPKI 提供了传统 IRR 对象通常无法提供的:一个密码学上可验证的声明,根植于认证的号码资源权限。当当前的 ROA 覆盖一个前缀并授权一个发起 AS,而 IRR 对象命名一个冲突的发起 AS 时,该冲突是强有力的证据。RIPE 政策 2018-06 利用该属性清理了RIPE-NONAUTH中的冲突路由对象,并在删除前设置了通知和持续的冲突期。

IRRd 也可以抑制 RPKI 无效的路由对象,并将 ROA 派生的伪 IRR 对象暴露给现有过滤器工具。ARIN 更进一步,通过其 IRR 自动管理器将认证 IRR 路由对象的创建与 ROA 关联起来。这些机制减少了分歧,并为运营商提供了更强的发起信号,而无需立即替换所有过滤系统。

但有三点需要注意。首先,“未找到”不是无效。如果没有覆盖的 ROA,RPKI 不提供冲突权威。删除每个“未找到”的 IRR 对象将惩罚尚未部署 RPKI 的持有者,并可能移除合法的路由数据。第二,有效的 ROA 可以与同一发起 AS 的路由对象共存,而其他 RPSL 策略仍然是错误或过时的。第三,ROA 可能包含合法持有者做出的操作错误。密码学权威并非全知。

优先级还需要对象级别的精度。比较必须正确使用前缀覆盖、发起 AS 和允许的长度。具有限制性最大长度的聚合的 ROA 可能使更具体的路由对象无效,即使持有者打算将该更具体用于未来事件。补救措施可能是更正 ROA,而不是删除 IRR 对象。通知允许持有者区分安全冲突和配置错误。

正确的规则是,一个有效的、当前的、持有者控制的密码学声明应比未经身份验证的第三方断言具有更高的证据权重。它不会消除识别事件、警告受影响的运营商、保护连续性和记录补救措施的需要。强有力的证据应使正当程序更快、更精确,而不是不必要。

删除必须是分阶段的,因为过滤器有记忆

安全序列始于清单。搜索权威 RIR IRR、独立注册中心、组合查询服务以及已知提供商使用的源集。记录确切的前缀-发起键、维护者、联系人、创建和修改时间、源标签、RPKI 状态和观察到的 BGP。展开相关的 AS-SET,因为过时的关系即使路由对象被更正后也可以在那里继续存在。

接下来定义预期的终端状态。哪些发起 AS 应保持授权?哪些前缀和长度将实际公告?是否有计划的重叠、备份或缓解角色?哪个源适合当前持有者?谁控制每个替换对象?这个声明防止清理变成一场比赛,关于无论操作目的如何最小化记录数量。

然后先创建再退役。通过能够验证当前持有者的源创建或更正预期的路由对象。在适当的情况下创建一致的 ROA。要求命名的传输和对等运营商运行其生成过滤器的预览。确认新发起 AS 将被接受,并且通过 AS-SET 的递归产生预期的前缀。注册中心的接受电子邮件不能替代这个消费端测试。

只有在这之后才应发出退役通知。旧维护者、当前资源持有者、发起 AS 联系人(如果可用)以及已知的消费提供商收到确切的对象、证据类别、提议的行动、回应截止日期和紧急联系方式。如果注册中心的规则支持该补救措施并且风险证明合理,有争议的对象可以从常规查询视图中暂停,同时仍可供审查者检索。暂停不得悄然变为永久删除。

在决定之后,每个权威或独立源在共同的迁移参考下记录其行动。根据源序列或快照检查镜像。使用显式源选择重复组合查询。运营商重建过滤器,审查增量,并应用路由刷新或其等效的安全策略更新。观察确认意图的路由保持接受,并且被取代的发起 AS 不再在命名会话中被允许。

最后是结案。收据列出未解决的源、无法到达的运营商以及任何持续的异常。如果第三方注册中心拒绝删除,持有者和提供商可以排除或降低该源在受影响前缀上的优先级,但异常仍然可见。绿色状态应表示有边界的完成,而不是不方便的证据被省略。

