gada protokols Autonomā malu sistēma (BGP) Tas ir de facto standarts maršrutēšanai internetā. Tomēr gadu gaitā tas ir kļuvis arvien jutīgāks pret drošības problēmām, piemēram, maršruta nolaupīšanu un nepatiesas maršrutēšanas informācijas izplatību.
Šī ir vieta, kur Resursu publiskās atslēgas infrastruktūra (RPKI) BGP — tehnoloģiju, kas uzlabo drošību un autentifikāciju interneta maršrutēšanas pasaulē. Šajā rakstā mēs izpētīsim BGP RPKI galvenos jēdzienus MikroTik RouterOS, tā lietojumu un scenārijus, kuros tas ir visatbilstošākais.
Raksta beigās jūs atradīsiet nelielu pārbaude kas jums ļaus noteikt šajā lasījumā iegūtās zināšanas
RPKI un BGP galvenie jēdzieni
Pirms iedziļināties RPKI detaļās MikroTik RouterOS, ir svarīgi saprast dažus galvenos jēdzienus:
BGP (Border Gateway Protocol)
BGP ir maršrutēšanas protokols, ko izmanto, lai apmainītos ar maršrutēšanas informāciju starp autonomām sistēmām internetā. Tā ir būtiska savienojamībai un saziņai starp tīkliem, un tai ir izšķiroša nozīme, nosakot maršrutus, pa kuriem sekos interneta trafika.
RPKI (resursu publiskās atslēgas infrastruktūra)
RPKI ir drošības sistēma, kas izstrādāta, lai stiprinātu interneta maršrutēšanas infrastruktūru. RPKI ir balstīta uz publiskās atslēgas kriptogrāfiju un izmanto digitālos sertifikātus, lai nodrošinātu maršrutēšanas informācijas autentiskumu.
ROA (maršruta sākuma autorizācija)
ROA ir RPKI objekts, kas saista IP adresi vai tīkla prefiksu ar autonomu sistēmu. Tas ļauj tīkla operatoriem skaidri norādīt, kurš ir pilnvarots reklamēt noteiktu prefiksu BGP.
RPKI izmantošana programmā MikroTik RouterOS
MikroTik RouterOS, maršrutēšanas operētājsistēma, ko izmanto dažādās tīkla ierīcēs, atbalsta BGP RPKI. RPKI ieviešana MikroTik RouterOS ļauj tīkla operatoriem aizsargāt savus BGP maršrutus no ļaunprātīgām vai nepareizi konfigurētām reklāmām, tādējādi uzlabojot savu tīklu drošību un stabilitāti. Tālāk ir norādīti daži veidi, kā RPKI tiek izmantots MikroTik RouterOS:
BGP maršruta apstiprināšana
MikroTik RouterOS var pārbaudīt BGP maršrutu autentiskumu, izmantojot RPKI. Kad tiek saņemts BGP maršruts, maršrutētājs pārbauda, vai RPKI datu bāzē ir atbilstošs ROA. Ja atbilstība netiek atrasta, maršrutētājs var atzīmēt maršrutu kā nederīgu vai ignorēt to.
Drošas reklāmas
RPKI ļauj tīkla operatoriem deklarēt, kuras autonomās sistēmas ir pilnvarotas reklamēt konkrētus maršrutus. Tas novērš maršruta nolaupīšanu un nepatiesas maršrutēšanas informācijas izplatīšanos, jo tikai autorizētas reklāmas tiek uzskatītas par derīgām.
Aizsardzība pret konfigurācijas kļūdām
RPKI arī palīdz novērst konfigurācijas kļūdas, kas var izraisīt maršrutēšanas problēmas. Validējot BGP maršrutus, tīkla operatori var ātri noteikt konfigurācijas problēmas un novērst tās, pirms tās ietekmē tīkla savienojumu.
RPKI lietošanas scenāriji MikroTik RouterOS
MikroTik RouterOS BGP RPKI tiek izmantots dažādos scenārijos, lai uzlabotu tīkla drošību un uzticamību. Daži no visizplatītākajiem scenārijiem ietver:
Interneta pakalpojumu sniedzēji (ISP)
ISP ievieš RPKI savos MikroTik RouterOS maršrutētājos, lai nodrošinātu, ka viņu klientu un biznesa partneru reklamētie maršruti ir autentiski un droši. Tas palīdz novērst maršruta nolaupīšanu un aizsargāt tīkla integritāti.
