Как это работает
Мы запускаем три независимых Routinator (по одному на каждом live PoP), каждый забирает данные из пяти RIR Trust Anchors. Валидаторы поставляют данные route-серверам по протоколу RPKI-RTR с обновлением каждые 5 минут (SLURM-eligible).
Результат валидации кодируется через community на принятых префиксах:
202192:2000— RPKI valid202192:2001— NotFound (нет покрывающей ROA)- Invalid анонсы дропаются до попадания в RIB.
Live-счётчики (последние 24 часа)
Публикация собственных ROA
Участники обязаны публиковать ROA на каждый анонсируемый префикс. Большинство RIR предоставляют hosted RPKI в портале участника:
- RIPE NCC — Hosted ROA editor.
- ARIN — Hosted или delegated.
- APNIC — Hosted.
- AFRINIC — Hosted.
- LACNIC — Hosted.
maxLength — типичная ошибка
Не ставьте maxLength шире вашего самого специфичного анонса. Распространённая ошибка — создать одну ROA с maxLength=24 для /22: это открывает forged-origin атаки на любой sub-префикс, который вы никогда не анонсируете. Держите ROA узкими, ровно по реальным анонсам.
Как проверить статус валидации
# Публичные валидаторы, зеркалирующие данные RIR:
$ dig +short txt 198.51.100.0/24.origin.asn.cymru.com
$ curl -s https://rpki-validator.ripe.net/api/v1/validity/AS65500/198.51.100.0/24
# Или через DATAHUB-IX Looking Glass:
rs1.fks> show route 198.51.100.0/24 | match validationBGPSec и ASPA
BGPSec на route-серверах пока не enforced. ASPA (Autonomous System Provider Authorization) — на дорожной карте до конца 2026 Q4, как только драфт IETF станет RFC.