RPKI/ROA验证

针对起源ASN与prefix的组合，检查ROA（路由起源授权）的有效性。判定基于RIPEstat。

关于这个RPKI/ROA验证工具

RPKI（资源公钥基础设施）让IP prefix的持有者可以发布一份签名声明——ROA（路由起源授权）——声明哪个AS被允许在BGP中以该prefix为起源进行通告。执行路由起源验证的网络会丢弃与ROA冲突的路由，从而阻止许多路由劫持和误操作泄漏。本工具使用RIPEstat验证API，将给定的起源ASN＋prefix组合与已发布的ROA进行比对。

如何解读结果

Valid — 存在ROA，且通告与被授权的AS和prefix长度一致。
Invalid — 有覆盖该prefix的ROA，但起源AS或prefix长度不匹配（invalid_asn／invalid_length）。执行验证的网络会拒绝此路由。
Unknown — 没有覆盖该prefix的ROA，RPKI既不能确认也不能否认。

可用 ASN查询查找IP的起源AS。背景知识：RPKI与ROA详解和 BGP路由基础。

常见问题

我的prefix是"Unknown"，这不好吗？

这表示你还没有发布ROA，即该prefix未受RPKI保护。它仍能正常路由，但在你的RIR创建ROA后会升级为Valid，并能防止执行起源验证的网络发生劫持。

invalid_asn 和 invalid_length 有什么区别？

invalid_asn指该prefix有ROA，但授权的AS与正在通告的AS不同。invalid_length指通告的prefix比ROA的maxLength允许的更精细。两者都被视为Invalid并被丢弃。

RPKI能保护整条BGP路径吗？

不能。基于ROA的起源验证只确认起源AS对该prefix是被授权的。要保护完整的AS路径需要路径验证（BGPsec/ASPA），而后者的部署要少得多。