Bizness
Uzņēmumi, kas pārvalda savu tīkla infrastruktūru, var izmantot RPKI, lai nodrošinātu, ka BGP tiek reklamēti tikai autorizēti maršruti. Tas ir īpaši svarīgi, lai aizsargātu savienojamību un datu konfidencialitāti jūsu tīklos.
Datu centri
Datu centri, kuros darbojas MikroTik RouterOS, var izmantot RPKI, lai nodrošinātu savus iekšējos maršrutēšanas maršrutus un nodrošinātu, ka maršruti starp datu centriem ir droši un autentiski.
1. piemērs: pamata RPKI konfigurācija
Piekļūstiet MikroTik CLI: Vispirms piekļūstiet savai MikroTik ierīcei, izmantojot SSH vai konsoli.
Konfigurējiet RPKI kešatmiņas serveri:
/routing bgp rpki set enabled=yes
/routing bgp rpki add name=rpki-server1 address=rpki.example.com
Pārbaudiet savienojumu ar RPKI serveri:
/routing bgp rpki print
Iespējot RPKI validāciju BGP maršrutos:
/routing bgp instances iestatījums noklusējuma rpki-validation=yes
Skatiet BGP maršrutus un to RPKI statusu:
/routing bgp sludinājumu drukāšana
2. piemērs: Uzlabota ieviešana ar maršruta filtriem
Piekļūstiet MikroTik CLI: piesakieties savā MikroTik ierīcē, izmantojot SSH vai konsoli.
Konfigurējiet vairākus RPKI kešatmiņas serverus:
/routing bgp rpki add name=rpki-server1 address=rpki1.example.com
/routing bgp rpki add name=rpki-server2 address=rpki2.example.com
Aktivizējiet RPKI validāciju:
/routing bgp rpki set enabled=yes
Konfigurējiet BGP maršruta filtrus, lai pārbaudītu maršrutus:
/routing filter add chain=RPKI-IN rule="if bgp-route-type=external then { if rpki-validity=valid then accept else reject }"
Lietojiet filtru BGP procesam:
/routing bgp vienādranga iestatījums your-peer-name in-filter=RPKI-IN
Pārskatiet maršruta konfigurāciju un statusu:
/routing bgp peer drukas detaļa
/routing bgp sludinājumu drukāšana
Secinājums
MikroTik RouterOS BGP RPKI ir svarīga tehnoloģija interneta maršrutēšanas drošības un autentifikācijas uzlabošanai. Tas ļauj tīkla operatoriem apstiprināt BGP maršrutus, novērst maršrutu nolaupīšanu un aizsargāt savus tīklus no ļaunprātīgām vai nepareizi konfigurētām reklāmām.
Tā kā interneta drošība kļūst arvien kritiskāka, RPKI ieviešana MikroTik RouterOS kļūst par labāko praksi dažādos scenārijos, sākot no interneta pakalpojumu sniedzējiem līdz uzņēmumiem un datu centriem. RPKI ieviešana programmā MikroTik RouterOS veicina drošāku un uzticamāku internetu.
Īsa zināšanu viktorīna
Ko jūs domājat par šo rakstu?
Vai uzdrošināties novērtēt savas apgūtās zināšanas?
Ieteicamā grāmata šim rakstam
BGP un MPLS RouterOS v7 grāmata
MTCINE sertifikācijas kursa mācību materiāls atjaunināts uz RouterOS v7
Saistītās ziņas
- Virtuālā privātā LAN pakalpojums (VPLS): uzlabota pieeja tīkla savienojamībai
- BGP protokols: vēsture, ziņojumi un konfigurācija MikroTik RouterOS ierīcēs
- Tīkla optimizācija ar satiksmes inženieriju: efektīvas datu plūsmas projektēšana
- MPLS: daudzpusīga tehnoloģija tīklu optimizēšanai
- Atgriezeniskās saskarnes: stabilitātes un savienojamības uzlabošana mūsdienu tīklos