メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:
プリント用ページ

ROAキャッシュサーバの設置方法

2014年9月29日

ROAキャッシュサーバは、 LinuxなどのUNIXに準じたサーバを使って設置できます。 ROAキャッシュサーバを設置すると、 ROAパブリックキャッシュサーバを使わずに、ROAを利用できます。 数少ないROAパブリックキャッシュサーバに集中してアクセスしなくてもよくなるため、 ROAパブリックキャッシュの運用に依存せずにROAの利用が可能です。

Ubuntu 14.04LTSにてパッケージのインストール

$ wget -q -O - http://download.rpki.net/APT/apt-gpg-key.asc | sudo apt-key add -
$ sudo wget -q -O /etc/apt/sources.list.d/rpki.list http://download.rpki.net/APT/rpki.ubuntu.list
$ sudo apt-get update
$ sudo apt-get install rpki-rp

RPKI/ROA取得、証明書・ROA検証ソフトウェア(rcynic)の設定

              
~$ vi /etc/rcynic.conf
[rcynic]
rsync-program   = /usr/bin/rsync
authenticated   = /var/rcynic/data/authenticated
unauthenticated = /var/rcynic/data/unauthenticated
lockfile        = /var/rcynic/data/lock
xml-summary     = /var/rcynic/data/rcynic.xml
jitter          = 600
use-syslog      = true
log-level       = log_debug
#
trust-anchor-directory  = /etc/rpki/trust-anchors/
            

rpki-rtrサーバの設定

rpki-rtrは一般的にxinetd経由で起動します。 パッケージですでにインストールされているはずですので確認してください。

              
$ cat /etc/xinetd.d/rpki-rtr
service rpki-rtr
{
    type           = UNLISTED
    flags          = IPv4
    socket_type    = stream
    protocol       = tcp
    port           = 323
    wait           = no
    user           = rpkirtr
    server         = /usr/bin/rpki-rtr
    server_args    = server /var/rcynic/rpki-rtr
}
            

rcynicテスト

              
$ sudo rcynic -j 1 -c /etc/rcynic.conf
$ scan_roas /var/rcynic/data/authenticated | more
            

上記コマンドにより、 IPアドレスとASの組み合わせが確認できればrcynicは成功しています。

rtr-orignテスト

              
$ sudo rpki-rtr cronjob /var/rcynic/data/authenticated /var/rcynic/rpki-rtr
$ sudo rpki-rtr client tcp localhost 323
            

上記コマンドにより、 IPアドレスとASの組み合わせが確認できればrpki-rtrは成功しています。 rpki-rtr clientモードはCtrl-Cで終了してください。

cron設定

定期的にRPKI・ROAを取得できるように設定します。

              
#!/bin/sh -
/usr/bin/rcynic -c /etc/rcynic.conf -j 1
/usr/bin/rpki-rtr cronjob /var/rcynic/data/authenticated /var/rcynic/rpki-rtr
            

上記のスクリプトを定期的にCronへ設定し、 rootアカウントで実行してRPKI/ROAを取得します。

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。