跨数据库协调需要一个共同事件,而不是一个中央数据库

通过提议一个全局 IRR 来解决不一致是诱人的。这将简化一些查询,同时集中接纳、抑制和删除路由声明的能力。互联网路由注册中心的历史反映了合法的地区、提供商和运营差异。弹性可以从多个发布和查询服务中受益。缺失的元素不一定是一个人;它是一个可互操作的变更事件。

迁移事件标识符可以在不要求注册中心放弃决策权的情况下跨注册中心绑定通知和收据。记录包括确切的资源、旧的和预期的发起 AS、持有者身份验证方法、支持的 RPKI 状态、事件类型、有效区间和联系人。每个注册中心添加其自身的决定、原因、时间和上诉路径。镜像像以前一样携带源数据。运营商可以根据声明的偏好消费决定。

这种安排暴露分歧而不是隐藏它。与 RIR 集成的 IRR 可能接受当前持有者的请求。RADb 可能需要验证一个单独维护的对象。另一个注册中心可能保留一个对象,因为它记录了活跃的备份关系。收据显示三个结果及其证据。运营商随后可以区分合理的共存和被遗弃的副本。

源特定的行动也防止了因名称冲突而意外删除。路由对象由前缀、发起 AS 和源标识,而不仅仅是前缀。一个源中的对象可能是另一个源的镜像或独立断言。一个共同事件必须保留该来源。它绝不应指示每个数据库删除所有匹配的文本,而不问谁最初接受了它以及哪些用户依赖它。

协调应包括否定确认。没有相关对象的注册中心如此声明。镜像报告它已应用的权威序列。提供商声明它不使用受影响的源。这些有边界的陈述比沉默更有价值,因为它们减少了未知的表面。当过滤器后来与预期状态不同时,它们也使事后审查成为可能。

模型是联邦问责:共同的证据和状态语义、本地权威、便携式收据和可见的异常。它与 IRR 的分布式特性一致,同时纠正了独立数据库会以某种方式从 BGP 推断出相同迁移的假设。

通知是操作控制,而非行政礼貌

通知有时被律师视为添加的延迟。在路由注册中心清理中,它是技术验证的一部分。列出的维护者可能知道一个看似过时的对象为何仍然存在。当前持有者可能发现一个冲突的 ROA。发起 AS 可能了解到客户关系从未关闭。提供商可能识别出在删除前需要替换的过滤器依赖关系。

有效的通知必须接触到不仅仅是一个二十年前对象中嵌入的地址。注册中心应使用对象的notify和维护者联系人、当前的 RIR 联系渠道、注册的持有者账户,并在适当的情况下使用发起 AS 的运营联系人。交付结果应被记录。公开暴露每个地址是不必要的;证明该机构尝试了相关渠道对于审查来说足够了。

消息需要后果和补救措施。它声明提议的行动是警告、优先级降低、抑制还是删除;何时发生;什么证据触发了它;如何质疑;以及如果可达性受到影响,如何获得紧急审查。模糊的“更新您的记录”请求不会创建可问责的截止日期。没有停止错误的途径的立即删除可以将数据卫生变成拒绝服务。

响应期应根据风险而非仪式而定。在活跃的滥用事件期间,明显冲突的、非权威的对象可能 warrant 快速的临时抑制。休眠但未矛盾的备份对象可能 warrant 更长的审查。机构应公布因素,而不是为每个有影响力的请求者设定不同的期限。任何紧急行动都应立即接受独立审查。

通知也应到达消费网络。传输提供商不需要机密证据,但它需要知道它使用的前缀-发起条目将改变,并且已准备好替换。运营商可以分段过滤器增量,检查意外移除,并避免在最糟糕的时刻重建。几个精确通知的成本与调试被几层过时策略拒绝的路由相比很小。

