本APNIC文摘原標題為Models of trust for the RPKI,由Geoff Huston撰文。
網際網路甫誕生的八零年代,是以「分級」(Class)的方式使用網路位址。當時負責管理網際網路號碼指配權威(Internet Assigned Numbers Authority,IANA)記錄的Jon Postel,除管理Class A位址區段外,亦將多筆Class B和C的位址區段的管理和記錄工作交派給InterNIC。
網際網路在1993年左右捨棄分級的位址架構,轉而使用長短不定的分配方式。在此方式下,IANA和InterNIC的分工大致照舊,由前者持有並指配/8位址區段,後者負責較小的位址區段。
隨著時代演進,本來負責網路位址的2個註冊管理機構(IANA和InterNIC)變成6個單位:
- IANA的註冊管理功能管轄最初的Class A位址分配紀錄,包括每筆指派至區域網際網路註冊機構(Regional Internet Registry,RIR)的/8位址紀錄,以及尚未分配之位址區段。
- 5個RIR負責從IANA獲分配之/8位址區段的註冊管理,
由於美洲網際網路號碼註冊管理機構(American Registry for Internet Numbers, ARIN)亦保存RIR體制建立前的位址分配歷史紀錄,RIR之間不時會進行「早期註冊轉移」(early registration transfers,ERX),把這些歷史紀錄,包括IPv4和部份IPv6位址區段,以及自治系統號碼(Autonomous System Number,ASN)從ARIN轉移到如今負責相應位址區段的RIR。
這也導致一個問題,也就是如何在位址註冊管理上描述RIR間的資源轉移?
一個選項是把IANA當成「上一層」註冊管理機構,在IANA管理的註冊紀錄中列出每筆位址區段目前的持有RIR。但此做法將衍生無法統一執行及紀錄重複的問題。
另一個方式是IANA只紀錄由IANA分配的位址紀錄。例如IANA在1996年6月將一筆210/8指配給APNIC,並留存此紀錄。此位址後續任何變更,於RIR間的轉移,都僅由RIR和相關管理方留存註冊紀錄。
這也是現行做法,當初並未經特別討論,順理成章的被使用。但隨著IPv4位址枯竭,加上平均分配剩餘位址空間的呼聲,此模式也有所調整。數筆早期IANA分派的/8位址在2010年代中期重新指配給不同RIR,目的是平均分配RIR間的剩餘位址。此類重新分配會在IANA中紀錄負責管理的新RIR。如154/8原本在1992年指配予ARIN,但如今在IANA的紀錄中是「由AFRINIC管理」。
後來陸續有RIR間位址註冊紀錄轉移的情形,部分RIR社群因此認可RIR間的位址轉移,以確保位址與註冊紀錄一致。這表示RIR間的IPv4位址空間,其實比IANA註冊管理紀錄顯示的更為不統一。
為視覺化呈現此現象,Geoff Huston與APNIC團隊將IPv4位址空間以希伯特曲線(Hilbert curve)表示,不同顏色代表不同RIR,1像素代表1筆/24的IPv4位址空間。圖一參考資料為IANA註冊紀錄,圖二則參考各RIR的註冊管理紀錄。兩圖之間的主要差異,在於RIR間Class B和少數Class C歷史位址空間的碎片化。
圖 1 IANA的IPv4位址註冊管理紀錄 圖 2 RIR的IPv4位址註冊管理紀錄
這也衍生另一個對資源公共金鑰基礎建設(Resource Public Key Infrastructure,RPKI)的根本疑問:面對任一特定資源,外人如何判定哪個RIR紀錄是最準確的參考來源?
下篇Geoff Huston將深入探討此問題,並分享APNIC已實驗可行的概念雛形。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Models of trust for the RPKI。
