Прадстаўлены выпуск пераноснай рэдакцыі пакета маршрутызацыі OpenBGPD 8.2, які развіваецца распрацоўшчыкамі праекта OpenBSD і адаптаванага для выкарыстання ва FreeBSD і Linux (заяўлена падтрымка Alpine, Debian, Fedora, RHEL / CentOS, Ubuntu). Для забеспячэння пераноснасці скарыстаны часткі кода з праектаў OpenNTPD, OpenSSH і LibreSSL. Праект падтрымлівае большую частку спецыфікацый BGP 4 і адпавядае патрабаванням RFC8212, але не спрабуе асягнуць неабсяжнае і забяспечвае галоўным чынам падтрымку найбольш запатрабаваных і распаўсюджаных функцый.
Распрацоўка OpenBGPD вядзецца пры падтрымцы рэгіянальнага інтэрнэт-рэгістратара RIPE NCC, які зацікаўлены ў давядзенні функцыянальнасці OpenBGPD да прыдатнасці да выкарыстання на серверах для маршрутызацыі ў кропках міжаператарскага абмену трафікам (IXP) і ў стварэнні паўнавартаснай альтэрнатывы пакету BIRD (з адкрытых альтэрнатыў з рэалізацыяй пратаколу адзначыць праекты FRRouting, GoBGP, ExaBGP і Bio-Routing).
У праекце асноўная ўвага надаецца забеспячэнню максімальнага ўзроўню бяспекі і надзейнасці. Для абароны прымяняецца жорсткая праверка карэктнасці ўсіх параметраў, сродкі для кантролю захавання межаў буфераў, падзел прывілеяў і абмежаванне доступу да сістэмных выклікаў. З добрых якасцяў таксама адзначаецца зручны сінтаксіс мовы вызначэння канфігурацыі, высокая прадукцыйнасць і эфектыўнасць працы з памяццю (напрыклад, OpenBGPD можа працаваць з табліцамі маршрутызацыі, якія ўключаюць сотні тысяч запісаў).
Ключавыя змены ў новай версіі:
- Абноўлена рэалізацыя механізму ASPA (Autonomous System Provider Authorization), які ўжываецца ў BPG для верыфікацыі шляхоў AS_PATH, аўтарызацыі аўтаномных сістэм правайдэраў і абароны ад уцечкі некарэктных маршрутаў. Рэалізацыя ASPA прыведзена да адпаведнасці спецыфікацыям draft-ietf-sidrops-aspa-verification-16 і draft-ietf-sidrops-aspa-profile-16, і пераведзена на выкарыстанне пошукавых табліц, якія не залежаць ад AFI (Address Family Indicator).
- Ухіленая памылка ў кодзе парсера паведамленняў netlink, злучаная з няслушным вызначэннем памеру паведамленняў і якая прыводзіць да аварыйнага завяршэння на платформе Linux.
- Код для генерацыі паведамленняў UPDATE перакладзены на выкарыстанне новага API ibuf.
- Палепшаны паведамленні пра памылкі, якія выводзяцца ў bgpctl пры спробе выкарыстання магчымасцяў, якія не падтрымліваюцца ў пераноснай версіі OpenBGPD.
- Прыклад правіл фільтрацыі GRACEFUL_SHUTDOWN перароблены для апрацоўкі толькі сеансаў ebgp.
Крыніца: opennet.ru