メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:
プリント用ページ

ROAパブリックキャッシュサーバの利用方法

2014年9月29日

対応機種情報

ROAパブリックキャッシュサーバは、 RPKI対応のBGPルータに設定をすることで利用できます。

はじめに、 JPNICにてRPKI関連の設定を投入可能であった機種を以下に示します。 ご利用にあたりましては、 各社の機能セットとソフトウェアバージョンをご確認ください。

Cisco*1 ASR9000 IOS-XR 4.2.1
CSR1000V IOS-XE 3.10.0S
ASR1000 IOS-XE 3.11.0S
7200 IOS 15.2(4)S
Juniper*2 M7i JUNOS 12.3R9
MX5 JUNOS 12.3R9
quagga quagga 0.99.22 + rtrlib-v0.2.3
*1 Cisco社製品の対応状況を確認できる資料にはCisco Feature Navigatorと呼ばれるWebサイトなどがあります。 Feature名として「BGP - Origin AS validation」を指定することで対応機種を探すことができます。
*2 Juniper社製品の対応状況を確認できる資料にはFeature Explorerと呼ばれるWebサイトなどがあります。 Feature名として「Origin Validation for BGP」を指定することで対応機種を探すことができます。
* "Router Configuration" - RIPE NCCにおいても動作情報が一覧されています。

※当センターでは動作確認を行っておりません。 また上記機種での動作を保障するものではありません。

JPNICのROAパブリックキャッシュサーバのIPアドレスは以下の通りです。

JPNIC ROAパブリックキャッシュサーバ IPアドレス 192.41.192.218

以降では、 BGPルータでROAパブリックキャッシュを利用するための設定例を示します。 下記は、RIPE NCCの情報を元に作成したものです。 詳しくは下記をご覧ください(英語)。

BGPルータの設定に関する詳しい情報があります。 以下のページをご参照ください。

Cisco社製BGPルータの設定例

ROAキャッシュサーバに接続するための設定例を示します。

              
cisco#show running-config | begin bgp
router bgp 64500
 bgp log-neighbor-changes
 bgp rpki server tcp <IPアドレス> port 323 refresh 600 
            

AS番号64500のBGPルータでROAキャッシュサーバに接続する設定です。 <IPアドレス>はアクセスするROAキャッシュサーバのIPアドレスを指定します。 ポート番号は323番、リフレッシュ間隔は600秒です。

Origin Validationの結果の扱いに関する設定例を示します。

              
!
route-map rpki-lo-pref permit 10
 match rpki invalid
 set local-preference 90
!
route-map rpki-lo-pref permit 20
 match rpki not-found
 set local-preference 100
!
route-map rpki-lo-pref permit 30
 match rpki valid
 set local-preference 110              
            

ROAを使ったOrigin Validationの結果に対して、 ローカル・プリファレンス値を設定しています。 上記の例では、ROAの内容と経路情報が異なる場合(Invalid)には90を、 経路情報をカバーするROAが見つからない場合(Not Found)には100を、 経路情報と一致するROAがある場合(Valid)には110を設定しています。

BGPネイバーに対してOrigin Validationの結果の扱い方を適用する設定例です。

              
cisco#show running-config | begin bgp

router bgp 64500
 bgp log-neighbor-changes
 bgp rpki server tcp <IPアドレス> port 323 refresh 600
 network 192.0.2.0
 neighbor 10.1.1.2 remote-as 64510
 neighbor 10.1.1.2 route-map rpki-lo-pref in
!              
            

AS番号64510であるBGPネイバーの10.1.1.2からの経路情報に対して、 rpki-lo-prefのroute-mapを適用しています。

設定が反映されているかどうかを確認するために役立つコマンドを以下に示します。

cisco>show ip bgp rpki server
ROAキャッシュサーバへの接続状態を表示します。 ROAを通じて取得できたprefix数などの統計も表示されます。
cisco>show ip bgp rpki table
ROAを通じて得られたprefixとOrigin ASなどの表を表示します。
cisco>show ip bgp <prefix>
経路情報のエントリを表示します。 Origin Validationの検証結果や適用されているlocal-preference値などが表示されます。

Juniper社製BGPルータの設定例

ROAキャッシュサーバに接続するための設定例を示します。

              
routing-options {
    autonomous-system 64500;
    validation {

        group rpki-validator {
            session <IPアドレス> {
                refresh-time 600;
                hold-time 180;
                port 323;
                local-address 10.1.1.5;
            }
        }
    }
}             
            

AS番号64500のBGPルータでROAキャッシュサーバに接続する設定です。 <IPアドレス>はアクセスするROAキャッシュサーバのIPアドレスを指定します。 ポート番号は323番、リフレッシュ間隔は600秒です。 hold-timeはやりとりがなくてもセッションを保持する時間の指定です。 180秒を指定しています。

Origin Validationの結果の扱いに関する設定例を示します。

              
policy-options {
    policy-statement validation {
        term valid {
            from {
                protocol bgp;
                validation-database valid;
            }
            then {
                validation-state valid;
                community add origin-validation-state-valid;
                next policy;
            }
         }
         term invalid {
             from {
                 protocol bgp;
                 validation-database invalid;
            }
            then {
                 validation-state invalid;
                 community add origin-validation-state-invalid;
                 next policy;
            }
         }
         term unknown {
             from protocol bgp;
             then {
                  validation-state unknown;
                  community add origin-validation-state-unknown;
                  next policy;
            }
        }
    }
}             
            

検証結果に応じたルーティングポリシーを設定します。

BGPネイバーに対してOrigin Validationの結果の扱い方を適用する設定例です。

              
protocols {
    bgp {
        group mypeers {
            import route-validation;
            peer-as 64510;
            neighbor 10.1.1.2;
        }
    }
}             
            

AS番号64510であるBGPネイバーの10.1.1.2からの経路情報に対して、 ルーティングポリシーroute-validationを適用しています。

設定が反映されているかどうかを確認するために役立つコマンドを以下に示します。

junos> show validation session detail
ROAキャッシュサーバへの接続状態を表示します。
junos> show validation statistics
ROAを通じて取得できたprefix数などの統計も表示されます。
junos> show validation database
Origin Validationの結果の表を表示します。
junos> show route protocol bgp validation-state valid|invalid|unknown
BGP経路情報を指定されたROAの検証結果ごとに表示します。
junos> show route protocol bgp validation-state unverified
ROAから得られたprefixのうち、検証前のものを表示します。

参考資料

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。