权利和补救措施决定清理是否合法

当前资源持有者需要有权发现覆盖其前缀的路由对象,包括源、维护者、状态和质疑路径。发现不应依赖于知道每个数据库名称。组合搜索服务可以提供帮助,但它们的覆盖范围必须说明。从一个端点缺少结果并不证明不存在其他对象。

持有者还需要请求更正或退役的资格。该权利不保证立即删除;它保证注册中心将验证请求、审查证据、通知受影响的方并发布合理的决定。其中路由对象的维护者是前提供商时,不应告诉持有者只有前提供商才能发言。争议正是关于该委托的操作权限是否结束。

列出的维护者拥有互惠权利。它可以查看声明、提供持续授权的证据并对不利决定提出上诉。如果凭证被泄露,它可以请求紧急暂停。如果当前持有者对备份或客户安排有误,记录可以保留或修改。正当程序保护准确的路由信息,如同它移除残留物一样。

消费者需要不同的补救措施:一个有到期日的异常。如果注册中心决定延迟,而过时对象造成可证明的风险,运营商可以根据文档化策略排除受影响前缀的对象或源。如果删除意外阻塞服务,它可以临时恢复经过审查的异常,同时持有者和注册中心修复权威声明。异常应狭窄、记录并在到期时自动重新考虑。

独立审查完善了结构。审查者检查权威链、证据、通知、技术效果以及与已发布规则的一致性。应该可能逆转错误的抑制并创建新的当前对象,而无需伪造历史。旧版本可以保留在受保护的历史中,即使它们从常规策略查询中消失。

合法性在补救措施中可见。一个可以接受对象但没有实际更正路径的数据库要求运营商信任持久性而没有问责。一个在没有通知的情况下应私人请求删除的数据库要求他们信任自由裁量权。可信的中间是证据、资格、有边界的行动和审查。

有用的指标衡量收尾,而非数据库大小

计数路由对象很容易,而且常常误导。数据库可以通过删除合法的休眠策略来减少其总数。它可以通过触摸时间戳而不确认权限来吹嘘高新鲜度。它可以报告很少的冲突,因为其源选择规则隐藏了低优先级的对象。治理指标应跟随迁移事件并保留分母。

对于每个参与的迁移,衡量从认证请求到完整清单的间隔;发现的对象中负责任维护者可达的比例;到替换接受的间隔;到每个独立源决定的时间;镜像延迟;到命名运营商过滤器刷新的时间;以及收尾时未解决的异常数量。区分同发起传输变更、发起 AS 变更、资源转移、跨区域移动和临时服务,因为它们的预期状态不同。

质量指标还应记录错误行动。有多少提议的过时分类在维护者展示当前使用后被撤回?有多少删除需要紧急恢复?有多少替换在语法上被接受但从提供商的选定源中遗漏?有多少旧权限在目标日期后仍然存在?同时公布过度移除和不足移除,以防止注册中心只优化一方。

源级统计需要上下文。RADb 的过时标签是有用的审查信号,但其文档说明标签不改变查询结果。抑制 RPKI 无效或低优先级对象的 IRRd 部署正在测量有效可见性,而不是物理删除。RIR IRR 可能比独立注册中心有更强的资源-持有者联系,但地区覆盖范围更窄。比较应说明这些设计差异。

没有选定的证据提供路由对象迁移、从过时条目生成的过滤器、由残余许可实现的成功攻击或由删除引起的中断的完整全局分母。私有提供商配置和客户纠纷通常不可观察。报告应描述实际研究的注册中心、日期、对象类别、BGP 观察点和参与运营商。

诚实的界限不会削弱行动的理由。它们使性能声明有用。持有者关心其自身的迁移是否在命名源和提供商之间关闭。运营商关心其过滤器是否来自当前、授权的输入。注册中心社区关心其补救措施是否有效以及错误是否得到修复。这些问题可以测量,而无需假装看到每个路由器。

