6. Validation Procedure (検証手順)
6. Validation Procedure (検証手順)
対応する Adj-RIB-In で受け入れられる BGP ピアから受信した Flow Specifications は, ルート選択プロセスの入力として使用されます。同じ Flow Specification プレフィックスの 2 つのルートの転送属性が同一である可能性がありますが, BGP はアドバタイズする正しい属性のセットを選択するために, そのパス選択アルゴリズムを実行する必要があります。
BGP Route Selection プロセスの最初のステップ ([RFC4271] のセクション 9.1.2) は, 実行不可能と見なされるルートを選択プロセスから除外することです。IP ルーティング情報のコンテキストでは, このステップは, 特定のルートの NEXT_HOP 属性が解決可能かどうかを検証するために使用されます。
Flow Specification NLRI の場合, この概念を拡張して他の検証手順を許可できます。
以下に説明する検証手順は, 同じ AFI を介して受信されたが, 関連するユニキャストルーティング情報 SAFI を介して受信されたユニキャストルートに対して Flow Specifications を検証します:
-
SAFI=133 を介して受信された Flow Specifications は, SAFI=1 を介して受信されたルートに対して検証されます。
-
SAFI=134 を介して受信された Flow Specifications は, SAFI=128 を介して受信されたルートに対して検証されます。
明示的な設定がない場合, 次のすべての条件が満たされる場合にのみ実行可能と見なされるように, Flow Specification NLRI を検証しなければなりません:
a) 宛先プレフィックスコンポーネントが Flow Specification に埋め込まれています。
b) Flow Specification の発信者が, Flow Specification に埋め込まれた宛先プレフィックスの最良一致ユニキャストルートの発信者と一致します (これは, Flow Specification に埋め込まれた宛先プレフィックスをカバーし, 可能な限り最長のプレフィックス長を持つユニキャストルートです)。
c) フロー宛先プレフィックスと比較して, ルール b で決定された最良一致ユニキャストルートとは異なる隣接 AS から受信された "より具体的な" ユニキャストルートはありません。
ただし, ルール a は明示的な設定によって緩和され, 宛先プレフィックスコンポーネントを含まない Flow Specifications を許可できます。これが当てはまる場合, ルール b と c は無効であり, 無視しなければなりません。
BGP を介してルーティングされたルートの "発信者" とは, ORIGINATOR_ID Attribute [RFC4456] 内の発信者のアドレス, またはこのパス属性が存在しない場合は BGP ピアのソース IP アドレスを意味します。
BGP 実装は, External Border Gateway Protocol (eBGP) を介して受信されたルートの AS_PATH 属性が, AS_PATH 属性の最左の位置に隣接 AS を含むことも強制しなければなりません。このルールは BGP 仕様ではオプションですが, セキュリティ上の理由からここで強制する必要があります。
最良一致ユニキャストルートは, Flow Specification NLRI とは独立して時間の経過とともに変化する可能性があります。したがって, ユニキャストルートが変更されるたびに, Flow Specification NLRI の再検証を実行しなければなりません。再検証は, 上記のようにルール a から c を再テストすることとして定義されます。
説明:
基本的な概念は, 宛先の最良ユニキャストルートをアドバタイズする隣接 AS が, より具体的なまたは同等に具体的な宛先プレフィックスを伝達する Flow Specification 情報をアドバタイズすることを許可されるということです。したがって, この Flow Specification によって影響を受ける異なる隣接 AS から受信された "より具体的な" ユニキャストルートがない限り, Flow Specification は正常に検証されます。
隣接 AS は, Flow Specification によって記述されるトラフィックの直接的な宛先です。これらのフローを破棄するよう要求する場合, それ自体がサービス拒否を表すことを恐れることなく, その要求を満たすことができます。推論は, これは下流の自律システムがトラフィックを破棄しているのと同じであり, それにトラフィックを配信することに追加の価値はないということです。