6. Validation Procedure (Procédure de validation)
6. Validation Procedure (Procédure de validation)
Les Flow Specifications reçues des pairs BGP qui sont acceptées dans l'Adj-RIB-In correspondant sont utilisées comme entrée pour le processus de sélection de route. Bien que les attributs de transfert de deux routes pour le même préfixe Flow Specification puissent être identiques, BGP doit toujours exécuter son algorithme de sélection de chemin pour choisir l'ensemble correct d'attributs à annoncer.
La première étape du processus BGP Route Selection (Section 9.1.2 de [RFC4271]) consiste à exclure du processus de sélection les routes considérées comme non réalisables. Dans le contexte des informations de routage IP, cette étape est utilisée pour vérifier si l'attribut NEXT_HOP d'une route donnée est résolvable.
Dans le cas de Flow Specification NLRI, ce concept peut être étendu pour permettre d'autres procédures de validation.
La procédure de validation décrite ci-dessous valide les Flow Specifications par rapport aux routes unicast reçues via la même AFI mais la SAFI d'informations de routage unicast associée:
-
Les Flow Specifications reçues via SAFI=133 seront validées par rapport aux routes reçues via SAFI=1.
-
Les Flow Specifications reçues via SAFI=134 seront validées par rapport aux routes reçues via SAFI=128.
En l'absence de configuration explicite, une Flow Specification NLRI DOIT être validée de sorte qu'elle ne soit considérée comme réalisable que si toutes les conditions suivantes sont remplies:
a) Un composant de préfixe de destination est intégré dans la Flow Specification.
b) L'initiateur de la Flow Specification correspond à l'initiateur de la meilleure correspondance route unicast pour le préfixe de destination intégré dans la Flow Specification (c'est la route unicast qui couvre le préfixe de destination intégré dans la Flow Specification avec la longueur de préfixe la plus longue possible).
c) Par rapport au préfixe de destination du flux, il n'y a pas de routes unicast "plus spécifiques" reçues d'un AS adjacent différent de la meilleure correspondance route unicast déterminée dans la règle b.
Cependant, la règle a peut être assouplie par configuration explicite pour permettre les Flow Specifications qui ne contiennent pas de composant de préfixe de destination. Si tel est le cas, les règles b et c sont invalides et DOIVENT être ignorées.
Par "initiateur" d'une route acheminée via BGP, nous entendons l'adresse de l'initiateur dans l'attribut ORIGINATOR_ID [RFC4456] ou, si cet attribut de chemin n'est pas présent, l'adresse IP source du pair BGP.
Les implémentations BGP DOIVENT également imposer que l'attribut AS_PATH des routes reçues via External Border Gateway Protocol (eBGP) contienne l'AS adjacent dans la position la plus à gauche de l'attribut AS_PATH. Bien que cette règle soit optionnelle dans la spécification BGP, il est nécessaire de l'imposer ici pour des raisons de sécurité.
La meilleure correspondance route unicast peut changer au fil du temps indépendamment de la Flow Specification NLRI. Par conséquent, une revalidation de la Flow Specification NLRI DOIT être effectuée chaque fois que les routes unicast changent. La revalidation est définie comme un nouveau test des règles a à c comme décrit ci-dessus.
Explication:
Le concept de base est que l'AS adjacent qui annonce la meilleure route unicast pour une destination est autorisé à annoncer des informations Flow Specification transmettant un préfixe de destination plus spécifique ou également spécifique. Par conséquent, une Flow Specification sera validée avec succès tant qu'il n'y a pas de routes unicast "plus spécifiques" reçues d'un AS adjacent différent qui seraient affectées par cette Flow Specification.
L'AS adjacent est la destination directe pour le trafic décrit par la Flow Specification. S'il demande à supprimer ces flux, cette demande peut être satisfaite sans craindre qu'il représente lui-même un déni de service. Le raisonnement est que c'est comme si le système autonome en aval supprimait le trafic, et il n'y a aucune valeur supplémentaire à lui livrer le trafic.