号码资源协会可以标准化移交收据

号码资源协会主张准确的号码注册、网络运营商更清晰的权利以及对集中行政自由裁量权的限制。谨慎应用时,这些原则支持在 IRR 迁移中的实际角色。NRS 可以召集持有者、注册中心、传输网络和软件运营商,定义便携式收据和证据词汇。

收据不会是路由对象,也不会授权 BGP。它将记录权威声明周围的事件:前缀、旧的和预期的发起 AS、事件类型、相关的 RIR、IRR 源、维护者状态、持有者身份验证、RPKI 比较、通知、源决定、镜像观察、过滤器测试、异常和审查者。签名或认证的证明标识谁做出了每个陈述,而不假装一个机构做出了所有陈述。

NRS 还可以发布一致性测试。注册中心展示发现、当前持有者质疑、前维护者通知、可逆暂停、删除记录和镜像状态。提供商展示显式源选择、可重现的 AS-SET 展开、分阶段过滤器更新和异常到期。转移或托管网络提供商展示终止包括 IRR 清单。测试结果过期并标识检查的版本。

这将通过使服务质量可移植来推进去中心化。持有者可以比较 IRR 是否提供可信的恢复。运营商可以偏好其权威性和新鲜度控制已被测量的源。注册中心可以协调,而无需创建新的中央签署者。研究人员可以在同意和适当界限的情况下分析已完成的事件。

NRS 应保持证据意识。其公开材料陈述倡导立场;它们不证明 IRR 迁移服务的部署或技术细节上的普遍成员共识。认证不能强迫 RIR 删除对象、保证提供商刷新过滤器或建立地址空间的法律所有权。该协会的价值在于标准、透明度和成员支持,而不是声称它不拥有的根权威。

最强大的积极角色是使权利可执行。已经迁移的持有者应知道旧声明在哪里,如何质疑它们,需要什么证据,以及每个消费者何时变更。这比关于控制的口号更具体,并且比用一个不可问责的守门人替换另一个更兼容于分布式互联网。

迁移在旧权限不再影响策略时结束

整洁的 IRR 搜索结果不是最终目标。预期的网络必须通过授权的发起 AS 保持可达,并且先前的许可必须停止影响重要的过滤器。这种状态可以描述,而无需声称普遍知识。

当前持有者已通过身份验证。预期的前缀-发起声明存在于适当的源中,并且在被使用时与有效的 ROA 一致。计划的备份和临时发起 AS 有明确的范围。被取代的对象已在通知和审查后根据发布的规则被删除或抑制。独立的副本已解决或作为异常被命名。镜像已应用相关的权威变更。命名的传输和对等网络已重建并部署了过滤器。在声明观察点的 BGP 观察与预期状态匹配。

每个条款都很重要。没有持有者身份验证,清理可能变成行政劫持。没有替换,删除可能阻塞服务。没有通知,合法的休眠路由可能被擦除。没有逐个源的行动,副本幸存。没有镜像和过滤器证据,注册中心变更可能永远无法到达路由器。没有有边界的观察,完成声明超出了任何人测量的范围。

旧的路由对象并非仅仅因为旧而危险。当过时的断言在没有当前可问责负责人的情况下保留操作力时,它变得危险。删除也不固有地道德。只有在机构能够解释为什么权限结束、连续性如何得到保护以及如果判断错误存在什么补救措施时,删除才是安全的。

IRR 的创始人设计了一种分布式手段,将声明的路由策略转化为协调。三十年后的今天,同样的优势使继任变得重要。为一个商业和技术安排编写的文本可以在安排改变后很长时间被复制、镜像和编译。网络移动速度比机构记忆更快,除非迁移本身成为一个事件。

因此,管理规则简单但要求严格:证明当前权威的来源,使意图的策略可用,通知那些可能矛盾证据的人,在每一个独立源中退役旧断言,验证分发,并仅在命名消费者更新后才关闭。网络尚未完全迁移,只要其先前的许可仍然存在于其依赖的网络的过滤器中。

来源