Seit der VyOS Version 1.2.0-rc11 ist es möglich Routen, die per BGP ausgetauscht werden, auf Basis des RPKI Status zu filtern.
Warum RPKI wichtig ist erklärt Cloudflare sehr ausführlich in Ihrem Blog.
Um RPKI basierte Filter einsetzen zu können ist es notwendig einen RPKI Validator zu betreiben, der die Kryptographie und den Abgleich der Netze mit den AS Nummern übernimmt. Softwareseitig kann aktuell zwischen dem von der RIPE NCC entwickelte RPKI Validator oder die ressourcensparendere Variante Routinator von den NLnetLabs entschieden werden. Je nach gewünschter Policy empfiehlt es sich mehrere Instanzen redundant zu betreiben.
Unter VyOS muss im ersten Schritt die Verbindung mit dem Validator hergestellt werden.
admin@rt-1# show protocols rpki
cache routinator {
address routinator.mylab.net
port 3323
}
Sobald diese Verbindung eingerichtet ist, kann innerhalb von Route-Maps mit dem Attribut „rpki“ und den Paramtern „invalid“, „valid“ oder „notfound“ gefiltert werden.
In meinem Beispiel möchte ich alle invaliden ablehnen, alle ohne Status mit geringer Local-Perf annehmen und alle validen Routen mit hoher Local-Perf akzeptieren. In meinem Beispiel sieht die Route-Map wie folgt aus.
admin@rt-1# show policy route-map ebgp-v6-import-transit-rpki
rule 10 {
action deny
match {
rpki invalid
}
}
rule 20 {
action permit
match {
rpki notfound
}
set {
local-preference 20
}
}
rule 30 {
action permit
match {
rpki valid
}
set {
local-preference 120
}
}