RPKI 与 ROA 入门：VPS 玩家也该看懂的路由安全信号

把 RPKI、ROA、BGP 劫持和 route leak 拆成可执行检查项，用于判断商家线路是否具备基本路由安全能力。

为什么 VPS 用户也要关心 RPKI

很多 VPS 测评只看延迟、带宽和回程 ASN，但真正影响稳定性的还有一个更底层的问题：这个前缀是不是被正确授权、是否容易被错误 AS 宣告、上游是否会过滤明显无效的路由。

RPKI 的价值在于给 IP 前缀和允许宣告它的 AS 建立可验证关系。ROA 则是资源持有人发布的授权记录，说明某个前缀可以由哪个 AS 宣告，以及最大前缀长度是多少。

对于普通用户，这不意味着你要自己运营 RPKI，但它能帮助你识别两类风险：

选购 VPS 时，Invalid 比 NotFound 更值得警惕。前者通常意味着配置已经冲突，后者只是还没部署 RPKI。

拿到测试 IP 后，可以先查前缀和起源 AS：

whois <测试IP>
bgpq4 -h whois.radb.net -S RIPE,APNIC,ARIN AS<ASN>

然后用公开工具交叉验证：

RPKI 状态不直接决定网络速度，但会影响故障半径。一个带 RPKI Invalid 的前缀，在部分运营商或 IX 上可能被丢弃，表现为“某些地区完全打不开”，而不是普通丢包。

测评时建议记录：

Cloudflare 关于 route leak 的文章里，一个很重要的观点是：BGP 的问题往往不是“完全断网”，而是路由被错误传播后，流量被吸到不该经过的网络。用户侧看到的现象可能只是延迟突然升高、部分地区不可达、TLS 握手变慢或 CDN 命中异常。

APNIC 关于 RPKI 工具和 RPKIViews 的文章则更偏运营侧：RPKI 数据本身也在持续变化，做长期研究时不能只保存一个快照。对 VPS 测评来说，这意味着你今天查到的 Valid/Invalid 状态要和测试时间绑定，不能拿几个月后的查询结果反推当时的网络状态。

国外运营社区还有一个常见经验：小商家并不一定不安全，大商家也不一定永远配置正确。真正值得看的是商家是否知道自己的前缀、origin AS、ROA、IRR 和上游过滤策略。如果工单里问 RPKI 状态，对方完全答不上来，那至少说明它不是这家商家的运营重点。

如果你不是普通 VPS 用户，而是自带 IP 段或自持 ASN，RPKI 就不是可选项。最容易出错的是 maxLength。

例如你持有 203.0.113.0/23，希望平时宣告 /23，故障时拆成两个 /24。如果 ROA 只允许 /23，那么应急时的 /24 会变成 Invalid。反过来，如果 maxLength 放得过宽，又会降低保护效果。

建议策略：

当某个地区突然访问不了 VPS，可以按这个顺序查：

如果只有启用 ROV 的网络不可达，而宽松网络仍可访问，RPKI Invalid 就是高优先级怀疑对象。